AUDIT ATAS SISTEM INFORMASI BERBASIS TEKNOLOGI

INFORMASI

I. TUJUAN AUDIT SISTEM INFORMASI DAN PENDEKATAN YANG

DIGUNAKAN

Tujuan dari audit sistem informasi adalah untuk mereviu dan mengevaluasi
pengendalian internal yang melindungi sistem tersebut. Ketika menjalankan audit sistem
informasi, auditor harus memastikan enam tujuan audit berikut terpenuhi:

 Keamanan secara keseluruhan. Tindakan pengamanan secara keseluruhan bertujuan

untuk melindungi peralatan komputer, program, komunikasi dan data dari akses yang tidak
sah, modifikasi yang tidak sah, maupun perusakan.

 Pengembangan dan akuisisi program. Tujuan audit ini adalah memastikan bahwa
seluruh pengembangan dan akuisisi program telah dilakukan sesuai dengan otorisasi
manajemen umum maupun khusus. Peran auditor dalam pengembangan sistem harus
dibatasi pada reviu independen atas aktivitas pengembangan sistem. Untuk menjaga
independensi, auditor tidak boleh membantu mengembangkan sistem. Dua kesalahan yang
mungkin terjadi dalam pengembangan sistem adalah (1) kesalahan dalam pemrograman
yang tidak disengaja yang disebabkan karena kesalahan dalam memahami spesifikasi
sistem atau kecerobohan dalam pemrograman, dan (2) instruksi-instruksi yang tidak sah
yang dilakukan dengan sengaja untuk dimasukkan ke dalam program.

 Modifikasi program. Tujuan audit ini adalah untuk memastikan bahwa seluruh modifikasi
program yang dilakukan telah mendapatkan persetujuan dan otorisasi dari manajemen.

 Pemrosesan komputer. Tujuan audit ini adalah unuk memastikan agar seluruh
pemrosesan transaksi, arsip-arsip, laporan, dan catatan komputer lainnya akurat dan
lengkap.

 Data sumber. Tujuan audit ini adalah untuk memastikan agar sumber data yang tidak
akurat atau otorisasi yang tidak tepat dapat teridentifikasi dan tertangani sesuai dengan
dengan kebijakan manajemen.

 Arsip data. Tujuan audit ini adalah untuk memastikan agar arsip-arsip data komputer telah
akurat, lengkap dan rahasia.

Pendekatan evaluasi pengendalian internal yang digunakan dalam audit sistem

informasi akuntansi menggunakan pendekatan audit berbasis-risiko (risk-based audit
approach), yang memberikan kerangka untuk melakukan audit sistem informasi. Dalam
pendekatan audit berbasis-risiko, langkah-langkah yang harus dilakukan terdiri dari:

1. Memahami ancaman (kecurangan dan kesalahan) yang dihadapi oleh perusahaan. Ini
merupakan suatu daftar kejadian yang tidak disengaja maupun kecurangan yang disengaja
dan kerusakan yang dialami oleh sistem tersebut.

2. Mengidentifikasi prosedur pengendalian untuk mencegah, mendeteksi atau mengoreksi

ancaman tersebut. Ini terdiri dari semua pengendalian yang diterapkan oleh manajemen
dan yang harus direviu oleh auditor serta diuji, dalam rangka mengurangi ancaman.

3. Evaluasi atas prosedur pengendalian. Pengendalian dievaluasi dengan dua cara:a. Reviu
sistem untuk menentukan apakah prosedur pengendalian sudah dijalankan.b. Uji
pengendalian yang dilakukan untuk menentukan apakah pengendalian yang sudah ada
berjalan sebagaimana yang diinginkan.

4. Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya terhadap sifat,

waktu atau keluasan prosedur audit. Jika auditor menentukan bahwa risiko pengendalian
terlalu tinggi karena sistem pengendalian tidak memadai, auditor harus mendapatkan lebih
banyak bukti, bukti audit yang lebih baik, atau bukti audit yang tepat waktu. Kelemahan
pengendalian di satu area dapat diterima jika ada pengendalian pengganti (compensating
control) di area lain.

II. EVALUASI PENGENDALIAN INTERNAL DALAM SISTEM INFORMASI

Rancangan suatu rencana untuk mengevaluasi pengendalian internal dalam sistem

informasi menggunakan pendekatan audit berbasis-risiko digunakan untuk mengevaluasi
keenam tujuan audit sebagaimana dijelaskan sebelumnya. Kerangka audit untuk
mengevaluasi pengendalian internal dalam sistem informasi dipaparkan sebagai berikut:

Tujuan Audit 1: Keamanan secara Keseluruhan

Kerangka audit berbasis-risiko untuk memenuhi tujuan audit ini adalah sebagai berikut:

 Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam
mengevaluasi tujuan audit ini antara lain:
a. Pencurian piranti keras atau kerusakan piranti keras yang disengaja maupun tidak
disengaja;
 b. Kehilangan, pencurian, atau akses yang tidak sah terhadap program, data dan
sumber-sumber sistem lainnya.
c. Kehilangan, pencurian atau pengungkapan yang tidak sah atas data yang sifatnya
rahasia;
d. Modifikasi yang tidak sah atau penggunaan program dan arsip data secara tidak sah;
e. Gangguan atas aktivitas-aktivitas bisnis yang utama.

 Prosedur pengendalian yang seharusnya diterapkan/ada antara lain:

a. Rencana perlindungan atau pengamanan informasi;

b. Pembatasan akses fisik terhadap peralatan komputer;

c. Pembatasan akses logis terhadap sistem dengan menggunakan pengendalian

otentikasi dan otorisasi;

d. Pengendalian atas penyimpanan data dan transmisi data;

e. Prosedur perlindungan terhadap serangan virus;

f. Prosedur pencadangan data dan pemulihan data;

g. Rancangan sistem toleransi-kegagalan;

h. Rencana untuk mengatasi kerusakan sistem;

i. Pemeliharaan pencegahan;

j. Firewall;

k. Asuransi atas kerusakan besar dan ganggungan aktivitas bisnis yang utama.

 Prosedur audit untuk mereviu sistem, terdiri dari:

a Inspeksi di lokasi tempat penyimpanan peralatan komputer;

b. Reviu kemanan/perlindungan informasi dan rencana untuk mengatasi kerusakan

sistem;
c. Wawancara dengan personil sistem informasi mengenai prosedur kemanan;
d. Reviu atas kebijakan dan prosedur akses fisik dan akses logis;
e. Reviu kebijakan dan prosedur pencadangan dan pemulihan arsip;
f. Reviu kebijakan dan prosedur penyimpanan dan transmisi data;
g. Reviu kebijakan dan prosedur untuk meminimalisir kegagalan sistem;
 h. Reviu kontrak pemeliharaan dengan vendor;
i. Memeriksa log/catatan akses sistem;
j. Memeriksa kebijakan asuransi untuk menangani kerusakan besar dan gangguan
aktivitas bisnis utama.

 Prosedur audit untuk menguji pengendalian, terdiri dari:

a. Mengamati dan menguji prosedur akses ke lokasi tempat penyimpanan peralatan

komputer;

b. Mengamati penyiapan penyimpanan dan pencadangan data on-site maupun off-site;

c. Menguji prosedur pemberian dan modifikasi atas user ID dan kata kunci;

d. Menyelidiki bagaimana cara untuk mengatasi akses-akses yang tidak sah;

e. Memverifikasi keluasan dan efektivitas enkripsi data;

f. Memverifikasi keefektifan pengendalian transmisi data;

g. Memverifikasi keefektifan penggunaan firewall dan prosedur perlindungan atas

virus;

h. Memverifikasi penggunaan pemeliharaan pencegahan dan penggunaan tenaga

listrik cadangan/ UPS (uninterruptable power supply);

i. Memverifikasi jumlah dan keterbatasan cakupan asuransi;

j. Memeriksa hasil dari simulasi rencana pemulihan kerusakan data.

 Pengendalian pengganti yang mungkin ada antara lain:

a. Kebijakan personil yang mendukung termasuk pemisahan tugas;

b. Pengendalian pengguna yang efektif.

Tujuan Audit 2: Pengembangan dan Akuisisi Program

Kerangka audit berbasis-risiko untuk mengevaluasi tujuan audit atas pengembangan dan
akuisisi program terdiri dari:

 Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam
mengevaluasi tujuan audit ini antara lain:

a. Kesalahan dalam pemrograman yang tidak disengaja atau kode program yang tidak
 sah.

 Prosedur pengendalian yang seharusnya diterapkan/ada antara lain:

a. Mereviu persetujuan lisensi piranti lunak;

b. Pengelolaan otorisasi pengembangan program dan perolehan piranti lunak;

c. Pengelolaan dan persetujuan pengguna atas spesifikasi pemrograman;

d.Pengujiansecaramenyeluruhatasprogram-programbaru,termasukmelakukanuser-
acceptancetest;

e. Dokumentasi sistem yang lengkap, termasuk persetujuannya.

 Prosedur audit untuk mereviu sistem, terdiri dari:

a. Reviu independen atas proses pengembangan sistem;

b. Reviu kebijakan dan prosedur pengembangan/perolehan sistem;

c. Reviu kebijakan dan prosedur otorisasi sistem dan persetujuan;

d. Reviu standar evaluasi pemrograman;

e. Reviu standar program dan dokumentasi sistem;

f. Reviu atas uji spesifikasi, uji data dan hasil pengujiannya;

g. Reviu atas kebijakan dan prosedur uji persetujuan;

h. Reviu atas kebijakan dan prosedur perolehan persetujuan lisensi piranti lunak;

i. Diskusi dengan manajemen, para pengguna, dan personil sistem informasi terkait
dengan prosedur pengembangan.

 Prosedur audit untuk menguji pengendalian, terdiri dari:

a. Wawancara dengan pengguna atas keterlibatan mereka dalam

perolehan/pengembangan sistem dan implementasinya;

b. Reviu notulensi rapat tim pengembangan untuk membuktikan keterlibatannya dalam

pengembangan/perolehan sistem;
c. Verifikasi pengelolaan dan persetujuan sign-off pengguna pada setiap tahap-tahap
pengembangan;
d. Reviu atas pengujian spesifikasi, pengujian data, hasil pengujiannya;
e. Reviu atas persetujuan lisensi piranti lunak.
 Pengendalian pengganti yang mungkin ada antara lain:
a. Pengendalian pemrosesan yang kuat;
b. Pemrosesan independen atas pengujian data oleh auditor.

Tujuan Audit 3: Modifikasi Program

Kerangka audit berbasis-risiko untuk mengevaluasi tujuan audit atas modifikasi program
terdiri dari:

 Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam
mengevaluasi tujuan audit ini antara lain:

a. Kesalahan dalam pemrograman yang tidak disengaja atau kode program yang tidak
sah.

 Prosedur pengendalian yang seharusnya diterapkan/ada antara lain:

a. Daftar komponen program yang akan dimodifikasi;

b. Manajemen otoriasi dan persetujuan atas modifikasi program;

c. Persetujuan pengguna atas spesifikasi perubahan program;

d. Tes menyeluruh atas perubahan program, termasuk melakukan user acceptance test:

e. Dokumentasi lengkap atas perubahan program, termasuk persetujuannya;

f. Pemisahan pengembangan pengujian dan hasil dari setiap versi program

g. Perubahan yang diterapkan oleh personil yang independen dari pengguna dan
pemrogram;

h. Pengendalian atas akses logis.

 Prosedur audit untuk mereviu sistem, terdiri dari:

a. Reviu kebijakan, prosedur dan standar modifikasi program;

b. Reviu standar dokumentasi untuk modifikasi program;

c. Reviu dokumentasi akhir dari modifikasi program;

d. Reviu pengujian modifikasi program dan prosedur pengujian persetujuan;

e. Reviu uji spesifikasi, uji data dan hasil pengujiannya;

 f. Reviu kebijakan dan prosedur uji persetujuan;

g. Reviu standar evaluasi pemrograman;

 Prosedur audit untuk menguji pengendalian, terdiri dari:

a. Verifikasi pengguna dan manajemen atas persetujuan sign-off untuk perubahan

program;

b. Verifikasi bahwa komponen program yang akan dimodifikasi telah diidentifikasi dan
ada dalam daftar;

c. Verifikasi bahwa prosedur uji perubahan program dan dokumentasinya sudah sesuai
dengan standar;

d. Verifikasi bahwa pengendalian akses logis sudah diterapkan atas perubahan dalam
program;

e. Mengamati implementasi perubahan program;

f. Verifikasi bahwa pemisahan pengembangan, pengujian dan hasil dari setiap versi
program telah dilakukan;

g. Verifikasi bahwa perubahan tidak dilakukan oleh pengguna atau personil

pemrograman;

h. Pengujian atas perubahan program yang tidak sah atau kesalahan dalam perubahan
program dengan menggunakan kode sumber dari program pembanding lainnya,
pemrosesan ulang atau dari simulasi paralel.

 Pengendalian pengganti yang mungkin ada antara lain:

a. Pengendalian pemrosesan yang kuat;

b. Pengujian independen atas perubahan program yang tidak sah atau kesalahan dalam
perubahan program.

Tujuan Audit 4: Pemrosesan Komputer

Kerangka audit berbasis-risiko untuk mengevaluasi tujuan audit atas pemrosesan komputer
terdiri dari:

 Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam
mengevaluasi tujuan audit ini antara lain:

a. Kegagalan untuk mendeteksi input data yang salah, tidak lengkap atau tidak sah;

b. Kegagalan untuk memperbaiki kesalahan yang ditandai dengan adanya prosedur

 pengeditan data;

c. Adanya kesalahan ke dalam arsip atau database selama proses pemutakhiran;

d. Distribusi atau pengungkapan output komputer yang tidak tepat;

e. Ketidakakuratan dalam pelaporan secara disengaja maupun tidak disengaja.

 Prosedur pengendalian yang seharusnya diterapkan/ada antara lain:

a. Melakukan pengeditan data secara berkala;

b. Penggunaan label yang tepat untuk setiap arsip internal dan eksternal;

c. Rekonsiliasi atas batch total;

d. Prosedur koreksi kesalahan yang efektif;

e. Pelaksanaan dokumentasi yang dapat dipahami dan menjalankan manualnya;

f. Supervisi yang kompeten atas pengoperasian komputer;

g. Penanganan input dan output data yang efektif oleh personil pengendalian data;

h. Penyusunan daftar perubahan arsip dan ikhtisarnya untuk direviu oleh departemen
pengguna;

i. Pemeliharan atas kondisi lingkungan yang tepat dalam fasilitas komputer.

 Prosedur audit untuk mereviu sistem, terdiri dari:

a. Reviu dokumentasi administratif untuk standar pengendalian pemrosesan;

b. Reviu dokumentasi sistem untuk pengeditan data dan pengendalian pemrosesan

lainnya;

c. Reviu pelaksanaan dokumentasi untuk kelengkapan dan kejelasan;

d. Reviu salinan daftar kesalahan, laporan batch total dan daftar perubahan arsip;

e. Mengamati pengoperasian komputer dan fungsi pengendali data;

f. Membahas pengendalian pemrosesan dan output dengan operator dan supervisor

sistem informasi

Tujuan Audit 5: Sumber Data

Kerangka audit berbasis-risiko untuk mengevaluasi tujuan audit atas pengendalian sumber
data terdiri dari:

 Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam
mengevaluasi tujuan audit ini antara lain:

a. Sumber data yang tidak akurat atau tidak sah.

 Prosedur pengendalian yang seharusnya diterapkan/ada antara lain:

a. Penanganan input sumber data oleh personil pengendalian secara efektif;

b. Otorisasi pengguna atas sumber data input;

c. Penyusunan dan rekonsiliasi total batch control;

d. Mencatat setiap peneriman, pergerakan dan disposisi semua sumber data input;

e. Verifikasi digit cek;

f. Verifikasi kunci;

g. Penggunaan dokumen pengembalian;

h. Pengeditan data secara rutin;

i. Reviu departemen pengguna atas daftar perubahan arsip dan ikhtisarnya;

j. Prosedur yang efektif untuk mengoreksi dan memasukkan ulang data yang salah.

 Prosedur audit untuk mereviu sistem, terdiri dari:

a. Reviu dokumentasi mengenai tanggung jawab fungsi pengendalian data;

b. Reviu administratif dokumentasi untuk standar pengendalian sumber data;

c. Reviu metode otorisasi dan memeriksa tanda tangan otorisasi;

d. Reviu dokumentasi untuk mengidentifikasi langkah-langkah pemrosesan serta

pengendalian dan isi sumber data;

e. Dokumentasi pengendalian sumber data dengan menggunakan matriks input

pengendalian;

f. Mendiskusikan pengendalian atas sumber data dengan personil pengendalian, para

pengguna sistem dan para manajer.

 Prosedur audit untuk mennguji pengendalian, terdiri dari:

 a. Memantau dan mengevaluasi operasi departemen pengendalian dan prosedur
pengendaliannya;

b. Verifikasi pemeliharaan yang tepat dan penggunaan catatan (log) pengendalian data;

c. Mengevaluasi bagaimana cara menangani kesalahan-kesalahan yang tercatat (error log

items)

d. Memeriksa sumber data untuk melihat apakah otorisasinya sudah tepat;

e. Rekonsiliasi batch total dan tindak lanjut atas penyimpangan yang terjadi;

f. Menelusuri disposisi atas kesalahan yang ditandai oleh adanya pengeditan data.

 Pengendalian pengganti yang mungkin ada antara lain:

a. Pengendalian pengguna yang kuat dan pengendalian pemrosesan yang efektif.

Tujuan Audit 6: Arsip Data

Kerangka audit berbasis-risiko untuk mengevaluasi tujuan audit pengendalian atas arsip data
terdiri dari:

 Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam
mengevaluasi tujuan audit ini antara lain:

a. Perusakan data yang tersimpan karena eror, piranti keras dan piranti lunak yang
malfungsi, dan tindakan sabotase dan vandalisme yang disengaja;

b. Modifikasi atau pengungkapan atas data yang tersimpan secara tidak sah.

 Prosedur pengendalian yang seharusnya diterapkan/ada antara lain:

a. Penyimpanan data dalam arsip dokumen yang aman dan pembatasan akses fisik
terhadap arsip- arsip data;

b. Pengendalian atas akses logis dan matriks pengendalian akses;

c. Penggunaan label arsip dan mekanisme perlindungan penulisan yang tepat

d. Pengendalian pemutakhiran yang berkelanjutan

e. Enkripsi data untuk data yang sifatnya rahasia

f. Piranti lunak untuk perlindungan terhadap virus

g. Prosedur titik-titik pengecekan dan prosedur pengembalian data (rollback) untuk

 memfasilitasi pemulihan sistem

 Prosedur audit untuk mereviu sistem, terdiri dari:

a. Reviu dokumentasi untuk operasi perpustakaan arsip;
b. Reviu kebijakan dan prosedur akses logis;
c. Reviu standar untuk perlindungan atas virus, penyimpanan data off-site, dan prosedur
pemulihan sistem;
d. Reviu pengendalian untuk pemutakhiran berkelanjutan, enkripsi data, konversi arsip
dan rekonsiliasi total arsip utama dengan total pengendalian independen;
e. Memeriksa rencana pemulihan kerusakan sistem;
f. Mendiskusikan prosedur pengendalian arsip dengan para manajer dan operator.

 Prosedur audit untuk mennguji pengendalian, terdiri dari:

a. Memantau dan mengevaluasi operasi perpusatakaan arsip;

b. Mereviu catatan pemberian password dan modifikasinya;

c. Memantau dan mengevaluasi prosedur penanganan arsip oleh personil operasi;

d. Memantau persiapan dan penyimpanan cadangan arsip off-site;

e. Verifikasi efektivitas penggunaan prosedur perlindungan atas virus;

f. Verifikasi pengendalian pemutakhiran berkelanjutan dan enkripsi data;

g. Verifikasi kelengkapan, keberlakuan, dan pengujian rencana pemulihan kerusakan;

 Prosedur audit untuk mereviu sistem, terdiri dari:

a. Reviu dokumentasi untuk operasi perpustakaan arsip;

b. Reviu kebijakan dan prosedur akses logis;

c. Reviu standar untuk perlindungan atas virus, penyimpanan data off-site, dan prosedur
pemulihan sistem;

d. Reviu pengendalian untuk pemutakhiran berkelanjutan, enkripsi data, konversi arsip

dan rekonsiliasi total arsip utama dengan total pengendalian independen;

e. Memeriksa rencana pemulihan kerusakan sistem;

 f. Mendiskusikan prosedur pengendalian arsip dengan para manajer dan operator.

 Prosedur audit untuk mennguji pengendalian, terdiri dari:

a. Memantau dan mengevaluasi operasi perpusatakaan arsip;

b. Mereviu catatan pemberian password dan modifikasinya;

c. Memantau dan mengevaluasi prosedur penanganan arsip oleh personil operasi;

d. Memantau persiapan dan penyimpanan cadangan arsip off-site;

e. Verifikasi efektivitas penggunaan prosedur perlindungan atas virus;

f. Verifikasi pengendalian pemutakhiran berkelanjutan dan enkripsi data;

g. Verifikasi kelengkapan, keberlakuan, dan pengujian rencana pemulihan kerusakan;

h. Rekonsiliasi total di arsip utama dengan total pengendalian yang dilakukan secara
terpisah;

i. Memantau prosedur yang digunakan untuk mengendalikan konversi arsip.

 Pengendalian pengganti yang mungkin ada antara lain:

a. Pengendalian pengguna dan pemrosesan data yang kuat;
b. Pengendalian keamanan komputer yang efektif.

III. PENGGUNAAN SOFTWARE COMPUTER AUDIT DAN PERANNYA

DALAM MENUNJANG AUDIT SISTEM INFORMASI

Computer Assisted Audit Techniques (CAATS) merupakan suatu piranti lunak audit,
yang juga disebut dengan generalized audit software yang menggunakan spesifikasi yang
diberikan oleh auditor untuk menghasilkan program yang menjalankan fungsi audit, sehingga
mampu mengotomisasi atau menyederhanakan proses audit. Dua piranti lunak yang paling
sering digunakan adalah Audit Control Language (ACL) dan Interactive Data Extraction and
Analysis (IDEA). CAATS idealnya cocok untuk memeriksa arsip-arsip data yang besar untuk
mengidentifikasi catatan-catatan yang dibutuhkan untuk melakukan audit dengan seksama.

Untuk menggunakan CAATS auditor memutuskan tujuan audit, mempelajari mengenai

arsip dan database yang akan diaudit, merancang laporan audit, dan menentukan bagaimana
menghasilkan laporan tersebut. Informasi ini dicatat pada lembar spesifikasi dan dimasukkan
ke dalam sistem. Program CAATS menggunakan spesifikasi untuk menghasilkan suatu
program audit. Program tersebut menggunakan salinan data langsung perusahaan (untuk
menghindari masuknya kesalahan) untuk melakukan prosedur audit dan menghasilkan
laporan audit tertentu. CAATS tidak dapat menggantikan penilaian auditor atau
membebaskan auditor dari fase/tahapan audit lainnya. Misalnya, auditor masih harus
menyelidiki unsur- unsur dalam laporan pengecualian, verifikasi total arsip terhadap sumber
informasi lainnya, dan memerika serta mengevaluasi sampel audit.

CAATS khususnya berguna untuk perusahaan yang memiliki proses bisnis yang
kompleks, operasi yang terdistribusi, volume transaksi yang tinggi atau penggunaan aplikasi
dan sistem yang sangat beragam. Berikut ini adalah beberapa kegunaan utama CAATS:

 Melakukan query arsip data untuk menarik catatan-catatan yang memenuhi kriteria
tertentu;

 Menghasilkan, memutakhirkan, membandingkan, mengunduh dan menggabungkan arsip;

 Mengikhtisarkan, mengurutkan dan menyaring data;

 Mengakses data dari beragam format yang berbeda dan mengkonversi data ke dalam
format umum;

 Memeriksa catatan-catatan untuk menguji kualitas, kelengkapan, konsistensi dan

kebenarannya;

 Stratifikasi catatan-catatan, memilih dan menganalisis sampel statistik;

 Menguji risiko-risiko tertentu dan mengidentifikasi bagaimana cara untuk mengendalikan

risiko tersebut;

 Melakukan perhitungan, analisis statistik, dan operasi matematika lainnya;

 Melakukan uji analisis, seperti analisis rasio dan tren, mencari pola data yang tidak
diperkirakan atau data yang tidak dapat dijelaskan yang mungkin mengindikasikan adanya
kecurangan.