Chapter 11 - Auditing Computer-Based Information Systems (Mengaudit Sistem Informasi Berbasis

Komputer)

Introduction

Bab ini berfokus pada audit sistem informasi akuntansi (AIS). Audit adalah proses sistematis untuk
memperoleh dan mengevaluasi bukti tentang pernyataan tentang tindakan dan peristiwa ekonomi untuk
menentukan seberapa baik mereka sesuai dengan kriteria yang ditetapkan. Hasil audit kemudian
dikomunikasikan kepada pengguna yang tertarik. Audit membutuhkan perencanaan yang cermat dan
pengumpulan, peninjauan, dan dokumentasi bukti audit. Dalam mengembangkan rekomendasi, auditor
menggunakan kriteria yang ditetapkan, seperti prinsip-prinsip kontrol yang dijelaskan dalam bab-bab
sebelumnya, sebagai dasar untuk evaluasi.

Banyak organisasi di Amerika Serikat mempekerjakan auditor internal untuk mengevaluasi operasi
perusahaan. Pemerintah mempekerjakan auditor untuk mengevaluasi kinerja manajemen dan kepatuhan
dengan maksud legislatif. Departemen Pertahanan mempekerjakan auditor untuk meninjau catatan keuangan
perusahaan dengan kontrak pertahanan. Perusahaan yang dimiliki publik mempekerjakan auditor eksternal
untuk memberikan tinjauan independen terhadap laporan keuangan mereka.

Bab ini ditulis dari sudut pandang auditor internal. Audit internal adalah kegiatan konsultasi independen,
obyektif dan konsultasi yang dirancang untuk menambah nilai dan meningkatkan efektivitas dan efisiensi
organisasi, termasuk membantu dalam desain dan implementasi AIS. Audit internal membantu organisasi
mencapai tujuannya dengan membawa pendekatan yang sistematis dan disiplin untuk mengevaluasi dan
meningkatkan efektivitas manajemen risiko, kontrol, dan proses tata kelola.

Ada beberapa jenis audit internal:

1. A financial audit /Audit keuangan memeriksa keandalan dan integritas transaksi keuangan, catatan
akuntansi, dan laporan keuangan.
2. An information systems, or internal control, audit / Suatu sistem informasi, atau pengendalian
internal, mengaudit tinjauan kendali AIS untuk menilai kepatuhannya terhadap kebijakan dan
prosedur pengendalian internal dan efektivitasnya dalam melindungi aset. Audit biasanya
mengevaluasi input dan output sistem, kontrol pemrosesan, rencana pencadangan dan pemulihan,
keamanan sistem, bantuan fasilitas komputer.
3. An operational audit / Audit operasional berkaitan dengan penggunaan sumber daya secara
ekonomis dan efisien secara ekonomis dan efisien dan pemenuhan tujuan dan sasaran yang
ditetapkan.
4. A compliance audit / Audit kepatuhan menentukan apakah entitas mematuhi hukum, peraturan,
kebijakan, dan prosedur yang berlaku. Audit ini sering menghasilkan rekomendasi untuk
meningkatkan proses dan kontrol yang digunakan untuk memastikan kepatuhan terhadap peraturan.
5. An investigative audit / Audit investigatif memeriksa insiden kemungkinan kecurangan,
penyalahgunaan aset, pemborosan dan penyalahgunaan, atau kegiatan pemerintah yang tidak patut

Sebaliknya, auditor eksternal bertanggung jawab kepada pemegang saham perusahaan dan sebagian besar
berkaitan dengan mengumpulkan bukti yang diperlukan untuk menyatakan pendapat atas laporan keuangan.
Mereka hanya secara tidak langsung mementingkan efektivitas AIS perusahaan. Namun, auditor eksternal
diminta untuk mengevaluasi bagaimana strategi audit dipengaruhi oleh penggunaan teknologi informasi (TI)
organisasi. Auditor eksternal mungkin memerlukan keterampilan khusus untuk (1) menentukan bagaimana
audit akan dipengaruhi oleh TI, (2) menilai dan mengevaluasi kontrol TI, dan (3) merancang dan melakukan tes
kontrol TI dan tes substantif.

Terlepas dari perbedaan antara audit internal dan eksternal, banyak konsep dan teknik audit internal yang
dibahas dalam bab ini juga berlaku untuk audit eksternal.

Bagian pertama bab ini memberikan ikhtisar audit dan langkah-langkah dalam proses audit. Bagian kedua
menjelaskan metodologi dan serangkaian teknik untuk mengevaluasi kontrol internal dalam AIS dan
melakukan audit sistem informasi. Bagian ketiga membahas perangkat lunak komputer dan teknik lain untuk
mengevaluasi keandalan dan integritas informasi dalam SIA. Akhirnya, audit operasional AIS ditinjau.

The Nature of Auditing / Sifat Audit

OVERVIEW OF THE AUDIT PROCESS / GAMBARAN UMUM PROSES AUDIT

Semua audit mengikuti urutan kegiatan yang serupa. Audit dapat dibagi menjadi empat tahap: perencanaan,
pengumpulan bukti, evaluasi bukti, dan mengkomunikasikan hasil audit. Gambar 11-1 adalah pandangan lain
dari proses audit dan daftar banyak prosedur yang dilakukan dalam masing-masing tahap ini.

AUDIT PLANNING. Perencanaan audit menentukan mengapa, bagaimana, kapan, dan oleh siapa audit akan
dilakukan. Langkah pertama adalah menetapkan ruang lingkup dan tujuan audit. Sebagai contoh, audit
terhadap perusahaan publik menentukan apakah laporan keuangannya disajikan secara wajar. Sebaliknya,
audit internal dapat memeriksa departemen atau aplikasi komputer tertentu. Ini dapat fokus pada kontrol
internal, informasi keuangan, kinerja operasi, atau kombinasi dari ketiganya.

Tim audit dengan pengalaman dan keahlian yang diperlukan dibentuk. Mereka menjadi terbiasa dengan pihak
yang diaudit dengan berunding dengan personel pengawas dan operasional, meninjau dokumentasi sistem,
dan meninjau temuan audit sebelumnya.

Audit direncanakan sehingga jumlah terbesar pekerjaan audit berfokus pada area dengan faktor risiko
tertinggi. Ada tiga jenis risiko audit:

1. Inherent Risk / Risiko Inheren adalah kerentanan terhadap risiko material tanpa adanya kontrol.
Sebagai contoh, sebuah sistem yang menggunakan pemrosesan online, jaringan, database,
telekomunikasi, dan bentuk-bentuk teknologi canggih lainnya memiliki risiko yang lebih melekat
daripada sejumlah sistem pemrosesan
2. Control risk / Risiko pengendalian adalah risiko bahwa salah saji material akan melalui struktur
pengendalian internal dan ke dalam laporan keuangan. Perusahaan dengan kontrol internal yang
lemah memiliki risiko kontrol yang lebih tinggi daripada perusahaan dengan kontrol yang kuat. Risiko
pengendalian dapat ditentukan dengan meninjau lingkungan kontrol, menguji kontrol internal, dan
mempertimbangkan kelemahan kontrol yang diidentifikasi dalam audit sebelumnya dan mengevaluasi
bagaimana mereka telah diperbaiki.
3. Detection risk / Risiko deteksi adalah risiko bahwa auditor dan prosedur auditnya akan gagal
mendeteksi kesalahan material atau salah saji.

Untuk menyimpulkan tahap perencanaan, program audit disiapkan untuk menunjukkan sifat, luas, dan waktu
dari prosedur yang diperlukan untuk mencapai tujuan audit dan meminimalkan risiko audit. Anggaran waktu
disiapkan, dan anggota staf ditugaskan untuk melakukan langkah-langkah audit khusus.
 Perencanaan Audit
Menetapkan ruang lingkup dan tujuan
Atur tim audit
Kembangkan pengetahuan tentang operasi
bisnis
Tinjau hasil audit sebelumnya
Identifikasi faktor risiko
Menyiapkan program audit

Pengumpulan Bukti Audit

Pengamatan kegiatan operasi
Tinjauan dokumentasi
Diskusi dengan karyawan
Kuisioner
Pemeriksaan fisik aset
Konfirmasi melalui pihak ketiga
Reperformance prosedur
Voucer dokumen sumber
Ulasan analitik
Sampling audit

Evaluasi Bukti Audit

Nilai kualitas kontrol internal.
Menilai keandalan Informasi
Menilai kinerja operasi
Pertimbangkan kebutuhan akan bukti
tambahan
Pertimbangkan faktor-faktor risiko
Pertimbangkan faktor materialitas
Dokumentasikan temuan audit

Komunikasi Hasil Audit

Merumuskan kesimpulan audit
Kembangkan rekomendasi untuk manajemen
Menyiapkan laporan audit
Sajikan hasil audit kepada manajemen
COLLECTION OF AUDIT EVIDENCE / PENGUMPULAN BUKTI AUDIT. Sebagian besar upaya audit dihabiskan
untuk mengumpulkan bukti. Karena banyak tes audit tidak dapat dilakukan pada semua item yang ditinjau,
mereka sering dilakukan berdasarkan sampel. Berikut ini adalah cara paling umum untuk mengumpulkan bukti
audit:

- Pengamatan (Observation) kegiatan yang diaudit (mis., Menonton bagaimana petugas kontrol data
menangani pekerjaan pemrosesan data saat diterima)
- Tinjau dokumentasi (Review of documentation) untuk memahami bagaimana proses tertentu atau
sistem kontrol internal seharusnya berfungsi
- Diskusi (Discussion) dengan karyawan tentang pekerjaan mereka dan tentang bagaimana mereka
melaksanakan prosedur tertentu
- Kuisioner (Questionnaires) yang mengumpulkan data
- Pemeriksaan fisik (Physical examination) kuantitas dan / atau kondisi aset berwujud, seperti peralatan
dan inventaris
- Konfirmasi (Confirmation) keakuratan informasi, seperti saldo akun pelanggan, melalui komunikasi
dengan pihak ketiga yang independen
- Reperforma (Reperformance) perhitungan untuk memverifikasi informasi kuantitatif (mis., Menghitung
ulang biaya penyusutan tahunan)
- Menjamin (Vouching) validitas transaksi dengan memeriksa dokumen pendukung, seperti pesanan
pembelian, laporan penerimaan, dan faktur vendor yang mendukung transaksi hutang dagang
- Tinjauan analisis (Analytical Review) hubungan dan tren di antara informasi untuk mendeteksi item yang
harus diselidiki lebih lanjut. Misalnya, seorang auditor untuk toko rantai menemukan bahwa rasio satu
toko dari piutang dagang terhadap penjualan terlalu tinggi. Investigasi mengungkapkan bahwa manajer
mengalihkan dana yang terkumpul untuk penggunaan pribadinya.

Audit tipikal memiliki campuran prosedur audit. Sebagai contoh, audit pengendalian internal membuat
penggunaan observasi, tinjauan dokumentasi, wawancara karyawan, dan kinerja prosedur kontrol lebih besar.
Audit keuangan berfokus pada pemeriksaan fisik, konfirmasi, penjaminan, peninjauan analitis, dan kinerja
ulang perhitungan saldo akun.

EVALUATION OF AUDIT EVIDENCE / EVALUASI BUKTI AUDIT. Auditor mengevaluasi bukti yang dikumpulkan
dan memutuskan apakah itu mendukung kesimpulan yang menguntungkan atau tidak menguntungkan. Jika
tidak meyakinkan, auditor melakukan prosedur tambahan yang cukup untuk mencapai kesimpulan yang pasti.

Karena kesalahan ada di sebagian besar sistem, auditor fokus pada mendeteksi dan melaporkan kesalahan
yang secara signifikan memengaruhi interpretasi manajemen terhadap temuan audit. Menentukan
materialitas - Jumlah kesalahan, materialitas, apa yang penting dan tidak penting dalam audit, adalah masalah
penilaian profesional. Materialitas lebih penting untuk audit eksternal, di mana penekanannya adalah
kewajaran laporan keuangan, daripada audit internal, di mana fokusnya adalah kepatuhan pada kebijakan
manajemen.

Auditor mencari kepastian yang masuk akal bahwa tidak ada kesalahan material dalam informasi atau proses
yang diaudit. Karena mahal untuk mencari jaminan penuh, auditor memiliki risiko bahwa kesimpulan audit
salah. Ketika risiko inheren atau risiko pengendalian tinggi, auditor harus mendapatkan jaminan yang lebih
besar untuk mengimbangi ketidakpastian dan risiko yang lebih besar.

Dalam semua tahap audit, temuan dan kesimpulan didokumentasikan dalam kertas kerja audit. Dokumentasi
sangat penting pada tahap evaluasi, ketika kesimpulan harus dicapai dan didukung.

COMMUNICATION OF AUDIT RESULTS / KOMUNIKASI HASIL AUDIT - Auditor menyerahkan laporan tertulis
yang merangkum temuan audit dan rekomendasi kepada manajemen, komite audit, dewan direksi, dan pihak
lain yang sesuai. Setelah itu, auditor sering melakukan studi tindak lanjut untuk memastikan apakah
rekomendasi telah diterapkan.
THE RISK-BASED AUDIT APPROACH / PENDEKATAN AUDIT BERBASIS RISIKO

Pendekatan evaluasi pengendalian internal berikut, yang disebut pendekatan audit berbasis risiko,
menyediakan kerangka kerja untuk melakukan audit sistem informasi:

1. Tentukan ancaman (penipuan dan kesalahan) yang dihadapi perusahaan. Ini adalah daftar
penyalahgunaan dan kerusakan yang tidak disengaja atau disengaja di mana sistem diekspos.
2. Identifikasi prosedur kontrol yang mencegah, mendeteksi, atau memperbaiki ancaman. Ini semua
adalah kontrol yang telah dilakukan manajemen dan auditor harus meninjau dan menguji untuk
meminimalkan ancaman.
3. Mengevaluasi prosedur kontrol. Kontrol dievaluasi dalam dua cara:
a. Sebuah tinjauan sistem (system review) menentukan apakah prosedur kontrol benar-benar ada.
b. Pengujian kontrol (test of control) dilakukan untuk menentukan apakah kontrol yang ada berfungsi
sebagaimana dimaksud.
4. Mengevaluasi kelemahan kontrol untuk menentukan pengaruhnya terhadap sifat, waktu, atau luas
prosedur audit. Jika auditor menentukan bahwa risiko pengendalian terlalu tinggi karena sistem kontrol
tidak memadai, auditor mungkin harus mengumpulkan lebih banyak bukti, bukti yang lebih baik, atau
bukti yang lebih tepat waktu. Kelemahan kontrol di satu area mungkin dapat diterima jika ada kontrol
kompensasi di area lain.

Pendekatan berbasis risiko memberi auditor pemahaman yang lebih jelas tentang penipuan dan kesalahan
yang dapat terjadi dan risiko serta eksposur terkait. Ini juga membantu mereka merencanakan cara menguji
dan mengevaluasi kontrol internal, serta bagaimana merencanakan prosedur audit selanjutnya. Hasilnya
adalah dasar yang kuat untuk mengembangkan rekomendasi kepada manajemen tentang bagaimana sistem
kontrol AIS harus ditingkatkan.

Audit Sistem Informasi

Tujuan dari audit sistem informasi adalah untuk meninjau dan mengevaluasi kontrol internal yang melindungi
sistem. Saat melakukan audit sistem informasi. auditor harus memastikan bahwa enam tujuan berikut
dipenuhi:

1. Ketentuan keamanan melindungi peralatan komputer, program, komunikasi, dan data dari akses,
modifikasi, atau perusakan yang tidak sah.
2. Pengembangan dan akuisisi program dilakukan sesuai dengan otorisasi umum dan khusus manajemen.
3. Modifikasi program memiliki otorisasi dan persetujuan manajemen.
4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya akurat dan lengkap.
5. Sumber data yang tidak akurat atau tidak diotorisasi diidentifikasi dan ditangani sesuai dengan kebijakan
manajerial yang ditentukan.
6. File data komputer akurat, lengkap, dan rahasia.

Gambar 11 -2 menggambarkan hubungan antara enam tujuan dan komponen sistem informasi ini. Masing-
masing tujuan dibahas secara rinci di bagian berikut. Setiap deskripsi mencakup rencana audit untuk mencapai
setiap tujuan, serta teknik dan prosedur untuk melaksanakan rencana tersebut.

TUJUAN 1: KEAMANAN SECARA KESELURUHAN

Tabel 11-1 menggunakan pendekatan berbasis risiko untuk menyajikan kerangka kerja untuk mengaudit
keseluruhan keamanan komputer. Ini menunjukkan bahwa keseluruhan ancaman keamanan sistem mencakup
kerusakan yang tidak disengaja atau disengaja terhadap aset sistem; akses tidak sah, pengungkapan, atau
modifikasi data dan program; pencurian; dan gangguan kegiatan bisnis penting.

TABEL 11-1 Kerangka Kerja untuk Audit Keamanan Komputer Keseluruhan

TYPES OF ERRORS AND FRAUD

- Pencurian atau kerusakan perangkat keras yang tidak disengaja atau disengaja
- Kehilangan, pencurian, atau akses tidak sah ke program, data, dan sumber daya sistem lainnya
- Kehilangan, pencurian, atau pengungkapan data rahasia tanpa izin
- Modifikasi yang tidak sah atau penggunaan program dan file data
- Gangguan kegiatan bisnis penting

CONTROL PROCEDURES

- Rencana keamanan / perlindungan informasi

- Pembatasan akses fisik ke peralatan komputer
- Pembatasan akses logis ke sistem menggunakan kontrol otentikasi dan otorisasi
- Penyimpanan data dan kontrol transmisi
- Prosedur perlindungan virus
- Prosedur pencadangan dan pemulihan file
- Desain sistem toleran-kesalahan
- Rencana pemulihan bencana
- Pemeliharaan preventif
- Firewall
- Asuransi kecelakaan dan gangguan bisnis

AUDIT PROCEDURES: SYSTEM REVIEW

- Periksa situs komputer

- Tinjau keamanan / perlindungan informasi dan rencana pemulihan bencana
- Wawancara personil sistem informasi tentang prosedur keamanan
- Tinjau kebijakan dan prosedur akses fisik dan logis
- Tinjau cadangan file dan kebijakan serta prosedur pemulihan
- Meninjau kebijakan dan prosedur penyimpanan dan transmisi data
- Meninjau prosedur yang digunakan untuk meminimalkan waktu henti sistem
- Tinjau kontrak perawatan vendor
- Periksa log akses sistem
- Memeriksa kebijakan asuransi kecelakaan dan gangguan bisnis

AUDIT PROCEDURES: TESTS OF CONTROLS

- Mengamati dan menguji prosedur akses situs komputer

- Amati persiapan dan penyimpanan file cadangan di luar situs
- Tugas uji dan prosedur modifikasi untuk JD dan kata sandi pengguna
- Selidiki bagaimana upaya akses yang sah ditangani
- Verifikasi tingkat dan efektivitas enkripsi data
- Pastikan penggunaan kontrol transmisi data yang efektif
- Verifikasi penggunaan efektif firewall dan prosedur perlindungan virus
- Verifikasi penggunaan pemeliharaan preventif dan catu daya yang tidak pernah terputus
- Memverifikasi jumlah dan batasan pada cakupan asuransi
- Periksa hasil simulasi tes rencana pemulihan bencana
COMPENSATING CONTROLS

- Kebijakan personil yang sehat, termasuk pemisahan tugas yang tidak sesuai
- Kontrol pengguna yang efektif

Prosedur pengendalian untuk meminimalkan ancaman ini termasuk mengembangkan rencana keamanan /
perlindungan informasi, membatasi akses fisik dan logis, mengenkripsi data, melindungi terhadap virus,
mengimplementasikan firewall, melembagakan kontrol transmisi data, dan mencegah dan memulihkan dari
kegagalan sistem atau bencana.

Prosedur tinjauan sistem termasuk memeriksa situs komputer; personil wawancara; meninjau kebijakan dan
prosedur; dan memeriksa log akses, kebijakan asuransi, dan rencana pemulihan bencana.

Auditor menguji kontrol keamanan dengan mengamati prosedur, memverifikasi bahwa kontrol sudah ada dan
berfungsi sebagaimana mestinya, menyelidiki kesalahan atau masalah untuk memastikan mereka ditangani
dengan benar, dan memeriksa semua tes yang sebelumnya dilakukan. Misalnya, salah satu cara untuk menguji
kontrol akses logis adalah dengan mencoba masuk ke sistem. Selama audit keamanan pemerintah A.S., auditor
menggunakan terminal agen untuk mendapatkan akses tidak sah ke sistem komputernya, menonaktifkan
prosedur pemeriksaan keamanannya, dan mengendalikan sistem dari terminal. Kerusakan keamanan
dimungkinkan karena kontrol administratif yang buruk dan perangkat lunak keamanan yang tidak memadai.

Kebijakan personel yang sehat dan pemisahan tugas yang tidak kompatibel yang efektif dapat
mengkompensasi sebagian untuk keamanan komputer yang buruk. Kontrol pengguna yang baik juga akan
membantu, asalkan personel pengguna dapat mengenali output sistem yang tidak biasa. Karena tidak mungkin
kontrol ini dapat mengkompensasi tanpa batas untuk keamanan komputer yang buruk, auditor harus sangat
merekomendasikan bahwa kelemahan keamanan diperbaiki,

TUJUAN 2: PENGEMBANGAN PROGRAM DAN AKUISISI

Peran auditor dalam pengembangan sistem harus dibatasi pada tinjauan independen terhadap aktivitas
pengembangan sistem. Untuk menjaga obyektivitas, auditor seharusnya tidak membantu mengembangkan
sistem.

Dua hal yang salah dalam pengembangan program: (1) kesalahan pemrograman yang tidak disengaja karena
spesifikasi sistem yang salah paham atau pemrograman yang ceroboh dan (2) instruksi yang tidak sah sengaja
dimasukkan ke dalam program. Masalah-masalah ini dapat dikontrol dengan membutuhkan manajemen dan
otorisasi dan persetujuan pengguna, pengujian menyeluruh, dan dokumentasi yang tepat.

Selama tinjauan sistem, auditor harus mendiskusikan prosedur pengembangan dengan manajemen, pengguna
sistem, dan personel sistem informasi. Mereka juga harus meninjau kebijakan, prosedur, standar, dan
dokumentasi yang tercantum dalam Tabel 11-2.

TABEL 11-2 Kerangka Kerja untuk Audit Pengembangan Program

TYPES OF ERRORS AND FRAUD

- Kesalahan pemrograman yang tidak disengaja atau kode program yang tidak sah

CONTROL PROCEDURES

- Tinjauan perjanjian lisensi perangkat lunak

- Otorisasi manajemen untuk pengembangan program dan akuisisi perangkat lunak
- Manajemen dan persetujuan pengguna untuk spesifikasi pemrograman
- Pengujian menyeluruh terhadap program baru, termasuk tes penerimaan pengguna
- Dokumentasi sistem lengkap, termasuk persetujuan
AUDIT PROCEDURES: SYSTEM REVIEW

- Tinjauan independen terhadap proses pengembangan sistem

- Tinjauan kebijakan dan prosedur pengembangan / akuisisi sistem
- Tinjauan kebijakan dan prosedur otorisasi dan persetujuan sistem
- Tinjauan standar evaluasi pemrograman
- Tinjauan standar dokumentasi program dan sistem
- Tinjau spesifikasi tes, data uji, dan hasil tes
- Tinjauan kebijakan dan prosedur persetujuan pengujian
- Tinjauan akuisisi kebijakan dan prosedur perjanjian lisensi hak cipta
- Diskusi dengan manajemen, pengguna, dan personel sistem informasi mengenai prosedur
pengembangan

AUDIT PROCEDURES: TESTS OF CONTROLS

- Wawancarai pengguna tentang perolehan / pengembangan sistem dan keterlibatan implementasi

- Tinjau risalah rapat tim pengembangan untuk bukti keterlibatan
- Verifikasi persetujuan manajemen dan pengguna keluar di titik-titik tonggak pengembangan
- Tinjau spesifikasi pengujian, data pengujian, dan hasil pengujian sistem
- Tinjau perjanjian lisensi perangkat lunak

COMPENSATING CONTROLS

- Kontrol pemrosesan yang kuat

- Pemrosesan independen data uji oleh auditor

Untuk menguji kontrol pengembangan sistem, auditor harus mewawancarai manajer dan pengguna sistem,
memeriksa persetujuan pengembangan, dan meninjau risalah rapat tim pengembangan. Auditor harus
meninjau semua dokumentasi yang berkaitan dengan proses pengujian untuk memastikan semua perubahan
program diuji. Auditor harus memeriksa spesifikasi pengujian dan data pengujian serta mengevaluasi hasil
pengujian. Auditor harus memastikan bagaimana masalah hasil tes yang tidak terduga diselesaikan.

Kontrol pemrosesan yang kuat dapat mengompensasi kontrol pengembangan yang tidak memadai jika auditor
mendapatkan bukti persuasif kepatuhan dengan kontrol pemrosesan, menggunakan teknik seperti
pemrosesan data uji independen. Jika bukti ini tidak diperoleh, auditor mungkin harus menyimpulkan bahwa
kelemahan pengendalian internal material ada dan bahwa risiko ancaman signifikan dalam program aplikasi
sangat tinggi.

TUJUAN 3: MODIFIKASI PROGRAM

Tabel 11-3 menyajikan kerangka kerja untuk mengaudit perubahan pada program aplikasi dan perangkat lunak
sistem. Ancaman yang sama yang terjadi selama pengembangan program terjadi selama modifikasi program.
Sebagai contoh, seorang programmer yang ditugaskan untuk memodifikasi sistem penggajian perusahaannya
memasukkan perintah untuk menghapus semua file perusahaan jika ia dihentikan. Ketika dia dipecat, sistem
mengalami crash dan menghapus file-file kunci.

TABEL 11-3 Kerangka Kerja untuk Audit Modifikasi Program

TYPES OF ERRORS AND FRAUD

Kesalahan pemrograman yang tidak disengaja atau kode program yang tidak sah

CONTROL PROCEDURES

- Daftar komponen program yang akan dimodifikasi

- Otorisasi manajemen dan persetujuan modifikasi program
- Persetujuan pengguna atas spesifikasi perubahan program
- Tes menyeluruh terhadap perubahan program, termasuk tes penerimaan pengguna
- Dokumentasi perubahan program lengkap, termasuk persetujuan
- Pisahkan versi pengembangan, pengujian, dan program produksi
- Perubahan diterapkan oleh personel yang tidak bergantung pada pengguna dan pemrogram.
- Kontrol akses logis

AUDIT PROCEDURES: SYSTEM REVIEW

- Tinjau kebijakan, standar, dan prosedur modifikasi program

- Tinjau standar dokumentasi untuk modifikasi program
- Tinjau dokumentasi akhir modifikasi program
- Tinjau pengujian modifikasi program dan prosedur persetujuan pengujian
- Tinjau spesifikasi pengujian, data pengujian, dan hasil pengujian
- Tinjau persetujuan pengujian - kebijakan dan prosedur
- Tinjau standar evaluasi pemrograman
- Diskusikan kebijakan dan prosedur modifikasi dengan manajemen; pengguna, dan personel sistem
- Tinjau kebijakan dan prosedur kontrol akses logis

AUDIT PROCEDURES: TESTS OF CONTROLS

- Verifikasi persetujuan pengguna dan manajemen untuk perubahan program

- Pastikan komponen program yang akan dimodifikasi diidentifikasi dan didaftar
- Pastikan prosedur dan dokumentasi pengujian perubahan program memenuhi standar
- Verifikasi bahwa kontrol akses logis berlaku untuk perubahan program
- Amati implementasi perubahan program
- Verifikasi bahwa versi pengembangan, pengujian, dan produksi terpisah dipertahankan
- Verifikasi bahwa perubahan tidak diterapkan oleh pengguna atau personil pemrograman
- Tes untuk perubahan program yang tidak sah atau salah menggunakan program perbandingan kode
sumber; simulasi paralel

COMPENSATING CONTROLS

- Tes audit independen untuk perubahan program yang tidak sah atau salah
- Kontrol pemrosesan yang kuat

Ketika suatu perubahan program diajukan untuk persetujuan. daftar semua pembaruan yang diperlukan harus
disusun dan disetujui oleh manajemen dan pengguna program. Semua perubahan program harus diuji dan
didokumentasikan. Selama proses perubahan, program pengembangan harus tetap terpisah dari versi
produksi. Setelah program yang dimodifikasi disetujui, versi produksi menggantikan versi pengembangan.

Selama tinjauan sistem, auditor harus membahas proses perubahan dengan manajemen dan personel
pengguna. Kebijakan, prosedur, dan standar untuk menyetujui, memodifikasi, menguji, dan
mendokumentasikan perubahan harus diperiksa. Semua bahan dokumentasi akhir untuk perubahan program,
termasuk prosedur pengujian dan hasil, harus ditinjau. Prosedur yang digunakan untuk membatasi akses logis
ke program pengembangan harus ditinjau.

Bagian penting dari pengujian kontrol adalah untuk memverifikasi bahwa perubahan program diidentifikasi,
didaftar, disetujui, diuji, dan didokumentasikan. Auditor harus memverifikasi bahwa pengembangan terpisah
dan program produksi dipertahankan dan bahwa perubahan dilaksanakan oleh seseorang yang independen
dari fungsi pengguna dan pemrograman. Tabel kontrol akses program pengembangan ditinjau untuk
memverifikasi bahwa Hanya pengguna yang berwenang yang memiliki akses ke sistem.
Auditor harus menguji program berdasarkan kejutan untuk melindungi karyawan memasukkan perubahan
program yang tidak sah setelah audit selesai dan menghapusnya sebelum audit berikutnya. Ada tiga cara tes
auditor untuk perubahan program yang tidak sah:

1. 1. Setelah menguji program baru, auditor menyimpan salinan kode sumbernya. Auditor menggunakan
program perbandingan kode sumber (source code comparison program) untuk membandingkan
versi program saat ini dengan kode sumber. Jika tidak ada perubahan yang diotorisasi, kedua versi
harus identik; perbedaan harus diselidiki. Jika perbedaannya adalah perubahan yang diotorisasi,
auditor memeriksa spesifikasi perubahan program untuk memastikan bahwa perubahan itu
diotorisasi dan dimasukkan dengan benar.
2. Dalam teknik pemrosesan ulang, auditor memproses ulang data menggunakan kode sumber dan
membandingkan output dengan output perusahaan. Perbedaan dalam output diselidiki.
3. Dalam simulasi paralel, auditor menulis program alih-alih menggunakan kode sumber,
membandingkan keluaran, dan menyelidiki perbedaan. Simulasi paralel dapat digunakan untuk
menguji suatu program selama proses implementasi. Sebagai contoh, Jason menggunakan teknik ini
untuk menguji sebagian dari sistem penggajian departemen penjualan baru SPP.

Untuk setiap perubahan program utama, auditor mengamati pengujian dan implementasi, meninjau otorisasi
dan dokumen, dan melakukan pengujian independen. Jika langkah ini dilewati dan kontrol perubahan program
selanjutnya terbukti tidak memadai, mungkin tidak mungkin untuk mengandalkan output program.

Jika kontrol perubahan program kurang, kontrol kompensasi adalah perbandingan kode sumber, pemrosesan
ulang, atau simulasi paralel yang dilakukan oleh auditor. kontrol pemrosesan, diuji secara independen oleh
auditor, sebagian dapat mengkompensasi kekurangan tersebut. Namun, jika kekurangan disebabkan oleh
pembatasan yang tidak memadai pada akses file program, auditor harus sangat merekomendasikan tindakan
untuk memperkuat kontrol akses logis organisasi.

TUJUAN 4: PENGOLAHAN KOMPUTER / COMPUTER PROCESSING

Tabel 11-4 menyediakan kerangka kerja untuk mengaudit pemrosesan transaksi, file, dan catatan komputer
terkait untuk memperbarui file dan database dan untuk menghasilkan laporan.

Selama pemrosesan komputer, sistem mungkin gagal mendeteksi input yang salah, mengoreksi kesalahan
input dengan tidak benar, memproses input yang salah, atau mendistribusikan atau menyingkap output
dengan cara yang salah. Tabel 11-4 menunjukkan prosedur kontrol untuk mendeteksi dan mencegah ancaman
ini dan sistem meninjau dan menguji kontrol yang digunakan untuk memahami kontrol, mengevaluasi
kecukupannya, dan menguji apakah mereka berfungsi dengan baik.

Auditor secara berkala mengevaluasi kembali kontrol pemrosesan untuk memastikan keandalannya yang
berkelanjutan. Jika tidak memuaskan, kontrol data pengguna dan sumber mungkin cukup kuat untuk
mengompensasi. Jika tidak, ada kelemahan material, dan langkah-langkah harus diambil untuk menghilangkan
defisiensi kontrol.

Beberapa teknik khusus digunakan untuk menguji kontrol pemrosesan, yang masing-masing memiliki
kelebihan dan kekurangannya sendiri. Tidak ada teknik yang efektif untuk semua keadaan; semua lebih sesuai
dalam beberapa situasi dan kurang di situasi lain. Auditor tidak boleh mengungkapkan teknik mana yang
mereka gunakan, karena hal itu dapat mengurangi efektivitasnya. Masing-masing prosedur ini sekarang
dijelaskan.

TABEL 11-4 Kerangka Kerja untuk Audit Kontrol Pemrosesan Komputer

TYPES OF ERRORS AND FRAUD

Gagal mendeteksi data input yang salah, tidak lengkap, atau tidak sah

Gagal memperbaiki kesalahan yang ditandai oleh prosedur pengeditan data dengan benar
Pengenalan kesalahan ke file atau database saat memperbarui

Distribusi atau pengungkapan yang tidak benar dari output komputer

Ketidaktepatan disengaja atau tidak disengaja dalam pelaporan

CONTROL PROCEDURES

- Rutinitas pengeditan data

- Penggunaan label file internal dan eksternal yang benar
- Rekonsiliasi total batch
- Prosedur koreksi kesalahan yang efektif
- Dokumentasi operasi yang mudah dimengerti dan jalankan manual
- Pengawasan operasi komputer yang kompeten
- Penanganan input dan output data yang efektif oleh personel kontrol data
- Persiapan daftar perubahan file dan ringkasan untuk tinjauan departemen pengguna
- Pemeliharaan kondisi lingkungan yang tepat di fasilitas komputer

AUDIT PROCEDURES: SYSTEM REVIEW

- Tinjau dokumentasi administrasi untuk memproses standar kontrol

- Tinjau dokumentasi sistem untuk mengedit data dan kontrol pemrosesan lainnya
- Tinjau dokumentasi operasi untuk kelengkapan dan kejelasan
- Tinjau salinan daftar kesalahan, total laporan batch, dan daftar perubahan file
- Amati operasi komputer dan fungsi kontrol data
- Diskusikan kontrol pemrosesan dan keluaran dengan operator dan pengawas sistem informasi

AUDIT PROCEDURES: TESTS OF CONTROLS

- Mengevaluasi kecukupan standar dan prosedur kontrol pemrosesan

- Mengevaluasi kecukupan dan kelengkapan kontrol pengeditan data
- Verifikasi kepatuhan terhadap pemrosesan prosedur kontrol dengan mengamati operasi kontrol
komputer dan data
- Pastikan output sistem aplikasi terdistribusi dengan benar
- Rekonsiliasi sampel total batch; menindaklanjuti perbedaan
- Lacak sampel data edit kesalahan rutin untuk memastikan penanganan yang tepat
- Verifikasi ketepatan pemrosesan transaksi sensitive
- Verifikasi ketepatan pemrosesan transaksi yang dihasilkan computer
- Cari kode yang salah atau tidak sah melalui analisis logika program
- Periksa akurasi dan kelengkapan kontrol pemrosesan menggunakan data uji
- Memantau sistem pemrosesan online menggunakan teknik audit bersamaan
- Buat kembali laporan terpilih untuk menguji keakuratan dan kelengkapan

COMPENSATING CONTROLS

- Kontrol pengguna yang kuat dan kontrol data sumber yang efektif

PENGOLAHAN DATA UJI / PROCESSING TEST DATA. Salah satu cara untuk menguji suatu program adalah
dengan memproses serangkaian hipotesis transaksi valid dan tidak valid. Program harus memproses semua
transaksi yang valid dengan benar dan menolak semua yang tidak valid. Semua jalur logika harus diperiksa oleh
satu atau beberapa transaksi pengujian. Data yang tidak valid termasuk catatan dengan data yang hilang,
bidang yang berisi jumlah besar yang tidak masuk akal, nomor akun yang tidak valid atau kode pemrosesan,
data nonnumerik dalam bidang angka, dan catatan di luar urutan.

Sumber daya berikut bermanfaat saat menyiapkan data uji:

- Daftar transaksi actual
- Tes transaksi yang digunakan perusahaan untuk menguji program
- Generator data uji, yang menyiapkan data uji berdasarkan spesifikasi program

Dalam sistem pemrosesan batch, program perusahaan dan salinan file yang relevan digunakan untuk
memproses data pengujian. Hasil dibandingkan dengan keluaran yang benar yang telah ditentukan: perbedaan
menunjukkan kesalahan pemrosesan atau kekurangan kontrol untuk diselidiki.

Dalam sistem online, auditor memasukkan data uji dan kemudian mengamati dan mencatat respons sistem.
Jika sistem menerima transaksi pengujian yang salah, auditor membalikkan efek transaksi, menyelidiki
masalah, dan merekomendasikan agar kekurangan tersebut diperbaiki.

Memproses transaksi pengujian memiliki dua kelemahan. Pertama, auditor harus meluangkan waktu yang
cukup untuk memahami sistem dan menyiapkan transaksi pengujian. Kedua, auditor harus memastikan bahwa
data pengujian tidak memengaruhi file dan basis data perusahaan. Auditor dapat membalikkan efek dari
transaksi pengujian atau memproses transaksi dalam proses terpisah menggunakan salinan file atau database.
Namun, proses yang terpisah menghapus beberapa keaslian yang diperoleh dari pemrosesan data uji dengan
transaksi reguler. Karena prosedur pembalikan dapat mengungkapkan keberadaan dan sifat uji auditor kepada
personel kunci, ini bisa menjadi kurang efektif daripada tes tersembunyi.

TEKNIK AUDIT CONCURRENT (BERSAMAAN). Karena transaksi dapat diproses dalam sistem online tanpa
meninggalkan jejak audit, bukti yang dikumpulkan setelah data diproses tidak cukup untuk keperluan audit.
Selain itu, karena banyak sistem online memproses transaksi terus menerus, sulit untuk menghentikan sistem
untuk melakukan tes audit. Dengan demikian, auditor menggunakan teknik audit bersamaan untuk terus
memantau sistem dan mengumpulkan bukti audit sementara data langsung diproses selama jam operasional
reguler. Teknik audit bersamaan menggunakan modul audit tertanam, yang merupakan segmen kode program
yang melakukan fungsi audit, melaporkan hasil pengujian, dan menyimpan bukti yang dikumpulkan untuk
ditinjau oleh auditor. Teknik audit bersamaan memakan waktu dan sulit digunakan tetapi kurang begitu jika
dimasukkan ketika program dikembangkan.

Auditor umumnya menggunakan lima teknik audit bersamaan (concurrent).

1. Fasilitas pengujian terintegrasi / Integrated Test Facility (ITF) menyisipkan catatan fiktif yang
mewakili divisi, departemen, pelanggan, atau pemasok fiktif dalam file induk perusahaan. Memproses
transaksi pengujian untuk memperbaruinya tidak akan memengaruhi catatan aktual. Karena catatan
fiktif dan aktual diproses bersama, karyawan perusahaan tidak mengetahui pengujian. Sistem
membedakan catatan ITF dari catatan aktual, mengumpulkan informasi tentang transaksi pengujian,
dan melaporkan hasilnya. Auditor membandingkan data yang diproses dengan hasil yang diharapkan
untuk memverifikasi bahwa sistem dan kontrolnya beroperasi dengan benar. Dalam sistem
pemrosesan batch, ITF menghilangkan kebutuhan transaksi pengujian terbalik. ITF secara efektif
menguji sistem pemrosesan online, karena transaksi pengujian dapat sering diajukan, diproses
dengan transaksi aktual, dan dilacak melalui setiap tahap pemrosesan tanpa mengganggu operasi
pemrosesan reguler. Auditor harus berhati-hati untuk tidak menggabungkan catatan dummy dan
aktual selama proses pelaporan.
2. Dalam teknik snapshot, transaksi yang dipilih ditandai dengan kode khusus. Modul audit mencatat
transaksi ini dan catatan file induknya sebelum dan sesudah memproses dan menyimpan data dalam
file khusus. Auditor meninjau data untuk memverifikasi bahwa semua langkah pemrosesan telah
dilaksanakan dengan benar.
3. File audit tinjauan kontrol sistem / System Control Audit Review File (SCARF) menggunakan modul
audit tertanam untuk terus memantau aktivitas transaksi, mengumpulkan data tentang transaksi
dengan signifikansi audit khusus, dan menyimpannya dalam file SCARF atau log audit. Transaksi yang
dicatat termasuk yang melebihi batas dolar yang ditentukan, yang melibatkan akun tidak aktif,
 menyimpang dari kebijakan perusahaan, atau mengandung penurunan nilai aset. Secara berkala,
auditor memeriksa log audit untuk mengidentifikasi dan menyelidiki transaksi yang dipertanyakan.
4. Kait audit / Audit Hook adalah rutinitas audit yang memberi tahu auditor tentang transaksi yang
dipertanyakan, sesering yang terjadi. Penggunaan kait audit State Farm, termasuk bagaimana
perusahaan mendeteksi penipuan besar, dijelaskan dalam Fokus 11-1
5. Simulasi berkelanjutan dan intermiten / Continuous and intermittent simulation (CIS) menanamkan
modul audit sistem manajemen basis data ma (DBMS) yang memeriksa semua transaksi yang
memperbarui basis data dengan menggunakan kriteria yang mirip dengan SCARE. Jika suatu transaksi
memiliki signifikansi audit khusus, modul CIS secara mandiri memproses data. (dengan cara yang
mirip dengan simulasi paralel), mencatat hasilnya, dan membandingkannya dengan yang diperoleh
oleh DBMS. Ketika ada perbedaan, mereka disimpan dalam log audit untuk penyelidikan selanjutnya.
Jika perbedaannya serius, CIS dapat mencegah DBMS dari melakukan pembaruan.

ANALISA LOGIKA PROGRAM / ANALYSIS OF PROGRAM LOGIC. Jika auditor mencurigai bahwa suatu program
mengandung kode yang tidak sah atau kesalahan serius, analisis terperinci dari logika program mungkin
diperlukan. Ini memakan waktu dan membutuhkan kecakapan dalam bahasa pemrograman yang sesuai,
sehingga harus digunakan sebagai upaya terakhir. Auditor menganalisis pengembangan, pengoperasian, dan
dokumentasi program serta cetakan kode sumber. Mereka juga menggunakan paket perangkat lunak berikut:

- Program flowchart otomatis / Automated flowcharting programs mengartikan kode sumber dan
menghasilkan flowchart program.
- Program tabel keputusan otomatis / Automated decision table programs menafsirkan kode sumber dan
menghasilkan tabel keputusan.
- Pemindaian rutin / Scanning routines mencari program untuk semua kemunculan item tertentu.
- Program pemetaan / Mapping programs mengidentifikasi kode program yang tidak dijalankan.
Perangkat lunak ini bisa mengungkap kode program yang dimasukkan oleh programmer yang tidak
bertanggung jawab untuk menghapus semua file komputer ketika ia diberhentikan.
- Penelusuran program / Program tracing secara berurutan mencetak semua langkah program yang
dijalankan ketika suatu program berjalan, bercampur dengan output reguler sehingga urutan peristiwa
eksekusi program dapat diamati. Pelacakan program membantu mendeteksi instruksi program yang tidak
sah, jalur logika yang salah, dan kode program yang tidak dijalankan.

TUJUAN 5: DATA SUMBER / SOURCE DATA

Matriks kontrol input digunakan untuk mendokumentasikan tinjauan kontrol data sumber. Matriks pada
Gambar 11-3 menunjukkan, prosedur kontrol diterapkan pada setiap bidang rekaman input.

Fungsi kontrol data harus independen dari fungsi lain, memelihara log kontrol data, menangani kesalahan, dan
memastikan efisiensi operasi secara keseluruhan. Biasanya tidak layak secara ekonomi bagi usaha kecil untuk
memiliki fungsi kontrol data independen. Untuk mengkompensasi, kontrol departemen pengguna harus lebih
kuat sehubungan dengan persiapan data, total kontrol batch, mengedit program, pembatasan akses fisik dan
logis, dan prosedur penanganan kesalahan. Prosedur-prosedur ini harus menjadi fokus dari tinjauan sistem
auditor dan pengujian kontrol ketika tidak ada fungsi kontrol data independen.

Meskipun kontrol data sumber mungkin tidak sering berubah, seberapa ketat mereka diterapkan dapat
berubah, dan auditor harus secara teratur menguji tema. Auditor menguji sistem dengan mengevaluasi sampel
data sumber untuk otorisasi yang tepat, merekonsiliasi kontrol batch, dan mengevaluasi apakah kesalahan edit
data diselesaikan dan dikirim kembali untuk diproses.

Jika kontrol data sumber tidak memadai, departemen pengguna dan kontrol pemrosesan data dapat
memberikan kompensasi. Jika tidak, auditor harus merekomendasikan bahwa kekurangan kontrol data sumber
diperbaiki.
Tabel 11-5 menunjukkan kontrol internal yang mencegah, mendeteksi, dan memperbaiki data sumber yang
tidak akurat atau tidak sah. Ini juga menunjukkan tinjauan sistem dan pengujian prosedur kontrol yang
digunakan auditor. Dalam sistem online, entri data sumber dan fungsi pemrosesan adalah satu operasi. Oleh
karena itu, kontrol data sumber diintegrasikan dengan kontrol pemrosesan pada Tabel 1 1-4.

OBJECTIVE 6: DATA FILES

The sixth objective concerns the accuracy, integrity, and security of data stored on machine-readable files.
Table 11-6 summarizes the errors, controls, and audit procedures for this objective. If file controls are seriously
deficient, especially with respect to physical or logical access or to backup and recovery procedures, the
auditor should recommend they be rectified.

The auditing-by-objectives approach is a comprehensive, systematic, and effective means of evaluating

internal controls. It can be implemented using an audit procedures checklist for each objective. The checklist
helps auditors reach a separate conclusion for each objective and suggests compensating controls as
appropriate. Each of the six checklists should be completed for each significant application.

TABEL 11-5 Kerangka Kerja untuk Audit Kontrol Data Sumber

TYPES OF ERRORS AND FRAUD

- Data sumber tidak akurat atau tidak sah

CONTROL PROCEDURES

- Penanganan input data sumber yang efektif oleh personel kontrol data
- Otorisasi pengguna input data sumber
- Persiapan dan rekonsiliasi total kontrol batch
- Mencatat tanda terima, perpindahan, dan disposisi input data sumber
- Periksa verifikasi digit
- Verifikasi kunci
- Penggunaan dokumen turnaround
- Rutinitas pengeditan data
- Ulasan departemen pengguna daftar perubahan file dan ringkasan
- Prosedur yang efektif untuk memperbaiki dan mengirim kembali data yang salah

PROSEDUR AUDIT: TINJAUAN SISTEM

- Tinjau dokumentasi tentang tanggung jawab fungsi kontrol data

- Tinjau dokumentasi administrasi untuk standar kontrol data sumber
- Tinjau metode otorisasi dan periksa tanda tangan otorisasi
- Tinjau dokumentasi untuk mengidentifikasi langkah-langkah pemrosesan dan sumber konten dan kontrol
data
- Sumber data mengontrol data menggunakan matriks kontrol input
- Diskusikan kontrol data sumber dengan personel kontrol data, pengguna sistem, dan manajer

PROSEDUR AUDIT: UJI PENGENDALIAN

- Mengamati dan mengevaluasi operasi departemen kontrol data dan prosedur kontrol
- Verifikasi perawatan yang tepat dan penggunaan log kontrol data
- Mengevaluasi bagaimana item-item log kesalahan ditangani
- Periksa data sumber untuk otorisasi yang tepat
- Rekonsiliasi total batch dan tindak lanjuti perbedaan
- Lacak disposisi kesalahan yang ditandai oleh rutinitas edit data

PENGENDALIAN KOMPENSASI

- Kontrol pengguna dan pemrosesan data yang kuat

Audit Software

Teknik audit berbantuan komputer (CAAT) mengacu pada perangkat lunak audit, yang sering disebut
perangkat lunak audit umum (GAS), yang menggunakan spesifikasi yang disediakan auditor untuk
menghasilkan program yang menjalankan fungsi audit, dengan demikian mengotomatisasi atau
menyederhanakan proses audit. Dua paket perangkat lunak yang paling populer adalah Audit Control
Language (ACL) dan Interactive Data Extraction and Analysis (IDEA). CAAT cocok untuk memeriksa file data
besar untuk mengidentifikasi catatan yang membutuhkan pemeriksaan audit lebih lanjut.

Pemerintah A.S. menemukan bahwa CAAT adalah alat yang berharga dalam mengurangi defisit anggaran
federal besar-besaran. Perangkat lunak ini digunakan untuk mengidentifikasi klaim Medicare yang curang dan
tuduhan berlebihan yang diajukan oleh kontraktor pertahanan. Kantor Akuntansi Umum (GAO) melakukan
pengecekan silang angka-angka dengan Internal Revenue Service (IRS) dan menemukan bahwa ribuan veteran
berbohong tentang pendapatan mereka untuk mendapatkan tunjangan pensiun. Beberapa 116.000 veteran
yang menerima pensiun berdasarkan kebutuhan tidak mengungkapkan pendapatan $ 338 juta dari tabungan,
dividen, atau sewa. Lebih dari 13.600 penghasilan tidak dilaporkan; satu tidak melaporkan pendapatan lebih
dari $ 300.000. Ketika Administrasi Veteran (VA) memberi tahu penerima manfaat bahwa pendapatan mereka
akan diverifikasi dengan IRS dan Administrasi Jaminan Sosial, daftar pensiun turun lebih dari 13.000, dengan
penghematan $ 9 juta per bulan. VA berencana untuk menggunakan sistem yang sama untuk memeriksa
tingkat pendapatan mereka yang mengajukan permohonan perawatan medis. Jika pendapatan mereka
ditemukan di atas tingkat tertentu, pasien akan diminta untuk melakukan pembayaran bersama.

Dalam contoh lain, seorang penagih pajak baru di kota kecil New England meminta pemeriksaan pajak.
Menggunakan CAAT, auditor mengakses catatan pengumpulan pajak selama empat tahun sebelumnya,
mengurutkannya berdasarkan tanggal, menjumlahkan koleksi berdasarkan bulan, dan membuat laporan
pengumpulan pajak bulanan. Analisis mengungkapkan bahwa koleksi selama Januari dan Juli, dua bulan
tersibuk, telah menurun masing-masing sebesar 58% dan 72%. Auditor kemudian menggunakan CAAT untuk
membandingkan setiap catatan pengumpulan pajak dengan catatan properti. Mereka mengidentifikasi
beberapa perbedaan, termasuk yang dilakukan oleh mantan pemungut pajak, yang menggunakan pembayaran
wajib pajak lain untuk menutupi tagihan pajaknya yang menunggak. Mantan pemungut pajak itu ditahan
karena penggelapan.

TABEL 11-6 Kerangka Kerja untuk Audit Kontrol File Data

TYPES OF ERRORS AND FRAUD

- Penghancuran data yang disimpan karena kesalahan, kegagalan fungsi perangkat keras atau perangkat
lunak, dan tindakan sabotase atau vandalisme yang disengaja
- Modifikasi yang tidak sah atau pengungkapan data yang disimpan

CONTROL PROCEDURES

- Penyimpanan data dalam pustaka file aman dan pembatasan akses fisik ke file data
- Kontrol akses logis dan matriks kontrol akses
- Penggunaan label file dan mekanisme perlindungan penulisan yang benar
- Kontrol pembaruan bersamaan
- Enkripsi data untuk data rahasia
- Perangkat lunak perlindungan virus
- Pencadangan di luar semua file data
- Prosedur pos pemeriksaan dan kembalikan untuk memfasilitasi pemulihan sistem

AUDIT PROCEDURES: SYSTEM REVIEW

- Tinjau dokumentasi untuk operasi perpustakaan file

- Tinjau kebijakan dan prosedur akses logis
- Tinjau standar untuk perlindungan virus, penyimpanan data di luar lokasi, dan prosedur pemulihan sistem
- Tinjau kontrol untuk pembaruan bersamaan, enkripsi data, konversi file, dan rekonsiliasi total file master
dengan total kontrol independent
- Periksa rencana pemulihan bencana
- Diskusikan prosedur kontrol file dengan manajer dan operator

AUDIT PROCEDURES: TESTS OF CONTROLS

- Amati dan evaluasi operasi perpustakaan file

- Tinjau catatan penetapan kata sandi dan modifikasi
- Amati dan evaluasi prosedur penanganan file oleh personel operasi
- Amati persiapan dan penyimpanan file cadangan di luar lokasi
- Pastikan penggunaan prosedur perlindungan virus secara efektif
- Verifikasi penggunaan kontrol pembaruan serentak dan enkripsi data
- Verifikasi kelengkapan, mata uang, dan pengujian rencana pemulihan bencana
- Rekonsiliasi total file master dengan total kontrol yang dikelola secara terpisah
- Amati prosedur yang digunakan untuk mengontrol konversi file

COMPENSATING CONTROLS

- Kontrol pengguna dan pemrosesan data yang kuat

- Kontrol keamanan komputer yang efektif

Untuk menggunakan CAAT, auditor memutuskan tujuan audit, mempelajari tentang file dan database yang
akan diaudit, merancang laporan audit, dan menentukan cara membuatnya. Informasi ini dicatat pada lembar
spesifikasi dan dimasukkan ke dalam sistem. Program CAAT menggunakan spesifikasi untuk menghasilkan
program audit. Program ini menggunakan salinan data langsung perusahaan (untuk menghindari kesalahan)
untuk melakukan prosedur audit dan menghasilkan laporan audit yang ditentukan. CAAT tidak dapat
menggantikan penilaian auditor atau membebaskan auditor dari fase audit lainnya. Misalnya, auditor masih
harus menyelidiki item pada laporan pengecualian, memverifikasi total file terhadap sumber informasi lain,
dan memeriksa dan mengevaluasi sampel audit.

CAAT sangat berharga bagi perusahaan dengan proses yang rumit, operasi terdistribusi, volume transaksi
tinggi, atau beragam aplikasi dan sistem.

Berikut ini adalah beberapa kegunaan CAAT yang lebih penting:

- Meminta file data untuk mengambil catatan yang memenuhi kriteria yang ditentukan
- Membuat, memperbarui, membandingkan, mengunduh, dan menggabungkan file
- Meringkas, menyortir, dan memfilter data
- Mengakses data dalam berbagai format dan mengonversi data menjadi format umum
- Memeriksa catatan untuk kualitas, kelengkapan, konsistensi, dan kebenaran
- Stratifikasi catatan, pemilihan dan analisis sampel statistic
- Menguji risiko spesifik dan mengidentifikasi cara mengendalikan risiko itu
- Melakukan perhitungan, analisis statistik, dan operasi matematika lainnya
- Melakukan tes analitik, seperti analisis rasio dan tren, mencari pola data yang tidak terduga atau tidak
dapat dijelaskan yang dapat mengindikasikan penipuan
- Mengidentifikasi kebocoran keuangan, ketidakpatuhan kebijakan, dan kesalahan pemrosesan data
- Merekonsiliasi jumlah fisik dengan jumlah yang dihitung, menguji keakuratan ulama ekstensi dan saldo,
menguji item duplikat
- Memformat dan mencetak laporan dan dokumen
- Membuat kertas kerja elektronik

Audit Operasional dari AIS

Teknik dan prosedur yang digunakan dalam audit operasional mirip dengan audit sistem informasi dan laporan
keuangan. Perbedaan mendasar adalah ruang lingkup audit. Audit sistem informasi terbatas pada kontrol
internal dan audit keuangan untuk output sistem, sedangkan audit operasional mencakup semua aspek
manajemen sistem. Selain itu, tujuan audit operasional meliputi evaluasi efektivitas, efisiensi, dan pencapaian
tujuan.

Langkah pertama dalam audit operasional adalah perencanaan audit, di mana ruang lingkup dan tujuan audit
ditetapkan) tinjauan sistem pendahuluan dilakukan, dan program audit tentatif disiapkan. Langkah
selanjutnya, pengumpulan bukti, meliputi kegiatan-kegiatan berikut:

- Meninjau kebijakan dan dokumentasi pengoperasian

- Mengkonfirmasi prosedur dengan personel manajemen dan operasi
- Mengamati fungsi dan aktivitas operasi
- Meneliti rencana dan laporan keuangan dan operasi
- Menguji keakuratan informasi operasi
- Kontrol pengujian

Pada tahap evaluasi bukti, auditor mengukur sistem terhadap sistem yang mengikuti prinsip-prinsip
manajemen sistem terbaik. Salah satu pertimbangan penting adalah bahwa hasil kebijakan dan praktik
manajemen lebih signifikan daripada kebijakan dan praktik itu sendiri. Artinya, jika hasil yang baik dicapai
melalui kebijakan dan praktik yang secara teoritis kurang, maka auditor harus hati-hati mempertimbangkan
apakah perbaikan yang disarankan akan secara substansial meningkatkan hasil. Auditor mendokumentasikan
temuan dan kesimpulan mereka dan mengkomunikasikannya kepada manajemen.

Auditor operasional yang ideal memiliki pelatihan audit dan pengalaman serta pengalaman beberapa tahun di
posisi manajerial. Auditor dengan latar belakang audit yang kuat tetapi pengalaman manajemen yang lemah
sering tidak memiliki perspektif yang diperlukan untuk memahami proses manajemen.