Anda di halaman 1dari 32

ALAT DAN TEKNIK AUDIT YANG DIBANTU KOMPUTER

Tugas Kuliah

Auditing EDP Kelas B

Oleh:

Bella Amanda Putri 150810301041

Alan Nuri Hidayatullah 150810301111

Dendi Fadilah Rahman 150810301144

Afanda Oktorio K.A 170810301259

A. Hajar Nur Fachmi 170810301260

Program Studi Akuntansi

Fakultas Ekonomi dan Bisnis

Universitas Jember

Tahun 2018

1
Pendahuluan

Pada RTM ke 7 ini akan membahas “Alat dan teknik audit yang dibantu
komputer” . Alat dan teknik audit yang dibantu komputer ini memiliki beberapa bahan
pembahasan yaitu kontrol aplikasi, menguji kontrol aplikasi komputer, dan Alat dan
teknik audit yang dibantu komputer untuk menguji kontrol. Alat dan teknik audit yang
dibantu komputer bertujuan untuk memberi pengetahuan kepada mahasiswa program
yang didesain untuk menangani berbagai potensi eksposur yang mengancam aplikasi,
untuk mengetahui Teknik-teknik apa saja yang digunakan pengujian pengendalian
akurasi dan kelengkapan berbagai proses aplikasi, dan cara auditor untuk pengujian
kontrol aplikasi dengan pendekatan CAATT.

Hal yang menarik adalah Dalam Standar Profesional Akuntan Publik (SPAP)
juga ditekankan perlunya pemahaman auditor dalam pemeriksaan sebuah sistem
akuntansi berbasis komputer. Teknik ini dikenal dengan Teknik Audit Berbantuan
Komputer (TABK) atau Computer Assisted Audit Techniques (CAATs). Penggunaan
TABK atau CAATs akan meningkatkan efisiensi dan efektivitas auditor dalam
melaksanakan audit dengan memanfaatkan segala kemampuan yang dimiliki oleh
komputer.

2
PENGENDALIAN APLIKASI

Pengendalian aplikasi adalah berbagai prosedur terprogram yang didesain untuk


menangani berbagai potensi ekposur yang mengancam aplikasi-aplikasi tertentu,
seperti sistem penggajian, pembelian, dan pengeluaran kas. Pengendalian diabgai
dalam tiga kategori umum, yaitu: Pengendalian Input, Pengendalian Pemrosesan, dan
Pengendalian Output.

PENGENDALIAN INPUT

Pengendalian input (input control) pada tahap ini didesain untuk memastikan bahwa
berbagai transaksi ini valid, akurat, dan lengkap. Berbagai prosedur input data dapat
dipicu oleh dokumen sumber (batch) atau input langsung (real-time).

Input dokumen sumber membutuhkan keterlibatan manusia dan cenderung


dapat menimbulkan kesalahan administratif. Beberapa jenis kesalahan yang
dimasukkan dalam dokumen sumber tidak dapat dideteksi serta diperbaiki dalam tahap
input data. Menangani masalah semacam ini dapat membutuhkan penelusuran
transaksi kembali sumbernya (seperti menghubungi pelanggan terkait) untuk
memperbaiki kesalahan. Input langsung, di pihak lain, menggunakan teknik edit real-
time untuk mengidentifikasi serta memperbaiki berbagai kesalahan, hingga cara
signifikan dapat mengurangi jumlah kesalahan yang masuk ke dalam sistem.

Kelas Pengendalian Input

Untuk kenyamanan penyajian dan untuk membentuk struktur pembahasan, maka


pengendalian input dalam BAB ini dibagi ke dalam kelas-kelas umum berikut ini:

 Pengendalian dokumen sumber


 Pengendalian pengodean data
 Pengendalian batch
 Perbaikan kesalahan input
 Sistem input data umum

Pengendalian Dokumen Sumber. Pengendalian harus dilaksanakan dengan hati-hati


atas dokumen sumber fisik dalam sistem yang menggunakannya untuk memulai
transaksi. Penipuan dengan dokumen sumber dapat dilakukan untuk memindahkan
aset dari perusahaan. Contohnya, seseorang yang memiliki akses pesanan pembelian
dan laporan penerimaan dapat membuat transaksi pembelian ke pemasok yang fiktif.
Jika dokumen semacam ini masuk ke dalam aliran pemrosesan data, bersama dengan
faktur pemasok buatan, maka sistem dapat saja memproses berbagai dokumen ini
seolah-olah telah terjadi transaksi yang sah. Tanpa adanya pengendalian pengganti
lainnya untuk mendeteksi penipuan sejenis ini, sistem tersebut akan membuat utang
dagang dan selanjutnya akan menulis pembayaran dengan cek.
Untuk mengendalikan eksprosur jenis ini, perusahaan harus
mengimplementasikan berbagai prosedur pengendalian atas dokumen sumber dengan
memperhitungkan setiap dokumen, seperti yang dijelaskan di bawah ini:

3
Menggunakan Dokumen Sumber yang Diberi Nomor Terlebih Dulu. Dokumen sumber
harus dibuat otomatis dengan nomor melalui printer yang menunjukkan urutan angka
di setiap dokumen. Nomor pada dokumen sumber memungkinkan akuntansi yang
akurat atas penggunaan dokumen dan menyediakan jejak audit untuk penelusuran
berbagai transaksi melalui berbagai catatan akuntansi. Hal ini akan dibahas lebih jauh
dalam bagian selanjutnya.

Menggunakan Dokumen Sumber secara Berurutan. Dokumen sumber harus


didistribusikan ke para pengguna dan digunakan secara berurutan. Hal ini akan
membutuhkan dijaganya keamanan fisik yang memadai atas berbagai file dokumen
sumber di lokasi pengguna. Ketika sedang tidak digunakan, dokumen-dokumen
tersebut harus dikunci. Akses ke dokumen sumber harus dibatasi hanya untuk orang-
orang yang diberi otorisasi.

Mengaudit Dokumen Sumber secara Berkala. Merekonsiliasi urutan angka dokumen


dilakukan untuk mengidentifikasi berbagai dokumen sumber yang hilang. Secara
berkala, auditor harus membandingkan berbagai jumlah dokumen yang digunakan
hingga saat ini dengan yang tersisa dalam file ditambah yang dibatalkan karena
kesalahan. Dokumen-dokumen yang tidak diperhitungkan harus dilaporkan ke pihak
manajemen.

Pengendalian Pengodean Data. Pengendalian pengodean adalah pemeriksaan


integritas kode data yang digunakan dalam pemrosesan. Nomor akun seorang
pelanggan, nomor barang persediaan, dan daftar akun adalah contoh dari kode data.
Terdapat tiga jenis kesalahan yang dapat merusak data dan menyebabkan kesalahan
dalam pemrosesan, yaitu kesalahan transkripsi, kesalahan transposisi tunggal, dan
kesalahan tranposisi jamak. Kesalahan transkripsi dapat dibagi ke dalam tiga kategori:
 Kesalahan penambahan terjadi ketika angka atau karakter tambahan
ditambahkan ke dalam kode. Contohnya, nomor barang persediaan 83276
dicatat sebagai 832766.
 Kesalahan pemotongan terjadi ketika sebuah angka atau karakter dipindahkan
dari akhir kode. Dalam kesalahan jenis ini, barang persediaan di atas akan
dicatat sebagai 8327.
 Kesalahan substitusi adalah penggantian satu angka dalam sebuah kode
dengan angka lainnya. Contohnya, nomor kode 83276 dicatat sebagai 83266.
Terdapat dua jenis kesalahan transposisi. Kesalahan transposisi tunggal terjadi ketika
dua angka yang berurutan terbalik. Contohnya, kode 83276 dicatat sebagai 38276.
Kesalahan transposisi jamak terjadi ketika angka-angka yang tidak berurutan terbalik.
Contohnya, kode 83276 dicatat sebagai 87236.

Angka Pemeriksa. Salah satu metode untuk mendeteksi kesalahan pengodean data
adalah dengan Angka Pemeriksa. Angka pemeriksa adalah angka pengendali yang
ditambahkan pada kode terkait pada saat kode tersebut diberikan hingga
memungkinkan integritas kode terbentuk selama pemroresan selanjutnya. Angka
pemeriksa dapat ditempatkan dimana saja dalam suatu kode: sebagai awalan, akhiran,

4
atau dilekatkan di tengah. Contohnya, untuk kode akun pelanggan nomor 5372 maka
hitungan angka pemeriksanya adalah:
5 + 3 + 7 + 2 = 17

Pengendalian Batch. Adalah metode yang tidak efektif dalam mengelola volume data
transaksi yang besar dalam sistem. Tujuan dari pengendalian batch adalah untuk
merekonsiliasi ouput yang dihasilkan oleh sistem dengan input yang dimasukkan ke
dalam sistem terkait. Pengendalian ini memberikan kepastian bahwa:
 Semua record dalam batch diproses.
 Tidak ada record yang diproses lebih dari sekali.
 Adanya jejak audit transaksi mulai dari tahap input, pemrosesan, hingga output
sistem.
Untuk mencapai tujuan dari pengendalian batch maka dibutuhkan beberapa
kelompok jenis input yang hampir sama atas berbagai transaksi (seperti pesanan
penjualan) dalam bentuk batch dan kemudian mengendalikan batch tersebut selama
pemrosesan data. Digunakan dua dokumen untuk melakukan pekerjaan ini: sebuah
lembar transmisi batch dan daftar pengendali batch. Figur 7-1 menunjukkan contoh
dari lembar transmisi batch. Lembar transmisi batch tersebut menangkap berbagai
informasi yang relevan seperti hal-jal berikut ini:
 Nomor batch yang unik
 Tanggal batch
 Kode transaksi (menunjukkan jenis transaksi, seperti pesanan penjualan
atau penerimaan kas)
 Jumlah record dalam batch (perhitungan record)
 Nilai total uang dalam field keuangan (pengendali total batch)
 Total field nonkeuangan yang unik (total lain-lain)

5
6
Pengendalian Validasi. Pengendalian validsiasi input ditujukan untuk mendeteksi
berbagai kesalahan data transaksi sebelum data tersebut diproses. Prosedur validasi
akan sangat efektif jika dilakukan sedekat mungkin dengan sumber transaksinya. Akan
tetapi, tergantung dari jenis CBIS yang digunakan, validasi input dapat terjadi pada
berbagai titik dalam sistem. Contohnya, beberapa prosedur validasi input dapat
mensyaratkan adanya referensi ke file master terkini. CBIS menggunakan pemrosesan
real-time atau pemrosesan batch dengan file master berakses langsung yang dapat
memvalidasi data di tahap input. Figur 7-4 (a) dan (b) menggambarkan teknik ini.
Jika CBIS menggunakan pemrosesan batch dengan file berurutan, record
transaksi yang divalidasi harus terlebih dulu diurutkan dalam urutan yang sama dengan
file masternya. Oleh karena itu, suoaya lebih praktis, tiap modul pemrosesan, sebelum
memperbarui record file master, akan melakukan beberapa prosedur validasi.
Pendekatan ini ditunjukkan dalam Figur 7-5.

7
Terdapat tiga tingkat pengendalian validasi input:
1) Interogasi lapangan
2) Rekam interogasi
3) interogasi file

Interogasi Lapangan. Interogasi lapangan melibatkan prosedur yang diprogram yang


memeriksa karakteristik data di Held. Berikut ini adalah beberapa jenis interogasi
lapangan yang umum.

Pengecekan data yang tidak ada digunakan untuk memeriksa isi dari suatu
bidang untuk keberadaan ruang kosong. Beberapa bahasa pemrograman
bersifat membatasi untuk pembenaran (kanan atau kiri) data dalam bidang
tersebut. Jika data tidak dibenarkan dengan benar atau jika karakter hilang (telah
diganti dengan kosong), nilai dalam bidang akan diproses secara tidak benar.
Dalam beberapa kasus, kehadiran kosong dalam bidang data numerik dapat
menyebabkan kegagalan sistem. Ketika program validasi mendeteksi kosong di
mana ia mengharapkan untuk melihat nilai data, ini akan ditafsirkan sebagai
kesalahan.

8
Pemeriksaan data numerik-alfabetik menentukan apakah bentuk data yang
benar ada di bidang. Misalnya, saldo akun pelanggan tidak boleh berisi data
abjad. Seperti kosong, data abjad dalam bidang angka dapat menyebabkan
kesalahan pemrosesan yang serius.

Pemeriksaan nilai nol digunakan untuk memverifikasi bahwa bidang-bidang


tertentu dipenuhi dengan angka nol. Beberapa bahasa program mengharuskan
bidang yang digunakan dalam operasi matematika dimulai dengan nol sebelum
diproses. Kontrol ini dapat memicu kontrol koreksi otomatis untuk mengganti isi
bidang dengan nol jika mendeteksi nilai bukan nol.

Batasi pemeriksaan menentukan apakah nilai di lapangan melebihi batas yang


diizinkan. Sebagai contoh, asumsikan kebijakan perusahaan adalah bahwa tidak
ada karyawan yang bekerja lebih dari 44 jam per minggu. Program validasi
sistem penggajian dapat menginterogasi bidang jam kerja dalam catatan
penggajian mingguan untuk nilai yang lebih besar dari 44.

Rentang pemeriksaan menetapkan batas atas dan bawah ke nilai data yang
dapat diterima. Misalnya, jika kisaran tingkat pembayaran untuk karyawan per
jam dalam perusahaan adalah antara 8 dan 20 dolar, semua catatan penggajian
dapat diperiksa untuk melihat bahwa rentang ini tidak terlampaui. Tujuan dari
kontrol ini adalah untuk mendeteksi kesalahan keystroke yang menggeser titik
desimal satu atau lebih banyak tempat. Itu tidak akan mendeteksi kesalahan di
mana tingkat pembayaran yang benar, katakanlah, 9 dolar salah dimasukkan
sebagai 15 dolar.

Pemeriksaan validitas membandingkan nilai aktual dalam bidang terhadap nilai


yang dapat diterima yang diketahui. Kontrol ini digunakan untuk kejujuran hal-hal
seperti kode transaksi, singkatan negara, atau kode keterampilan kerja
karyawan. Jika nilai di lapangan tidak sesuai dengan salah satu nilai yang dapat
diterima, catatan tersebut dianggap salah.

Ini adalah kontrol yang sering digunakan dalam sistem pencairan tunai. Salah
satu bentuk pencairan uang tunai melibatkan manipulasi sistem untuk mencemari
pembayaran curang kepada vendor yang tidak ada. Untuk mencegah hal ini,
perusahaan dapat membuat daftar vendor yang valid dengan siapa ia melakukan
bisnis secara eksklusif. Jadi, sebelum pembayaran kewajiban perdagangan,
nomor vendor pada voucher pencairan tunai dicocokkan dengan daftar vendor
yang valid oleh program validasi. Jika kode tidak cocok, pembayaran ditolak, dan
tinjauan manajemen transaksi.

Periksa kontrol digit mengidentifikasi kesalahan keystroke di bidang kunci


dengan menguji validitas internal kode. Kami mendiskusikan teknik kontrol ini di
bagian sebelumnya.

Rekam Interogasi. Rekam prosedur interogasi memvalidasi seluruh catatan dengan


memeriksa keterkaitan nilai Held-nya. Beberapa tes tipikal dibahas di bawah ini.

9
Pemeriksaan masuk akal menentukan apakah suatu nilai dalam satu bidang,
yang telah melewati pemeriksaan batas dan pemeriksaan rentang, masuk akal
bila dipertimbangkan bersama dengan bidang data lain dalam catatan. Misalnya,
tingkat gaji karyawan sebesar 18 dolar per jam berada dalam kisaran yang dapat
diterima. Namun, tingkat ini berlebihan jika dibandingkan dengan kode
keterampilan kerja karyawan sebesar 693; karyawan di kelas keterampilan ini
tidak pernah menghasilkan lebih dari 12 dolar per jam.

Uji tanda periksa adalah tes untuk melihat apakah tanda bidang benar untuk
jenis catatan yang sedang diproses. Misalnya, dalam sistem pemrosesan
pesanan penjualan, bidang jumlah dolar harus positif untuk pesanan penjualan
tetapi negatif untuk transaksi pengembalian penjualan. Kontrol ini dapat
menentukan kebenaran tanda dengan membandingkannya dengan bidang kode
transaksi.

Pemeriksaan urutan digunakan untuk menentukan apakah suatu catatan tidak


sesuai pesanan. Dalam sistem batch yang menggunakan file master berurutan,
file transaksi yang sedang diproses harus diurutkan dalam urutan yang sama
dengan kunci primer dari file master yang sesuai. Persyaratan ini sangat penting
untuk logika pemrosesan program pembaruan. Oleh karena itu, sebelum setiap
catatan transaksi diproses, urutannya diverifikasi relatif terhadap catatan
sebelumnya yang diproses.

Interogasi File. Tujuan dari interogasi file adalah untuk memastikan bahwa file yang
benar sedang diproses oleh sistem. Kontrol ini sangat penting untuk file induk, yang
berisi catatan permanen dari sirip dan yang, jika hancur atau rusak, sulit untuk diganti.

Label internal memeriksa kejujuran bahwa file yang diproses adalah yang
sebenarnya diminta oleh program, File yang disimpan di pita magnetik biasanya
disimpan secara off-line di perpustakaan tape. File-file ini memiliki label eksternal
yang mengidentifikasi mereka (berdasarkan nama dan nomor seri) ke tape
librarian dan operator. Pelabelan eksternal biasanya merupakan prosedur
manual dan, seperti halnya tugas manual, rentan terhadap kesalahan. Kadang-
kadang, label eksternal yang salah secara salah ditempelkan ke file ketika
dibuat. Jadi, ketika file dipanggil lagi, file yang salah akan diambil dan
ditempatkan pada tape drive untuk diproses. Tergantung pada bagaimana file
tersebut digunakan, ini dapat mengakibatkan kehancuran atau korupsi. Untuk
mencegah hal ini, sistem operasi membuat label header internal yang
ditempatkan di awal file. Contoh label header ditunjukkan pada Gambar 7.6.

Untuk memastikan bahwa file yang benar akan diproses, sistem akan cocok
dengan nama file dan nomor seri di label header dengan persyaratan file
program. Jika file yang salah telah dimuat, sistem akan mengirim operator pesan
dan menangguhkan pemrosesan. Perlu dicatat bahwa meskipun pemeriksaan
label umumnya merupakan fitur standar, ini adalah opsi yang dapat ditimpa oleh
programmer dan operator.

10
Pemeriksaan versi digunakan untuk memverifikasi bahwa versi file yang sedang
diproses sudah benar. Dalam pendekatan kakek-nenek-anak, banyak versi file
master dan transaksi mungkin ada. Pemeriksaan versi membandingkan nomor
versi file yang sedang diproses dengan persyaratan program.

Pemeriksaan tanggal kedaluwarsa mencegah file dihapus sebelum berakhir.


Dalam sistem GPC, misalnya, setelah jumlah file cadangan yang memadai
dibuat, file cadangan tertua digores (dihapus dari disk atau pita) untuk
menyediakan ruang bagi file baru.

Untuk melindungi dari menghancurkan file yang aktif secara tidak sengaja,
sistem terlebih dahulu memeriksa tanggal kedaluwarsa yang terdapat di label
header. Jika periode retensi belum kedaluwarsa, sistem akan menghasilkan
pesan kesalahan dan membatalkan prosedur goresan. Kontrol tanggal
kedaluwarsa adalah ukuran opsional. Panjang periode retensi ditentukan oleh
programmer dan berdasarkan jumlah file cadangan yang diinginkan. Jika
programmer memilih untuk tidak menentukan tanggal kedaluwarsa, kontrol
terhadap penghapusan tidak disengaja dihapuskan.

Pengoreksian Kesalahan Input. Ketika kesalahan terdeteksi dalam batch, mereka


harus dikoreksi dan catatan dikirim kembali untuk diproses ulang. Ini harus menjadi
proses yang terkontrol untuk memastikan bahwa kesalahan ditangani sepenuhnya dan
benar. Ada tiga teknik penanganan kesalahan umum: (1) benar segera, (2) membuat
file kesalahan, dan (3) menolak seluruh batch.

Segera Koreksi. Jika sistem menggunakan pendekatan validasi data langsung


(lihat 7-4 (a) dan (b)), deteksi kesalahan dan koreksi juga dapat terjadi selama
entri data. Setelah mendeteksi kesalahan penekanan tombol atau hubungan
tidak logis, sistem harus menghentikan prosedur entri data sampai pengguna
memperbaiki kesalahan.

Buat File Kesalahan. Ketika validasi tertunda digunakan, seperti dalam sistem
batch dengan file sekuensial, kesalahan individu harus ditandai untuk
mencegahnya diproses. Pada akhir prosedur validasi, catatan ditandai sebagai
kesalahan dihapus dari batch dan ditempatkan dalam sementara kesalahan
memegang ubin sampai kesalahan dapat diselidiki.

Beberapa kesalahan dapat dideteksi selama prosedur input data. Namun, seperti
yang disebutkan sebelumnya, modul pembaruan melakukan beberapa tes
validasi. Dengan demikian, catatan kesalahan dapat ditempatkan pada file
kesalahan di beberapa titik berbeda dalam proses. Pada setiap titik validasi,
sistem secara otomatis menyesuaikan total kontrol batch untuk mencerminkan
penghapusan catatan kesalahan dari batch. Dalam prosedur terpisah, perwakilan
pengguna yang berwenang akan melakukan koreksi terhadap catatan kesalahan
dan mengirimkannya kembali sebagai batch terpisah untuk diproses ulang.

Kesalahan yang terdeteksi selama pemrosesan memerlukan penanganan yang


hati-hati. Rekaman ini mungkin sudah diproses sebagian. Oleh karena itu, cukup

11
mengirim ulang rekaman yang dikoreksi ke sistem melalui tahap input data dapat
menghasilkan pemrosesan transaksi ini dua kali. Ada dua metode untuk
menangani kompleksitas ini. Yang pertama adalah membalikkan efek dari
transaksi yang diproses sebagian dan mengirim ulang rekaman yang dikoreksi
10 tahap input data. Yang kedua adalah memasukkan kembali catatan yang
dikoreksi ke tahap pemrosesan di mana kesalahan terdeteksi. Dalam kedua
kasus, prosedur kontrol batch (menyiapkan catatan kontrol batch dan logging
batch) berlaku untuk data yang dikirim ulang, seperti yang mereka lakukan untuk
pemrosesan batch normal.

Tolak Batch. Beberapa bentuk kesalahan terkait dengan seluruh kelompok dan
tidak secara jelas disebabkan oleh catatan individu. Contoh dari jenis kesalahan
ini adalah ketidakseimbangan dalam total kontrol batch. Asumsikan bahwa
lembar pengiriman untuk batch pesanan penjualan menunjukkan nilai penjualan
total $ 122,674.87, tetapi prosedur input data menghitung total penjualan hanya $
121.454.32.Apa yang menyebabkan ini? Apakah masalah itu adalah catatan
yang hilang atau berubah? Atau apakah petugas kontrol data salah menghitung
total kontrol batch? Solusi yang paling efektif dalam hal ini adalah menghentikan
pemrosesan dan mengembalikan seluruh batch ke kontrol data untuk
mengevaluasi, mengoreksi, dan mengirim ulang.

Batch kesalahan adalah salah satu alasan untuk menjaga ukuran menetas ke
nomor yang dapat dikelola. Terlalu sedikit catatan dalam batch membuat proses
penetasan tidak efisien. Terlalu banyak catatan membuat deteksi kesalahan
menjadi sulit, menciptakan gangguan bisnis yang lebih besar ketika penetasan
ditolak, dan meningkatkan kemungkinan kesalahan saat menghitung total kontrol
batch.

Sistem Input Data Umum. Untuk mencapai tingkat kontrol dan standardisasi yang
tinggi terhadap prosedur validasi input, beberapa organisasi menggunakan sistem
input data umum (GDIS). Teknik ini termasuk prosedur terpusat untuk mengelola input
data untuk semua sistem pemrosesan transaksi organisasi. Pendekatan GDIS memiliki
tiga keunggulan. Pertama, meningkatkan kontrol dengan memiliki satu sistem umum
melakukan semua validasi data. Kedua, GDIS memastikan bahwa setiap aplikasi AIS
menerapkan standar konsisten untuk validasi data. Ketiga, GDIS meningkatkan
efisiensi pengembangan sistem. Mengingat tingginya tingkat kesamaan dalam
persyaratan validasi input untuk aplikasi AIS, GDIS menghilangkan kebutuhan untuk
membuat ulang rutinitas berlebihan untuk setiap aplikasi baru.GDIS memiliki lima
komponen utama:

1. Modul validasi umum


2. File data yang divalidasi
3. File kesalahan
4. Laporan kesalahan
5. Log transaksi

12
Modul Validasi Generalized. Modul validasi umum (GVM) melakukan rutin
validasi standar yang umum untuk banyak aplikasi yang berbeda. Rutinitas ini
disesuaikan dengan kebutuhan aplikasi individu melalui parameter yang
menentukan persyaratan spesifik program. Misalnya, GVM dapat menerapkan
pemeriksaan rentang ke bidang RATE PERINGKAT catatan penggajian. Batas
kisarannya adalah 6 dolar dan 15 dolar. Uji jangkauan adalah prosedur umum;
batas dolar adalah parameter yang menyesuaikan prosedur ini. Prosedur validasi
untuk beberapa aplikasi mungkin sangat unik untuk menentang solusi umum.
Untuk memenuhi tujuan dari sistem input data umum, GVM harus cukup fleksibel
untuk memungkinkan prosedur khusus yang ditentukan pengguna untuk aplikasi
unik. Prosedur ini disimpan, bersama dengan prosedur umum, dan diminta oleh
GVM sesuai kebutuhan.

 File Data yang Divalidasi. Data input yang divalidasi oleh GVM disimpan
pada file data yang divalidasi. Ini adalah sementara yang menahan saya
melalui arus transaksi yang divalidasi ke aplikasi masing-masing. File ini
analog dengan tangki air yang tingkatnya terus berubah, karena diisi dari
atas oleh GVM dan dikosongkan dari bawah oleh aplikasi.
 File Kesalahan. File kesalahan dalam GDIS memainkan peran yang sama
sebagai file kesalahan tradisional. Catatan kesalahan terdeteksi selama
validasi busur yang disimpan di saya, diperbaiki, dan kemudian dikirim
kembali ke GVM.
 Laporan Kesalahan. Laporan kesalahan standar didistribusikan kepada
pengguna untuk memfasilitasi koreksi kesalahan. Misalnya, jika bidang
RATE HOURLY dalam catatan pembayaran gagal pemeriksaan rentang,
laporan kesalahan akan menampilkan pesan kesalahan yang
menyatakan masalah itu. Laporan ini juga akan menyajikan isi dari
catatan yang gagal, bersama dengan batas jangkauan yang dapat
diterima yang diambil dari parameter.
 Log Transaksi. Log transaksi adalah catatan permanen dari semua
transaksi yang divalidasi. Dari sudut pandang catatan akuntansi, log
transaksi setara dengan jurnal dan merupakan elemen penting dalam
jejak audit. Namun, hanya transaksi yang berhasil (yang akan diproses
sepenuhnya) yang harus dimasukkan dalam jurnal. Jika transaksi akan
menjalani pengujian validasi tambahan selama fase pemrosesan (yang
dapat mengakibatkan penolakannya), transaksi tersebut harus
dimasukkan dalam log transaksi hanya setelah benar-benar divalidasi.
Masalah ini dibahas lebih lanjut di bagian berikutnya di bawah Kontrol
Kontrol Jejak.

Kontrol Proses
Setelah melewati tahap input data, transaksi memasuki tahap pemrosesan
sistem, Kontrol pemrosesan dibagi menjadi tiga kategori: kontrol run-to-run, operator
kontrol intervensi, dan Kontrol Jejak Audit
Kontrol Run-to-Run

13
Sebelumnya, kami membahas persiapan figur kontrol batch sebagai elemen input
kontrol. Kontrol run-to-run menggunakan angka batch untuk memantau batch saat
berpindah satu prosedur yang diprogram (dijalankan) ke yang lain. Kontrol ini
memastikan bahwa setiap program dijalankan dalam sistem memproses bets dengan
benar dan lengkap. Angka-angka kontrol batch mungkin terkandung baik dalam
catatan kontrol terpisah yang dibuat pada tahap input data atau internal label.
Spesifikasi spesifik dari angka kontrol run-to-run dijelaskan dalam paragraf berikut.
A. Hitung Ulang Total Kontrol. Setelah setiap operasi besar dalam proses dan
sesudahnya setiap run, bidang jumlah dolar, total hash, dan jumlah catatan
diakumulasikan dan dibandingkan ke nilai terkait yang disimpan dalam rekaman
kontrol.
B. Kode Transaksi. Kode transaksi setiap record dalam batch dibandingkan kode
transaksi yang terkandung dalam catatan kontrol. Ini memastikan bahwa hanya
yang benar jenis transaksi sedang diproses.
C. Cek berurutan. Dalam sistem yang menggunakan file master berurutan, urutan
transaksi catatan dalam batch sangat penting untuk memperbaiki dan
menyelesaikan proses. Kontrol pengecekan urutan membandingkan urutan setiap
record dalam batch dengan catatan sebelumnya untuk memastikan bahwa
pemilahan yang tepat terjadi.
Gambar 7.10 mengilustrasikan usc kontrol run-to-run dalam sistem siklus pendapatan.
Aplikasi ini terdiri dari empat jalur: (1) input data, (2) pembaruan piutang,
(3) pembaruan inventaris, dan (4) output. Di akhir akun, jalankan piutang, batch
Angka kontrol dihitung ulang dan direkonsiliasi dengan total kontrol yang dilewatkan
dari input data dijalankan. Angka-angka ini kemudian diteruskan ke pembaruan
inventaris berjalan, di mana mereka kembali dihitung ulang, direkonsiliasi, dan
diteruskan ke output run. Kesalahan terdeteksi di masing-masing
run ditandai dan ditempatkan di ubin kesalahan. Angka-angka kontrol run-to-run
(batch) adalah kemudian disesuaikan untuk mencerminkan penghapusan catatan-
catatan ini.

14
Kontrol Intervensi Operator
Sistem terkadang memerlukan intervensi operator untuk memulai tindakan tertentu,
seperti memasukkan total kontrol untuk sekumpulan rekaman, menyediakan nilai
parameter untuk operasi logis, dan mengaktifkan program dari titik yang berbeda ketika
memasukkan kembali catatan kesalahan yang diproses secara semi. Intervensi
operator meningkatkan potensi kesalahan manusia. Sistem yang membatasi intervensi
operator melalui kontrol intervensi operator dengan demikian kurang rentan terhadap
kesalahan pemrosesan. Meskipun mungkin mustahil untuk menghilangkan keterlibatan
operator sepenuhnya, nilai parameter dan titik awal program harus, sedapat mungkin)
diturunkan secara logis atau diberikan kepada sistem melalui tabel pencarian.

Kontrol Jejak Audit


Pelestarian jejak audit adalah tujuan penting dari pengendalian proses. Dalam sistem
akuntansi, setiap transaksi harus dapat dilacak melalui setiap tahap pemrosesan dari
sumber ekonomi ke penyajiannya dalam laporan keuangan. Dalam lingkungan yang
otomatis, jejak audit dapat menjadi terfragmentasi dan sulit untuk diikuti. Dengan
demikian menjadi penting bahwa setiap operasi besar yang diterapkan pada transaksi

15
didokumentasikan secara menyeluruh. Berikut ini adalah contoh teknik yang digunakan
untuk mempertahankan jejak audit dalam sistem akuntansi berbasis komputer.
A. Log Transaksi. Setiap transaksi yang berhasil diproses oleh sistem harus
dicatat pada log transaksi, yang berfungsi sebagai jurnal. Ada dua alasan untuk
membuat log transaksi. Pertama, log transaksi adalah catatan transaksi
permanen. File transaksi yang divalidasi yang dihasilkan pada fase input data
biasanya adalah file sementara. Setelah diproses, catatan pada file ini dihapus
(tergores) untuk memberi ruang bagi batch transaksi berikutnya. Kedua, tidak
semuanya catatan dalam file pengalihan yang divalidasi dapat berhasil
diproses. Beberapa tes kegagalan catatan ini di tahapan pemrosesan
berikutnya. Log transaksi harus berisi hanya transaksi yang berhasil - transaksi
yang telah mengubah saldo akun. Transaksi yang tidak berhasil harus
ditempatkan dalam file kesalahan. Log transaksi dan file kesalahan yang
digabungkan harus memperhitungkan semua transaksi dalam batch. Transaksi
yang divalidasi itu kemudian tergores tanpa kehilangan data. Sistem harus
menghasilkan daftar transaksi hard copy dari semua transaksi yang berhasil.
B. Log Transaksi Otomatis. Beberapa transaksi dipicu secara internal oleh
sistem. Contoh dari ini adalah ketika persediaan turun di bawah titik
pemesanan ulang standar, dan sistem secara otomatis memproses pesanan
pembelian. Untuk mempertahankan jejak audit dari kegiatan ini, semua
transaksi yang dihasilkan secara internal harus ditempatkan dalam log
transaksi.
C. Pencatatan Transaksi Otomatis. Untuk mempertahankan kendali atas
transaksi otomatis yang diproses oleh sistem, pengguna akhir yang
bertanggung jawab harus menerima daftar terperinci dari semua transaksi yang
dihasilkan secara internal.
D. Pengidentifikasi Transaksi Unik. Setiap transaksi yang diproses oleh sistem
harus diidentifikasi secara unik dengan nomor transaksi. Ini adalah satu-
satunya cara praktis untuk melacak transaksi tertentu melalui database ribuan
atau bahkan jutaan catatan. Dalam sistem yang menggunakan dokumen
sumber fisik, nomor unik yang tercetak pada dokumen dapat ditranskripsi
selama input data dan digunakan untuk tujuan ini. Dalam sistem real-time, yang
tidak menggunakan dokumen sumber, sistem harus menetapkan setiap
transaksi nomor unik.

16
E. Daftar Kesalahan. Daftar semua catatan kesalahan harus diberikan kepada
pengguna yang sesuai untuk mendukung koreksi kesalahan dan pengiriman
ulang.

Kontrol Output
Kontrol output memastikan bahwa output sistem tidak hilang, salah arah, atau rusak
dan privasi itu tidak dilanggar. Eksposur semacam ini dapat menyebabkan gangguan
serius operasi dan dapat mengakibatkan kerugian finansial bagi perusahaan. Sebagai
contoh, jika cek yang dihasilkan oleh sistem pencairan uang tunai perusahaan hilang,
salah arah, atau dihancurkan, rekening perdagangan dan tagihan lainnya mungkin
tidak terbayarkan. Ini dapat merusak peringkat kredit perusahaan dan mengakibatkan
diskon, bunga, atau denda penalti yang hilang. Jika privasi jenis output tertentu
dilanggar, finn bisa memiliki tujuan bisnisnya terganggu, atau bahkan bisa menjadi
terekspos secara hukum. Contoh-contoh eksposur privasi termasuk pengungkapan
rahasia dagang, paten yang tertunda, hasil riset pemasaran, dan rekam medis pasien.
Jenis metode pemrosesan yang digunakan mempengaruhi pilihan kontrol yang
digunakan untuk melindungi output sistem. Umumnya, sistem batch lebih rentan
terhadap paparan dan membutuhkan tingkat kontrol yang lebih besar daripada sistem
real-time. Di bagian ini, kami memeriksa eksposur output dan kontrol untuk kedua
metode.
Mengendalikan Output Sistem Batch
Sistem batch biasanya menghasilkan output dalam bentuk hard copy, yang biasanya
membutuhkan keterlibatan perantara dalam produksi dan distribusinya. Gambar 7.12
menunjukkan tahapan dalam proses output dan berfungsi sebagai dasar untuk sisa
bagian ini. Output dikeluarkan dari printer oleh operator komputer, dipisahkan menjadi
lembaran dan dipisahkan dari laporan lain, ditinjau untuk kebenaran oleh petugas
kontrol data , dan kemudian dikirim melalui surat antar kantor kepada pengguna akhir.
Setiap tahap dalam proses ini adalah titik paparan potensial di mana output dapat
ditinjau, dicuri, disalin, atau salah arah. Eksposur tambahan terjadi ketika memproses
atau mencetak salah dan menghasilkan output yang tidak dapat diterima oleh
pengguna akhir. Laporan yang rusak atau rusak sebagian ini sering dibuang ke tempat
sampah. Penjahat komputer telah berhasil menggunakan limbah tersebut untuk
mencapai tujuan terlarang mereka. Setelah itu, kami memeriksa teknik untuk
mengontrol setiap fase dalam proses output.

17
Perlu diingat bahwa tidak semua teknik ini akan selalu berlaku untuk setiap item output
yang dihasilkan oleh sistem. Seperti biasa, kontrol digunakan berdasarkan biaya-
manfaat yang ditentukan oleh sensitivitas data dalam laporan.
A. Keluaran Spooling. Dalam operasi pemrosesan data skala besar, perangkat output
seperti printer garis dapat menjadi buntu dengan banyak program sekaligus
menuntut sumber daya yang terbatas ini. Backlog ini dapat menyebabkan
kemacetan, 'yang berdampak buruk pada throughput sistem. Aplikasi yang
menunggu untuk mencetak output menempati memori komputer dan memblokir
aplikasi lain agar tidak memasuki aliran pemrosesan. Untuk meringankan beban ini,
aplikasi sering dirancang untuk mengarahkan output mereka ke file disk magnetik
daripada ke printer secara langsung. Ini disebut spooling output. Kemudian, 'ketika
sumber daya printer tersedia, file output dicetak.
Pembuatan file output sebagai langkah perantara dalam proses pencetakan
menyajikan paparan tambahan. Seorang penjahat komputer dapat menggunakan
kesempatan ini untuk melakukan tindakan yang tidak sah berikut;
• Akses file output dan ubah nilai data penting (seperti jumlah dolar pada cek).
Program printer kemudian akan mencetak output yang rusak seolah-olah
dihasilkan oleh output yang dijalankan. Dengan menggunakan teknik ini, seorang
penjahat dapat secara efektif menghindari kontrol pemrosesan yang dirancang
ke dalam aplikasi.

18
• Akses file dan ubah jumlah salinan output yang akan dicetak. Salinan tambahan
kemudian dapat dihapus tanpa pemberitahuan selama tahap pencetakan.
• Buat salinan file output untuk menghasilkan laporan output ilegal.
• Hancurkan output saya sebelum mencetak output berlangsung.
Auditor harus menyadari eksposur potensial ini dan memastikan bahwa akses yang
tepat dan prosedur cadangan tersedia untuk melindungi file output.

B. Program Cetak. 'Ketika printer tersedia, program cetak berjalan menghasilkan


output cetak dari file output. Program cetak seringkali merupakan sistem yang rumit
yang membutuhkan intervensi operator. Tuangkan jenis tindakan operator yang
umum diikuti;
1. Menjeda program cetak untuk memuat jenis dokumen output yang benar
(periksa saham, faktur, atau bentuk khusus lainnya).
2. Memasukkan parameter yang dibutuhkan oleh cetakan 111n, seperti jumlah
salinan yang akan dibuat dicetak.
3. Memulai kembali proses cetak di pos pemeriksaan yang ditentukan setelah
kegagalan fungsi printer.
4. Menghapus hasil cetak dari printer untuk diperiksa dan didistribusikan.
Kontrol program cetak dirancang untuk menangani dua jenis eksposur yang
disajikan oleh lingkungan ini: (1) produksi salinan output yang tidak sah dan (2)
penelusuran karyawan atas data sensitif. Beberapa program cetak memungkinkan
operator untuk menentukan lebih banyak salinan output daripada yang diminta oleh
file keluaran, yang memungkinkan untuk menghasilkan salinan output yang tidak
sah. Salah satu cara untuk mengendalikan ini adalah dengan menggunakan output
kontrol dokumen yang serupa dengan kontrol dokumen sumber yang dibahas
sebelumnya. Hal ini layak ketika berhadapan dengan faktur yang diberi nomor untuk
pelanggan penagihan atau diberi nomor periksa stok. Pada akhir proses, jumlah
salinan yang ditentukan oleh file output dapat direkonsiliasi dengan jumlah dokumen
output aktual yang digunakan.

C. Ledakan. Ketika laporan output dihapus dari printer, mereka pergi ke tahap burst
untuk memisahkan halaman dan menyusunnya. Kekhawatiran di sini adalah
bahwa petugas yang meledak dapat membuat salinan laporan yang tidak sah,
menghapus halaman dari laporan, atau membaca informasi sensitif. Kontrol utama

19
terhadap eksposur ini adalah pengawasan. Untuk laporan yang sangat sensitif,
peleburan dapat dilakukan oleh pengguna akhir.

D. Limbah. Keluaran komputer yang disia-siakan menyajikan paparan potensial.


Penting untuk membuang laporan yang dibatalkan dan salinan karbon dari kertas
multipartai yang dilepaskan selama meledak dengan benar. Penjahat komputer
telah dikenal untuk menyaring melalui tong sampah mencari keluaran yang
dibuang sembarangan yang dianggap oleh orang lain tidak berharga. Dari sampah
seperti itu, penjahat komputer dapat memperoleh sepotong informasi kunci
tentang riset pasar perusahaan, peringkat kredit pelanggan, atau bahkan
perdagangan rahasia yang dapat mereka jual ke pesaing. Sampah komputer juga
merupakan sumber data teknis, seperti kata sandi dan tabel otoritas, yang dapat
digunakan pelaku untuk mengakses data perusahaan. Pelecehan melalui
penghancur kertas dapat mempermudah proses komputer yang sensitif.

E. Kontrol Data. Di beberapa organisasi, kelompok kontrol data bertanggung jawab


untuk memverifikasi keakuratan output komputer sebelum didistribusikan kepada
pengguna. Biasanya, petugas kontrol data akan meninjau angka-angka kontrol
bets untuk keseimbangan; memeriksa badan laporan untuk data yang rusak, tidak
terbaca, dan hilang; dan mencatat penerimaan laporan dalam log kontrol batch
kontrol data. Untuk laporan yang berisi data yang sangat sensitif, akhirnya
pengguna dapat melakukan tugas-tugas ini. Dalam hal ini, laporan akan melewati
grup kontrol data dan langsung menuju ke pengguna.

F. Distribusi Laporan. Risiko utama yang terkait dengan distribusi laporan termasuk
laporan hilang, dicuri, atau salah arah saat transit kepada pengguna. Sejumlah
tindakan pengendalian dapat meminimalkan keterpaparan ini. Sebagai contoh,
ketika laporan dibuat, nama dan alamat pengguna harus dicetak pada laporan.
Untuk laporan multikopi, file alamat pengguna yang sah harus dikonsultasikan
untuk mengidentifikasi setiap penerima laporan. Mempertahankan kontrol akses
yang memadai atas file ini menjadi sangat penting.
Untuk laporan yang sangat sensitif, teknik distribusi berikut dapat digunakan:
• Laporan dapat ditempatkan dalam kotak pesan aman yang hanya dimiliki oleh
pengguna.

20
• Pengguna mungkin diminta untuk muncul sendiri di pusat distribusi dan
menandatangani sirip 'laporan.
• Petugas keamanan atau kurir khusus dapat mengirimkan laporan kepada
pengguna.

G. Kontrol Pengguna Akhir. Setelah berada di tangan pengguna, laporan output


harus dikaji ulang untuk setiap kesalahan yang mungkin telah menghindari
tinjauan panitera kontrol data. Pengguna berada dalam posisi yang lebih baik
untuk mengidentifikasi kesalahan halus dalam laporan yang tidak diungkapkan
oleh ketidakseimbangan dalam kontrol total. Kesalahan yang dideteksi oleh
pengguna harus dilaporkan ke manajemen layanan komputer yang sesuai.
Kesalahan tersebut mungkin merupakan gejala dari desain sistem yang tidak
benar, prosedur yang salah, kesalahan yang dimasukkan secara tidak sengaja
selama pemeliharaan sistem, atau akses tidak sah ke file data atau program.
Begitu laporan telah memenuhi tujuannya, itu harus disimpan di lokasi yang aman
sampai periode etensinya telah berakhir. Faktor-faktor yang mempengaruhi
lamanya waktu laporan hard copy termasuk:
• Persyaratan hukum yang ditentukan oleh lembaga pemerintah, seperti IRS.
• Jumlah salinan laporan yang ada. Ketika ada beberapa salinan, beberapa
di antaranya dapat ditandai untuk penyimpanan permanen, sementara
sisanya dapat dihancurkan setelah usc.
• Adanya gambar-gambar magnetik atau optik dari laporan yang dapat
bertindak sebagai permanen cadangan.
Ketika tanggal retensi telah berlalu, laporan harus dihancurkan dengan cara
yang konsisten dengan kepekaan isi mereka. Laporan yang sangat sensitif
harus diparut..
Mengontrol Output Sistem Real-Time
Sistem real-time mengarahkan output mereka ke layar komputer, terminal, atau printer
pengguna. Metode distribusi ini menghilangkan berbagai perantara dalam perjalanan
dari pusat komputer ke pengguna dan dengan demikian mengurangi banyak eksposur
yang telah dibahas sebelumnya. Ancaman utama terhadap output real-time adalah
intersepsi, gangguan, kehancuran, atau korupsi dari pesan output ketika melewati
sepanjang hubungan komunikasi. Ancaman ini berasal dari dua jenis eksposur: (1)
eksposur dari kegagalan peralatan; dan (2) eksposur dari tindakan subversif, dimana
oleh penjahat komputer memotong pesan output yang dikirimkan antara pengirim dan

21
penerima kriminal komputer memotong pesan output yang dikirimkan antara pengirim
dan penerima.

MENGUJI BERBAGAI PENGENDALIAN APLIKASI KOMPUTER


Bagian ini membahas beberapa teknik yang digunakan untuk mengaudit aplikasi
komputer. Teknik-teknik pengujian pengendalian menyediakan informasi tentang
akurasi dan kelengkapan berbagai proses aplikasi. Berbagai pengujian ini meliputi dua
pendekatan umum berikut: (1) pendekatan kotak hitam(audit di sekitar komputer) dan
(2) pendekatan kotak putih(melalui komputer). Pertama-tama akan dijelaskan
mengenai pendekatan kotak hitam, baru kemudian akan dikaji beberapa teknik
pengujian dengan pendekatan kotak putih.

1. Pendekatan Kotak Hitam


Para auditor melakukan pengujian dengan pendekatan kotak hitam (black-box
approach) tidak bergantung pada pengetahuan terperinci mengenai logika internal
aplikasi. Namun, mereka berusaha untuk memahami karakteristik fungsional
aplikasi dengan menganalisis diagram alur dan mewawancarai personel terkait
dalam perusahaan klien mereka. Dengan pemahaman atas apa yang seharusnya
dilakukan oleh aplikasi terkait, auditor dapat menguji aplikasi tersebut melalui
rekonsiliasi berbagai transaksi input produksi yang diproses oleh aplikasi dengan
hasil outputnya. Hasil outputtersebut akan dianalisis untuk memverifikasi
kesesuaian aplikasi dengan berbagai persyaratan fungsionalnya.
Keunggulan dari pendekatan kotak hitam adalah aplikasi tidak perlu dihapus
dari fungsi layanannya dan diuji secara langsung. Pendekatan ini layak dilakukan
untuk menguji berbagai aplikasi yang relatif sederhana. Akan tetapi, aplikasi yang
kompleks yaitu aplikasi yang menerima input dari banyak sumber, melakukan
berbagai operasi, atau menghasilkan beberapa output, membutuhkan pendekatan
pengujian yang lebih terfokus untuk memberikan auditor bukti mengenai integritas
aplikasi tersebut.

2. Pendekatan Kotak Putih


Pendekatan kotak putih (white-box approach) bergantung pada pemahaman
yang mendalam atas logika internal aplikasi yang sedang diuji. Pendekatan kotak
putih meliputi beberapa teknik yang digunakan untuk menguji logika aplikasi secara
langsung. Berbagai teknik ini menggunakan sejumlah kecil transaksi uji yang dibuat
khusus untuk memverifikasi aspek-aspek tertentu dari logika aplikasi dan

22
pengendaliannya. Dengan cara ini, para auditor mampu melakukan pengujian
terperinci dengan berbagai variabel yang diketahui, dan bisa memperoleh hasil
yang dapat dibandingkan dengan hasil yang dihitung secara objektif. Beberapa
jenis uji pengendalian yang umumnya ditemukan meliputi berikut ini:
 Uji autentikasi (authenticity tests), yang memverifikasi bahwa seorang individu,
suatu prosedur terprogram, atau suatu pesan (seperti transmisi EDI) yang
mencoba untuk mengakses suatu sistem adalah benar-benar autentik.
Pengendalianautentikasi meliputi ID pengguna, kata sandi, kode pemasok yang
valid, dan tabel otoritas.
 Uji akurasi (accuracy tests), memastikan bahwa sistem terkait hanya
memproses nilai-nilai data yang sesuai dengan berbagai toleransi yang telah
ditentukan. Contohnya meliputiuji kisaran, uji lapangan, dan uji batas.
 Uji kelengkapan(completeness tests), mengidentifikasi data yang hilang dalam
suatu recorddan record yang hilang dari suatu batch. Berbagai jenis pengujian
yang dilakukan meliputi uji lapangan, uji urutan record, total lain-lain, dan total
pengendali.
 Uji redundansi (redundancy tests), menentukan apakah aplikasi memproses
setiap record hanya satu kali saja. Pengendalian redundansi meliputi
rekonsiliasi total batch, perhitungan record, nilai lain-lain, dan total pengendali
keuangan.
 Uji akses (access tests), memastikan bahwa aplikasi terkait mencegah
pengguna yang sah mengakses data secara tidak sah. Pengendalian akses
meliputi pengendalian kata sandi, tabel otoritas, prosedur yang ditentukan
pengguna, enkripsi data, dan pengendalian inferensi.
 Uji jejak audit (audit trail tests), memastikan bahwa aplikasi terkait membuat
jejak audit yang memadai. Hal ini meliputi bukti bahwa aplikasi mencatat semua
transaksi dalam sebuah daftar transaksi, nilai data uang dimasukkan ke akun
yang sesuai, pembuatan catatan transaksi (transaction listings) lengkap, dan
pembuatan file kesalahan dan laporan untuk semua pengecualian.
 Uji kesalahan pembulatan (rounding error test), memverifikasi kebenaran
prosedur pembulatan. Kesalahan pembulatan dapat terjadi dalam informasi
akuntansi ketika tingkat ketepatan yang digunakan dalam perhitungan lebih
besar daripada yang digunakan dalam pelaporan. Contohnya, perhitungan
bunga dalam saldo akun rekening bank dapat saja memiliki ketepatan hingga
lima angka desimal, sementara dalam laporan saldo hanya dibutuhkan dua

23
angka desimal. Jika tiga angka desimal sisanyadibuang begitu saja, maka
nilaibunga total yang dihitung untuk saldo total akun terkait mungkin tidak akan
sama dengan jumlah perhitungannya secara individual.

Gambar 7.15 menunjukkan logika untuk menangani masalah akibat kesalahan


pembulatan. Teknik ini menggunakan akumulator untuk menelusuri perbedaan
pembulatan antara saldo yang dihitung dan dilaporkan. Perhatikanlah bagaimana
tanda dan nilai absolut dari jumlah dalam akumulator memengaruhipembulatan dalam
akun pelanggan. Sebagai gambaran, logika pembulatan tersebut diterapkan pada
Tabel 7.1 untuk tiga saldo bank hipotetis. Perhitungan bunga didasarkan pada tingkat
suku bunga 5,25 persen.

24
Kegagalan untuk menghitungdengan tepat perbedaan pembulatan ini dapat
mengakibatkan ketidakseimbangan antara nilai bunga total (pengendali) dengan
jumlah perhitungan bunga individu untuk tiap akun. Akuntansi yang kurang baik untuk
perbedaan pembulatan juga dapatmemungkinkan terjadinya peluang penipuan.

Program pembulatan sangat rentan terhadap penipuan dengan teknik salami.


Penipuan dengan teknik salami (salami fraud) cenderung berdampakpada sejumlah
besar korbannya, tetapi untuk tiap korban, kerusakannya tidak material. Penamaan
penipuan jenis ini diambil dari analogi memotong salami yang besar (berlaku sebagai
tujuan penipuan) menjadi potongan yang lebih banyak dan tipis. Setiap korban akan
mengasumsikan salah satu dari potongan-potongan tipis ini dan tidak menyadaritelah
menjadi korban penipuan. Contohnya, seorang programmer, atau seseorang yang
memiliki akses ke program pembulatan, dapat melakukan penipuan dengan teknik
salami melalui modifikasi logika pembulatan sebagai berikut: pada titik di mana proses
algoritma akan menaikkan saldo pelanggan (yaitu, pada saat nilai akumulator adalah
>+0.01), program tersebut akan menambahkan satu sen ke akun lain yaitu akun
pelaku kejahatan tersebut. Walaupun jumlah absolut dari setiap transaksi penipuan
tampaknya kecil, jika terdapat ribuan akun yang diproses, jumlah total penipuan
tersebut dapat menjadi signifikan dari waktu ke waktu.

Jejak audit sistem operasi dan perangkat lunak audit dapat mendeteksi aktivitas
file yang berlebihan. Dalam kasus penipuan salami, akan ada ribuan entri ke akun
pribadi kriminal komputer yang dapat dideteksi dengan cara ini. Seorang programmer
pintar dapat menyamarkan aktivitas ini dengan menyalurkan entri-entri ini melalui

25
beberapa akun sementara menengah, yang kemudian diposting ke sejumlah kecil akun
perantara dan akhirnya ke akun pribadi pemrogram. Dengan menggunakan banyak
level akun dengan cara ini, aktivitas ke akun mana pun berkurang dan mungkin tidak
terdeteksi oleh perangkat lunak audit. Akan ada jejak, tetapi bisa rumit. Auditor yang
ahli juga dapat menggunakan perangkat lunak audit untuk mendeteksi keberadaan
akun perantara yang tidak sah yang digunakan dalam penipuan semacam itu.

ALAT DAN TEKNIK AUDIT BERBANTUAN KOMPUTER UNTUK UJI


PENGENDALIAN
Untuk mengilustrasikan bagaimana kontrol aplikasi diuji, bagian ini menjelaskan
tiga pendekatan CAATT: metode uji data, fasilitas uji terpadu, dan simulasi paralel.
1. Metode Uji Data (Test Data Method)
Metode uji data digunakan untuk membangun integritas aplikasi dengan
memproses rangkaian data input yang disiapkan secara khusus melalui aplikasi
produksi yang sedang dikaji. Hasil setiap tes dibandingkan dengan harapan yang
telah ditentukan untuk mendapatkan evaluasi obyektif logika aplikasi dan efektivitas
kontrol. Untuk melakukan teknik uji data, auditor harus mendapatkan salinan dari
versi aplikasi saat ini. Selain itu, uji file transaksi dan file master harus dibuat. Hasil
dari uji coba akan berupa laporan keluaran rutin, daftar transaksi, dan laporan
kesalahan. Selain itu, auditor harus meninjau file induk yang diperbarui untuk
menentukan bahwa saldo akun telah diperbarui dengan benar. Hasil tes kemudian
dibandingkan dengan hasil yang diharapkan auditor untuk menentukan apakah
aplikasi berfungsi dengan baik. Perbandingan ini dapat dilakukan secara manual
atau melalui perangkat lunak komputer khusus.
Daftar bidang yang dipilih untuk transaksi hipotetis dan catatan piutang yang
disiapkan oleh auditor untuk menguji aplikasi pemrosesan pesanan penjualan.
Angka tersebut juga menunjukkan laporan kesalahan transaksi ditolak dan daftar file
master piutang yang diperbarui. Setiap penyimpangan antara hasil aktual yang
diperoleh dan yang diharapkan oleh auditor dapat menunjukkan masalah logika
atau kontrol.

Membuat Uji Data (Creating Test Data)


Saat membuat uji data, auditor harus menyiapkan serangkaian transaksi yang
valid dan tidak valid. Jika data uji tidak lengkap, auditor mungkin gagal dalam
memeriksa bagian penting dari logika aplikasi dan rutinitas pengecekan kesalahan.

26
Uji transaksi harus menguji setiap kemungkinan kesalahan input, proses logis, dan
ketidakteraturan.
Mendapatkan pengetahuan tentang logika internal aplikasi yang cukup untuk
membuat data pengujian yang berarti akan membutuhkan banyak sekali waktu.
Namun, efisiensi tugas ini dapat ditingkatkan melalui perencanaan yang matang
selama pengembangan sistem. Auditor harus menyimpan ujidata yang digunakan
untuk menguji modul program selama fase implementasi SDLC untuk penggunaan
di masa mendatang. Jika aplikasi tidak mengalami pemeliharaan sejak
implementasi awal, hasil tes audit saat ini harus sama dengan hasil tes yang
diperoleh pada saat implementasi. Namun, jika aplikasi telah dimodifikasi, auditor
dapat membuat data uji tambahan yang fokus pada bidang perubahan program.

Evaluasi Sistem Kasus Dasar (Base Case System Evaluation)


Ada beberapa varian dari teknik uji data. Ketika rangkaian uji data yang
digunakan bersifat komprehensif, teknik ini disebut Base Case System Evaluation
(BCSE). Tes BCSE dilakukan dengan serangkaian data yang berisi semua
kemungkinan jenis transaksi. Semua transaksi ini diproses melalui iterasi berulang
selama pengujian pengembangan sistem hingga didapatkan hasil yang konsisten
dan valid. Hasil ini adalah kasus dasar. Ketika perubahan berikutnya pada aplikasi
terjadi selama pemeliharaan, efeknya dievaluasi dengan membandingkan hasil saat
ini dengan hasil kasus dasar.

Tracing
Tipe lain dari teknik data uji yang disebut tracing melakukan walkthrough
elektronik dari logika internal aplikasi. Prosedur pelacakan melibatkan tiga langkah:
 Aplikasi yang sedang diperiksa harus menjalani kompilasi khusus untuk
mengaktifkan opsi jejak.
 Transaksi atau jenis transaksi khusus dibuat sebagai data uji.
 Transaksi data uji coba dilacak melalui semua tahapan pemrosesan program,
dan daftar.
Implementasi tracing membutuhkan pemahaman rinci tentang logika internal
aplikasi.

Keuntungan Teknik Uji Data (Advantages of Test Data Techniques)

27
Ada tiga keunggulan utama teknik uji data. Pertama, pekerjaan mereka
dengan pengujian komputer, sehingga memberikan bukti ke auditor dengan bukti
eksplisit mengenai fungsi aplikasi. Kedua, jika direncanakan dengan benar, uji coba
data dapat digunakan hanya dengan gangguan minimal terhadap operasi
organisasi. Ketiga, mereka hanya membutuhkan keahlian komputer minimal di pihak
auditor.

Kekurangan Teknik Uji Data (Disadvantages of Test Data Techniques)


Kerugian utama dari semua teknik ujidata adalah bahwa auditor harus
bergantung pada personel layanan komputer untuk mendapatkan salinan aplikasi
untuk tujuan pengujian. Ini memerlukan risiko bahwa layanan komputer mungkin
sengaja atau tidak sengaja memberikan versi aplikasi yang salah kepada auditor
dan dapat mengurangi keandalan bukti audit. Secara umum, bukti audit yang
dikumpulkan oleh sarana independen lebih dapat diandalkan daripada bukti yang
diberikan oleh klien.
Kelemahan kedua dari teknik ini adalah bahwa mereka memberikan
gambaran statis tentang integritas aplikasi pada satu titik waktu. Mereka tidak
menyediakan sarana yang nyaman untuk mengumpulkan bukti tentang
fungsionalitas aplikasi yang sedang berlangsung. Tidak ada bukti bahwa aplikasi
yang diuji hari ini berfungsi seperti yang dilakukan selama tahun yang diuji.
Kerugian ketiga dari teknik data uji adalah biaya pelaksanaannya yang relatif
tinggi, yang menghasilkan inefisiensi audit. Auditor dapat mencurahkan banyak
waktu untuk memahami logika program dan membuat data uji. Pada bagian
berikutnya, kita melihat bagaimana teknik pengujian otomatis dapat menyelesaikan
masalah ini.

2. Fasilitas Uji Terpadu (The Integrated Test Facility- ITF)


Pendekatan fasilitas tes terpadu (ITF) adalah teknik otomatis yang
memungkinkan auditor menguji logika dan kontrol aplikasi selama operasi normal.
ITF adalah satu atau lebih modul audit yang dirancang ke dalam aplikasi selama
proses pengembangan sistem. Selain itu, database ITF berisi "dummy" atau uji
catatan file induk yang terintegrasi dengan catatan yang sah. Beberapa perusahaan
membuat perusahaan dummy yang transaksi uji diposting. Selama operasi normal,
transaksi tes digabungkan ke dalam aliran input dari transaksi reguler (produksi)
dan diproses terhadap file “dummy“ perusahaan.

28
Modul audit lTF dirancang untuk membedakan antara transaksi ITF dan data
produksi rutin. Ini dapat dilakukan dengan berbagai cara. Salah satu yang paling
sederhana dan paling umum digunakan adalah menetapkan rentang unik nilai-nilai
kunci secara eksklusif untuk transaksi ITF. Misalnya, dalam sistem pemrosesan
pesanan penjualan, nomor akun antara tahun 2000 dan 2100 dapat dipesan untuk
transaksi ITF dan tidak akan ditetapkan ke akun pelanggan yang sebenarnya.
Dengan memisahkan transaksi ITF dari transaksi yang sah dengan cara ini, laporan
rutin yang dihasilkan oleh aplikasi tidak rusak oleh data uji ITF. Hasil pengujian
diproduksi secara terpisah pada media penyimpanan atau output cetak dan
didistribusikan langsung ke auditor. Sama halnya dengan teknik ujidata, auditor
menganalisis hasil ITF terhadap hasil yang diharapkan.

Kelebihan dari ITF (Advantages of ITF)


Teknik ITF memiliki dua keunggulan dibandingkan teknik data uji. Pertama,
ITF mendukung pemantauan kontrol berkelanjutan seperti yang dipersyaratkan oleh
SAS 78. Kedua, aplikasi dengan ITF dapat diuji secara ekonomis tanpa
mengganggu operasi pengguna dan tanpa campur tangan personel layanan
komputer. Dengan demikian, lTF meningkatkan efisiensi audit dan meningkatkan
keandalan bukti audit yang dikumpulkan.

Kelemahan dari ITF (Disadvantages of ITF)


Kerugian utama ITF adalah potensi untuk merusak file data organisasi dengan
data uji. Langkah-langkah harus diambil untuk memastikan bahwa transaksi
pengujian ITF tidak mempengaruhi secara material laporan keuangan dengan
secara tidak benar digabungkan dengan transaksi yang sah. Masalah ini diperbaiki
dalam dua cara: (1) entri penyesuaian dapat diproses untuk menghapus efek dari
saldo akun buku besar general office ITF atau (2) file data dapat dipindai oleh
perangkat lunak khusus yang menghapus transaksi lTF.

3. Simulasi Paralel (Parallel Simulation)


Simulasi paralel mengharuskan auditor untuk menulis program yang
mensimulasikan fitur-fitur utama dari proses aplikasi yang sedang ditinjau. Aplikasi
simulasi kemudian digunakan untuk memproses kembali transaksi yang

29
sebelumnya diproses oleh aplikasi produksi. Hasil yang diperoleh dari simulasi
direkonsiliasi dengan hasil produksi asli berjalan untuk menetapkan dasar untuk
membuat kesimpulan tentang kualitas proses aplikasi dan kontrol.

Membuat Program Simulasi (Creating a Simulation Program)


Program simulasi dapat ditulis dalam bahasa pemrograman apa pun. Namun,
karena sifat dari pekerjaan ini hanya satu kali saja dilakukan, maka pekerjaan ini
lebih tepat dikerjakandengan generator bahasa generasi keempat. Langkah-langkah
yang terlibat dalam melakukan pengujian simulasi paralel diuraikan sebagai berikut:
1. Auditor harus terlebih dahulu mendapatkan pemahaman menyeluruh tentang
aplikasi yang sedang dikaji. Dokumentasi lengkap dan terkini dari aplikasi
diperlukan untuk merekonstruksi simulasi yang akurat.
2. Auditor kemudian harus mengidentifikasi proses dan pengendalian dalam
aplikasi yang penting bagi audit. Proses-proses inilah yang akan disimulasikan.
3. Auditor membuat simulasi menggunakan 4GL atau peranti lunak audit yang
digeneralisasi (generalized audit software – GAS).
4. Auditor menjalankan program simulasi dengan menggunakan berbagai file
transaksi produksi dan file master pilihan untuk menghasilkan serangkaian hasil.
5. Terakhir, auditor mengevaluasi dan merekonsiliasi berbagai hasil uji
dibandingkan dengan hasil-hasil yang diperoleh dalam operasi sebelumnya.

30
Kesimpulan

pengendalian aplikasi berguna untuk melindungi aplikasi-aplikasi dari berbagai


ancaman-ancaman yang ada. pengendalian aplikasi awalnya dilakukan pada bagian
input dimana berhubungan transaksi yang melibatkan manusia sehingga cenderung
dapat terjadi kesalahan administrasi. berikutnya, Bagian pemrosesan sistem dimana
data tersebut diproses dengan menggunakan beberapa program sehingga dapat
menghasilkan suatu output yang sesuai. Terakhir pada bagian output dimana output
yang dihasilkan tidak hilang, salah proses, atau adanya pihak yang ingin merusak
output tersebut.

pengujian pengendalian aplikasi komputer dapat menggunakan 2 pendekatan yaitu


pertama pendekatan kota hitam, dimana auditor melakukan analisa diagram alur dan
mewawancarai personel yang terkait dalam perusahaan untuk mendapatkan
pemahaman mengenai karakteristik fungsional aplikasi. Kedua, menggunakan
pendekatan kotak putih dimana auditor melakukan pengujian langsung terhadap
aplikasi yang digunakan perusahaan dan hasi pengujian dapat dibandingkan dan
dihitung secara objektif

alat dan teknik audit berbasis komputer yang digunakan untuk menguji pengendalian
dapat dilakukan dengan 3 pendekatan yaitu metode uji data untuk mengetahui
integritas aplikasi dalam memproses rangkaian data input, fasilitas tes terpadu untuk
mengetahui logika dan kontrol aplikasi selama operasi normal, simulasi paralel untuk
menguji secara langsung fitu-fitur utama dari proses aplikasi yang sedang ditinjau.

31
Referensi

James A. Hall.2011.Information Technology Auditing:E-book.

32