Keamanan informasi yang tidak memadai akan meningkatkan peluang untuk manipulasi,
pemalsuan, atau perubahan catatan akuntansi. Akses tidak sah atau tidak sesuai dengan sistem
informasi akuntansi, atau kegagalan untuk membangun dan mempertahankan pemisahan
tugas sebagai bagian dari sistem pengendalian internal, dapat membuat sulit untuk
memastikan bahwa transaksi yang valid dan akurat yang dicatat, diproses, dan dilaporkan.
Ada sejumlah ancaman terhadap sistem informasi akuntansi, khususnya bagi mereka sistem
yang digunakan dalam hubungannya dengan internet. Ancaman ini merupakan tantangan
untuk manajemen, akuntan, auditor, dan akademisi.
Pada titik pengumpulan data, penting untuk menetapkan kontrol keamanan yang memastikan
bahwa transaksi atau peristiwa data yang valid, lengkap, dan bebas dari kesalahan material.
Masquerading (berpura-pura menjadi pengguna resmi) dan membonceng (memanfaatkan
garis telekomunikasi) adalah contoh kegiatan hacker yang dapat berdampak serius
pengumpulan data yang valid.
Ancaman terhadap sistem informasi akuntansi juga dapat terjadi selama fase pengolahan data.
Membuat program ilegal, mengakses atau menghapus file, menghancurkan atau merusak
logika program melalui virus, atau mengubah logika program untuk menyebabkan aplikasi
untuk mengolah data yang salah semua mewakili ancaman. Ancaman terhadap manajemen
database mungkin termasuk akses yang tidak sah yang memungkinkan mengubah,
menghapus, merusak, menghancurkan, atau mencuri data.
Kegagalan untuk menjaga file cadangan atau teknik penyimpanan lain merupakan kehilangan
yang berpotensi menghancurkan data. Ancaman ke fase informasi generasi dan pelaporan
juga harus dipertimbangkan. Sebagai contoh, pencurian, penyesatan, atau penyalahgunaan
output komputer dapat merusak daya saing atau reputasi organisasi.
Perdagangan Elektronik
Proses dimana barang dan jasa yang dibeli melalui beberapa media elektronik yang menjadi
metode transaksi yang diinginkan bagi banyak perusahan, karena pengelolannya relatif lebih
murah dibandingkan dengan uang tunai, cek dan transaksi lisan karena dengan perdagangan
elektronik hanya membutuhkan tenaga manusia yang sangat sedikit. Ancaman nya adalah
resiko konsumen dalam kepemilikan nomor kartu kredit, pemeriksaan nomor rekening, dan
informasi pribadi lainnya yang dicuri atau disadap selama transaksi perdagangan elektronik
dan digunakan untuk pembelian yang tidak sah, khususnya untuk transaksi yang dilakukan
melalui internet. Contoh: Pencegatan dan manipulasi data, akses, hacking dan coretan yang
tidak sah, serangan penolakan layanan, penipuan web dan kekeliruan lainnya, informasi
rahasia, web bugs, SPAM, ketersediaan komersial dari informasi pribadi, pencurian dan
penipuan identitas
1. Auditing Around The Computer. Pendekatan ini merupakan pendekatan yang mula-
mula ditempuh oleh auditor. Dengan pendekatan ini komputer yang digunakan oleh
perusahaan diperlakukan sebagai Black Box. Dalam pemeriksaan dengan pendekatan
ini, auditor melakukan pemeriksaan di sekitar komputer saja.
2. Auditing With The Computer. Pendekatan ini digunakan untuk mengotomatisati
banyak kegiatan audit. Auditor memanfaatkan komputer sebagai alat bantu dalam
melakukan penulisan, perhitungan, pembandingan dan sebagainya. Pendekatan ini
menggunakan perangkat lunak Generalized Audit Software, yaitu program audit yang
berlaku umum untuk berbagai klien.
3. Auditing Through The Computer. Pendekatan ini lebih menekankan pada langkah
pemrosesan serta pengendalian program yang dilakukan oleh sistem komputer.
Pendekatan ini mengasumsikan bahwa jika program pemrosesan dirancang dengan
baik dan memiliki aspek pengendalian yang memadai, maka kesalahan dan
penyimpangan kemungkinan besar tidak terjadi.pendekatan ini biasanya diterapkan
pada sistem pengolahan data on-line yang tidak memberikan jejak audit yang
memadai.
Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan, auditor harus
memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik yang dilakukan). Dalam
tahap ini, auditor juga mengidentifikasi aplikasi yang penting dan berusaha untuk memahami
pengendalian terhadap transaksi yang diproses oleh aplikasi tersebut. pada tahap ini pula
auditor dapat memutuskan apakah audit dapat diteruskan atau mengundurkan diri dari
penugasan audit.
Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk memahami
pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus dapat
memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan sebagai dasar untuk
menilai apakah struktur pengendalian intern yang diterapkan dapat dipercaya atau tidak. Kuat
atau tidaknya pengendalian tersebut akan menjadi dasar bagi auditor dalam menentukan
langkah selanjutnya.
Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti yang cukup
kompeten,. Pada tahap ini, pengujian yang dilakukan adalah mengidentifikasi kesalahan
dalam pemrosesan data, menilai kualitas data, mengidentifikasi ketidakkonsistenan data,
membandingkan data dengan perhitungan fisik, konfirmasi data dengan sumber-sumber dari
luar perusahaan.
Audit meliputi struktur pengendalian intern yang diterapkan perusahaan, yang mencakup :
(2) pengendalian aplikasi, yang terdiri dari : pengendalian secara manual, pengendalian
terhadap output sistem informasi, dan pengendalian yang sudah diprogram.
Pengendalian Umum.
Pengendalian umum pada perusahaan biasanya dilakukan terhadap aspek fisikal maupun
logikal. Aspek fisikal, terhadap aset-aset fisik perusahaan, sedangkan aspek logikal biasanya
terhadap sistem informasi di level manajemen (misal: sistem operasi). Pengendalian umum
sendiri digolongkan menjadi beberapa, diantaranya adalah:
Pengendalian operasi.
Operasi sistem informasi dalam perusahaan juga perlu pengendalian untuk memastikan
sistem informasi tersebut dapat beroperasi dengan baik selayaknya sesuai yang diharapkan.
Pengendalian perubahan.
Perubahan-perubahan yang dilakukan terhadap sistem informasi juga harus
dikendalikan. Termasuk pengendalian versi dari sistem informasi tersebut, catatan perubahan
versi,serta manajemen perubahan atas diimplementasikannya sebuah sistem informasi.
Pengendalian Aplikasi.
Pengendalian aplikasi adalah prosedur-prosedur pengendalian yang didisain oleh manajemen
organisasi untuk meminimalkan resiko terhadap aplikasi yang diterapkan perusahaan agar
proses bisnisnya dapat berjalan dengan baik.
Macam Aplikasi
Aplikasi yang dimaksud biasanya berwujud perangkat lunak, yang dapat dibagi menjadi dua
tipe dalam perusahaan untuk kepentingan audit PDE:
1. Perangkat lunak berdiri sendiri. Tipe ini biasanya terdapat pada organisasi yang
belum menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri
sendiri pada masing-masing unitnya. Sebagai contoh: aplikasi (software) MYOB pada
fungsi akuntansi dan keuangan.
2. Perangkat lunak di server. Tipe ini biasanya terdapat pada organisasi yang telah
menerapkan SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe
struktur sistemnya memakai sistem client-server . Client hanya dipakai sebagai antar-
muka (interface) untuk mengakses aplikasi pada server.
Macam Pengendalian Aplikasi
Pengendalian aplikasi dalam organisasi sendiri biasanya dibagi menjadi beberapa:
1. Organisasi Aplikasi
2. Akses Aplikasi
3. Input
4. Proses
5. Output
6. Master File/Database
Pengendalian Organisasi dan Akses Aplikasi
Pada pengendalian organisasi, hampir sama dengan pengendalian umum organisasi, namun
lebih terfokus pada aplikasi yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas
administrator, pengguna, hingga pengembangan aplikasi tersebut.
Pengendalian Input
Inti dari pengendalian input adalah memastikan data-data yang dimasukkan ke dalam sistem
telah tervalidasi, akurat, dan terverifikasi.
Validation checks
1. Format checks: sesuai dengan format yang ditentukan
2. Range and limit checks
3. Check digits
4. Validity checks (lookup)
5. Compatibility checks (data dan turunan)
Duplicate Checks
Membandingkan dengan input transaksi sebelumnya
Matching
Membandingkan (verifikasi) instan pada satu modul dengan instan modul lain yang
terhubungkan, contoh: penerimaan barang dengan tagihan.
Pengendalian Proses
Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu
(1) tahapan transaksi, dimana proses terjadi pada berkas-berkas transaksi baik yang
sementara maupun yang permanen dan
(2) tahapan database, proses yang dilakukan pada berkas-berkas master.
Anomaly penambahan
Anomaly penghapusan
Anomaly pemuktahiran/pembaruan
Teknologi yang digunakan Audit System
Audit teknologi informasi/Information technology audit adalah bentuk pengawasan dan
pengendalian dari insfrastruktur teknologi informasi secara menyeluruh. Audit teknologi
informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau
dengan kegiatan pengawasan dan evaluasi lain yang sejenis.
Pada mulanya istilah ini dikenal dengan audit pemprosesan data elektronik, dan
sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan
evaluasi dari semua kegiatan system informasi dalam sebuah perusahaan. Istilah lain dari
audit teknologi informasi adalah audit computer yang banyak dipakai untuk menentukan
apakah asset system informasi perusahaan itu telah bekerja secara efektif, dan integrative
dalam mencapai target organisasinya.
1. Test Data: Data pengujian adalah input yang disiapkan oleh auditor yang berisi baik
input yang berisi data valid dan maupun tidak valid. Data pengujian dapat digunakan
untuk memverifikasi validasi input transaksi rutin, pemrosesan logika, dan
penghitungan rutin program-program komputer dan untuk memverifikasi
penggabungan perubahan-perubahan program. Dengan melakukan data pengujian,
program masa ekonomis produksi reguler dapat digunakan, dan hal ini penting untuk
memastikan bahwa data pengujian tidak memengaruhi file-file yang disimpan oleh
sistem.
2. Integrated Test Facility : ITF menggunakan baik data pengujian maupun penciptaan
record fiktif (vendor, karyawan) pada file master sebuah sistem computer. ITF pada
umumnya digunakan unuk mengaudit sistem aplikasi komputer besar yang
menggunakan teknologi pemrosesan real time.
4. Parallel Simulation : Pemrosesan data riil melalui program audit. Output
disimulasikan dan dibandingkan dengan output regular demi tujuan pengawasan.
5. Audit software : Program computer yang memungkinkan computer digunakan
sebagai alat auditing. Perangkat lunak yang konvensional seperti program penggunaan
sistem, program pemunculan kembali informasi, atau bahasa program tingkat tinggi
dapat digunakan untuk kegiatan audit ini.
5. Generalized Audit Software : GAS adalah perangkat lunak audit yang secara khusus
didesain untuk memungkinkan auditor melakukan fungsi pemrosesan data audit yang
terkait.
6. PC Software : Perangkat lunak yang memungkinkan auditor menggunakan sebuah
PC untuk melakukan tugas tugas audit. Paket PC software general purpose seperti
perangkat lunak pengolah kata dan spreadsheet telah memiliki banyak aplikasi audit.
7. Embedded Audit Routine : Rutinitas auditing khusus dimasukkan dalam program
computer regular sehingga data transaksi dapat dijadikan subjek analisis audit.
Tes data buatan (dummy test data) lebih baik dari pada kalau memakai data (live real data)
yang sebenarnya, karena:
Dengan dummy test data dapat dibuat data yang lebih sedikit tetapi memenuhi seluruh
kriteria yang diperlukan untuk dapat melakukan test dengan baik.
Dengan dummy data akan lebih mudah dibuat perkiraan keluaran (designeble
expected result), kalau data masukannya sudah direncanakan dengan matang akan
menghasilkan tipe-tipe kesalahan yang seharusnya dideteksi program.
Kemungkinan kesalahan yang dapat dibuat pada dummy data akan lebih
kompherensif, memenuhi semua kemungkinan yang dapat diperkirakan.
Data uji harus mencakup seluruh kondisi yang diinginkan oleh auditor, baik data yang
sah maupun tidak sah (error).
Program yang diuji dengan data uji auditor harus sama seperti yang dipergunakan
untuk operasional sepanjang tahun oleh klien (bukan program “palsu”).
Data uji harus segera dihapus dari file klien segera setelah tes selesai, dengan maksud
agar file sistem tidak terkontaminasi oleh data uji (bukan data transaksi sebenarnya).
Pelaksanaan data uji harus menjamin bahwa data uji tidak mempengaruhi file data
sungguhan, akan ironis jika suatu prosedur audit yang dirancang untuk mendeteksi
kekeliruan justru membawa kekeliruan. Ini membutuhkan koordinasi antara auditor dan
karyawan komputer.
Auditor harus menjalankan pengendalian yang ketat. Dia harus mengamati pemosesan
yang dilakukan oleh operator komputer. Jika pengujian selesai auditor harus segera
mendapatkan output tercetak
Terdapat beberapa keuntungan dalam menggunakan metode data tes:
Teknik test data dapat menguji proses yang terjadi di komputer dengan perkiraan
output berdasarkan input yang dipersiapkan, relatif simple, cepat, serta relatif murah.
Teknik test data hanya memerlukan sedikit keahlian teknis komputer dari auditor,
tetapi sering dapat menghasilkan temuan yang bagus (mengenai kelemahan kontrol dalam
program), dan dengan sedikit modifikasi, data masih dapat digunakan pada audit yang akan
datang.
Disamping memiliki beberapa keuntungan dalam menggunakan metode data tes,
terdapat juga beberapa kelemahan dalam penggunaannya:
Limited by the auditor’s imagination, maksudnya, keberhasilan tes tersebut sangat
bergantung dari kemampuan auditor dalam memahami potensi error yang mungkin dapat
terjadi dan bagaimana ia membuat dummy data untuk menilai apakah software yang diuji
telah dilengkapi validasi (kemampuan mendeteksi).
Sulit untuk establish that the program being tested is the one the client regularly uses,
karena bisa saja klien nempunat software ganda, artinya jika diuji klien memberi software
yang benar, tetapi sesungguhnya dalam operasi sehari-hari klien memakai software yang
lain (yang salah atau yang menguntungkan perusahaannya).
Dalam menggunakan tehnik data uji harus dijaga agar dummy data yang dibuat tidak
“mengotori” data yang sebenarnya (make sure that the test data doesn’t effect client’s real
data).
Data uji bisa sangat mahal, pengembangannya banyak perlu waktu, dan program yang
diuji ternyata mungkin diganti/dirubah/bukan yang sebenarnya, sehingga hasil yang
diperoleh cepat usang atau tidak tepat sasaran.
Bagi auditor pemula mungkin sulit untuk mendeteksi kecurangan yang dilakukan oleh
operator komputer yang ahli menukar program.
Teknik tesebut sifatnya statis, karena berfokus pada titik waktu tertentu dan tidak
memeberikan hasil yang berkesinambungan.
Teknik ini berfokus pada program individual (program tertentu yang diuji saja), dan
cenderung tidak menguji secara komprehensif atas keseluruhan rangkaian sistem
pemrosesan transaksi.
Sulit untuk membuat data uji yang dapat meliputi seluruh kemungkinan. Auditor tidak
dapat mengetahui apakah program yang dipakai uji- coba benar- benar program yang on-
production.
Test data juga masih banyak mengandung kelemahan dalam arti belum tentu dapat
menentukan apakah program betul-betul sudah error-free.
Software yang dipakai dapat berupa copy dari Software auditee, tetapi proses copy harus
diawasi oleh auditor, software audit tertentu yang dibuat auditor, dan generalized audit
program. Penggunaan metode simulasi paralel memiliki beberapa keunggulan, di antaranya:
Persiapan dan pelaksanaan test harus sedemikian rupa sehingga operator tidak
mengetahui bahwa pada saat ini sedang dilakukan audit, atau data yang sedang direkamnya
ternyata adalah data dummy. Sistem ITF ini sering dilakukan pada bidang aplikasi: order
entry, purchasing, payroll, accounts receivable, dan sebagainya, dalam teknologi on-line
dan real-time (OLRT).
Auditor membuat entitas simulasi, misalnya suatu transaksi baru, pelanggan baru,
pegawai baru, dan sebagainya. Entitas simulasi ini lalu dimasukkan ke dalam operasi yang
berjalan seolah-olah merupakan entitas yang sah. Hasil dari pemrosesan transaksi itu harus
dipisahkan dari transaksi yang sah. Sistem yang baik akan memberikan respon terhadap
adanya transaksi/entitas yang tidak sah. Sebagaimana data tes, metode ini sasarannya
adalah pada pengujian ketaatan (compliance test).
Penggunaan metode ITF memiliki beberapa keunggulan dan kelemahan, yakni
Keunggulan metoda ini antara lain: auditor atau evaluator terhadap suatu program
dapat memberikan rekomendasi atau usul perbaikan, yaitu mengurangi bagian-bagian
program yang ternyata tidak bermanfaat. Dengan demikian jika perbaikan tersebut dapat
dilaksanakan dengan baik, maka berarti komputer akan dapat dioperasikan dengan lebih
efisien.
Sedangkan kelemahan dari mapping adalah Biaya pengadaan software yang relatif
mahal dan perlu waktu pelatihan serta kemahiran tertentu untuk dapat memanfaatkannya.
1. Job Accounting Data Analysis
Pada instalasi komputer induk (mainframe) lazimnya layanannya digunakan secara
patungan (sharing) oleh berbagai unit dan berbagai sistem aplikasi yang diimplementasikan
pada organisasi tersebut.
Dalam rangka analisis pembebanan biaya ataupun untuk kepentingan statistik
perusahaan, pada umumnya jenis mesin tersebut juga dilengkapi dengan software yang bisa
membantu manajemen untuk memperoleh data CPU utilization, computer-time per user, dan
sebagainya.
Bagi auditor, tersedianya fasilitas itu sangat bermanfaat karena dapat dipakai sebagai
bukti audit untuk pendukung evaluasi mengenai:
Teknik-teknik auditing yang sudah maju itu merupakan teknik-teknik yang ditemukan dalam
studi dua tahun yang disponsori oleh The Institute of Internal Auditor dan dibiayai oleh
International Business Machines Corporation. Studi mengenai Auditabilitas dan
Pengendalian Sistem mencoba untuk mengidentifikasi praktek-praktek yang digunakan para
auditor untuk meniliai aplikasi bisnis yang dikomputerisasi.
Teknik-teknik untuk perencanaan dan pengelolaan audit – Kategori ini meliputi dua
jenis alat dan teknik audit internal: pertama, teknik-teknik yang digunakan guna
mengevaluasi sistem aplikasi untuk disertakan dalam rencana audit internal saat ini; dan
kedua, teknik-teknik yang dapat memberikan kemampuan khusus audit EDP bagi staf audit
internal.
Teknik-teknik untuk mengetes pengendalian program aplikasi computer – Kategori
alat dan teknik audit EDP ini digunakan untuk mengetes rutin-rutin penghitungan, program,
atau keseluruhan aplikasi untuk mengevaluasi pengendalian atau memverifikasi kecermatan
pemrosesan dan ketaatan yang kontinu terhadap prosedur-prosedur pemrosesan tertentu.
teknik-teknik ini digunakan baik untuk evaluasi pengendalian system aplikasi maupun untuk
tes ketaatan.
Teknik-teknik untuk memilih dan memantau transaksi pengolahan data -AIat dan
teknik audit pengolahan data yang digunakan untuk memilih dan mengambil data produksi
untuk audit manual berikutnya dan verifikasi, termasuk dalam klasifikasi ini.
Teknik-teknik untuk verifikasi data – Alat dan teknik audit pengolahan data, seperti
software audit yang digeneralisasi, termasuk dalam kategori ini. Teknik-teknik ini digunakan
setelah pemrosesan produksi untuk memilih data dari file berdasarkan persyaratan logis atau
penggunaan sampel statistik, menjumlah dan menghitung saldo file atau seksi-seksi logis file,
seperti organisasi divisional atau kelompok-kelompok perkiraan, menyaring file untuk
mencari nilai yang menyimpang, data yang hilang, atau ayat-ayat pembukuan berganda, atau
memformat laporan untuk digunakan dalam audit.
Teknik-teknik untuk menganalisis program aplikasi komputer – Alat dan teknik
audit pengolahan data yang digunakan untuk mengevaluasi logika pengolahan dan prosedur
internal pada program-program aplikasi, sistem program, dan JCL (Job Control Language =
Bahasa Pengendalian Pekerjaan dalam seksi ini.
Teknik-teknik untuk mengaudit pusat jasa komputer – Teknik-teknik audit intenal
yang didokumentasikan selama wawancara lapangan yang digunakan untuk mengevaluasi
dan memverifikasi pengendalian-pengendalian umum di pusat jasa computer.
Teknik-teknik untuk mengaudit pengembangan sistem aplikasi – dalam kategori ini,
disajikan lima teknik audit yang bermanfaat bagi para auditor internal dalam mereviu
pengendalian yang mengarahkan pengembangan system aplikasi.
Berikut ini adalah kriteria yang harus dipertimbangkan seorang auditor dalam pemilihan
suatu teknik:
1. Pilihlah teknik yang dapat memenuhi tujuan audit.
2. Pilihlah teknik dimana auditor terlatih dan memiliki latar belakang yang diperlukan.
3. Pertimbangkanlah teknik-teknik yang untuknya tersedia waktu yang sesuai.
4. Dayagunakan teknik yang sesuai dengan kemampuan yang ada dalam organisasi.