RESUME CHAPTER 7
Anggota Kelompok :
S1 Akuntansi
Universitas Airlangga
Surabaya
2019
COMPUTER-ASSISTED AUDIT TOOLS AND TECHNIQUES
A. Application Controls
Prosedur program pengendalian intern yang didesain untuk mengatasi terpaparnya sistem dari
resiko potensial pada aplikasi spesifik seperti pembayaran gaji, pembelian dan pengeluaran uang.
App controls terdiri dari:
a. Input Controls
Bertugas untuk membawa data dari ke dalam sistem untuk diproses, IC didesain untuk
memastikan bahwa transasksi valid, akurat dan lengkap. Dapat dipicu oleh batch maupun secara
langsung (direct). Dalam dokumen sumber biasanya melibatkan manusia dan oleh karenanya
rentah kesalahan klerikal yang sering tidak terdeteksi nanti ada opsi data realtime. Beberapa jenis
pengendalian dalam input control adalah sbb:
Source document controls
Pengendalian terhadap dokumen sumber karena dapat dipalsukan dan masuk sistem lalu
menghilangkan aset perusahaan
control : PreNumbered SD, Sequence Limited Acces, Periodic audit/spot cek
Data coding controls
Cek integritas kode data dalam pemrosesan-Nomor rek Customers, Nomor Inventory, No Akun
dll
Errors-> Transkripsi (penambahan, pengurangan,subtitusi) dan Transposisi (two/multiple number
kebalik2)
Control: Check Digit (penjumlahan atau menggunakan modulus 11) tapi makan Space (nambah
record), baiknya untuk yg penting saja)
Batch controls
Rekonsiliasi antara input dan output pada transaski dengan volume tinggi guna memastikan
seluruh data terekam, tidak dobel entry dan jejak audit terjaga (inc proses n output control).
Dengan mengumpulkan tipe input yang sama dalam satu batch (bundel) lalu mengontrol batch ini
dalam prosesnya.
Elemen: No Batch, tgl, Kode transaksi, Jumlah Rec, Nilainya, Jumlah data non financial ( Hash
totalbuat alat kontrol aja, tidak bernilai)
Validation controls
Deteksi error sblm transaksi diproses, bisa memerlukan untuk merefer ke master file sebaiknya
sedekat mungkin dengan sumber transaksi.
Controlnya ada 3 level:
Field Interogation: melakukan validasi di level karakter dalam Field jenis checknya:
Missing data check (blank) cek apakah ada field yg kosong
Numeric-alphabetic->isi field apakah huruf/bilangan
Zero value->isi field 0 untuk pengendalian
Limit check->cek nilai field apakah melebihi standarnya
Range check->batas atas dan bawah
Validity check->bandingkan dengan data master
Check digit->sama dengan diatas itu pake modulus 11
Record Interogation: validasi seluruh catatan dengan menguji hubungan nilai fieldnya.
Contohnya:
Reasonbleness Checks->->cek dengan master filenya
Sign Check-> tanda +/- sudah tepat digunakan?
Sequence Checks-> urutan (batch) sudah sesuai atntrian?
File Interogation: Memastikan bahwa file yang benar yang diproses sistem sangat penting untuk
master files yg menyimpan data relatif permanen.
Internal Label Checks->label disk di dalam (bukan diluar)
Version Checks->versi filenya apakah sesuai..1.0? beta?
Expiration date checks->cek file ga kepake,agar tidak kedelete sembarangan
Dalam sistem batch ketika ada Input error perlu dilakukan correction, ada tiga jenis penanganan
error yang umum dalam proses input:
Correct Immidiately->kasih warning ke user
Create an Error File-> delayed, pisahkan dari sistem buat laporan sistemnya bahwa data tsb error
Reject Entire Batch-> tolak sluruh batch untuk diproses
Generalized data input systems
GDIS menstandarisasi validasi input dengan level kontrol tinggi. Ada 3 keuntungan pake GDIS:
Improve control melalui satu sistem validasi umum yang sama
Memastikan setiap aplikasi menerapkan standar yg sama
Meningkatkan efisiensi sistem
Elemennya: GDIS module, Data File Tervalidasi, Error File, Error Reports, Log Transaksi.
b. Processing Controls
Run-to-Run Controls
Menggunakan batch untuk memonitor batch ketika dia bergerak dari satu prosedur program ke
prosedur program lain. Kontrol ini memastikan setiap pergerakan memproses batch dengan benar
dan lengkap. Jenis2nya:
Recalculate Control Totals-mengecek kembali nilai2 dalam batch, has total dibandingkan dengan
data master.
Transaction Codes-> hanya transaksi yg benar yg diijinkan
Sequence Checks
Operators Intervention Controls
Operator kadang diperlukan dalam mengintervensi suatu kegiatan dan hal ini meningkatkan
potensi human error. Sistem sedapat mungkin memmbatasi intervensi manusia, jika tidak dapat
dilakukan supervisi.
Audit Trails Controls
Dalam sistem terkomputerisasi jejak audit akan terpecah-pecah dan lebih sulit diikuti. Sehinga
dokumentasi sistem sangat diperlukan untuk dijaga. Beberapa cara menjaga jejak audit :
Transactions Logs-mencatat seluruh aktivitas sistem
Log of Automatic Transactions
Listing of Automatics Transactions->EOQ/reorder harus diperhatikan
Unique Transaction Identifiers
Error Listings-Laporkan agar diperbaiki
c.Output Controls
Output controls adalah SPI yang memastikan bahwa hasil keluaran sistem tidak hilang, salah
sasaran, berkurang/rusak atau melanggar privasi. Kegagalan dalam menjaga output dapat
mengakibatkan dampak serius bagi perusahaan seperti kehilangan SD ekonomi, penurunan citra
bahkan tuntutan hukum. Otput controls menyesuakan dengan proses pengolahan dokumennya,
secara umum terbagi dua yakni Batch Control System (lebih rentan karena adanya intervensi
operator/program) dan Realtime System.
Controlling Batch System Output
Dalam Batch System, output biasanya berupa HardCopy (Cek, Laporan, PO,dll) dan dalam
prosesnya sebagaimana bagan diatas, memerlukan perantara baik manusia maupun program dari
mulai proses sampai dengan distribusi.
Output Spooling
Dalam pengolahan data skala besar-> terjadi backlogged, hasil pengolahan sistem
mengantri untuk dicetak (bottleneck)-> sistem membuat suatu file output dalam disk daripada
membebani memori printers (spooling).
Dalam tahap ini output file rentan diacces oleh penjahat cyber yang dapat mengubah,
mengcopy secara illegal atau bahkan menghapus file sebelum dicetak.
Harus ada akses kontrol yang baik dan backup file output
Print
Setelah spooling, dan SD printer tersedia -> printer akan mencetak, biasanya ada intervensi
operator berupa mengganti kertas, mengatur mempause, menyesuaikan margin, tinta dsb
Resiko :Operators copy secara illegal/membaca data rahasia
Controlnya: Prenumbered untuk memastikan seluruh cetakan lengkap, supervisi, gunakan
kertas multipart berkarbon (gesek dulu baru terbaca->pin ATM)
Bursting
Hasil cetakan dipilah-pilah dan disusun ulang, ada Operator
Risk-> Illegal copy, menghilangkan halaman, baca data rahasia
Control-> Supervisi atau bursting di end user saja
Waste
Cetakan yg tidak sempurna, karbon copy dibuang
Ceroboh-> dapt dimanfaatkan , ada akes data teknis dan informasi penting lainnya dalam
dokumen rusak sekalipun
Control-> Penghancur kertas/ dibakar
Data Control Group
Tim verifikasi sebelum HardCopy didistribusikan cek akurasi kelengkapan, legalitas, dll
Risk dan controls = print dan bursting
Distributions
Rawan pencurian, hilang, salah tujuan
Nama dan alamat tercetak jelas, hati2 akses ke file master nama dan alamat
Untuk data sensitive dapat menggunakan tas berpengaman kunci/pin, dikawal petugas
keamanan atau End User sendiri yang ambil
End Users
Cek kembali dokumen yg diterima, jika ada kejanggalan laporkan bisa jadi errornya karena
sistem
Data digunakan dan disimpan perhatikan ruang yang aman, perhatikan waktu retensi sesuai
hukum (pajakk) jika tidak digunakan hancurkan dengan baik.
Controlling RTS
Hasil output tampil langsung dilayar.,terminal atau printernya end user. Menghilangkan berbagai
perantara baik program maupun manusia. Ancaman terbesarnya sama seperti resiko dalam
internet dan intranet yaitu:
Equipment Failures (HW, SW maupun LINES Comm)
Subversive Act ( Interception, Illegal Acces, Previledged Employes)
B. Testing Computer Application Controls
a. Black-Box Approach (Around Computer)
Tidak menguji berdasarkan pada pengetahuan mendetail mengenai logika dibalik aplikasi yang di
audit (gak perlu faham MYOBnya) . Lebih kepada memahami flowchart, wawancara dengan
client dsb. Dengan pemahaman itu auditor mengetes sendiri dokumen input dan direkonsiliasi
dengan outputnya sehingga dapat memperkirakan programnya sudah complince atau belum.
Aplikasinya sendiri kurang diperhatikan detilnya. Umumnya pada aplikasi yang sederhana.
b. White-Box Approach (Through Computer)
Harus memiliki pemahaman mengenai aplikasinya secara mendalam (pengetahuan MYOBnya
dalam juga) hingga ke logika dalam aplikasi. Beberapa tesnya:
Authenticity Tes-> user ID, Password, valid vendor codes dan bagan otoritas
Accuracy Test-> range test, filed test limit test
Completeness Test-> field test, rec sequence test, hash totals
Redundancy Test-> recoknsiliasi batch, record count, hash totals
Acces Test-> pass, bagan otoritas, data enkripsi, inference control
Audit Trail Test-> transaction log, error file ttp disimpan,
Rounding Error Tets->pembulatan bunga bank, salami fraud (bagi kecil2, large number victim,
immaterial to each)
C. Computer-aided Audit Tools and Techniques for Testing Controls
a. Test Data Method
Membuat aplikasi terintegrasi dengan memproses data yang sudah dipersiapkan melalui aplikasi
yang sedang direview. Lalu dibandingkan dengan nilai/hasil yang seharusnya. Copy dulu
aplikasinya buat file transaksi dan masternya lalu coba melalui berbagi input (tape, disc, usb,
terminal dll) lihat hasilnya bandingkan dengan rport yang diharapkan sebelumnya.
Buat Data Tes
Base Case Sys Evaluations
Tracing
Advanced Test Data
Disadvantages
b. The Integrated Test Facility (ITF)
Teknik otomatis yang memungkinkan auditor menguji logika dan kontrol aplikasi dalam operasi
normal. Dicangkokkan dalam sistem ketikda dalam tahap pengembangan nani pas running akan
membuat semacam duplikasi tertentu dari data namun tidak mengganggu aplikasi.
Keuntungan
Kerugian
c.Parallel Simulation
Auditor menulis program yang mensimulasikan fitur dan proses kunci dari aplikasi yang
direview. Lalu digunakan untuk memproses ulang transaski yang sudah diproses aplikasi yg
direview lalu dibandingkan hasilnya.
Auditor harus faham betul aplikasinya, identidikasi proses dan controlnya
Buat simulasi pake 4GL atau Generalized Audit Software (GAS)
Coba simulasikan dengan sampel terpilih
Evaluasi (apakah yg error simulator atau memang Real)
COBIT
Informasi adalah sumber daya kunci bagi semua perusahaan. Diciptakan, digunakan, disimpan,
ditampilkan, dan dihancurkan dengan menggunakan teknologi sebagai pemeran kuncinya.
Teknologi menjadi bagian dari seluruh aspek bisnis dan individu. Pendekatan penyusunan tata
kelola IT saat ini dinilai harus dipandang sebagai salhsatu sumberdaya strategis dan direncanakan
dengan pendekatan manajemen strategis pula.
Cobit merupakan suatu framework yang komprehensif yang membantu perusahaan dalam
mencapai tujuannya dan menyampaikan nilai melalui tata kelola (strategis) dan manajemen
(operasional) Teknologi Informasi Perusahaan. Governance ensure ->Evaluation,Direction and
Monitoring. Manajemen->Plan Build Runs and Monitoring. COBIT 5 brings together the five
principles that allow the enterprise to build an effective governance and management framework
based on a holistic set of seven enablers that optimises information and technology investment
and use for the benefit of stakeholders.
Cobit 5 didasarkan pada 5 prinsip kunci tatakelola dan manajemen TI perusahaan yaitu :
a.Pemenuhan kebutuhan Stakeholder
b. Melindungi titik-titik penting perusahaan
c.Penggunaan satu framework terintegrasi
d. Memungkinkan pendekatan secara holistik
e.Meminsahkan tatakelola dengan manajemen
COBIT 5 mendeskripsikan 7 kategori yang berperan sebagai penggerak yaitu :
a.Prinsip-prinsip, kebijakan-kebijakan, dan framework, adalah sarana untuk menerjemahkan
tingkah laku yang diinginkan ke dalam petunjuk praktek untuk pelaksanaan manajemen harian.
b. Proses, menjelaskan kumpulan terorganisasi dari praktek-praktek dan aktifitas-aktiftas untuk
mencapai tujuan yang telah ditentukan dan menghasilkan sekumpulan keluaran di dalam
dukungan pencapaian seluruh sasaran TI
c.Struktur organisasi, entitas pembuatan keputusan kunci di dalam perusahaan
d. Budaya, etika, dan tingkah laku, merupakan kebiasaan dari individu dan perusahaan yang
sering dianggap sebagai faktor penghambat kesuksesan di dalam aktifitas tatakelola dan
manajemen.
e.Informasi, adalah sebuah kebutuhan untuk memastikan agar organisasi tetap berjalan dan dapat
dikelola dengan baik. Tetapi di tingkat operasional, informasi seringnya digunakan sebagai hasil
dari proses perusahaan
f. Layanan, infrastruktur dan aplikasi, menyediakan layanan dan proses teknologi informasi bagi
perusahaan
Orang, keterampilan dan kemampuan, dibutuhkan untuk menyelesaikan semua aktifitas dan
membuat keputusan yang tepat serta mengambil aksi-aksi perbaikan.