AUDIT SISTEM INFORMASI

RESUME CHAPTER 7

Anggota Kelompok :

1. Rachmat Kemal Maulana 041611333248

2. Muhammad Quraish Shihab 041711333005
3. M. Ali Imron 041711333046
4. Arvin Wima Rasyid 041711333285

S1 Akuntansi

Fakultas Ekonomi dan Bisnis

Universitas Airlangga

Surabaya

2019
 COMPUTER-ASSISTED AUDIT TOOLS AND TECHNIQUES
A. Application Controls
Prosedur program pengendalian intern yang didesain untuk mengatasi terpaparnya sistem dari
resiko potensial pada aplikasi spesifik seperti pembayaran gaji, pembelian dan pengeluaran uang.
App controls terdiri dari:
a. Input Controls
Bertugas untuk membawa data dari ke dalam sistem untuk diproses, IC didesain untuk
memastikan bahwa transasksi valid, akurat dan lengkap. Dapat dipicu oleh batch maupun secara
langsung (direct). Dalam dokumen sumber biasanya melibatkan manusia dan oleh karenanya
rentah kesalahan klerikal yang sering tidak terdeteksi nanti ada opsi data realtime. Beberapa jenis
pengendalian dalam input control adalah sbb:
 Source document controls
 Pengendalian terhadap dokumen sumber karena dapat dipalsukan dan masuk sistem lalu
menghilangkan aset perusahaan
 control : PreNumbered SD, Sequence Limited Acces, Periodic audit/spot cek
 Data coding controls
 Cek integritas kode data dalam pemrosesan-Nomor rek Customers, Nomor Inventory, No Akun
dll
 Errors-> Transkripsi (penambahan, pengurangan,subtitusi) dan Transposisi (two/multiple number
kebalik2)
 Control: Check Digit (penjumlahan atau menggunakan modulus 11) tapi makan Space (nambah
record), baiknya untuk yg penting saja)
 Batch controls
 Rekonsiliasi antara input dan output pada transaski dengan volume tinggi guna memastikan
seluruh data terekam, tidak dobel entry dan jejak audit terjaga (inc proses n output control).
Dengan mengumpulkan tipe input yang sama dalam satu batch (bundel) lalu mengontrol batch ini
dalam prosesnya.
 Elemen: No Batch, tgl, Kode transaksi, Jumlah Rec, Nilainya, Jumlah data non financial ( Hash
totalbuat alat kontrol aja, tidak bernilai)
 Validation controls
 Deteksi error sblm transaksi diproses, bisa memerlukan untuk merefer ke master file sebaiknya
sedekat mungkin dengan sumber transaksi.
 Controlnya ada 3 level:
 Field Interogation: melakukan validasi di level karakter dalam Field jenis checknya:
 Missing data check (blank) cek apakah ada field yg kosong
 Numeric-alphabetic->isi field apakah huruf/bilangan
 Zero value->isi field 0 untuk pengendalian
  Limit check->cek nilai field apakah melebihi standarnya
 Range check->batas atas dan bawah
 Validity check->bandingkan dengan data master
 Check digit->sama dengan diatas itu pake modulus 11
 Record Interogation: validasi seluruh catatan dengan menguji hubungan nilai fieldnya.
Contohnya:
 Reasonbleness Checks->->cek dengan master filenya
 Sign Check-> tanda +/- sudah tepat digunakan?
 Sequence Checks-> urutan (batch) sudah sesuai atntrian?
 File Interogation: Memastikan bahwa file yang benar yang diproses sistem sangat penting untuk
master files yg menyimpan data relatif permanen.
 Internal Label Checks->label disk di dalam (bukan diluar)
 Version Checks->versi filenya apakah sesuai..1.0? beta?
 Expiration date checks->cek file ga kepake,agar tidak kedelete sembarangan
 Dalam sistem batch ketika ada Input error perlu dilakukan correction, ada tiga jenis penanganan
error yang umum dalam proses input:
 Correct Immidiately->kasih warning ke user
 Create an Error File-> delayed, pisahkan dari sistem buat laporan sistemnya bahwa data tsb error
 Reject Entire Batch-> tolak sluruh batch untuk diproses
 Generalized data input systems
GDIS menstandarisasi validasi input dengan level kontrol tinggi. Ada 3 keuntungan pake GDIS:
 Improve control melalui satu sistem validasi umum yang sama
 Memastikan setiap aplikasi menerapkan standar yg sama
 Meningkatkan efisiensi sistem
 Elemennya: GDIS module, Data File Tervalidasi, Error File, Error Reports, Log Transaksi.
b. Processing Controls
 Run-to-Run Controls
Menggunakan batch untuk memonitor batch ketika dia bergerak dari satu prosedur program ke
prosedur program lain. Kontrol ini memastikan setiap pergerakan memproses batch dengan benar
dan lengkap. Jenis2nya:
 Recalculate Control Totals-mengecek kembali nilai2 dalam batch, has total dibandingkan dengan
data master.
 Transaction Codes-> hanya transaksi yg benar yg diijinkan
 Sequence Checks
 Operators Intervention Controls
 Operator kadang diperlukan dalam mengintervensi suatu kegiatan dan hal ini meningkatkan
potensi human error. Sistem sedapat mungkin memmbatasi intervensi manusia, jika tidak dapat
dilakukan supervisi.
 Audit Trails Controls
Dalam sistem terkomputerisasi jejak audit akan terpecah-pecah dan lebih sulit diikuti. Sehinga
dokumentasi sistem sangat diperlukan untuk dijaga. Beberapa cara menjaga jejak audit :
 Transactions Logs-mencatat seluruh aktivitas sistem
 Log of Automatic Transactions
 Listing of Automatics Transactions->EOQ/reorder harus diperhatikan
 Unique Transaction Identifiers
 Error Listings-Laporkan agar diperbaiki
c.Output Controls
Output controls adalah SPI yang memastikan bahwa hasil keluaran sistem tidak hilang, salah
sasaran, berkurang/rusak atau melanggar privasi. Kegagalan dalam menjaga output dapat
mengakibatkan dampak serius bagi perusahaan seperti kehilangan SD ekonomi, penurunan citra
bahkan tuntutan hukum. Otput controls menyesuakan dengan proses pengolahan dokumennya,
secara umum terbagi dua yakni Batch Control System (lebih rentan karena adanya intervensi
operator/program) dan Realtime System.
 Controlling Batch System Output
Dalam Batch System, output biasanya berupa HardCopy (Cek, Laporan, PO,dll) dan dalam
prosesnya sebagaimana bagan diatas, memerlukan perantara baik manusia maupun program dari
mulai proses sampai dengan distribusi.
 Output Spooling
 Dalam pengolahan data skala besar-> terjadi backlogged, hasil pengolahan sistem
mengantri untuk dicetak (bottleneck)-> sistem membuat suatu file output dalam disk daripada
membebani memori printers (spooling).
 Dalam tahap ini output file rentan diacces oleh penjahat cyber yang dapat mengubah,
mengcopy secara illegal atau bahkan menghapus file sebelum dicetak.
 Harus ada akses kontrol yang baik dan backup file output
 Print
 Setelah spooling, dan SD printer tersedia -> printer akan mencetak, biasanya ada intervensi
operator berupa mengganti kertas, mengatur mempause, menyesuaikan margin, tinta dsb
 Resiko :Operators copy secara illegal/membaca data rahasia
 Controlnya: Prenumbered untuk memastikan seluruh cetakan lengkap, supervisi, gunakan
kertas multipart berkarbon (gesek dulu baru terbaca->pin ATM)
 Bursting
 Hasil cetakan dipilah-pilah dan disusun ulang, ada Operator
 Risk-> Illegal copy, menghilangkan halaman, baca data rahasia
 Control-> Supervisi atau bursting di end user saja
 Waste
 Cetakan yg tidak sempurna, karbon copy dibuang
 Ceroboh-> dapt dimanfaatkan , ada akes data teknis dan informasi penting lainnya dalam
dokumen rusak sekalipun
 Control-> Penghancur kertas/ dibakar
 Data Control Group
 Tim verifikasi sebelum HardCopy didistribusikan cek akurasi kelengkapan, legalitas, dll
 Risk dan controls = print dan bursting
 Distributions
 Rawan pencurian, hilang, salah tujuan
 Nama dan alamat tercetak jelas, hati2 akses ke file master nama dan alamat
 Untuk data sensitive dapat menggunakan tas berpengaman kunci/pin, dikawal petugas
keamanan atau End User sendiri yang ambil
 End Users
 Cek kembali dokumen yg diterima, jika ada kejanggalan laporkan bisa jadi errornya karena
sistem
 Data digunakan dan disimpan perhatikan ruang yang aman, perhatikan waktu retensi sesuai
hukum (pajakk) jika tidak digunakan hancurkan dengan baik.
 Controlling RTS
Hasil output tampil langsung dilayar.,terminal atau printernya end user. Menghilangkan berbagai
perantara baik program maupun manusia. Ancaman terbesarnya sama seperti resiko dalam
internet dan intranet yaitu:
 Equipment Failures (HW, SW maupun LINES Comm)
 Subversive Act ( Interception, Illegal Acces, Previledged Employes)
B. Testing Computer Application Controls
a. Black-Box Approach (Around Computer)
Tidak menguji berdasarkan pada pengetahuan mendetail mengenai logika dibalik aplikasi yang di
audit (gak perlu faham MYOBnya) . Lebih kepada memahami flowchart, wawancara dengan
client dsb. Dengan pemahaman itu auditor mengetes sendiri dokumen input dan direkonsiliasi
dengan outputnya sehingga dapat memperkirakan programnya sudah complince atau belum.
Aplikasinya sendiri kurang diperhatikan detilnya. Umumnya pada aplikasi yang sederhana.
b. White-Box Approach (Through Computer)
Harus memiliki pemahaman mengenai aplikasinya secara mendalam (pengetahuan MYOBnya
dalam juga) hingga ke logika dalam aplikasi. Beberapa tesnya:
 Authenticity Tes-> user ID, Password, valid vendor codes dan bagan otoritas
 Accuracy Test-> range test, filed test limit test
 Completeness Test-> field test, rec sequence test, hash totals
 Redundancy Test-> recoknsiliasi batch, record count, hash totals
 Acces Test-> pass, bagan otoritas, data enkripsi, inference control
 Audit Trail Test-> transaction log, error file ttp disimpan,
 Rounding Error Tets->pembulatan bunga bank, salami fraud (bagi kecil2, large number victim,
immaterial to each)
C. Computer-aided Audit Tools and Techniques for Testing Controls
a. Test Data Method
Membuat aplikasi terintegrasi dengan memproses data yang sudah dipersiapkan melalui aplikasi
yang sedang direview. Lalu dibandingkan dengan nilai/hasil yang seharusnya. Copy dulu
aplikasinya buat file transaksi dan masternya lalu coba melalui berbagi input (tape, disc, usb,
terminal dll) lihat hasilnya bandingkan dengan rport yang diharapkan sebelumnya.
 Buat Data Tes
 Base Case Sys Evaluations
 Tracing
 Advanced Test Data
 Disadvantages
b. The Integrated Test Facility (ITF)
Teknik otomatis yang memungkinkan auditor menguji logika dan kontrol aplikasi dalam operasi
normal. Dicangkokkan dalam sistem ketikda dalam tahap pengembangan nani pas running akan
membuat semacam duplikasi tertentu dari data namun tidak mengganggu aplikasi.
 Keuntungan
 Kerugian
c.Parallel Simulation
Auditor menulis program yang mensimulasikan fitur dan proses kunci dari aplikasi yang
direview. Lalu digunakan untuk memproses ulang transaski yang sudah diproses aplikasi yg
direview lalu dibandingkan hasilnya.
 Auditor harus faham betul aplikasinya, identidikasi proses dan controlnya
 Buat simulasi pake 4GL atau Generalized Audit Software (GAS)
 Coba simulasikan dengan sampel terpilih
 Evaluasi (apakah yg error simulator atau memang Real)

COBIT
Informasi adalah sumber daya kunci bagi semua perusahaan. Diciptakan, digunakan, disimpan,
ditampilkan, dan dihancurkan dengan menggunakan teknologi sebagai pemeran kuncinya.
Teknologi menjadi bagian dari seluruh aspek bisnis dan individu. Pendekatan penyusunan tata
kelola IT saat ini dinilai harus dipandang sebagai salhsatu sumberdaya strategis dan direncanakan
dengan pendekatan manajemen strategis pula.
Cobit merupakan suatu framework yang komprehensif yang membantu perusahaan dalam
mencapai tujuannya dan menyampaikan nilai melalui tata kelola (strategis) dan manajemen
(operasional) Teknologi Informasi Perusahaan. Governance ensure ->Evaluation,Direction and
Monitoring. Manajemen->Plan Build Runs and Monitoring. COBIT 5 brings together the five
principles that allow the enterprise to build an effective governance and management framework
based on a holistic set of seven enablers that optimises information and technology investment
and use for the benefit of stakeholders.
Cobit 5 didasarkan pada 5 prinsip kunci tatakelola dan manajemen TI perusahaan yaitu :
a.Pemenuhan kebutuhan Stakeholder
b. Melindungi titik-titik penting perusahaan
c.Penggunaan satu framework terintegrasi
d. Memungkinkan pendekatan secara holistik
e.Meminsahkan tatakelola dengan manajemen
COBIT 5 mendeskripsikan 7 kategori yang berperan sebagai penggerak yaitu :
a.Prinsip-prinsip, kebijakan-kebijakan, dan framework, adalah sarana untuk menerjemahkan
tingkah laku yang diinginkan ke dalam petunjuk praktek untuk pelaksanaan manajemen harian.
b. Proses, menjelaskan kumpulan terorganisasi dari praktek-praktek  dan aktifitas-aktiftas untuk
mencapai tujuan yang telah ditentukan dan menghasilkan sekumpulan keluaran di dalam
dukungan pencapaian seluruh sasaran TI
c.Struktur organisasi, entitas pembuatan keputusan kunci di dalam perusahaan
d. Budaya, etika, dan tingkah laku, merupakan kebiasaan dari individu dan perusahaan yang
sering dianggap sebagai faktor penghambat kesuksesan di dalam aktifitas tatakelola dan
manajemen.
e.Informasi, adalah sebuah kebutuhan untuk memastikan agar organisasi tetap berjalan dan dapat
dikelola dengan baik. Tetapi di tingkat operasional, informasi seringnya digunakan sebagai hasil
dari proses perusahaan
f. Layanan, infrastruktur dan aplikasi, menyediakan layanan dan proses teknologi informasi bagi
perusahaan
Orang, keterampilan dan kemampuan, dibutuhkan untuk menyelesaikan semua aktifitas dan
membuat keputusan yang tepat serta mengambil aksi-aksi perbaikan.