TESTING COMPUTER APPLICATION CONTROLS

Bagian ini membahas beberapa teknik untuk mengaudit aplikasi komputer. Kontrol teknik
pengujian memberikan informasi tentang keakuratan dan kelengkapan aplikasi proses. Tes-tes ini
mengikuti dua pendekatan umum: (1) kotak hitam (sekitar komputer) pendekatan dan (2) pendekatan
kotak putih (melalui komputer). Kami yang pertama memeriksa pendekatan kotak hitam dan kemudian
meninjau beberapa teknik pengujian kotak putih.

Black-Box Approach
Auditor yang melakukan pengujian dengan pendekatan black-box tidak mengandalkan
pengetahuan rinci tentang hal itu logika internal aplikasi. Sebaliknya, mereka berusaha memahami
karakteristik fungsional aplikasi dengan menganalisis diagram alur dan mewawancarai personel
berpengetahuan di organisasi klien. Dengan pemahaman tentang apa aplikasi seharusnya lakukan,
auditor menguji aplikasi dengan merekonsiliasi transaksi input produksi yang diproses oleh aplikasi
dengan hasil keluaran. Hasil keluaran dianalisis untuk memverifikasi kepatuhan aplikasi dengan
persyaratan fungsionalnya. Keuntungan dari pendekatan kotak hitam adalah bahwa aplikasi tidak perlu
dihapus dari layanan dan diuji secara langsung. Pendekatan ini layak untuk menguji aplikasi yang ada
relatif sederhana. Namun, aplikasi yang kompleks — aplikasi yang menerima input dari banyak sumber,
melakukan berbagai operasi, atau menghasilkan banyak keluaran — memerlukan lebih banyak
pendekatan pengujian terfokus untuk menyediakan auditor dengan bukti integritas aplikasi.

White-Box Approach
Pendekatan kotak putih bergantung pada pemahaman mendalam tentang logika internal aplikasi sedang
diuji. Pendekatan kotak putih mencakup beberapa teknik untuk pengujian logika aplikasi secara
langsung. Teknik-teknik ini menggunakan sejumlah kecil tes yang dibuat khusus transaksi untuk
memverifikasi aspek tertentu dari logika dan kontrol aplikasi. Lewat sini, auditor dapat melakukan tes
yang tepat, dengan variabel yang diketahui, dan mendapatkan hasil itu mereka dapat membandingkan
hasil yang dihitung secara objektif. Beberapa tipe yang lebih umum tes kontrol meliputi:
 Tes keaslian, yang memverifikasi bahwa seseorang, prosedur yang diprogram, atau a pesan
(seperti transmisi EDI) yang mencoba mengakses sistem adalah asli. Kontrol keaslian meliputi ID
pengguna, kata sandi, kode vendor yang valid, dan otoritas meja.
 Tes Akurasi, yang memastikan bahwa sistem hanya memproses nilai data yang sesuai untuk
toleransi yang ditentukan. Contohnya termasuk uji rentang, uji lapangan, dan uji batas.
 Tes Kelengkapan, yang mengidentifikasi data yang hilang dalam satu catatan dan keseluruhan
catatan hilang dari kumpulan. Jenis tes yang dilakukan adalah tes lapangan, catatan tes urutan,
total hash, dan total kontrol.
 Tes redundansi, yang menentukan bahwa aplikasi hanya memproses setiap catatan sekali.
Kontrol redundansi meliputi rekonsiliasi total batch, catatan jumlah, total hash, dan total kontrol
keuangan.
 Mengakses tes, yang memastikan bahwa aplikasi mencegah pengguna yang berwenang dari
yang tidak sah akses ke data. Kontrol akses meliputi kata sandi, tabel otoritas, definisi pengguna
prosedur, enkripsi data, dan kontrol inferensi.
 Tes jejak audit, yang memastikan bahwa aplikasi menciptakan jejak audit yang memadai. Ini
termasuk bukti bahwa aplikasi mencatat semua transaksi dalam suatu transaksi log, posting nilai
data ke akun yang sesuai, menghasilkan transaksi lengkap daftar, dan menghasilkan file
kesalahan dan laporan untuk semua pengecualian.
 Tes kesalahan pembulatan, yang memverifikasi kebenaran prosedur pembulatan. Pembulatan
kesalahan terjadi dalam informasi akuntansi ketika tingkat presisi digunakan dalam perhitungan
lebih besar dari yang digunakan dalam pelaporan. Misalnya, perhitungan bunga pada saldo
rekening bank mungkin memiliki ketepatan lima tempat desimal, sedangkan hanya dua tempat
desimal yang diperlukan untuk melaporkan saldo. Jika tersisa tiga desimal tempat hanya
dijatuhkan, total bunga dihitung untuk jumlah total akun tidak boleh sama dengan jumlah
perhitungan individual.

Kegagalan untuk memperhitungkan perbedaan pembulatan ini dapat menyebabkan

ketidakseimbangan antara jumlah total (kontrol) bunga dan jumlah perhitungan bunga
individual untuk setiap akun. Akuntansi yang buruk untuk perbedaan pembulatan juga dapat
menyajikan peluang untuk penipuan. Program pembulatan sangat rentan terhadap penipuan
salami. Kecurangan daging asap cenderung untuk mempengaruhi sejumlah besar korban, tetapi
kerugian bagi masing-masing tidak material. Jenis ini penipuan mengambil namanya dari analogi
mengiris salami besar (tujuan penipuan) menjadi banyak potongan tipis. Setiap korban
mengambil salah satu dari potongan-potongan kecil ini dan tidak menyadarinya ditipu. Misalnya,
seorang programmer, atau seseorang dengan akses ke pendahulunya program pembulatan,
dapat melakukan penipuan salami dengan memodifikasi logika pembulatan sebagai mengikuti:
pada titik dalam proses di mana algoritma harus meningkatkan pelanggan akun (yaitu, nilai
akumulator> .01), program malah menambahkan satu sen ke akun lain — akun pelaku.
Meskipun jumlah absolut dari setiap penipuan transaksi kecil, mengingat ribuan akun
diproses, jumlah total penipuan dapat menjadi signifikan dari waktu ke waktu. Jalur audit sistem
operasi dan perangkat lunak audit dapat mendeteksi aktivitas file yang berlebihan. Di kasus
penipuan salami, akan ada ribuan entri ke penjahat komputer akun pribadi yang dapat dideteksi
dengan cara ini.
Seorang programmer yang pandai mungkin menyamar kegiatan ini dengan menyalurkan
entri-entri ini melalui beberapa perantara sementara akun, yang kemudian diposting ke
sejumlah kecil akun perantara dan akhirnya ke akun pribadi programmer. Dengan menggunakan
banyak level akun dengan cara ini, the aktivitas ke setiap akun tunggal berkurang dan mungkin
tidak terdeteksi oleh perangkat lunak audit. Akan ada jejak, tetapi itu bisa rumit. Auditor yang
terampil juga dapat menggunakan perangkat lunak audit untuk mendeteksi keberadaan akun
perantara tidak sah yang digunakan dalam penipuan semacam itu.