Nama kelompok :

Lesi Marwidianti
Budi Nurrahman
Monika kartika

“AUDIT SISTEM BERBASI

KOMPUTER”
BAB 10

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

KASUS INTEGRATIF : NORTHWEST INDUSTRIES

Segera setelah mempelajari cara menggunakan software audit untuk komputer, Jason scott
ditugaskan pada sebuah proyek di Seattle Paper Products (SPP). Perusahaan tersebut sedang
memodifikasi sistem penggajian di departemen penjualannya, untuk mengubah cara menghitung
komisi penjualan. Dibawah sistem yang lama, komisi merupakan persentase tetap dari nilai
penjualan. Sitem yang baru ini jauh lebih rumit, dengan tariff komisi yang berbeda-beda
tergantung pada produk yang dijual dan nilai total penjualan.

Tugas Jason yang pertama adalah menggunakan software audit untuk menulis program
pengujian parallel, yang menghitung komisi penjualan dan membandingkan hasilnya dengan
yang dihasilkan oleh sistem yang baru. Jason mendapatkan dokumentasi penggajian yang
dibutuhkannya dan rincian tentang kebijakan komisi penjualan yang baru.

Jason mendapatkan file yang berisi transaksi penjualan untuk periode penggajian terakhir
dan menggunakannya untuk menjalankan programnya. Dia sangat terkejut, karena hasil
perhitungannya lebih rendah $5.000 dari pada yang dihasilakan oleh program baru SPP; bahkan,
terdapat perbedaan individual atas sekitar separuh dari pegawai penjualan perusahaan. Jason
memeriksa ulang kode programnya, tetapi tidak dapat menemukan kesalahan apapun. Dia
memilih seorang pegawai penjualan yang catatannya memiliki perbedaan perhitungan, dan
menghitung ulang komisi yang tercatat secara manual. Hasilnya sesuai dengan hasil sebelumnya
dari program miliknya. Dia meninjau kebijakan komisi yang baru dengan manajer bagian
penjualan, baris perbaris, dan berkesimpulan bahwa dia telah memahami dengan baik keseluruh
kebijakan baru tersebut. Jason kini yakin bahwa program miliknya sudah benar dan bahwa
kesalahan terletak pada program yang baru. Berdasarkan kesimpulan ini, dia memikirkan
beberapa pertanyaan berikut :

1. Bagaimana sebuah kesalahan pemrograman yang sangat signifikan seperti ini terlewat
oleh para pembuat program berpengalaman yang meninjau dan menguji sistem baru
tersebut secara keseluruhan ?
2. Apakah ini merupakan kesalahan yang tidak disengaja atau mungkinkah ini merupakan
kasus penipuan lainnya ?
3. Apa yang dapat dilakukan untuk menemukan kesalahan dalam program tersebut ?
PENDAHULUAN

Bab ini berfokus pada berbagai konsepm dan teknik yang digunakan dalam melakukan audit
SIA. Para auditor disewa untuk berbagai jenis tugas dan tanggung jawab. Banyak organisasi
yang memperkerjakan auditor internal untuk mengevaluasi jalannya operasi perusahaan. General
accounting office dan pemerintah Negara bagian juga memperkerjakan auditor untuk
mengevaluasi kinerja manjemen dan kesesuaian dengan keinginan legislative dalam berbagai
departemen milik pemerintah. Departemen pertahanan memperkerjakan auditor untuk
melakukan tinjauan atas catatan keuangan perusahaan-perusahaan yang memiliki kontrak
peralatan pertahanan. Perusahaan-perusahaan terbuka menyewa auditor ekternal untuk
memberikan tinjauan independen atas laporan keuangan mereka.

Bab ini ditulis terutama berdasarkan perspektif dari auditor internal. Auditor internal
secara langsung bertanggung jawab untuk membantu pihak manajemen meningkatan efektifitas
dan efisiensi organisasional, termasuk membantu mendesain dan mengimplementasikan SIA
yang memberikan kontribusi pada tujuan perusahaan. Sebaliknya, auditor eksternal terutama
bertanggung jawab pada pihak-pihak yang berkepentingan terhadap perusahaan dan investor, dan
hanya secara tidak langsung berkepentingan dalam efektifitas SIA perusahaan. Diluar perbedaan
ini, banyak konsep dan teknik audit internal yang didiskusikan dalam bab ini yang dapat
diterapkan untuk audit eksternal.

Bagian pertama dari bab ini memberikan gambaran umum proses audit, lingkup dan
tujuan kegiatan audit internal, seta langkah-langkah proses audit. Bagian kedua mendeskripsikan
sebuah metodologi dan serangkaian teknik untuk mengevaluasi pengendalian internal SIA.
Bagian ketiga, mendiskusikan teknik evaluasi atas keandalan dan integritas informasi SIA bagian
terakhir, merupakan tinjauan terhadap audit operasional SIA.

SIFAT AUDIT

American accounting association telah merumuskan defenisi umum berikut ini untuk
audit.Audit adalah sebuah proses sistematis untuk secara objektif mendapatkan dan
mengevaluasi bukti mengenai penyertaan perihal tindakan dan transaksi bernilai ekonomi, untuk
memastikan tingkat kesesuaian antara pernyataan tersebut dengan kriteria yang telah ditetapkan,
serta mengkomunikasikan hasil-hasilnya pada para pemakai yang berkepentingan.

Audit membutukan pendekatan langkah per langkah yang dibentuk dengan perencanaan
teliti serta pemilihan dan pelaksanaan teknik yang tepat dengan hati-hati. Dalam membuat
rekomendasi, audit membuat kriteria-kriteria,seperti prinsip-prinsip manajemen dan pengedalian,
yang telah dijelaskan dalam babb-bab sebelumnya, sebagai dasar evaluasi.
 Para auditor biasanya mengaudit diluar computer ( audit around the computer ) dan tidak
menghiraukan computer dan progr4am-prongramnya. Mereka hanya mempelajari catatan dan
autput dari sistem tersebut,dan berfikir jika output telah dengan benar dihasilkan dari input
sisitem, maka pemrosesan pastilah handal. Pendekatan yang lebih baru, yaitu audit melalui
computer ( audit through the computer ), mengunakan computer untuk memeriksa kecukupan
pengendalian sistem, data dan output. Sebagian besar teknik audit yang dididkusikan dalam bab
ini melibatkan audit melalui computer.

Standar-standar audit internal

Berdasarkan institute of internal audit ( IIA ), tujuan dari audit internal adalah untuk
mengevaluasi kecukupan dan efektifitas sistem pengendalian internal perusahaan, serta
menetapkan keluasan dari pelaksanaan tanggung jawab yang benar-benar dilakukan. Kelima
standar lingkup audit IIA memberikan garis besar atas tanggung jawab audit internal :

1. Melakukan tinjauan atas keadaan dan integritas informasi operasional dan keuangan,
serta bagaimana hal tersebut diidentifikasi, diukur, diklasifikasi dan dilaporkan.
2. Menetapkan apakah sistem telah didesain untuk sesuai dengan kebijakan operasional dan
pelaporan, perencanaan, prosedur, hukum, dan peraturan yang berlaku.
3. Melakukan tinjauan mengenai bagaimana asset dijaga, dan memverifikasi keberadaan
asset tersebut.
4. Mempelajari sumber daya perusahaan untuk menetapkan seberapa efektif dan efisien
mereka digunakan .
5. Melakukan tinjauan atas operasional dan program perusahaan, untuk menetapkan apakah
mereka telah dilaksanakan sesuai rencana dan apakah mereka dapat memenuhi tujuan-
tujuan mereka.

Berbagai organisasi sekarang ini, mengunakan SIA terkomputerisasi untuk memproses,

menyimpan, dan mengendalikan informasi perusahaan. Untuk mencapai kelima tujuan yang
telah disebut diatas, seorang auditor internal memiliki kualifikasi untuk memeriksa seluruh
elemen SIA yang terkomputerisasi dan menggunakan computer sebagai alat untuk mencapai
tujuan-tujuan audit tersebut. Dengan kata lain, keahlian computer merupakan hal yang penting
untuk melaksanakan audit internal.

Jenis-jenis kegiatan audit internal

Terdapat tiga jenis audit yang biasanya dilakukan, yaitu :

 1. Audit keuagan memeriksa keandalan dan integritas catatan-catatan akuntasi ( baik
informasi keungan dan operasional ) dan menghubungkannya dengan standar pertama
dari kelima standar lingkup audit internal.
2. Audit sistem informasi melakukan tinjauan atas pengendalian SIA untuk menilai
kesesuainnya dengan kebijakan dan prosedur pengendalian serta efektifitas dalam
menjaga aset perusahaan. Lingkupnya secara kasar berhubungan dengan standar kedua
dan ketiga dari IIA.
3. Audit operasional atau manajemen berkaitan dengan penggunaan secara ekonomis dan
efisien sumber daya, serta pencapaian sasaran dan tujuan yang telah ditetapkan.
Lingkupnya berhubungan dengan standarn keempat dan kelima.

Tinjauan menyeluruh proses audit

Seluruh audit mengunakan urutan kegiatan yang hampir sama, hingga dapat dibagi ke
dalam empat langkah : merencanakan, mengumpulkan bukti, mengevaluasi bukti, dan
mengkomunikasikan hasil audit. Gambar 10-1 menyajikan tinjauanmenyeluruh proses audit,
dengan menspesifikasikan beberapa prosedur yang biasanya dilakukan untuk setiap tahap
tersebut. Bagian ini mendiskusikan keempat tahap audit dan kegiatan-kegiatan yang dilakukan
secara lebih terinci.

Merencanakan audit

Tujuan dari perencanaan audit adalah untuk menetapkan mengapa, bagaimana, kapan,
dan oleh siapa audit akan dilaksanakan. Langkah pertama dalam perencanan audit adalah
menetapkan lingkup dan tujuan audit. Contohnya, lingkup audit sebuah perusahaan terbuka
meluas sehingga kepara pemegang saham perusahaan dengan tujuan mengevaluasi kejujuran
penyajian laporan keuangan. Sebaliknya, audit internal mungkin memeriksa seluruh divisi,
departemen tertentu, atau sebuah aplikasi computer. Audit internal dapat berfokus pada
pengendalian internal, informasi keuangan, kinerja operasional, atau beberapa kombinasi dari
ketiga audit tersebut.

Sebuah tim audit yang memiliki pengalaman dan keahlian yang dibutuhkan akan di
bentuk. Para anggota tim menjadi lebih dalam mengenali pihak yang audit ( auditee ) melalui
diskusi dengan personil tingkat supervisor dan operasional, melakukan tinjauan

Merencanakan audit

Tetapkan lingkup dan tujuanorganisir tim audit

kembangkan pengetahuan mengenai operasional bisnis
tinjauan hasil audit sebelumnya identifikasi faktor-faktor
risiko siapkan program audit
 Mengumpulkan bukti audit

Pengamatan atas kegiatan-kegiatan operasional tinjauan

dokumentasi berdiskusi dengan para pegawai kuesioner
pemeriksaan fisik asset konfirmasi melalui pihak ketiga
melakukan ulang prosedur pembuktian dengan dokumen
sumber review analitis pengambilan sampel audit

Mengevaluasi bukti audit

Nilai kualitas pengendalian internal nilai keandalan

informasi nilai kinerja operasinal pertimbangan
kebutuhan atas bukti tambahan pertimbangan faktor-
faktor risiko pertimbangan faktor materialitas
dokumentasika penemuan-penemuan audit

Mengkomunikasikan hasil audit

Memformulasikan kesimpulan audit membuat

rekomendasi bagi pihak manajemen mempersiapkan
laporan audit menyajikan hasil-hasil audit ke pihak
manajemen

Gambar 10-1 tinjauan menyeluruh prose audit

Atas dokumentasi sistem, dan melakukan tinjauan atas penemuan – penemuan dalam audit
terdahulu.

Sebuah audit harus direncanakan sedenikian rupa agar sebagian besar kegiatan audit
berfokus pada area-area yang memiliki faktor-faktor risiko tinggi. Ada tiga jenis risiko dalam
melakukan audit, yaitu :

1. Risiko inher4en adalah toleransi atas risiko yang material dengan mempertimbangkan
ketidak beradaan pengendalian. Contohnya, sebuah sistem yang menerapkan pemrosesan
on-line, jaringan, software database, telekomunikasi, dan bentuk teknologi canggi
 lainnya, memiliki lebih banyak risiko inheren dari pada suatu sistem pemrosesan batch
yang tradisonal.
2. Risiko pengendalian adalah risiko yang timbul dari kesalahan penyajian yang material
dan berdampak hingga ke struktur pengendalian internal serta ke laporan
keuangan.Sebuah perusahaan yang memiliki pengendalian internal lemah memiliki lebih
banyak risiko pengendaliam daripada perusahaan dengan pengendalian internal yang
kuat. Risiko pengendalian dapat ditetapkan dengan cara melakukan tinjauan atas
lingkungan pengendalian dan mempertimbangkan kelemahan pengendalian yang
diidentifikasi dalam audit terdahulu, dan dengan mengevaluasi bagaimana kelemahan-
kelemahan tersebut telah diperbaiki.
3. Risiko pendeteksian adalah risiko yang timbul akibat tidak dapat terdeteksinya sebuah
kesalahan atau kesalahan penyajian oleh auditor dan prosedur audit yang dibuatnya.

Untuk mematangkan tahap perencanaan, sebuah program audit awal dipersiapkan untuk
menunjukan sifat, keluasan, dan waktu prosedur-prosedur yang dibutuhkan untuk mencapai
tujuan audit dan untuk meminimalkan risiko-risiko audit. Suatu angaran waktu dipersiapkan, dan
para anggota staf akan ditugaskan untuk melaksanakan langkah-langkah audit tertentu.

Mengumpulkan bukti audit

Sebagian besar usaha audit dihabiskan untuk mengumpulkan bukti. Berikut ini adalah
metode-metode yang paling umum digunakan untuk mengumpulkan bukti audit :

 Pengamatan atas berbagai kegiatan yang diaudit ( contohnya, memperhatikan bagaimana

cara pegawai memasuki lokasi computer atau bagaimana personil pengendalian data
menangani kegiatan pemprosesan data begitu data diterima).
 Melakukan tinjauan atas dokumentasi untuk memahami bagaimana suatu SIA atau sistem
pengendalian internal berfungsi.
 Diskusi dengan para pegawai mengenai pekerjaan mereka dan bagaimana mereka
melaksanakan beberapa prosedur tertentu.
 Kuesioner yang dapat mengumpulkan data mengenai sistem terkait.
 Pemeriksaan fisik jumlah dan / atau kondisi asset berwujut seperti perlengkapan,
persediaan, atau kas.
 Melakukan konfirmasi atas ketepatan informasi tertentu, seperti saldo rekening
pelanggan, melalui komunikasi dengan pihak ketiga yang independen.
 Melakukan ulang prosedur pilihan perhitungan tertentu untuk memverifikasi informasi
kuantitatif dari beberapa catatan dan laporan ( contohnya, auditor dapat menghitung
kembali suatu total batch atau menghitung kembali beban depresiasi tahunan ).
 Pembuktian untuk mendapatkan validitas sebuah transaksi dengan cara memeriksa
seluruh dokumen pendukungnya, seperti pesanan pembelian, laporan penerimaan, dan
faktur penjualan dari pemasok yang mendukungtransaksi utang usaha.
  Tinjauan analitis atas hubungan dan tren antar informasi untuk mendeteksi hal-hal yang
harus diselediki lebih lanjut ( contohnya, seorang auditor untuk jaringan took baju
menemukan bahwa disalah satu took, rasio piutang usaha terhadap penjualan sangat
tinggi. Sebuah penyelidikan mengungkap bahwa manajer took tersebut telah mengalihkan
uang dari hasil penagihan, untuk dipakai secara pribadi ).

Oleh karena banyak pengujian dan prosedur audit yang tidak layak untuk dilaksanakan di
seluruh rangkaian kegiatan, catatan, asset, atau dokumen yang ditinjau, pengujian dan
prosedur tersebut sering kali dilaksanakan dengan mengambil sampel. Sebuah audit biasa
umumnya akan menggunakan campuran berbagai prosedur. Contohnya, suatu audit yang di
desain untuk mengevaluasi pengendalian internal SIA akan mengunakan lebih banyak
kegiatan pengamatan, tinjauan atas dokumentas, diskusi dengan para pegawai, dan
pelaksanaan ulang prosedur pengendalian. Suatu audit informasi keuangan akan berfokus
pada pemeriksaan fisik, konfirmasi, pembuktian, tinjauananalitis, dan pelaksanaan ulang
proses perhitungan saldo rekening.

Mengevaluasi bukti audit

Auditor mengevaluasi bukti yang dikumpulkan dengan dasar tujuan audit tertentu, dan
memutuskan apakah bukti tersebut mendukung kesimpulan atau tidak.Apabila kurang
mendukung, auditor akan merencanakan dan melaksanakan prosedur tambahan sampai bukti
yang cukup dapat di kumpulkan untuk membuat kesimpulan yang kuat.

Materialitas dan kepastian yang wajar merupakan hal yang penting ketika ingin
memutuskan seberapa jauh kegiatan audit dibutuhkan dan kapan saat untuk mengevaluasi bukti.
Oleh karena kesalahan selalu ada pada sistem manapun, para auditor berfokus untuk mendeteksi
dan melaporkan kesalahan-kesalahan yang memiliki dampak signifikan pada interpretasi pihak
manajemen atas penemuan-penemuan audit.Menetapkan materialitas, yaitu mengenai apa yang
pentinag dan tidak penting berdasarkan suatu situasi, sebagian besar merupakan masalah
penilaian. Materialitas secara umum lebih penting untuk audit eksternal, yang penekanan
umumnya adalah kejujuran penyajian laporan keuangan, bukan untuk audit internal, yang
berfokus untuk menetapkan tingkat kesesuaian dengan kebijakan manajemen.

Auditor mencari keyakinan yang wajar bahwa tidak ada kesalahan yang material dalam
informasi atau proses yang di audit. Oleh karena sangat mahal untuik mencari kepastian yang
lengkap, audit harus bersedia menerima sejumlah risiko bahwa kesimpilan audit tidak besar.
Merupakan hal yang penting untuk disadari bahwa ketika risiko inheren atau pengendalian
tinggi, auditor harus mendapatkan keyakinan yang lebih besar untuk mengimbangi ketidak
pastiaan dan risiko yang lebih besar.

Dalam seluruh tahapan audit, penemuan dan kesimpulan dengan hati-hati

didokumentasikan dalam lembar kerja audit. Dokumentasi sangatlah penting pada tahap evaluasi
untuk mencapai dan mendukung, kesimpulan akhir.
 Mengkomunikasikan hasil audit

Audit mempersiapkan laporan tertulis ( dan kadang-kadang lisan ) yang meringkas

penemuan-penemuan dan berbagai rekomendasi audit, dengan referensi bukti pendukung dalam
lembar kerja. Laporan ini disajikan kepada pihak manajemen, komite audit, dewan komisaris,
dan pihak-pihak lain yang terkai. Setelah hasil audit dikomunikasikan, para auditor sering kali
melaksanakan penelitia lanjut untuk memastikan bahwa rekomendasi mereka telah
diimplementasikan.

Penekatan audit berdasarkan risiko ( the risk-based audit approach )

Pendekatan empat tahap berikut ini untuk evaluasi pengendalian internal, disebut pula
sebagai pendekatan audit berdasarkan risiko, dan memberikan kerangka logika untuk
melaksanakan audit :

1. Tentukan ancaman-ancaman ( kesalahan dan ketidak beraturan ) yang di hadapi SIA.

2. Identifikasi prosedur pengendalian yang diimplementasikan untuk meminimalkan setiap
ancaman denga mencegah atau mendeteksi kesalahan dan ketidak beraturan
3. Evaluasi prosedur pengendalian. Meninjau dokumentasi sistem dan wawancara dengan
personil yang tepat untuk menetapkan apakah prosedur yang dibutuhkan ada atau tidak,
disebut pula sebagai tinjauan sistem. Kemudian, uji pengendalian dilaksanakan untuk
menetapkan apakah prosedur-prosedur tersebut telah diikuti dengan baik. Uji ini terdiri
dari berbagai kegiatan seperti mengamati operasional sistem; memeriksa dokumen,
catatan, dan laporan; memeriksa beberapa sampel input dan output sistem; serta
menelusuri transaksi di sepanjang sistem.
4. Evaluasi kelemahan ( kesalahan dan ketidak-beraturan yang tidak terungkap oleh
prosedur pengendalian ) untuk menetapkan pengaruhnya atas sifat, atau keluasan
prosedur audit dan saran pada klien. Langkah ini berfokus pada risiko pengendalian dan
apakah sistem pengendalian secara keseluruhan menangani hal-hal tersebut atau tidak.
Apabila kekurangan pengendalian teridentifikasi, auditor menanyakan tentang
pengendalian pengimbang ( compensating control ), atau prosedur-prosedur yang
mengimbangi kekurangan tersebut. Kelemahan pengendalian di sebuah area mungkin
dapat diterima apabila kelemahan tersebut diimbangi dengan kelebihan pengendalian di
area lainnya.

Pendekatan berdasarkan risiko untuk audit memberikan para auditor pemahaman yang jelas
atas kesalahan dan ketidak-beraturan yang dapat terjadi dan risiko serta pajanan yang terkait.
Pemahaman atas hal ini memberikan dasar yang kuat untuk mengembangkan rekomendasi
dasar yang kuat untuk mengembangkan rekomendasi pada pihak manajemen mengenai
bagaimana sistem pengendalian SIA seharusnya ditingkatkan.
 Audit sistem informasi

Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi pengendalian
internal yang melindungi sistem tersebut. Ketika melaksanakan audit sistem informasi, para
auditor harus memastikan tujuan-tujuan berikut ini di penuhi :

1. Perlengkapan keamanan melindungi perlengkapan computer, program, komunikasi, dan

data dari akses yang tidak sah, modifikasi, atau penghancuran.
2. Pengembanan dan perolehan program dilaksanakan sesuai dengan otoritas khusus dan
umum dari pihak manajemen.
3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen.
4. Pemrosesan transaksi, file, laporan, dan catatan computer lainnya telah akurat dan
lengkap.
5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat
diidentifikasikan dan ditanggani sesuai dengan kebijakan manajerial yang telah di
tetapkan.
6. File data computer telah akurat, lengkap, dan dijaga kerahasiaannya.

Gambar 10-2 melukiskan hubungan diantara enam tujuan ini dengan komponen-komponen
sistem informasi. Setiap tujuan tersebut didiskusikan secara lebih terinci dalam bagian berikut.
Setiap deskripsi terdiri dari rencana untuk mencapai setiap tujuan di atas, dan juga teknik serta
prosedur yang di perlukan untuk melaksanakan rencana audit tersebut.

Tujuan 1 : keamanan keseluruhan

Table 10-1 berisi kerangkan untuk audit keamanan computer. Tabel tersebut menunjukan
hal-hal berikut ini :

1. Jenis kesalahan dan penipuan keamanan yang dihadapi oleh perusahaan. Hal ini
mencakup kerusakan yang disengaja atas asset sistem; akses tidak sah, pengungkapan
atau modifikasi data dan program; pencusrian; serta interupsi atas kegiatan bisnis yang
penting.
2. Prosedur pengendalian untuk memenimalkan kesalahan dan penipuan keamanan. Hal ini
mencakup mengembangkan rencana keamanan / perlindungan informasi dari virus,
mengimplementasikan firewall, mengadakan pengendalian atas pengiriman data, dan
mencegah serta memulihkan diri dari kegagalan sistem atau bencana lainnya.
3. Prosedur audit tinjauan sistem. Hal ini mencakup memerikasa lokasi computer;
melakukan wawancara dengan para personilanya; meninjau kebijakan dan prosedur; serta
memeriksa daftar akses, kebijakan asuransi, dan rencana pemuilihan dari bencana.
4. Prosedur audit pengujian pengendalian. Para auditor menguji pengendalian keamanan
dengan cara mengamati prosedur, memferivikasi bahwa terdapat pengendalian dan
 pengendalian tersebut berfungsi seperti dengan yang diharapkan, menginvestigasi
berbagai kesalahan atau masalah untuk memastika mereka ditangani dengan benar, serta
memerikasa berbagai uji yang sebelumnya telah dilaksanakan. Contohnya, salah satu cara
untuk menguji pengendalian akses logika adalah dengan mencoba melaksanakn masuk
kesistem. Selam audit keamanan sebuah badan pemerintah Amerika serikat, para auditor
menggunakan terminal-terminal badan tersebut untuk mendapatkan akses secara tidak
sah kesistem computer mereka, memastikan prosedur pemeriksaan keamananya, dan
mengendalikan sistem tersebut dari terminal yang mereka pakai.Kegagalan keamanan
dapat terjadi karena kurangnya pengendalian administrative dan software keamanan yang
tidak memadai.

Gambar 10-2 komponen sistem informasi dan tujuan audit yang berkaitan

Tujuan 1 :

Keaman keseluruhan

Tujuan 5 :

Data sumber

Data sumber

Entri data

Data
sumber
Tujuan 2 :

Pengembangan dan perolehan program

pemrosesan
program file

output
Tujuan 3 : tujuan 4 : tujuan 6 :

Modifikasi program pemrosesan computer file data

5. Pengendalian pengimbangan. Apabila pengendalian keamanan sangatlah tidak cukup,

amaka organisasi menghadapi risiko yang besar. Kebijakan personil yang baik dan
pemisahan tugas secara efektis atas pekerjaan yang tidak boleh disatukan, dalam
beberapa hal dapat mengimbangi keamanan computer yang kurang tersebut. Oleh karena
hampir tidak mungkin pengendalian –pengendalian ini dapat mengimbangi secara
keseluruhan keaman computer yang kurang baik, para auditor harus sangat
merekomendasikan agar kelemahan keamanan tersebut diperbaiki.

Tujuan 2 : pengembangan dan perolehan program

Table 10-2 memberikan kerangka untuk meninjau dan mengevaluasi proses pengembangan
program: ( 1 ) Kesalah yang tidak di sengaja karena adanya kesalapahaman atas spesifikasi
sistem

Table 10-1 kerangka untuk audit keamana computer

Jenis-jenis kesalahan dan penipuan  Meninjau kebijakan dan prosedur

 Pencurian atau kerusakan yang tidak
disengaja dan disengaja atas hardware
dan file
 Kehilangan atau pencurian atas atau
akses tidak sah ke program, file data dan
sumber daya sistem lainnya
 Kehilangan atau pencurian atas atau
pengungkapan secara tidak sah atas data
rahasia
 Modifikasi atau penggunaan secara tidak
sah program dan file data
 Interupsi atas kegiatan bisnis yang
penting
pembuatan cadangan dan pemulihan file
 Meninjau kebijakan dan prosedur
penyimpanan serta pengiriman data
 Meninjau prosedur yang diterapkan
untuk meminimalkan kegagalan waktu
sistem (system downtime)
 Meninjau kontrak pemeliharaan dengan
pemasok
 Memeriksa daftar akses sistem
 Memeriksa rencana pemulihan dari
bencana
 Memeriksa kebijakan asuransi apabila
terjadi bencana atas sistem informasi

Prosedur pengendalian Prosedur audit: uji pengendalian

 Rencana keamanan/perlindungan  Mengamati prosedur akses ke lokasi
informasi komputer
 Pembatasan atas akses secara fisik ke  Mengamati persiapan dan penyimpanan
perlengkapan komputer diluar lokasi kantor untuk file cadangan
 Pengendalian atas akses logika dengan  Meninjau catatan pemberian dan
perlindungan password dan prosedur modifikasi password
 konfirmasi lainnya  Menyelidiki bagaimana percobaan akses
 Pengendalian penyimpanan dan tidak sah ditangani
pengiriman data seperti enkripsi  Memverifikasi keluasan dan efektivitas
 Prosedur perlindungan dari virus penggunaan enkripsi data
 Prosedur pembuatan cadangan dan  Memverifikasi efektivitas penggunaan
pemulihan file pengendalian pengiriman data
 Desain sistem yang dapat mentoleransi  Memverifikasi penggunaan secara efektif
kegagalan firewall
 Rencana pemulihan dari bencana  Memverifikasi penggunaan secara efektif
 Pemeliharaan pencegahan prosedur perlindungan dari virus
 Menggunakan firewall  Memverifikasi penggunaan pemeliharaan
 Asuransi sistem informasi pencegahan serta sumber listrik yang
tidak terganggu
Prosedur audit: tinjauan atas sistem  Memverifikasi jumlah dan batasan
 Menginspeksi lokasi komputer jaminan asuransi
 Meninjau rencana  Memeriksa hasil uji simulasi rencana
keamanan/perlindungan informasi pemulihan dari bencana
 Wawancara dengan personil sistem
informasi mengenai prosedur keamanan Pengendalian pengimbang
 Meninjau dokumentasi tertulis mengenai  Kebijakan yang baik dalam hal
kebijakan dan prosedur akses secara fisik personalia
 Meninjau kebijakan dan prosedur akses  Pengguanaan pengendalian secara efektif
logika  Pemisahan pekerjaan yang tidak boleh
disatukan

Atau kecerobohan pemrograman, dan ( 2 ) perintah tidak sah yang dengan sengaja
dimasukkan kedalam program. Masalah-masalah ini dapat dikendalikan dengan cara meminta
otorisasi serta persetujuan dari pihak manajemen dan pemakai, pengujian keseluruhan, dan
dokumentasi yang memadai.

Peran auditor dalam pengembangan sistem harus dibatasi sampai pada peninjauan
independen atas kegiatan pengembangan sistem. Untuk mempertahankan objektivitas yang
dibutuhkan dalam melaksanakan evaluasi independen atas fungsi, para auditor harus tidak di
libatkan dalam pengembangan sistem. Selam peninjauan sistem, para auditor harus mendapat
pemahaman mengenai prosedur pengembangan dengan mendiskusikannya bersama pihak
manajemen, pemakai sistem, dan para personil sistem informasi. Mereka juga harus meninjau
kebijakan, prosedur, standar, dan dokumentasi yang tercantum pada Tabel 10-2.

Tabel 10-2

Kerangka untuk audit pengembangan program

 Jenis-jenis kesalahan dan penipuan  Tinjauan atas pengujian program dan
 Kesalahan pemrograman yang prosedur persetujuan pengujian
tidak di sengaja  Tinjauan atas prosedur untuk
 Kode program yang tidak sah memastikan seluruh software yang
Prosedur pengendalian diperoleh memiliki perjanjian lisensi
 Meninjau perjanjian lisensi hak cipta yang sesuai
software  Diskusikan prosedur pengembangna
 Otorisasi manajemen atas sistem dengan pihak manajemen,
pengembangan program dan pemakai sistem, dan personil sistem
persetujuan untuk spesifikasi informasi
pemrograman  Tinjauan dokumentasi sistem sistem
 Otorisasi dari pihak manajemen aplikasi akhir
untuk memperoleh software Prosedur audit : uju pengendalian
 Persetujuan pemakai atas  Wawancara dengan pemakai
spesifikasi pemrograman mengenai keterlibatan mereka dalam
 Pengujian keseluruhan atas perolehan / pengembangan serta
program yang baru implementasi sistem
 Pengujian penerimaan oleh  Tinjauan atas notulen rapat tim
pemakia pengembangan untuk mendapat
 Dokumentasi sistem, termasuk bukti keterlibatan
persetujuan yang lengkap  Memverifikasi poin-poin penting
Prosedur audit : tinjauan atas sistem penolakan manajemen dan pemakia
 Tinjauan independen dan dalam proses pengembangan
bersamaan atas proses  Tinjauan atas spesifikasi pengujian,
pengembangan sistem data uji, dan hasil pengujian sistem
 Tinjauan prosedur dan kebijakan  Tinjauan atas perjanjian lisensi
pengembangan / perolehan sistem software
 Tinjauan otorisasi sistem dan Pengendalian pengimbangan
prosedur persetujuannya  Pengendalian pemrosesan yang
 Tinjauan atas standar evaluasi kokoh
pemrograman  Pemrosesan secara independen data
 Tinjauan atas standar dokumentasi uji oleh auditor
program

Untuk menguji pengendalian pengembangan sistem, para auditor harus mewawancarai

para manajemen dan pemakai sistem, memeriksa persetujuan pengembangan, dan meninjau
notulen rapat tim pengembangan sistem. Para auditor harus meninjau secara keseluruhan semua
dokumentasi yang berhubungan dengan proses pengujian dan memastikan bahwa seluruh
perubahan program telah diuji. Auditor harus memeriksa spesifikasi uji, meninjau data uji, dan
mengevaluasi hasil pengujian. Apabila hasil pengujian tidak sesuai dengan harapan, maka
auditor harus memastikan bagaimana masalah tersebut diatasi. Pengendalian pemrosesan yang
kokoh ( lihat tujuan 4 ) kadangkala dapat mengimbangi pengendalian pengembangan yang
kurang baik. Apabila para auditor bergantumg pada pengendalian pengimbangan untuk
pemrosesan, mereka harus mendapatkan bukti yang mendukung ketaatan terhadap sistem,
dengan menggunakan berbagai teknik, seperti pengujian data pemrosesan independen. Apabila
bukti sejenis ini tidak bisa di dapatkan, mereka dapat menyimpulkan bahwa terdapat kelemahan
yang material dalam pengendalian internal, dan bahwa risiko kesalahan atau penipuan dalam
program aplikasi terlalu tinggi hingga tidak dapat diterima.

Tujuan 3 : modifikasi program

Table 10-3 menyajikan kerangka untuk melakukan audit program aplikasi dan perubahan
software sistem. Kesalahan dan penipuan yang terjadi dalam pengembangan program dapat juga
terjadi selam modifikasi program. Contohnya, salah seorang programmer ditugaskan untuk
memodifikasi sistem pengajian perusahaannya, menyisipkan sebuah perintah untuk menghapus
seluruh file computer apabila perintah pemberhentian dimasukan kedalam catatan pengajian
dirinya. Ketika programmer tersebut dipecat, perintah pemberhentian yang dimasukkan kedalam
catatannya telah menyebabkan sistem tersebut tertabrakan dan menghapus file-file utama.

Ketika sebuah perubahan program diserahkan untuk persetujuan, sebuah daftar hal-hal
yang akan diperbarui harus di susun dan kemudian disetujui oleh pihak manajemen dan pemakia
program. Semua perubahan program harus di uji secara keseluruhan dan didokumentasikan.
Selama proses perubahan, versi pengembangan program harus tepat dipisahkan dari versi
produksi program. Setelah program yang dirubah telah mendapatklan persetujuan akhir,
perubanha tersebut diimplementasikan dengan cara menganti versi produksi dengan versi
pengembangan.

Selam tinjaun sistem, auditor harus mendapatkan pemahaman atas proses perubahan
melalui diskusi dengan manajemen dan personil yang mengunkan program tersebut. Kebujakan,
prosedur dan standar untuk memberikan persetujuan, modifikasi, pengujian, dan dokumentasi
perubahan harus di periksa. Bahan dokumentasi akhir yang lengkap untuk perubahan program
yang terbaru, termasuk prosedur dan hasil uji, harus ditinjau. Terakhir, auditor harus meninjau
prosedur yang digunakan untuk membatasi akses logika ke versi pengembangan program
tersebut.

Bagian yang penting dari uji pengendalian yang dilaksanakan seorang auditor adalah
memverifikasi bahwa perubahan program telah diidentifikasi, didaftar, disetujui, diuji, dan
didokumentasikan.langkah ini mensyaratkan auditor untuk mengamati bagaimana perubahan
diimplementasikan untuk memverifikasi bahwa program pengembangan dan

Table 10-3

Kerangka untuk audit modifikasi program

 Jenis-jenis kesalahan dan penipuan  Tunjau dokumen akhir untuk
 Kesalahan pemrograman yang tidak beberapa modifikaso program tipikal
di sengaja  Tihjau spesifikasi uji, data uji, dan
 Kode program yang tidak sah hasil dari pengujian sistem
Prosedur pengendalian  Tinjau kebijakan dan prosedur
 Daftar berbagai komponen program pengendalian akses logika
yang akan dimodifikasi Prosedur audit : uji pengendalian
 Otorisasi dan persetujuan pihak  Verifikasi pemakai dan persetujuan
manajemen atas modifikasi program manajemen sistem informasi atas
 Persetujuan pemakai atas perubahan perubahan program
spesifikasi program  Verifikasi bahwa komponen-
 Pengujian keseluruhan atas komponen yang dimodifikasi telah
perubahan program, termasuk uji diidentifikasi dan didaftar
penerimaan pemakai  Verifikasi bahwa prosedur uji
 Dokumentasi perubahan program perubahan perubahan program sesuai
yang lengkap, termasuk perihal dengan standar
persetujuan  Verifikasi bahwa dokumentasi
 Pengembangan, uji dan versi perubahan program sesuai dengan
produksi program yang terpisah standar
 Perubahan yang diimplementasikan  Verifikasi bahwa pengendalian akses
oleh yang pegawai independen serta logika berfungsi dalam perubahan
programmer program
 Pengendalian akses logika  Amati impelementasi perubahan
Prosedur audit : tinjaun atas sistem program dan verifikasi bahwa ( 1 )
 Tinjaua kebijakan, standar, dan pengembangan, uji, dan versi
prosedur modifikasi program produksi yang terpisah dibuat, dan (
 Tinjaun standar dokumentasi untuk 2 ) perubahan tidak
modifikasi program diimplementasikan baik oleh
 Tnjaua pengujian modifikasi pemakai maupun personil
program serta uji prosedur programmer
pemberian persetujuan  Untuk menguji perubahan yang tidak
 Diskusikan kebijakan dan prosedur sah atau yang salah, gunakan ( 1 )
modifikasi program dengan pihak program perbandingan kode sumber,
manajemen, pemakia,sistem, dan ( 2 ) pemrosesan ulang, dan ( 3 )
personil sistem informasi simulasi paraler
Pengendalian pengimbangan
 Uji audit independen untuk
perubahan program yang tidak sah
atau yang salah
 Pengendalian pemrosesan yang
bagus

Produksi yang terpisah tetap dilaksanakan, dan bahwa perubahan tersebut

diimplementasikan oleh seseorang yang independen dari pemakai dan fungsi pemrograman.
Auditor harus meninjau table pengendalian akses program pengembangan untuk memverifikasi
bahwa hanya pemakai yang ditugaskan untuk melaksanakan modifikasi, yang memiliki akses
kesistem.

Untuk menguji keberadaan perubahan program secara tidak sa, para auditor dapat
menggunakan program perbandingan kode. Setelah auditor menguji sebuah program yang baru
dikembangkan secara menyeluruh ( tujuan 2 ), mereka menyimpan sebuah salinan dari kode
sumbernya. Di kemudian hari, auditor dapat menggunakan program perbandingan untuk
membandingkan versi terakhir program dengan kode sumber lainnya.Apabila tidak ada
perubahan yang diotorisasi, kedua versi ini seharusnya identic. Oleh sebab itu, perbedaan yang
tidak sah akan berlanjut ke penyelidikan. Apabila perbedaan tersebut menyajikan perubahan
yang teotorisasi, auditor dapat merujuk pada spesifikasi perubahan program untuk memastikan
bahwa perubahan tersebut terotorisasi dan dengan tepat digabungkan.

Terdapat dua teknik tambahan untuk mendeteksi perubahan yang tidak sah. Teknik
pemrosesan ulang juga menggunakan salinan kode sumber yang telah diferevekasi. Tanpa
pemberitahuan sebelumnya, auditor mengunakan program ini untuk memproses ulang data dan
membandingkan outputnya dengan data perusahaan. Penyimpangan dari kedua pasang output
tersebut akan diselidiki untuk memastikan penyebabnya. Simulasi parallel hampir sama dengan
teknik pemrosesan ulang, kecuali bahwa auditorlah yang menulis program, bukan menggunakan
salinan kode sumber yang telah diverifikasi dan di simpan. Hasil dari simulasi auditor akan di
bandingkan dengan hasil milik perusahaan, dan perbedaan apapun akan diselidiki. Simulasi
parallel dapat digunakan untuk menguji sebuah program selama proses implementasi.
Contohnya, Jason menggunakan teknik untuk untuk menguji beberapa bagian dari sistem
penggajian baru SPP.

Para auditor harus mengamati pengujian dan implementasi, meninjau otoritas dan
dokumen yang terkait, dan jika perlu, melaksanakan pengujian independen untuk setiap
perubahan program yang besar. Apabila langkah ini dilewati dan pengendalian program
kemudian ditemukan tidak memadai, maka tidak mungkin mengandalkan output program.
Sebagai tambahan, para auditor harus selalu menguji program tanpa pemberitahuan sebelumnya,
sebagai tindakan pencegahan atas perubahan program secara tidak sah, yang disusupkan setelah
pemeriksaan selesai dan kemudian disingkirkan tepat sebelum jadwal audit berikutnya.

Apabila pengendalian internal atas perubahan program kurang baik, maka pengendalian
pengimbangan seperti perbandingan kode sumber, keberadaan pengendalian pemrosesan yang
baik, pengujian secara independen oleh auditor, dalam beberapa hal dapat mengimbangi
kelemahan tersebut. Akan tetapi, jika kelemahan tersebut disebabkan karena pembatasan atas
akses file program yang tidak memadai, auditor harus sangat merekomendasikan tindakan untuk
memperkuat pengendalian akses logika do organisasi tersebut.
Tujuan 4 : pemrosesan computer

Table 10-4 memberikan kerangka untuk melakukan audit pengendalian pemrosesan

computer. Fokus tujuan keempat adalah pemrosesan transaksi, file, dan catatan computer untuk
memperbarui file serta database, dan yang digunakan untuk menghasilkan laporan.

Dalam pemrosesan computer, sistem dapat saja gagal mendeteksi input yang salah,
memperbaiki kesalahan input secara tidak tepat, memroses input yang salah, atau menyebarkan
atau mengungkap aoutput secara tidak benar. Tabel 10-4 memperlihatkan prosedur pengendalian
untuk mendeteksi dan mencegah kesalahakesalahan ini, meninjau sistem dan uji prosedur
pengendalian yang dapat di terapkan auditor. Tujuan dari prosedur audit ini adalah untuk
mendapatkan pemahaman atas pengendalian, mengevaluasi kecukupannya, dan mengamati
jalannya sebagai bukti bahwa pengendalian memang digunakan .

Para auditor harus secara peroide mengevaluasi kembali pengendalian pemrosesan untuk
memsatikan kelangsungan keandalannya. Apabila pengendalian pemrosesan tidak memusakan,
pengendalian pemakia dan data sumber cukup kuat untuk mengimbangi kelemahan tersebut.
Apabila tidak, maka terdapat kelemahan yang material sehingga tindakan harus diambil untuk
menghilangkan kelemahan pengendalian tersebut.

Beberapa teknik khusus memungkinkan auditor untuk mengunakan computer dalam

menguji pengendalian pemrosesan. Teknik-teknik tersebut mencakup pemrosesan data uji,
menggunakan teknik audit bersamaan, dan menganalisis logika program. Setiap teknik tersebut
memiliki kelebihan dan kelemahan masing-masing, yang berarti bahwa mereka mungkun tetapt
di suatu situasi tetapi kurang tepat disituasi lainnya. Tidak ada satupun teknik yang cocok untuk
semua keadaan. Para auditor seharusnya tidak mengungkapkan teknik apa yng mereka gunakan,
karena hal ini dapat mengurangi efektifitas pengujian audit. Setiap prosedur mereka kini akan
dijelaskan di bagian selanjutnya.

Memproses data uji

Salah satu cara untuk menguji program adalah dengan menproses serangkaian perkiraan (
hypothetical ) transaksi valid dan tidak valid. Program tersebut harus memproses seluruh
transaksi yang valid dengan benar dan mengidentifikasi serta menolak transaksi yang tidak valid.
Seluruh jalur logika harus di periksa apakah berfungsi dengan baik atau tidak, melalui satu atau
lebih uji transaksi. Contoh-contoh data ynag valid adalah catatan dengan data yang hilang, field
yang berisi jumlah yang tidak wajar banyaknya, nomor rekening atau kode pemrosesan yang
salah, data non-numerik dalam field numeric, serta catatan yang tidak berurutan.

Sumber-sumber berikut ini dapat membantu untuk mempersiapkan data uji :

 Data transaksi yang sebenarnya

 Transaksi uji yang digunakan programmer untuk menguji program tersebut
  Program pembuatan data uji ( test data generator program ), yang secara otomatis
mempersiapkan data uji berdasarkan spesifikasi program

Di dalam sistem pemrosesan secara batch, program perusahaan dan salinan dari file yang
terkait digunakan untuk meproses data uji. Hasilnya kan dibandingkan dengan output yang telah
diperkirakan sebelumnya; penyimpangan menunjukan kesalahan pemrosesan atau kurangnya
pengendalian dan harus selidiki secara keseluruhan.

Di dalam sistem on-line, para auditor memasuki dat uji dengan menggunakan alat untuk
memasukan data, seperti pc atau terminal, dan mengamati serta mendaftar respon sistem.
Apabila sistem menerima transaksi yang salah atau tidak valid, auditor akan menelusuri kembali
pengaruh transaksi tersebut, menyelidiki masalahnya, dan memperbaiki kelemahannya.

Tabel 10-4

Kerangka untuk melakukan audit pengendalian pemrosesan computer

Jenis-jenis kesalahan dan penipuan  Mengamati operasional computer

 Kegagalan untuk mendeteksi input dan fungsi pengendalian data
data yang salah, tidak lengkap, atau  Mendiskusikan pengendalian
tidak sah pemrosesan dan output dengan
 Kegagalan untuk memperbaiki para operatol dan personil tingkat
kesalahan yang ditandai oleh prosedur supervisor sistem informasi
edit data dengan tepat Prosedur audit : uji pengendalian
 Masuknya kesalahan pada file atau  Mengevaluasi kecukupan standard
database selama pembaharuan an prosedur pengendalian
 Penyebaran atau pengungkapan yang pemrosesan
tidak semestinya atas output computer  Mengevaluasi kecukupan dan
 Ketidak tepatan laporan yang di kelengkapan pengendalian edit
sengaja atau tidak disengaja data
Prosedur pengendalian  Memverifikasi kepatuhan pada
 Rutinitas data edit computer prosedur pengendalian pemrosesan
 Penggunaan dengan benar label file dengan cara mengamati
eksternal dan internal operasional computer dan fungsi
 Rekonsiliasi jumlah total batch pengendalian data
 Prosedur perbaikan kesalahan yang  Memverifikasi bahwa output
efektif sistem aplikasi yang dipilih telah
 Dokumentasi dan serangkaian buku distribusi dengan benar
petunjuk operasional yang mudah  Merekonsiliasi sampel jumlah total
dipahami batch, dan menindak lanjuti
 Supervise atas yang kompeten penyimpangan
operasional computer  Menelusuri pengaturan sampel
 Penanganan yang efektif atas input and kesalahan yang ditandai oleh
output data oleh personil pengendalian rutinitas edit data untuk
data memastikan adanya penanganan
  Daftar dan ringkasan perubahan file yang tepat
yang disiapkan untuk tinjauan atas  Memverifikasi akurasi pemrosesan
departemen pemakai untuk sebuah sampel transaksi
 Pemeliharaan kondisi lingkungan yang yang sensitive
sesuai dalam fasilitas computer  Memverifikasi akurasi transaksi
Prosedur audit : tinjauan sistem pilihan yang dihasilkan oleh
 Meninjau dokumntasi administratif computer
untuk standar pengendalian  Mencari kode yang salah atau tidak
pemrosesan sah melalui analisis atas logika
 Meninjau dokumtasi sistem untuk program
pengendalian atas editing data serta  Memeriksa akurasi dan
pengendalian pemrosesan lainnya kelengkapan pengendalian
 Meninjau dokumentasi operasional pemrosesan dengan menggunakan
untuk kelengkapan dan kejelasan data uji
 Meninjau salinan daftar kesalahan,  Mengawasi sistem pemrosesan on-
laporan jumlah total batch, dan daftar line dengan menggunakan teknik
perubahan file audit bersamaan
 Membuat kembali laporan yang
dipilih untuk menguji akurasi dan
kelengkapannya
Pengendalian keimbangan
 Pengendalian yang kokoh terhadap
pemakai
 Pengendalian data sumber yang
efektif

Walaupun pemrosesan transaksi uji biasanya efektif, teknik tersebut memiliki beberapa
kelemahan :

1. Auditor harus menghabiskan banyak waktu untuk mengembangkan pemahaman atas

sistem yang di periksanya dan mempersiapkan serangkaian transaksi uji yang memadai.
2. Perhatian harus diberikan untuk memastikan bahwa data uji tidak mempengaruhi file dan
database perusahaan. Auditor dapat menelusuri kembali ( reserve ) pengaruh transaksi uji
atau memproses transaksi tersebut dalam proses terpisah akan menghilangkan beberapa
keotentika yang didapat dari proses data uji, dengan transaksi rutin. Selain itu, prosedur
penelusuran kembali ( reversal procedures ) juga dapat mengungkapkan keberadaan dan
sifat dari uji yang dilaksanakan auditor pada personil uatam, sehingga menjadi kurang
efektif disbanding uji yang tersembunyi.

Teknik audit bersamaan

Jutaan dolar transaksi dapat di proses oleh sistem on-line tanpa meninggalkan jejak audit
yang memuaskan. Dalam kasus semacam ini, bukti dikumpulkan setelah pemrosesan data
dianggap tidak cukup untuk tujuan audit. Sebagai tambahan, oleh karena banyak sistem on-line
memproses transaksi secara terus-menerus, merupakan hal yang sulit atau tidak mungkin untuk
menghentikan sistem tersebut dan melaksanakan pengujian audit. Jadi, auditor menggunakan
teknik audit bersamaan untuk secara terus-menerus mengawasi sistem dan mengumpulkan bukti
sudit sementara data langsung di proses selama jam kerja normal. Teknik audit bersamaan
mengunakan modul audit melekat ( embedded audit module ), yaitu bagian-bagian dari kode
program yang melaksanakan fungsi audit. Mereka juga melaporkan hasil pengujian ke auditor
dan menyimpan bukti yang dikumpulkan untuk ditinjau oleh auditor. Teknik audit bersamaan
sangat memakan waktu dan sulit digunakan, tetapi tidak akan terlalu sulit dilaksanakan apabila
digabungkan ketika program sedang dikembangkan.

Para auditor umumnya menggunakan lima teknik audit bersamaan. Integrated test facility
( ITF ) adalah teknik yang menepatkan serangkaian kecil catatan fiktif di file utama. Catatan
tersebut dapat saja mewakili bagian, departemen, atau kantor cabang, pelanggan, atau pemasok
fiktif. Pemrosesan transaksi uji yang memperbarui catatan fiktif ini tidak akan mempengaruhi
catatan asli. Oleh karena catatan fiktif dan yang sesungguhnya diproses bersama-sama, para
pegawai perusahaan biasanya tetap tidak menyadari bahwa pengujian tersebut berjalan. Sistem
tersebut harus membedakan catatan ITF dari catatan yang sesunggunya, mengumpulkan
informasi atas dampak transaksi uji, serta melaporkan hasilnya. Auditor akan membandingkan
pemrosesan dengan hasil yang diharapkan, untuk memverifikasi bahwa sistem tersebut beserta
pengendaliannya beroperasi dengan benar.

Dalam pemrosesan secara batch, teknik ITF meniadakan kebutuhan untuk melakukan
penelusuran transaksi uji dan dengan mudah di sembunyikan dari para pegawai yang
mengoperasikan sistem tersebut. ITF sangat sesuai untuk menguji sistem pemrosesan on-line,
karena transaksi uji dapat dilakukan seesring mungkin, diproses bersama dengan transaksi yang
sesungguhnya, dan ditelusurih melaui seluruh tahap pemrosesan. Semua ini dapat dicapai tanpa
menggangu operasinal pemrosesan yang normal; akan tetapi, perhatian harus diberikan untuk
tidak menggabungkan catatan fiktif dengan yang sesungguhnya selam proses pelaporan.

Teknik snapshot memeriksa cara transaksi diproses. Transaksi yang dipilih ditandai
dengan kode khusus yang akan memicu proses snapshot. Modul-modul audit dalam program
terkait mencatat transaksi-transaksi ini beserta dengan catatan file utamanya, sebelum dan
sesudah pemrosesan. Data snapshot dicatat dalam file khusus dan ditinjau oleh auditor untuk
memverifikasi bahwa seluruh langkah pemrosesan telah dengan benar dilaksanakan.

System control audit review file (SCARF) menggunakan modul audit melekat untuk
secara terus menerus mengawasi kegiatan transaksi dan mengumpulkan data atas transaksi yang
menjadi tujuan audit. Data tersebut dicatat dalam file SCARF atau daftar audit (audit log).
Transaksi-transaksi yang dicatat dalam file daftar audit adalah yang melebihi batas nilai uang
yang telah ditentukan, atau yang berisi penurunan aset. Secara periodik, auditor akan menerima
cetakan file SCARF, memeriksa informasi tersebut untuk mengidentifikasi transaksi yang
meragukan, dan melaksanakan penyelidikan yang dibutuhkan.,
 Audit hooks adalah kegiatan audit yang memberikan tanda atas transaksi yang
mencurigakan. Contohnya, para auditor internal di state farm life insurance menyatakan bahwa
sistem pemegang asuransi mereka sangat rentan terhadap penipuan setiap kali seorang pemegang
asuransi mengganti nama atau alamatnya, dan kemudian menarik dana dari asuransi tersebut.
Pegawai asuransi membuat sebuah sistem audit hooks untuk mengikuti catatan yang memiliki
perubahan nama atau alamat. Departemen audit internal perusahaan tersebut kini akan
diperingatkan apabila catatan yang diikuti tersebut berhubungan dengan penarikan dan dapat
menyelidiki apakah transaksi tersebut merupakan penipuan. Ketika audit hooks digunakan,
auditor dapat diinformasikan mengenai transaksi yang mencurigakan begitu transaksi tersebut
terjadi. Pendekatan ini, disebut sebagai peringatan real-time (real-time notification), yang
menunjukkan sebuah pesan diterminal auditor. Informasi tambahan mengenai penggunaan audit
hooks distate farm, termasuk bagaimana sebuah penipuan besar dideteksi, dijelaskan dalam
fokus 10-1.

Continuous and intermittent simulation ( CIS ) melekatkan modul audit dalam sistem
manajemen database. Modul CIS memeriksa seluruh transaksi yang memperbarui DBMS dengan
menggunakan riteria yang hampir sama dengan SCARF. Apabila sebuah transaksi memiliki nilai
unit diaudit, modul tersebut akan secara independen memproses data ( dalam cara yang hampir
sama dengan simulasi pararel ), mencatat hasil-hasilnya, dan membandingkan hasilnya dengan
yang di dapat dari DBMS. Apabila terjadi penyimpangan, rincian penyimpangan tersebut akan
ditulis dalam daftar audit untuk penyelidikan selanjutnya. Apabila ditemukan penyimpangan
yang serius, CIS akan mencegah DBMS melaksanakan proses pembaruan data.

Analisis logika program

Apabila seorang auditor mencurigai bahwa sebuah program aplikasi berisi kode yang

Focus 10-1 Para auditor kini memiliki 33 audit hooks

Menggunakan audit hooks di state farm life
Sistem computer di state farm life insurance
company memiliki sebuah computer induk
di Bloomington,Illinois, dan 26
komputeryang lebih kecil dikantor
wilayahnya. Di berbagai kntor wilayahnya,
lebih dari 1.500 treminal dan pc dipakai
untuk memperbarui hampir 4 juta catatan
pemegang asuransi di computer induk.
Sistem tersebut memproses lebih dari 30 juta
transaksi per tahun. Sistem tersebut
menelusuri dana pemegang asuransi yang
bernilai lebih dari $6,7 miliar.
Sistem on-line real-time ini memperbaruifile
melekat yang mengawasi 92 jenis transaksi.
Salah satu audit hooks mengawasi transaksi
tidak normal dalam rekening transfer, yang
akan melakukan kliring atas dana yang
sementara ditahan untuk kreditkan ke
beberapa rekening.
Audit hooks tersebut berfungsi dengan
sangat baik. Salah seorang pegawai
mendapatkan uang dengan memproses
sebuah pinjaman atas polis asuransi saudara
laki-lakinya secara tidak sah. Dia kemudian
memalsukan tanda tangan saudara laki-
lakinya dan menguangkan cek tersebut.
Untuk menutupi penipuan tersebut, dia harus
 dan database begitu transaksi terjadi, jejak
audit berupa kertas berkurang, dan dokumen
pendukung untuk perubahan atas catatan
pemegang asuransi telah ditiadakan atau
hanya dipertahankan sementara sebeluk di
proses.
Siapapun yang memiliki akses dan
pengetahuan aplikatif atas sistem tersebut,
dapat berpotensi melakukan penipuan.
Pegawai internal audit memiliki tantangan
untuk mengidentifikasi transaksi asuransi
jiwa yang memungkinkan terjadinya
ppenipuan. Untuk melakukan tugas ini, para
auditor internal membahas berbagai cara
untuk menipu sistem tersebut dan
mewawancarai berbagai pemakai sistem
yang dapat memberikan pandangan yang
sangat berharga
membayar kembali pinjaman tersebut
sebelum laporan status tahunan dikirim ke
saudara laki-lakinya. Untuk melakukan hal
tersebut, dia mengunakan serangkaian
transaksi fiktif yang melibatkan sebuah
rekening transfer. Penipuan tersebut
terungkap segera ketika audit hooks
rekening transfer tersebut mengenali
transaksi fiktif pertama dan memperingatkan
auditor.
Dalam waktu sebulan setelah peringatan
tersebut, kasus tersebut diselidiki dan
pegawai tersebut diberhentikan.
Sumber : linda marie leinicki, W.Max
rexroad, dan john D. Ward, “computer fraud
auditing : it works,” internal auditor (
agustus 1990 ).

Tidak sah atau kesalahan serius, maka analisis yang rinci atas logika program mungkin
diperlukan. Proses ini sangat memakan waktu dan membutuhkan keahlian dalam hal bahasa
pemograman, sehingga langkah ini harus digunakan sebagai pilihan terakhir. Untuk
melaksanakan analisis tersebut, auditor merujuk pada bagian alir sistem dan program,
dokumentasi program, dan daftar kode sumber program. Software berikut dapat dipaki untuk
membantu analisis ini :

 Automated flowcharting program, yang menerjemahkan kode sumber program dan

membuat bagian alir program berdasarkan kode tersebut.
 Automated decision table program, yang membuat sebuah table keputusan yang mewakili
logika program.
 Scanning routine, yang memeriksa suatu programatas terjadinya nama variable tertentu
atau kombinasi karakter lainnya.
 Mapping program, yang mengidentifikasi kode program yang belum berfungsi. Software
ini mengungkapkan kode program yang dimasukkan oleh programmer yang tidak
bertanggung jawab untuk menghapus seluruh file computer ketika dirinnya
diberhentikan, seperti yang dicontohkan pada bagian sebelumnya.
 Program tracing, yang secara berurutan mencetak seluruh langkah program aplikasi (
berdasar nomor baris atau nama paragraph ) yang dijalankan selama operasional program.
Daftar ini bercampur dengan output yang normal sehingga auditor dapat mengamati
urutan yang tepat atas suatu kegiatan yang tampak selama pengoperasian program.
Penelusuran program membatu auditor untuk mendeteksi perintah program yang tidak
sah, alur logika yang salah, dank ode program yang belum berfyngsi.
Tujuan 5 : data sumber

Table 10-5 memperlihatkan pengendalian internal yang mencegah, mendeteksi, dan

memperbaiki data sumber yang salah atau tidak akurat. Tabel tersebut juga memperlihatkan
tinjauan sistem dan prosedur uji pengendalian yang dapat digunakan auditor untuk melakukan
evaluasi. Dalam sistem on-line, entri dan fungsi pemrosesan data sumber merupakan satu
kesatuan operasi. Oleh sebab itu, pengendalian dat sumber seperti otorisasi yang memadai dan
edit input data, diintegrasikan dengan pengendalian pemrosesan.

Para auditor menggunakan matriks pengendalian input, seperti yang ditunjukkan dalam
Gambar 10-3, untuk mendokumentasikan tinjaun atas pengendalian data sumber. Matriks
tersebut memperlihatkan prosedur pengendalian yang diterpkan ke setiap field dalam catatan
input.

Para auditor harus memastikan bahwa fungsi pengendalian data independen dari fungsi
lainnya, memelihara daftar pengendalian data, menangani kesalahn dan memastikan efesiensi
umum operasinya. Biasanya tidak layak secara ekonomi bagi perusahaan kecil dan istalasi pc
untuk memiliki fungsi pengendalian data yang independen. Untuk mengimbanginya,
pengendalian departemen pemakia harus lebih kuat dalam hal persiapan data, pengendalian
jumlah total batch, program edit, pembatasan atas akses secra fisik dan logika kesistem, dan
prosedur penanganan kesalahan. Prosedur-prosedur ini harus menjadi focus tinjauan sistem dan
uji pengendalian auditor, ketika tidak didapati adanya fungsi pengendalian data yang
independen.

Walaupun pengendalian data sumber bisa saja tidak sering beruba, batasan penerannya
berubah-ubah. Oleh sebab itu, auditor harus mengujinnya secara teratur. Auditor harus menguji
sistem dengan cara mengevaluasi beberapa sampel data sumber untuk melihat ada tidaknya
otoritas yang memadai. Sebuah sampel pengendalian batch harus direkonsiliasi. Sebuah sampel
kesalahan edit dat harus dievaluasi untuk m,emeriksa bahwa kesalahan tersebut telah
diselesaikan dan diserahkan dikembalikan kedalam sistem.

Apabila data sumber tidak memadai, pengendalian departemen pemakai dan pemrosesan
computer dapat menjadi pengimbang. Apabila tidak, maka auditor harus sangat
merekomendasikan langkah-langkah untuk memperbaiki kelemahan pengendalian data sumber.

Table 10-5

Kerangka untuk audit pengendalian dat sumber

Jenis-jenis kesalahn dan penipuan  Meninjau dokumentasi sistem akuntansi

 Data sumber yang tidak akurat untuk mengidentifikasi isi data sumber
 Dat sumber yang tidak sah dan langkah pemrosesan serta
Prosedur pengendalian pengendalian data sumber tertentu yang
 Penanganan input data sumber secara digunakan
 efektif oleh persinil pengendalian  Mendokumentasikan pengendalian data
 Otorisasi pemakia atas input data sumber akuntansi dengan menggunakan
sumber sebuah matriks pengendalian input
 Persiapan dan rekonsiliasi  Mendiskusikan prosedur pengendalian
pengendalian jumlah total batch sumber data dengan personil
 Mendaftar pemerimaan, pengendalian data, dan juga dengan para
perpindahan, dan pemrosesan input pemakai serta manajer sistem terkait
data sumber
 Verifikasi pemeriksaan digit ( checkProsedur Audit: Uji Pengendalian
digit verification )  Mengamati dan mengevaluasi jalannya
 Verifikasi kunci ( key verification ) departemen pengendalian data dan
 Penggunaan dokumen yang dapat prosedur pengendalian data tertentu
dikirim kembali  Memverifikasi adanya pemeliharaan dan
 Rutinitas edit data computer penggunaan daftar pengendalian data
 Pencatatan dan ringkasan perubahan secara tepat
file dipersiapkan untuk tinjauan  Mengevaluasi bagaimana hal-hal yang
departemen pemakai tercatat dalam daftar kesalahan ditangani
 Prosedur yang efektif 
untuk Memeriksa beberapa sampel data sumber
perbaikan dan penyerahan kembali akuntansi dalam hal keberadaan otorisasi
data yang sah yang memadai
 Merekonsiliasi sebuah sampel jumlah
Prosedur Audit: Tinjauan Sistem total batch dan menindak lanjuti
 Meninjau dokumentasi atas penyimpangan
tanggung jawab fungsi pengendalian  Menelusuri pemrosesan sebuah sampel
data kesalahan yang ditandai oleh rutinitas
 Meninjau dokumentasi edit data
administrative atas standar
pengendalian data sumber Pengendalian Pengimbang
 Meninjau metode otorisasi dan  Pengendalian yang kokoh terhadap
memeriksa tanda tangan otorisasi pemakai
 Pengendalaian pemrosesan yang kokoh

Tujuan 6 : File Data

Tujuan keenam meliputi akurasi, integritas, dan keamanan data yang disimpan dalam file yang
dapat dibaca oleh mesin. Risiko penyimpangan data mencakup modifikasi tidak sah,
penghancuran, atau pengungkapan data. Banyak dari pengendalian yang didiskusikan dalam bab
8 digunakan untuk melindungi sistem dari risiko-risiko ini. Apabila pengendalian file sangat
lemah, terutama dalam kaitannya dengan akses fisik atau logika atau dengan prosedur salinan
cadangan dan pemulihan file, maka auditor harus sangat merekomendasikan perbaikan atas
kelemahan-kelemahan tersebut. Table 10-6 meringkas kesalahan, pengendalian, dan prosedur
audit untuk tujuan ini.
 Pendekatan audit berdasarkan tujuan (auditing-by-objective approach) merupakan alat
yang komprehensif, sistematis dan efektif untuk mengevaluasi pengendalian internal di dalam
sebuah SIA. Hal ini dapat diimplementasikan dengan menggunakan daftar prosedur audit untuk
setiap tujuan. Daftar tersebut harus membantu auditor untuk membuat kesimpulan terpisah bagi
setiap tujuan, dan menyarankan pengendalian pengimbangnya ketika sebuah tujuan tidak dapat
dicapai secara penuh. Versi terpisah dari daftar tersebut harus dilengkapi untuk setiap aplikasi
yang signifikan.

Table 10-6

Kerangka untuk Audit Pengendalian File Data

Kerangka kesalahan dan penipuan  Pemulihan sistem, termasuk

 Penghancuran atas data yang disimpan prosedur daftar hal-hal yang perlu
akibat kesalahan yang tidak disengaja, diperiksa dan pelacakan
kegagalan fungsi hardware atau software,  Meninjau dokumentasi sistem untuk
dan tindakan sengaja untuk melakukan memeriksa prosedur yang seharusnya
sabotase atau vandalism untuk
 Modifikasi atau pengungkapan yang  Penggunaan pengendalian
tidak sah atas data yang disimpan pembaruan bersamaan dan enkripsi
Prosedur Pengendalian data
 Perpustakaan file yang aman serta  Pengendalian konversi file
pembatasan atas akses secara fisik ke file  Rekonsiliasi jumlah total file utama
data dengan jumlah total pengendalian
 Pengendalian akses secara logika dengan yang independen
menggunakan password dan matriks  Memeriksa rencana pemulihan dari
pengendalian akses bencana
 Penggunaan yang sesuai atas label file  Mendiskusikan prosedur pengendalian
dan mekanisme write-protection file data dengan para manajer dan
 Pengendalian pembaruan bersamaan operator sistem
 Penggunaan enkripsi data untuk data
yang sangat rahasia Prosedur Audit : Uji Pengendalian
 Penggunaan software perlindungan virus  Mengamati dan mengevaluasi
 Pemeliharaan salinan cadangan atas operasional perpustakaan file
seluruh file data dilokasi luar kantor  Meninjau catatan pemberian dan
 Penggunaan daftar hal-hal yang perlu modifikasi password
diperiksa (chehckpoint) dan pelacakan  Mengamati dan mengevaluasi prosedur
(rollback) untuk memfasilitasi pemulihan penanganan file bersama personil
sistem operasional
 Mengamati persiapan dan penyimpangan
Prosedur Audit : Tinjuan Sistem di luar lokasi kantor dari file cadangan
 Meninjau dokumentasi atas fungsi-fungsi  Memverifikasi penggunaan secara efektif
operasional perpustakaan file prosedur perlindungan dari virus
 Meninjau kebijakan dan prosedur akses  Memverifikasi penggunaan pengendalian
logika pembaruan bersamaan dan enkripsi data
  Meninjau dokumentasi operasional untuk  Memverifikasi kelengkapan, keadaan
menetapkan standar yang seharusnya saat ini, dan pengujian rencana
untuk pemulihan dari bencana
 Penggunaan label file dan  Merekonsiliasi jumlah total file utama
mekanisme write-protected dengan jumlah total pengendalian yang
 Penggunaan software perlindungan diproses secara terpisah
virus  Mengamati prosedur yang digunakan
 Penggunaan penyimpangan data untuk pengendalian konversi file
cadangan
Pengendalian Pengimbang
 Pengendalian pemakai yang kokoh
 Pengendalian keamanan komputer secara
efektif
 Pengendalian pemrosesan yang kokoh

Para auditor harus meninjau desain sistem ketika masih terdapat waktu untuk
mengimplementasikan saran-saran mereka atas pengendalian dan fitur audit. Teknik-teknik
seperti ITF, snapshot, SCARF, audit hooks dan peringatan secara reall-time harus digabungkan
kedalam sebuah sistem selama masa proses desain, bukan sesudahnya. Dengan pemikiran yang
hampir sama, kebanyakan teknik pengendalian aplikasi lebih mudah untuk didesain masuk
kedalam sistem daripada ditambahkan kemudian setelah sistem tersebut dikembangkan.

SOFTWARE KOMPUTER

Beberapa program komputer, yang disebut computer audit software (CAS) atau generalized audit
software (GAS) telah dibuat secara khusus untuk auditor. Program tersebut tersedia di pemasok
software dan kantor akuntan publik besar. Pada dasarnya, CAS adalah program komputer yang,
berdasarkan spesifikasi dari auditor, menghasilkan program yang melaksanakan fungsi-fungsi
audit. CAS idealnya sesuai untuk pemeriksaan file data yang besar, untuk mengidentifikasi
catatan-catatan yang membutuhkan pemeriksaan audit lebih lanjut. Contohnya, focus 10-2
menggambarkan bagaimana pemerintah Amerika Serikat menggunakan CAS untuk memerangi
defisit anggaran negara. Table 10-7 berisi sebuah daftar fungsi-fungsi CAS dengan satu atau
lebih contoh audit untuk setiap fingsi tersebut.

Fokus 10-2
Memerangi Defisit Anggaran Negara dengan software Audit
Pemerintah Amerika Serikat menemukan veteran mengurangi penghasilan mereka
bahwa software audit computer adalah alat dilaporan, bahkan salah seorang dari mereka
yang berharga dalam usaha mereka untuk tidak melaporkan penghasilannya sejumlah
mengurangi deficit anggaran pemerintah lebih dari $300.000.
dalam jumlah besar. Contohnya, software Sebelum pemeriksaan dengan komputer
yang digunakan untuk mengidentifikasi diadakan, Veteran Administrasion (VA)
penipuan klaim asuransi Medicare dan bergantung pada para veteran untuk
 menunjukkan dengan tepat tagihan-tagihan
berlebih yang dilakukan oleh para
kontraktor Departemen Pertahanan.
Suatu audit komputer yang dilaksanakan
oleh General Accounting Office (GAO)
memeriksa silang berbagai angka dengan
IRS dan menemukan bahwa ribuan veteran
perang berbohong mengenai penghasilan
mereka agar dapat memenuhi kualifikasi
untuk kompensasi pensiun. Audit tersebut
mengungkapkan bahwa 116.000 veteran
yang menerima pensiun berdasarkan
kebutuhan mereka, tidak mengungkapkan
$338 juta penghasilan dari tabungan,
dividen saham, atau sewa. Lebih dari 13.600
memberikan laporan penghasilan yang akurat.
Begitu VA memperingatkan para penerima
kompensasi bahwa penghasilan mereka akan
diverifikasi oleh IRS dan Social Security
Administration, kompensasi pensiun turun
sebanyak lebih dari 13.000 orang, dengan
penghematan sebesar $9 juta perbulan,
berdasarkan laporan GAO.
VA berencana menggunakan sistem yang
sama untuk memeriksa tingkat penghasilan
mereka yang mengajukan aplikasi untuk
asuransi kesehatan. Apabila penghasilan
mereka ditemukan diatas suatu level tertentu,
pasien-pasien tersebut akan diminta untuk
melakukan pembayaran bersama (co-payment).

Tabel 10-7

Fungsi-fungsi umum software audit komputer

Fungsi Penjelasan Contoh-contoh

Pemformatan ulang Membaca data dalam format Membaca catatan persediaan dari
dan struktur data yang database bagian pembelian dan
berbeda, serta mengubahnya mengubahnya ke file persediaan
keformat dan struktur yang yang dapat digunakan oleh
umum program GAS
Manipulasi file Menyortir berbagai catatan Menyortir catatan persediaan
kedalam susunan yang berdasarkan lokasi; menyatukan
berurutan; menyatukan file transaksi pelanggan dengan
berbagai file yang diatur file utama bagian piutang usaha
berdasarkan perintah
penyortiran yang sam
Perhitungan Melaksanakan keempat Menghitung jumlah total file
aritmetika dasar; menambah, piutang usaha klien; menghitung
mengurangi, mengalikan, dan ulang penilaian persediaan klien;
membagi menghitung ulang penyusutan
yang dilakukan klien; melakukan
penambahan total penggajian
pegawai per departemen
Pemilihan data Meninjau file data untuk Mengidentifikasi rekening
menarik berbagai catatan yang pelanggan yang memiliki saldo
memenuhi kriteria tertentu melebihi batas kredit; memilih
seluruh transaksi pembelian yang
melewati jumlah nilai uang
tertentu
Analisis data Memeriksa catatan untuk Melaksanakan edit data atas file-
 melihat kesalahan atau nilai file klien; membandingkan file
yang hilang; membandingkan penggajian dan kepegawaian
berbagai field dalam catatan- untuk memeriksa konsistensi
catatan yang saling
berhubungan untuk melihat
jika ada inkonsistensi
Pemrosesan file Memberikan kemampuan Menggunakan simulasi paralel
pemrograman untuk untuk memverifikasi bahwa
pembuatan, pembaruan, dan perhitungan laba kotor klien
download file ke PC sudah benar; melakukan
download atas sampel catatan
persediaan klien ke PC untuk
dianalisis lebih lanjut guna
mendukung perhitungan
pengujian persediaan
Statistik Membagi catatan file membagi rekening pelanggan
berdasarkan penilaian suatu berdasarkan jumlah saldo
barang; memilih sampel rekening dan memilih sampel
statistik; menganalisis hasil dari rekening yang telah dibagi-
sampling secara statistik bagi tersebut sebagai konfirmasi
audit
Pembuatan laporan memformat dan mencetak mempersiapkan analisis rasio dan
laporan serta dokumen trend laporan keuangan;
mempersiapkan daftar umur
piutang usaha; mempersiapkan
konfirmasi audit

Gambar 10-4 memperlihatkan bagaimana CAS digunakan. Langkah pertama auditor adalah
memutuskan tujuan-tujuan audit, mempelajari file serta database yang akan diaudit, mendesain
laporan audit, dan menetapkan bagaimana cara menghasilkannya. Informasi ini akan dicatat
dalam lembar spesifikasi dan dimasukkan kedalam sistem melalui program input data. Program
ini membuat catatan spesifikasi yang digunakan CAS untuk menghasilkan satu atau lebih
program audit. Program audit memproses file-file sumber dan melaksanakan operasional audit
yang dibutuhkan untuk menghasilkan laporan audit yang telah ditentukan. Sering kali, aplikasi
awal CAS pada komputer dilaksanakan untuk mengekstraksi informasi utama audit dan
menempatkannya didalam file kerja audit. Laporan dan analisis audit tambahan dihasilkan oleh
serangkaian urutan operasi komputer yang menggunakan file kerja audit sebagai inputnya.

Kasus berikut ini mengilustrasikan nilai software audit. Di dalam sebuah kota kecil di
New England, seorang penagih pajak baru saja dipilih dengan mengalahkan orang yang
sebelumnya memegang jabatan yang sama. Penagih pajak yang baru tersebut meminta
diadakannya audit atas catatan penagihan pajak kota tersebut. Dengan menggunakan CAS,
auditor yang ditunjuk mengakses catatan penagihan pajak untuk 4 tahun terakhir, menyortirnya
berdasarkan tanggal penagihan, menambahkan jumlah total pajak yang dikumpulkan bulanan,
serta mempersiapkan laporan ringkasan 4 tahun atas penagihan pajak bulanan tersebut. Analisis
auditor mengungkapkan bahwa penagihan pajak selama bulan januari hingga juli, dua bulan
tersibuk dalam setahun, telah menurun sebanyak 58 persen dan 72 persen, secara spesific.
Auditor menggunakan CAS untuk membandingkan catatan-catatan penagihan pajak satu per
satu, dengan catatan-catatan properti kota. Laporan selanjutnya mengidentifikasi beberapa
penyimpangan, termasuk suatu kasus yang menyebutkan penagih pajak sebelumnya
menggunakan pembayaran dari pembayar pajak lainnya untuk menutupi tunggakan tagihan pajak
dirinya sendiri. Penagih pajak yang sebelumnya ditahan dan dituntut dengan tuduhan
penggelapan.

Tujuan utama dari CAS adalah untuk membantu auditor dalam melakukan tinjauan serta
menarik informasi dari berbagai file komputer. Ketika auditor menerima laporan dari CAS,
sebagian besar kegiatan audit akan tetap harus dilaksanakan. Hal-hal yang termasuk dalam
laporan pengecualian harus diselidiki, jumlah total file harus diverifikasi dengan sumber
informasi lainnya, seperti buku besar, dan sampel-sampel audit harus diselidiki serta dievaluasi.
Walaupun kelebuhan menggunakan CAS sangat banyak dan dapat dipercaya, CAS tidak dapat
menggantikan penilaian auditor atau membebaskan auditor dari tahap-tahap audit lainnya.

AUDIT OPERASIONAL ATAS SUATI SIA

Berbagai teknik dan prosedur yang digunakan dalam audit operasional hampir sama dengan yang
diterapkan dalam audit sistem informasi dan keuangan. Perbedaan utamanya adalah bahwa
lingkup audit sistem informasi dibatasi pada sistem pengendalian internal, sementara lingkup
audit keuangan dibatasi pada output sistem. Sebaliknya, lingkup audit operasional lebih luas,
melintas seluruh aspek manajemen sistem informasi.

Menetapaka Mengidenti
Menetapaka Mendesain
n fikasi
n tujuan- laporan
dokumentasi kegiatan
tujuan audit audit
database audit

Tujuan-tujuan audit Dokumentasi Desain laporan Spesifikasi kegiatan

yang didokumentasi database audit
audit
 Lembar spesifikasi Lembar
GAS spesikaskasi
pengkodea
n

Monitor
memasukan
data

Program untuk
memasukan
Entri data untuk data
spesifikasi

Pengoperasian
GAS pembuatan
Spesifikasi GAS
program

Program audit

File sumber Pengoperasian audit

audit pertama

Pengoperasian
File kerja audit
tinjauan audit
 Laporan Laporan
Daftar sampel Laporan lain-lain
pengecualian ringkasan

Sebagai tambahan, tujuan audit operasional mencakup faktor-faktor seperti efektivitas, efesiensi,
dan pencapaian tujuan.

Langkah pertama dalam audit operasional adalah perencanaan audit, yaitu masa
pembuatan lingkup dan tujuan audit, tinjauan awal atas sistem dilakukan, dan program audit
sementara dipersiapkan.

Pengumpulan bukti mencakup kegiatan-kegiatan berikut :

 Meninjau kebijakan dokumentasi operasional

 Melakukan konfirmasi atas prosedur dengan pihak manajemen serta personil
operasional
 Mengamati fungsi-fungsi dan kegiatan operasional
 Memeriksa rencana dan laporan keuangan serta operasional
 Menguji akurasi informasi operasionl
 Menguji pengendalian

Pada tahap pengumpulan bukti, auditor mengukur sistem yang sesungguhnya dengan sistem
yang ideal, yaitu sistem yang mengikuti prinsip-prinsip terbaik dari manajemen sistem. Salah
satu pertimbangan yang penting adalah hasil-hasil dari kebijakan serta praktik manajemen lebih
signifikan dari kebijakan dan praktik mereka sendiri. Jadi, apabila hasil yang baik dicapai
melalui kebijakan dan praktik yang secara teori lemah , maka auditor harus secara hati-hati
mempertimbangkan apakah perbaikan yang direkomendasikan akan secara substansial
memperbaiki hasil. Dalam banyak kejadian, auditor harus secara menyeluruh
mendokumentasikan penemuan-penemuan dan kesimpulan-kesimpulan tersebut, serta
mengkomunikasikan hasil audit kepihak manajemen.

Menjadi auditor operasional yang bail membutuhkan suatu pengalaman dalam bidang
manajemen. Mereka yang memiliki latar belakang audit yang kuat tetapi lemah dari sisii
pengalaman dalam bidang manajemen, seringkali kurang memiliki perspektif yang dibutuhkan
untuk memahami proses manajemen. Jadi, auditor operasional yang baik adalah orang yang
memiliki pelatihan dan pengalaman audit serta beberapa tahun pengalaman diposisi manajerial.

RINGKASAN DAN KESIMPULAN KASUS

Jason sedang mencoba untuk memecahkan masalah bagaimana program simulasi paralelnya
menghasilkan angka komisi penjualan yang berbeda dengan program milik SPP. Ketika dia
mempelajari angka-angka tersebut, dia melihat bahwa dalam seluruh perbedaan tersebut, komisi
penjualan lebih tinggi dari rata-rata. Hal ini berarti mungkin saja terdapat kesalahan sistem dalam
salah satu program tersebut. Setelah memverifikasi bahwa program miliknya benar, dia meminta
untuk dapt meninjau salinan program SPP.

Program tersebut sangat panjang, jadi Jason menggunakan teknik pemindai untuk
mencari kode yang menspesifikasikan serangkaian karakter. Dibawah kebijakan yang baru, tariff
komisi berubah ketika penjualan melebihi $40.000. Jason mencari kode

Keberaadaan “40000”, yangb mengarahkannya ketempat struktur tariff komisi. Dengan sangat
terkejut,dia menemukan bahwa tarifkomisi sebesar 0,85untuk penjualan melebihi $40.000,sementara
kebijakan yang baru hanya menetapkan sebesar 0,075.BEberapa perhitungan cepat mengomfirmasikan
bahwa hal inilah yang menjadi sumber perbedaan antara kedua program tersebut.

Jason melaporkan penemuan-penemuan ini k eke supervisornya,yang kemudian memanggil

manejer audit.Mereka mengatur sebuah rapat dengan audit manejer dan kepala tim pengembangan
sistem.Rapat tersebut sangat memalukan bagi kepala tim pengembang dan para pegawainya, tetapi
kesalahan pengkodean diakui dan di perbaiki.

MAnejer audit memanggil Jason untuk memberikan selamat dan mengimformasikan dirinya
bahwa apabila kesalahan pemprograman tidak terdeteksi,SPP akan harus membayar akan lebih dari
$100.000 per tahun untuk kelebihan komisi penjualan.jason sangat senang menerima pujian dari
maneger tersebut,tetapi dia juga memanfaatkan kesempatan tersebut untuk menunjukan kelemahan-
kelemahan dalam cara peang dilakukan oleh tim pengembang tersebut .Pertama,kabel komisi penjualan
dilekatkan kedalam kode3 program;praktik programan yang baik akan masyarakat penyimpanan table
tersebut kedalam table terpisah untuk kemudian digunakan oleh program terkait saat
dibutuhkan.Kedua, dia menyebutkan bahwa insiden tersebut menyebbkan dipertanyakannya kualitas
pengembangan program dan praktik pengujian di SPP. Jason bertanya apakah audit operasional yang
lebih luas atas cara-cara tersebut tepat untuk kondisi ini. Manejer audit tersebut setuju bahwa hal ini
cukup berharga untuk diperiksa, dan dia berjanji untuk mengangkat isu ini di apat selanjutnya degnan
direktur audit internal Northwest.

ISTILAH-ISTILAH PENTING

* Auditing

* Audit keuangan

* Audit sistem informasi

* Audit operasional

* Audit manajemen

* Resiko inheren

* Resiko pengembalian

* Resiko pendeteksian

* Materialitas

* Kepastian yang memadai

* Tinjauan sistem

* Uji pengendalian

* Pengendalian pengimbang

* Pemrosesan ulang

* Simulasi parallel

* Program pembuat data uji

* Teknik audit bersamaan

* Modul audit melekat

* Integrated test facility (ITF)

* Teknik snapshot

* System control audit reviews fille (SCARF)

* Daftar audit

* Audit hooks

* Peringatan real-time

* Continous and intermittent simulation (CIS)

*Bagan alir otomatis

* Program table keputusan otomatis

* Kegiatan pemindai

* Program mapping

*penelusuran program

*Matriks pengendalian input

*Computer audit softwere (CAS)

*Generalized audit software (GAS)

Kuis Bab 10

1. Berikut ini manakah yang merupakan karakteristik audit?

a. Audit adalah proses yang sistematis dan bertahap
b. Audit melibatkan pengumpulan dan peninjauan bukti
c. Audit melibatkan penggunaan kriteria yang telah ditetapkan untuk mengevaluasi bukti
d. Seluruh jawaban diatas merupakan krakteristik audit
2. Berikut ini manakah yang bukan merupakan salah satu alasan auditor internal harus ikut serta
dalam tinjauan pengendalian internal selama proses desain sistem?
a. Lebih ekonomis untuk mendesain pengendalian selama tahap desain dari pada
melakukannya kemudian.
b. Meniadakan kebutuhan untuk penguji pengendalian seelama audit regular
c. Menimalkan kebutuhan modifikasi pascaimplementasi yang mahal
d. Memungkinkan desain dari jejak audit pada waktu masih ekonomis
3. Jenis audit apakah yang melibatkan tinjauan pengendalian umum dan aplikasi, dengan berfokus
untuk menetapkan keberadaan kepatuhan dengan kebijakan dan pengamanan asset yang
memadai ?
a. Audit sistem informasi
b. Audit keuangan
c. Audit operasional
 d. Audit kepatuhan
4. Pada langkah mana prose audit melaksanakan konsep keyakinan yang memadai dan materialitas
dalam proses pengambilan keputusan seorang auditor ?
a. Perencanaan
b. Pengumpulan bukti
c. Evaluasi bukti
d. Materealitas penting dalam ketiga tahapan tersebut
5. Proses apakah yang melibatkan kegiatan pemeriksaan jika dibutuhkan pengendalian yang
seharusnya ada didalam sistem?
a. Analisis resiko
b. Tinjauan sistem
c. Uji pengendalian
d. Pendekatan berdasarkan resiko dalam audit
6. Berikut ini prosedur manakah yang tidak digunakan untuk mendeteksi perubahan program
secara tidak sah?
a. Perbandingan data sumber
b. Simulasi parallel
c. Pemrosesan ulang
d. Programan ulang kode
7. Berikut ini manakah yang merupajkan teknit audit bersamaan yang mengawasi seluruh transaksi
dan mengumpulkan data mengenai hal-hal yang mengenai hal-hal yang memenuhi krakteristik
tertentu seperti yang telah dispesifekassikan auditor?
a. Integrated test facility
b. Teknik snapshot
c. SCARF
d. Audit hooks
8. Berikut ini manakah yang merupakan teknik computer yang membantu auditor untuk memahami
logika program dengan cara mengidentifikasi seluruh keberadaan variable tertentu?
a. Mapping program
b. Penelusuran program
c. Bagan alir otomatis
d. Kegiatan pemindai
9. Berikut ini manakah yang merupakan program computer yang dibuat secara khusus untuk audit?
a. GAS
b. SCARF
c. ITF
d. CIS
10. Mana yang merupakan focus audit operasional?
a. Keandalan dan integritas informasi keuanganpenggunaan yang efisien
b. Penggunaan yang efisien atas sumber daya
c. Pengendalian internal
d. Pengjagaan asset
 PENJAGAAN ASET10

10.1 Mengaudit suatu SIA secara efektif membutuhkan seorang auditor yang memiliki pengetahuan
mengenai computer dan aplikasi dalam computer.Akan tetapi, mungkin tidak mungkin bagi
setiap auditor untuk menjadi komputer. Diskusikan sejauh mana auditor harus memiliki keahlian
komputer ungtuk menjadi auditor yang efektif ahli.

10.2 Haruskah audidor internal menjadi anggota tim pengembangan yang mendesain dan
mengimplementasikan suatu SIA? MEngapa dan mengapa tidak?

10.3 Berwick Industries adalah perusaan yang berkembang pesat dan memproduksi kontener untuk
industry. Perusahaan tersebut memiliki SIA canggih yang mengunakan teknologi canggih. Para
eksekutif Berwicks telah memutuskan mengejar target mendaftarkan saham perusahaan
tersebut ke sebuah pasar modal nasional, tetapi mereka telah disarankan bahwa aplikasi
pendaftaran mereka akan lebih kuat apabila mereka membuat departemen audit internal.

Saat ini tidak seorang punpegawai Berwick yang memiliki pengalaman audit. Untuk
mendapatkan pegawai yang menjalankan fungsi audit internal ,Berwick dapat (a) melatih
beberapa spesialis komputer mereka dalam bidang audit, (b) menyewA menyewa auditor
berpengalaman dan melatih mereka untuk memahami sistem informasi di Berwikc,
(c)menggunakan gabungan dari dua pendekatan tersebut, atau (d)mencob pendekatan yang
berbeda. Pendekatan manakah yang akan anda dukung, Mengapa?

10.4 Asisten direktur keuangan kota Tustin,California, di pecat setelah para pejabat kota tersebut
menemukan bahwa dia telah menggunakaan aksesnya kekomputer kota untuk untuk
membatalkan tagiha air anak perempuannya,sebesar $300. Penyelidikan mengungkapkan
bahwa dia telah menggelapkan sejumlah besar uang dari Tustin melalui cara yang ini dalam
waktu yang lama. Dia dapat menyembunyikan penggelapan tersebut sekian lama, karena jumlah
uang yang digelapkan selalu temasuk dalam factor kesalahan 2 persen yang digunakan oleh
auditor internal kota tersebut. Apakah auditor internal Tustin seharusnya dapat lebih awal
mengungkapkan penipuan ini? Diskusikanlahkondisi ini?

SOAL-SOAL

10.1 Anda adalah direktur audit binternal disebuah universitas. Baru-baru ini anda bertemu dengan
Issa Arnita, manejer pemrosesan data administratif, dan mengungkapkan keinginan untuk
membuat alat yang lebih efektif antara kedua departemen. Issa menginginkan anda membantu
dslam hal sistem utang usaha baru yang saat ini dalam proses pengembangan. Dia
merekomendasikan departemen anda untuk mengasumsikan garis tanggung jawab untuk
mengaudit faktor penjualan dari pemasok, sebelum pembayaran faktur tersebut. Dia juga
 menginginkan audit internal memberikan berbagai saran selama masa pengembangan sistem,
membantu intalasinya, dan menyetui sistem yang telah lengkap setelah membuat tinjauan
akhitr terlebih dahulu.

Diminta :

Akankah anda menerima atau menolak hal-hakl berikut ini, dan mengapa ?

a. Rekomendasi yang menyatakan bahwa departemen anda bertanggung jawab atas audit
awal faktur dari pemasok.
b. Permintaan agar anda memberikan saran selama masa pengembangan sistem
c. Permintaan agar anda membantu dalam intalasi sistem dan menyetujui sistem tersebut
setelah melaksanakan tinjauan akhir.

(Diadaptasi dari ujian CIA)

10.2 Sebagai seorang auditor internal di Quikc Manufacturing Company, anda berpartisipasi dalam
proses audit SIA perusahaan. Anda telah meninjau pengendalian internal sistem komputer yang
memproses sebagian besar aplikasi akuntansinya. Anda telah mempelajari banyak dokumentasi
perusahaan mengenai sistemnya, serta telah mewawancarai manejer MIS, Supervisor
operasional, dan para pegawai lainnya buntuk melengkapi kuesioner standar mengenai
pengendalian internal komputer.

Laporan anda ke supervisor adalah bahwa perusahaan tersebut telah berhasil

mendesain rangkaian pengendalian internal ke dalam sistem komputernya. Dia berterimahkasih
atas usaha anda dan meminta sebuah laporan ringkasan atas penemuan-penemuan anda untuk
dimasukkan kedalam laporan akhir keseluruhan atas pengendalian internal akuntansi.

Diminta :

Tidakkah anda melupakan sebuah langkah audit yang terpenting ? Jelaskan. Sebutkan lima
contoh prosedur audit tertentu yang mungkin andarekomendasikan sebelum mencapai
keimpulan akhir.

10.3 Sebagai seorang auditor internal, anda telah ditugaskan untuk mengevaluasi pengendalian dan
operasional sistem penggkajian komputer. Untuk menguji sistem danprogram komputer, anda
harus memasukkan secara independtransaksi uji fiktif dengan data reguler dalam jalannya
produksi normal.

Diminta :

a. Sebutkan lima kebutuhan dari teknik ini.

b. Sebutkan dua kelmahan dari teknik ini.
10.4 Anda dilibatkan dalam audit internal atas piutang usaha,yang mencerminkan bagian paling besar
dari aset sebuah perusahan ritel besar. Rencana audit ands membutuhkan penggunaan
komputer, tetapi anda menghadapi beberapa reaksi berikut :

a. Manejer bagian pengoperasian komputer mengatakan pada anda bahwa seluruh waktu
komputer telah habis dijadwalkan hingga masa mendatang dan tidak akan mungkin tersedia
untuk membantu auditor dengan pekerjaannya.

b. Manejer penjadwalan komputer mneyarankan agar komputer anda dimasukkan kedalam

katalog perpustakaan program (didalam penyimpanan didalam disk) sehingga dapat
dijalankan ketika komputer memiliki waktu luang.

c. Anda ditolak untuk mendapatkan izin keruang komputer.

d. Manejar sistem mengatakan pad anda bahwa akan menghabiskan terlalu banyak waktu
untuk mengadaptasikan program audit komputer kedalam sistem operasional komputer dan
bahwa para pemrogram perusahaan akan menulis seluruh program yang dibutuhkan untuk
audit.

Diminta :

Untuk setiap situasi diatas, sebutkan yang seharusnya dilakukan auditor untuk meneruskan
audit atas piutang usaha.

10.5 Anda adalah manejer sebuah kantor akuntanpublik regional di Dewey, Cheatem, dan Howe
(DCU&H) Anda sedang meninjau lembar kerja audit pegawai anda atas sebuah badan
kesejahteraan negara bagian tersebut. Anda menemukan bahwa konsep data uji digunakan
untuk menguji berbagai uji program komputer badan tersebut yang memelihara berbagai cataan
akuntansi. Secara khusus pegawai anda mendapatkan salinan program dan filedata akuntansi
badan tersebut dari manejer operasional komputer, dan meminjam file data transaksi uji yang
digunakan oleh para pemrograman badan kesejahteraan tersebut ketika program tersebut
dibuat. Semua hakl ini diproses dalam komputer kantor DC&H. Sebuah salinan laporan ringkasan
edit yang memperlihatkan tidak adanya kesalahan dicamtumkan dalam lembar kerja tersebut,
dengan catatan dari auditor senior bahwa hasil uji menunjukan penerapan pengendalian yang
baik.

Anda memperhatikan bahwa kualitas kesimpulan audit yang didapat dari uji ini tidak benar dalam
beberapa hal, dan anda memutuskan untuk meminta bawahan mengulangi uji tersebut.

Diminta :

Identifikasi tiga potensi masalah atau masalah yang ada dengan cara pelaksanaan uji tersebut.
Untuk etiap masalah, sarankan satu atau lebih prosedur yang mungkin dapat dilaksanakan
selama perbaikan uji untuk menghindari kekurangan dalam kesimpulan tersebut.
10.6 Anda sedang mengaudit laporan keuangan Aardvarkwholesalers,Inc. (AW), sebuah grosir yang
beroperasidi 12 negara bagian barat dengan pendaopatan total sekitar $125 jita. AW otomatis
melakukan audit sistem informasi untuk mengevaluasi pengendalian internal dalam sistem
komputer mereka.

Berdasarkan buku petunjuk AW< anda mendapatkan deskripsi pekerjaan berikut ini bagi para
personil utama :

Direktur sistem informasi : Melapor ke wakil derektur utama bagian administrasi. Bertanggung
jawab untuk menetapakan misi bagian sistem informasi dan atas perencanaan, pegawai, serta
pengelolan departemenbyang secara optimal melaksanakan misis tersebut.

Menejer sistem dan pemrograman : Melapor ke direktur sistem informasi. Bertanggung jawab
untuk mengelola seorang pegawai analisis sistem dan para pemrogram yang memiliki misi untuk
mendesain, memprogram, menguji, menginplementasikan, dan memeliha sistem pemrosesan
data yang efektif dari segi biaya. Juga bertanggung jawab untuk membuat dan mengawasi
standar dokumentasi

Manejer operasional : Melapor ke direktur sistem informasi. Bertanggung jawab atas manejemen
operasional pusat komputer yang efektif dari segi biaya, untuk mendorong pelaksanaan standar
pemrosesan, dan untuk pemrograman sistem, termasuk implementasi peningkatan sistem
opegawai operasional komputer dan perasional untuk pemasok.

Supervisor pergantian jadwal masukan data : Melapor ke manejer operasional. Bertanggung

jawab atas supervisi para operator yang memasukkan data dan mengawasi standar persiapan
data.

Supervisor pergantian jadwal operasional : Melapor ke menejer oprasional. Bertanggung jawab

atas supervisi para operator yang memasukkan data dan mengawasi standar pemrosesan.

Staf administrasi bagian pengendalian data : Melapor ke manejer operasional. Bertang jawab
untuk mendaftarkan dan mendistribusikan input serta output komputer, mengawasi prosedur
pengendalian data sumber, dan menyimpan file program dan data.

Diminta :

a. Persiapkan sebuah bagan organisasi untuk devisi sistem informasi di AW.

b. Sebutkan dua aspek positif dan dua aspek negatif (dari sudut pandang pengendalian internal)
struktur organisasi ini.
c. Informasi tambahan apakah, jika ada, yang akan anda butuhkan sebelum membuat penilaian
akhir atas kecukupan pemisahan fungsi dalam bagian sistem informasi di AW?

10.7 Robinson’s plastic pipe corperation menggunakan sebuah sistem pemrosesan data persediaan
terkomputerisasi. Catatan input dasar ke sistem ini memiliki format seperti yang ditunjukan
 dalam tabel 10-8. Anda sedang melakukan audit pengendalian data sumber atas sistem ini, dan
anda memutuskan untuk menggunakan matriks pengendalian input untuk tujuan ini.

Tabel 10-8

File transaksi persediaan suku cadang

Nama field Jenis field Posisi

Nomor barang Numerik 1-6
Tanggal transaksi tanggal 7-12
jenis transaksi Alfanumerik 13
nomor dokumen Alfanumerik 14-21
Jumlah Numerik 22-26
Biaya per unit Satuan uang 27-33

Diminta :

Persiapkan matriks pengendalian input dengan menggunakan format yang sama dan dengan
mendaftar pengendalian input yang sama seperti yang diperlihatkan dalam gambar 10-3.
Namun, gantilah nama field dalam gambar 10-3 dengan nama yang terdapat dalam file
transaksi persediaan di Tabel 10-8.Berilah tanda dalam sel-sel matriks yang mewakili
pengendalian input yang anda harap dapat ditemukan disetiap field.

10.8 Sebagai seorang auditor internal untuk sebuah kantor audit negara bagian, anda telah
ditugaskan untuk meninjau implementasi sebuah sistem komputer baru di badan kesejahteraan
negara bagian tersebut. Badan tersebut menginstal sistem komputer on-line untuk mengelolah
database para penerima dana kesejahteraan di negara bagian tersebut.Dibawah sistem yang
lama, para penduduk negara bagian yang mengajukan aplikasi untuk bantuan dana
kesejahteraan melengkapi formulir dengan memberikan nama, alamat, dan data pribadi lainnya,
ditambah rincian mengenai penghasilan, aset, jumlah anggota keluarga tertanggung, dan data
lainnya yang dibutuhkan untuk menetapkan hak penerimaan mereka. Data didalam formulir ini
diperiksa oleh petugas pemeriksa kesejahteraan untuk memferifikasi keasliannya. Petugas
pemeriksa kemudian menjamin hak pemohon untuk mendapat bantuan dan menetapakan
bentuk serta jumlah bantuan..

Dibawah sistem yang baru, pemohon bantuan akan memberikan data mereka ke staf
administrasi, yang secara simultan akan memasukkan data kedalam sistem dengan
menggunakan terminal on-line. Setiap catatan pemohon akan diberi status “ditunda” sampai
petugas pemeriksa kesejahteraan dapat memverifikasi keaslian data penting yang digunakan
untuk menetapakan hak penerima bantuan. Ketika tuga verifikasi ini telah selesai, petugas
 pemeriksa kesejahteraan akan memasukkan perubaha n dalam kode status dari “ditunda”
menjadi “disetujui,”, kemudian sistem akan menjalankan sebuah program untuk menghitung
jumlah bantuan yang susuai.

Secara periodik,situasi (penghasilan,aset, jumlah anggota keluarga tertanggung, dan lain-

lain)penerima dana kesejahteraan berubah,dsn data base harus diperbarui sesuai perubahan
tersebut. Petugas pemeriksa kesejahteraan akan memasukkan perubahan transaksi ini kedalam
sistem begitu keakuratannya telah diverifikasi. Sistem kemudian akan menghitunf ulang
kompensasi penerima dana kesejahteraan. Pada akhir bulan, cek akan dibuat dan dikirim ke
para penerima dana kesejahteraan yang berhak.

Bantuan kesejahteraan dinegara bagian anda berjumlah hingga beberapa ratus juta dolar per
tahun. Anda mengkhawatirkan terjadinya penipuan dan penyalanggunaan.

Diminta :

a. Menjelaskan bagaimana anda dapat menerapkan teknik audit bersamaan dalam sistem
tersebut untuk mengurangi resiko penipuan dan penyalanggunaan.
b. Jelaskan bagaimana softwere audit komputer dapat digunakan untuk meninjau pekerjaan
tugas pemeriksa kesejahteraan dalam memverifikasi data hal pemohon. Untuk tujuan ini,
anda dapat berasumsi bahwa kantor audit negara bagian memiliki akses ke data base
terkomputerisasi yang dikelolah oleh badan pemerintah badan dan negara bagian lainnya.

10.9 Anda adlah auditor internal di Military Industrial Companny. Anda sedang mempersiapkan
transaksi uji untuk program pemrosesan gaji mgguan perusahaan tersebut. Setiap catatan input
ke program ini berisi bagian data berikut ini :

Lokasi Bagian Data

1-9 Nomor jaminan sosial

10 Kode pembayaran (1=per jam,2=gaji tetap)

11-16 Tarif upah atau gaji

17-19 Jam kerja dalam puluhan

20-21 Jumlah potongan pajak yang diklaim

22-29 Gaji kotor year-to-date, termasuk satuan sen

30-80 Nama dan alamat pegawai

Program tersebut melaksanakan pemeriksaan edit berikut ini untuk setiap catatan input :

 Pemeriksaan field untuk mengidentifikasi catatan yang tidak memiliki krakter numeris
dalam field untuk tarif upah / gaji,jam kerja, potongan pajak, dan gaji kotor year-to-date
  Pemeriksaan validitas untuk kode pembayaran .
 Pemeriksaan batas untukmengidentifikasi catatan pegawai upahan yang memiliki upah lebih
tinggi dari $20.
 Pemeriksaan batas untukb mengidentifikasi catatan pegawai upahan yang memiliki jam
 Pemeriksaan batas untuk mengidentifikasi catatan pegawai tetap yang memiliki gaji per
minggu lebih besar dari $2.000 atau kurang dari $20.

Catatan yang tidak lolos dari pemeriksaan edit di atas akan terdaftar dalam laporan
kesalahan.Bagi catatan yang lolos pemeriksaan dit, program akan menjalankan serangkaian perhitungan.
Pertama, gaji pertama pegawai di tetapkan. Gaji kotor pegawai tetap adalah sama dengan jumlah gaji
yang berada dalam lokasi 11 hingga 16 di catatan input.Gaji kotor untuk pegawai upahan adalah sams
dengan tarigf upah dikali dengan jam kerja sebanyak hingga 40 jam.

Program tersebut menghitung potongan pajak untuk setiap pegawai dengan cara mengkalikan
gaji kotor dengan tarif pajak yang ditetapkan berdasarkan tabel 10-9. Program tersebut akan
menghitung potongan pakjak negara lain unutuk setiap pegawai,dengan mengkalikan gaji kotor dengan
tarif pajak dsri tabel 10-10.

Program selanjutnya akan menghitung kontribusi dan pensiun pegawai, yaitu sebesar tiga
persen dari gaji kotor untuk pegawai upahan, dan 4 persen dari gaji kotr untuk pegawai tetap. Terakhir,
program tersebut akan menghitung gaji bersih pegawai, yaitu gaji kotor dikurangi potongan pajak dan
kontribusi dana pensiun.

Tabel 10-9

Perhitungan potongan pajak pemerinta federal

kisaran gaji kotor

Jumlah $0-$99,99 $100- $250- Di atas
potongan $249,99- $499,99 $500
0-1 0,06 0,12 0,18 0,24
2-3 0,04 0,10 0,16 0,22
4-5 0,02 0,08 0,14 0,20
Di atas 5 0,00 0,06 0,12 0,18
Tabel 10-10
perhituga Potongan Pajak Negara Bagian

Jumlah $0- Diatas

potongan $499,99 $500
0-3 0,03 0,05
Diatas 3 0,01 0,03
 Begitu perhitungan- perhitungan ini selesai untuk satu catatan pegawai, program tersebut
mencetak cek gaji pegawai terkait dan laporan ringkasan pendapatan, dan kemudian meneruskan ke
catatan input pegawai berikutnya untuk melaksanakan pemeriksaan edit serta perhitungan pengkajian,
dengan melanjutkan siklus in, hingga seluruh catatan input telah selesai diproses.

Tujuan jangka pendek adalah mempersiapkan serangkaian uji yang berisi salah satu dari jenis
kesalahan yang mungkin terjadi, dan serangkaian transaksi uji yang akan menguji tiap alternatif
perhitungan sekaligus. Transaksi yang akan dipakai untuk menguji kemungkinan beberapa kesalahan
didalam satu catatan, atau untuk menguji beberapa kombinasi pola logika sistem, akan dikembangkan
kemudian.Jadi, seti

Transaksi yang anda persiapkan tidak harus memasukkan nomor jaminan sosial atau nama dan
alamat pegawai (asistenanda akan menambahkan hal-hal tersebut setelah meninjau cetakan file). Jadi,
setiap transaksi duji anda akan terdiri dari seangkaian 20 karakter yang mewakili krakter yang mewakili
data dalam lokasi catatan input 10 hingga 29. Contohnya, untuk seorang pegawai upahan yang
memilikitarif upah $9,50, bekerja selama 40,5 jam, mengklaim dua potongan, dan memiliki gaji kotor
year-to-date tepat sebesar $12.000, transaksi ujinya akan 10009504050201200000.

Diminta :

a. Persiapkamn serangkaian transaksi uji; setiap transaksi harus berisi salah satu kesalahan yang
akan diuji oleh pemeriksaan edit. Tetapkan hasil yang akan diharapkan dari memproses setiap
transaksi uji ini.
b. Mempersiapkan serangkaian transaksi uji yang menguji setiap kemungkinan gaji kotor yang
dapat dihitung.
c. Persiapkan serangkaian transaksi uji yang menguji setiap kemungkinan potongan pajak
pemerintah yang dapat dihitung. Tetapkan jumlah yang diharapkan dari potongan pajak
pemerintah untuk setiap transaksi uji ini.
d. Persiapkan serangkaian transaksi uji yang menguji setiap kemungkinan potongan pajak negara
bagian yang dihitung. Tetapkan jumlah yang diharapkan dari potongan pajak untuk setiap
transaksi ini.
e. Persiapkan serangkaian transaksi uji yang menguji setiap kemungkinan kontribusi dana pensiun
yang dapat dihitung. Tetapkan jumlah kontribusi pensiun yang diharapakan untuk setiap
transaksi uji ini.

10.10 Departemen audit internal Sachem Manufacturing Company sedang mempertimbangkan untuk
membeli softwere komputer yang akan membantu proses audit. Sistem pengendalian keuangan dan
manufaktur di sachem semuanya telah diotomatiskan melalui komputer utama. Melinda robinson,
direktur audit internal, yakin bahwa schem harus membeli software audit untuk membantu dalam audit
prosedur serta keuangan yang dilaksanakn olen deoartemennya. Robinson sedang mempertimbangkan
jenis – jenis software berikut ini:

* GAS yang membantu pekerjaan dasar audit seperti penarikan data auktual dari file komputer
yang besar. Departemen tersebut akan meninjau informasi ini dengan menggunakan teknik
 penyelidikan audit yang konvensional. Secara yang lebih khusus, departemen dapat
melaksanakn pemilihan keriteria, pengambilan sample, perhitungan dasar analisis kuantitati,
mencatat penanganan, anilisis grafis, dan mencetak output ( untuk konfirmasi ).

* ITF yang menggunakan, mengawasi, dan mengendalikan data uji fiktif sewaktu mereka
diproses oleh program yang telah ada. Software ini juga memeriksa program yang ada dan
keberadaan serta kecukupan pengendalian masukan data program dan pemrosesan.

* Software pembuat bagan alir yang secara grafis menyajikan arus informasi yang melalui
sistem dan menunjukkan dengan tepat kelebihan dan kelemahan pengendalian.

* Softwere simulasi paralel dan dan pembuatan model yang menggunakan data aktual
untuk melaksanakan pengujian yang sama dengan menggunakan program lain, yaitu sebuah
program logika komputer yang dikembangkan oleh auditor. Softwere tersebut juga dapat
digunakan untuk mencari jawaban atas masalah audit yang sulit ( yang akan melibatkan
banyak perbandingan) dalam batas tingkat kepercayaan yang secara statistik dapat diterima.

Diminta :

a. Tanpa harus mempertimbangkan softwere audit tertentu, identifikasi kelebihan umum

penggunaan softwere audit untuk membantu audit.
b. Jelaskan tujuan audit yang difasilitasi dan langkah prosedural yang harus diikuti oleh auditor
internal dengan menggunakakan hal-hal berikut :

 GAS
 ITF
 Softwere pembuat bagan alir
 Softwere program simulasi paralel dan pembuatan model

10.11 Thermo-Bond Manufacturing Company memelihara catatan aktiva tetap didalam komputernya.
File utama aktiva tetap mencakup bagian data yang didaftar dalam tabel 10-11.

Tabel 10-11

File utama aktiva tetap

Nomor Barang Lokasi Deskripsi

1 1-6 Nomor Aktiva
2 7-30 Deskripsi
3 31 Kode jenis
4 32-34 Kode lokasi
5 35-40 tanggal perolehan
6 41-50 Harga perolehan
7 51-56 Tanggal pemberhentian
8 57 kode metode penyusutan
 9 58-61 Tarif penyusutan
10 62-63 Masa mamafaat (tahun)
11 64-73 Akumulasi penyusutan pada awal tahun
12 74-83 Penyusutan year-to-date
Untuk aktiva yang masih digunakan,tanggal pemberhentian penggunaan diberikan nilai 99/99/99

Diminta :

Lihatlah Tabel 10-7, yang menggambarkan fungsi-fungsi umum audit. Kemudian, jelaskan
beberapa cara yang Dapat digunakan auditor dalam melaksanakan audit keuangan dengan
menggunakan softwere semacam ini pada akun aktiva tetap Thermo-bond.

10.12 Seorang auditor sedang melaksanakan pemeriksaan laporan keuangan sebuah distributor grosir
kosmetik yang memiliki ribuan barang. Distributor tersebut menyimpan persediaannya di pusat
distribusi miliknya sendiri, dan dalam dua gudang umum. Perusahaan tersebut memelihara file
komputer persediaan dalam disk kompute, dan tiap akhir hari, perusahaan akan
memperbaharui file tersebut. Setiap catatan file persediaan berisi data berikut :

Nomor barang Biaya per barang

Deskripsi barang Tanggal pembelian terakhir

Jumlah persediaan Tanggal penjualan terakhir

Lokasi barang Jumlah yang dijual dalam setahun

Auditor tersebut akan memiliki CAS dan sebuah disk yang berisi data persediaan secara fisik
distributor tersebut. Auditor akan melaksanakan melaksanakan prosedur berikut ini :

1. Mengamati perhitungan secara fisik persedian pada tanggal yang telah ditetapkan, dan menguji
sampel atas akurasinya.
2. Membanding kan uji perhitungan auditor dengan catatan persediaan.
3. Menbandingkan data perhitungan fisik dengan catatan persediaan.
4. Menguji akurasi matematik atas penilaian akhir persediaan distributor tersebut.
5. Menguji harga persediaan dengan mendapatkan biaya barang dari pembeli,pemasok dan
sumber lainnya.
6. Memeriksa pembeli persediaan dan transaksi penjualan pada atau mendekati akhir tahun, untuk
memverifikasi bahwa seluruh transaksi telah dicatat dalam periode akutansi yang tepat.
7. Memastikan ketepatan barang persediaan yang ditempatkan digudang umum.
8. Menganalisis persediaan untuk mendapatkan bukti kemungkinan terjadinya obselensi.
9. Menganalisis persediaan untuk mendapatkan bukti kemungkinan terjadinya kelebihan
persediaan atau yang tidak laku.
10. Menguji akurasi setiap bagian data yang terdaftar dalm file utama persediaan distributor
tersebut.
 Diminta :

Jelaskan bagaimana penggunaan softwere untuk tujuan umum dan salinan file data persediaan
dapat membantu auditor dalam melaksanakan setiap proseduraudit diatas. (Diadaptasi dari
ujian CPA)

Kasus 10-1
Any company, Inc.: Kasus komprehensif Berkelanjutan.
Pilihlah sebuah perusahaan lokal yang memiliki departemen audit internal, dan dapatkan izin untuk
mempelajari kebijakan serta perosedur audit internalnya. Kemudian lengkap ilangkah-langkah berikut
dan siapkan lap0ran yang menjelaskan penemuan-penemuan dan kesimpulan anda :

1. Tetapkan kepada siapa bagian audit internal. Apakah pengaturan garis melapor ini memberikan
bagian audit internal fungsi yang cukup independen?
2. Apakah fungsi audit internal melaksanakan audit sistem informasi, keuangan, dan operasional ?
apakah bagian audit internal melaksanakan jenis audit lainnya ? sekitar berapa persen dari total
pekerjaan audit mereka yang masuk kedalam setiap kategori tersebut ?
3. Tetapkan bagaimana para auditor internal melaksanakan audit sistem informasi. Apabila
memungkinkan, dapatkan salinan program audit, daftar dan / atau kuesioner yang digunakan
dalam melaksanakan audit ini.
4. Dalam melaksanakan audit sistem informasi, apakah para auditor internal menggunakan
metode audit dengan komputer, seperti pemrosesan ulang, simulasi paralel, penelusuran
program, pemrosesan data uji, dan teknik audit bersamaan ? Jelasakan bagaimana para auditor
menggunakan metode-metode ini.
5. Dalam melaksanakan audit keuangan, apakah fungsi audit internal menggunakan softwere audit
komputer? Apabila ya, dapatkan salinan dokumentasinya dan jalankan fungsi-fungsi yang dapat
dilakukannya. Apabila memungkinkan, amati bagaimana softwere audit tersebut digunakan
untuk melaksanakan audit keuangan,dan periksalah salinan uotputnya.
6. Mintalah auditor internal perusahaan tersebut untuk menjelaskan pekerjaan audit tertentu
sewaktu mereka menemukan suatu yang tidak biasa dan / sewaktu mereka dapat memberikan
rekomendasi untuk perbaikan pengendalian atau prosedur operasional, yang dapat menghemat
waktu serta uang perusahaan dalam jumlah besar

Kasus 10-2
Preston manufacturing company
 Anda sedang melaksanakan audit keuangan atas akun-akun buku besar di preston
Manufacturing Company.Di awal tahun fikal, perusahaan mengubah akuntansi buku besar
mereka dari sistem manual ke sistem berbasis komputer. Sistem baru tesebut menggunakan
dua file komputer, yang isinya dispesifikasikan sebagai berikut :
Setiap hari, begitu rincian transaksi diproses oieh sistem akuntansi terkomputerterisasi
preton, ringkasan ayat jurnal diakumulasi; pada akhir hari kerja, diposting kefile buku besar.
Pada setiap akhir minggu dan bulan, file jurnal umum akan diproses untuk dicocokkan dengan
file pengendali buku besar, untuk menghitung saldo baru bagi setiap akun dan untuk mencetak
neraca saldo.
Sumber-sumber berikut initersedia pada saat akan selesai :
 Softwere audit umum perusahaan anda, yang dapat melaksananakan fungsi-fungsi umum
seperti tertera pada tabel 10-7.
 Sebuah salinan lengkap file buku besar untuk setahun penuh.
 Sebuah salinan file buku besar sesuai akhir periode fiskal (saldo saat ini =saldo akhir tahun)
 Cetakan neraca saldo preston yang mendaftar nomor akun, nama akun, dan saldo setip
tahun di file pengendali buku besar.

Desainlah sejumlah prosedur dengan menggunakan CAS untuk menganalis data dalam file-file
ini dan siapkan laporan-laporan yang dibutuhkan untuk melaksanakan audit keuangan anda.
Desain aplikasi anda harus mencakup hal-hal berikut ini:

JURNAL UMUM
Nama field Jenis field Ukuran

Nomor akun Numerik 6

Jumlah Satuan uang 9,2
Kode debit/kredit Alfanumerik 1
Tanggal (bulan/tanggal/tahun Tanggal 6
Jenis dokumen referensi Alfanumerik 4
Nomor dokumen referensi Numerik 6

Pengendali Buku Besar

Nama Field Jenis field Ukuran

Nomor Akun Numerik 6

Nama akun Alfanumerik 20
Saldo awal/tahun Satuan uang 9,2
Kode debit/kredit saldo awal Alfanumerik 1
Saldo saat ini Satuan uang 9,2
Kode debit/kredit saldo saat ini Alfanumerik 1

1. Jelaskan isi data setiap laporan uotput, lebih baik lagi jika dalm bentuk diagram tabel dari
format laporan
2. Penjelasan mengenai tujuan-tujuan audit setia laporan tersebut akan digunakan dalam
prosedur audit berikutnya untuk mencapai tujuan-tujuan tersebut.