AUDIT PEMROSESAN DATA ELEKTRONIK

ANCAMAN DAN TEKNIK KONTROL

TIPE, TINGKATAN DAN PENYALAHGUNAAN SISTEM INFORMASI

Tantangan dari Audit System

1. Ancaman keamanan ke Internet Dagang dan Teknologi
Penggunaan teknologi internet telah secara substansial meningkatkan kerentanan sistem
informasi. Salah satu yang tercepat-berkembang ancaman di Internet adalah pencurian data
keuangan yang sensitif. Kegagalan untuk memasukkan keamanan informasi dasar tanpa
disadari menciptakan bisnis yang signifikan dan risiko profesional. Sebagai contoh, tanpa
keamanan yang efektif, seorang hacker dapat mengakses password user, menyediakan
hidangan ke array kemampuan sistem dan informasi. Pelanggaran tersebut dapat memiliki
konsekuensi hukum yang serius. Atau, rahasia dagang yang mungkin ditemukan dan
disebarluaskan, mengurangi keunggulan kompetitif dan keuntungan.

Keamanan informasi yang tidak memadai akan meningkatkan peluang untuk manipulasi,
pemalsuan, atau perubahan catatan akuntansi. Akses tidak sah atau tidak sesuai dengan sistem
informasi akuntansi, atau kegagalan untuk membangun dan mempertahankan pemisahan
tugas sebagai bagian dari sistem pengendalian internal, dapat membuat sulit untuk
memastikan bahwa transaksi yang valid dan akurat yang dicatat, diproses, dan dilaporkan.
Ada sejumlah ancaman terhadap sistem informasi akuntansi, khususnya bagi mereka sistem
yang digunakan dalam hubungannya dengan internet. Ancaman ini merupakan tantangan
untuk manajemen, akuntan, auditor, dan akademisi.

2. Ancaman terhadap Sistem Informasi Akuntansi

Ancaman terhadap sistem informasi akuntansi berasal dari berbagai sumber. Jika diabaikan,
mereka dapat menghancurkan relevansi dan keandalan informasi keuangan, menyebabkan
keputusan yang buruk oleh berbagai stakeholder.

Pada titik pengumpulan data, penting untuk menetapkan kontrol keamanan yang memastikan
bahwa transaksi atau peristiwa data yang valid, lengkap, dan bebas dari kesalahan material.
Masquerading (berpura-pura menjadi pengguna resmi) dan membonceng (memanfaatkan
 garis telekomunikasi) adalah contoh kegiatan hacker yang dapat berdampak serius
pengumpulan data yang valid.

Ancaman terhadap sistem informasi akuntansi juga dapat terjadi selama fase pengolahan data.
Membuat program ilegal, mengakses atau menghapus file, menghancurkan atau merusak
logika program melalui virus, atau mengubah logika program untuk menyebabkan aplikasi
untuk mengolah data yang salah semua mewakili ancaman. Ancaman terhadap manajemen
database mungkin termasuk akses yang tidak sah yang memungkinkan mengubah,
menghapus, merusak, menghancurkan, atau mencuri data.

Kegagalan untuk menjaga file cadangan atau teknik penyimpanan lain merupakan kehilangan
yang berpotensi menghancurkan data. Ancaman ke fase informasi generasi dan pelaporan
juga harus dipertimbangkan. Sebagai contoh, pencurian, penyesatan, atau penyalahgunaan
output komputer dapat merusak daya saing atau reputasi organisasi.

 Kemajuan dalam teknologi informasi dan peningkatan penggunaan Internet mengharuskan

manajemen, akuntan, auditor, dan akademisi menjadi lebih luas dan fasih dalam desain,
operasi, dan kontrol sistem informasi akuntansi.

Beberapa contoh ancaman adalah sbb :

 Virus dan cacing / worm

1. Bakteri – program yang dirancang untuk bereproduksi dengna pesat sampai pusat unit
pengolahan terpusat (CPU) kehabisan kapasitas.
2. Bom Logika program yang aktif setelah terjadinya peristiwa tertentu, seperti lewat
tanggal atau kegagalan dari pembuatnya untuk menyetel ulang counter
3. Trojan horse – program yang terlihat dan melakukan fungsifungsi tertentu dengna
tidak merugikan namun mengandung kode berbahaya seperti virus, bakteri dan bom
logika
4. Worms – program yang mencari dan menjalankan dirinya sendiri dalam pusat memori
pengolahan CPU yang ada dan kemudian secara terus-menerus menyalin dirinya         
sendiri kekomputer lain, biasanya menyebabkan penolakan layanan terhadap
pengguna
 5. Penangkap sandi, dialer ulang, pintu jebaban dan dialer perang secara teknis bukan
merupakan program seperti virus yang dapat menginfeksi sistem komputer, namun
dapat digunakan untuk mengeksploitasi atau membuat kelemahan keamanan dan oleh
karena itu harus diteliti lebih lanjut.

 Pembajakan perangkat lunak

Menyalin program perangkat lunak yang dilindungi hak cipta untuk penggunaan pribadi atau
untuk dijual kembali kepada pihak lain, sehingga menyangkal royalti pemilik yang sah dan
manfaat hukum lainnya yang seharusnya menjadi hak mereka.

 Perdagangan Elektronik
Proses dimana barang dan jasa yang dibeli melalui beberapa media elektronik yang menjadi
metode transaksi yang diinginkan bagi banyak perusahan, karena pengelolannya relatif lebih
murah dibandingkan dengan uang tunai, cek dan transaksi lisan karena dengan perdagangan
elektronik hanya membutuhkan tenaga manusia yang sangat sedikit. Ancaman nya adalah
resiko konsumen dalam kepemilikan nomor kartu kredit, pemeriksaan nomor rekening, dan
informasi pribadi lainnya yang dicuri atau disadap selama transaksi perdagangan elektronik
dan digunakan untuk pembelian yang tidak sah, khususnya untuk transaksi yang dilakukan
melalui internet. Contoh: Pencegatan dan manipulasi data, akses, hacking dan coretan yang
tidak sah, serangan penolakan layanan, penipuan web dan kekeliruan lainnya, informasi
rahasia, web bugs, SPAM, ketersediaan komersial dari informasi pribadi, pencurian dan
penipuan identitas

Perkembangan  Audit Sistem Informasi

Perkembangan teknologi informasi, perangkat lunak, sistem jaringan dan komunikasi dan
otomatisasi dalam pengolahan data berdampak perkembangan terhadap pendekatan audit
yang dilakukan, tiga pendekatan yang dilakukan oleh auditor dalam memeriksa laporan
keuangan klien yang telah mempergunakan Sistem Informasi Akuntansi yaitu:

1. Auditing Around The Computer. Pendekatan ini merupakan pendekatan yang mula-
mula ditempuh oleh auditor. Dengan pendekatan ini komputer yang digunakan oleh
perusahaan diperlakukan sebagai Black Box. Dalam pemeriksaan dengan pendekatan
ini, auditor melakukan pemeriksaan di sekitar komputer saja.
 2. Auditing With The Computer. Pendekatan ini digunakan untuk mengotomatisati
banyak kegiatan audit. Auditor memanfaatkan komputer sebagai alat bantu dalam
melakukan penulisan, perhitungan, pembandingan dan sebagainya. Pendekatan ini
menggunakan perangkat lunak  Generalized Audit Software, yaitu program audit yang
berlaku umum untuk berbagai klien.
3. Auditing Through The Computer. Pendekatan ini lebih menekankan pada langkah
pemrosesan serta pengendalian program yang dilakukan oleh sistem komputer.
Pendekatan ini mengasumsikan bahwa jika program pemrosesan dirancang dengan
baik dan memiliki aspek pengendalian yang memadai, maka kesalahan dan
penyimpangan kemungkinan besar tidak terjadi.pendekatan ini biasanya diterapkan
pada sistem pengolahan data on-line yang tidak memberikan jejak audit yang
memadai.

Tahap-tahap Audit Sistem Informasi

Tahap-tahap audit terdiri dari 5 tahap sebagai berikut :

1. Tahap Pemeriksaan Pendahuluan.

Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan, auditor harus
memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik yang dilakukan). Dalam
tahap ini, auditor juga mengidentifikasi aplikasi yang penting dan berusaha untuk memahami
pengendalian terhadap transaksi yang diproses oleh aplikasi tersebut. pada tahap ini pula
auditor dapat memutuskan apakah audit dapat diteruskan atau mengundurkan diri dari
penugasan audit.

2.  Tahap Pemeriksaan Rinci.

Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk memahami
pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus dapat
memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan sebagai dasar untuk
menilai apakah struktur pengendalian intern yang diterapkan dapat dipercaya atau tidak. Kuat
atau tidaknya pengendalian tersebut akan menjadi dasar bagi auditor dalam menentukan
langkah selanjutnya.

3. Tahap Pengujian Kesesuaian.

 Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi. Informasi
yang digunakan berada dalam file data yang biasanya harus diambil menggunakan software
CAATTs.

4. Tahap Pengujian Kebenaran  Bukti.

Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti yang cukup
kompeten,. Pada tahap ini, pengujian yang dilakukan adalah mengidentifikasi kesalahan
dalam pemrosesan data, menilai kualitas data, mengidentifikasi ketidakkonsistenan data,
membandingkan data dengan perhitungan fisik, konfirmasi data dengan sumber-sumber dari
luar perusahaan.

5. Tahap Penilaian Secara Umum atas Hasil Pengujian.

Pada tahap ini auditor diharapkan telah dapat memberikan penilaian apakah bukti yang
diperoleh dapat atau tidak mendukung informasi yang diaudit. Hasil penilaian tersebut akan
menjadi dasar bagi auditor untuk menyiapkan pendapatanya dalam laporan auditan. Auditor
harus mengintegrasikan hasil proses dalam pendekatan audit yang diterapkan audit yang
diterapkan.

Audit meliputi struktur pengendalian intern yang diterapkan perusahaan, yang mencakup :

(1) pengendalian umum,

(2) pengendalian aplikasi, yang terdiri dari : pengendalian secara manual, pengendalian
terhadap output sistem informasi, dan pengendalian yang sudah diprogram.

Pengendalian Umum.
Pengendalian umum pada perusahaan biasanya dilakukan terhadap aspek fisikal maupun
logikal. Aspek fisikal, terhadap aset-aset fisik perusahaan, sedangkan aspek logikal biasanya
terhadap sistem informasi di level manajemen (misal: sistem operasi). Pengendalian umum
sendiri digolongkan menjadi beberapa, diantaranya adalah:

 Pengendalian organisasi dan otorisasi.

Yang dimaksud dengan organisasi disini adalah secara umum terdapat pemisahan tugas dan
jabatan antara pengguna sistem (operasi) dan administrator sistem (operasi). Disini juga dapat
 dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah diotorisasi oleh
administrator.

 Pengendalian operasi.
Operasi sistem informasi dalam perusahaan juga perlu pengendalian untuk memastikan
sistem informasi tersebut dapat beroperasi dengan baik selayaknya sesuai yang diharapkan.

 Pengendalian perubahan.
Perubahan-perubahan yang dilakukan terhadap sistem informasi juga harus
dikendalikan. Termasuk pengendalian versi dari sistem informasi tersebut, catatan perubahan
versi,serta manajemen perubahan atas diimplementasikannya sebuah sistem informasi.

 Pengendalian akses fisikal dan logikal.

Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas
sistem informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan
akses terhadap sistem operasi sistem tersebut (misal:windows).

Pengendalian Aplikasi.
Pengendalian aplikasi adalah prosedur-prosedur pengendalian yang didisain oleh manajemen
organisasi untuk meminimalkan resiko terhadap aplikasi yang diterapkan perusahaan agar
proses bisnisnya dapat berjalan dengan baik. 

Hubungan Pengendalian Umum dan Aplikasi

Hubungan antara pengendalian umum dan aplikasi biasanya bersifat pervasif. Artinya apabila
pengendalian umum terbukti jelek, maka pengendalian aplikasinya diasumsikan jelek juga,
sedangkan bila pengendalian umum terbukti baik, maka diasumsikan pengendalian
aplikasinya juga baik.

Macam Aplikasi
Aplikasi yang dimaksud biasanya berwujud perangkat lunak, yang dapat dibagi menjadi dua
tipe dalam perusahaan untuk kepentingan audit PDE:

1. Perangkat lunak berdiri sendiri. Tipe ini biasanya terdapat pada organisasi yang
belum menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri
 sendiri pada masing-masing unitnya. Sebagai contoh: aplikasi (software) MYOB pada
fungsi akuntansi dan keuangan.
2. Perangkat lunak di server. Tipe ini biasanya terdapat pada organisasi yang telah
menerapkan SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe
struktur sistemnya memakai sistem client-server . Client hanya dipakai sebagai antar-
muka (interface) untuk mengakses aplikasi pada server.
 
Macam Pengendalian Aplikasi
Pengendalian aplikasi dalam organisasi sendiri biasanya dibagi menjadi beberapa:

1. Organisasi Aplikasi
2. Akses Aplikasi
3. Input
4. Proses
5. Output
6. Master File/Database
 
 Pengendalian Organisasi dan Akses Aplikasi
Pada pengendalian organisasi, hampir sama dengan pengendalian umum organisasi, namun
lebih terfokus pada aplikasi yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas
administrator, pengguna, hingga pengembangan aplikasi tersebut.

 Pengendalian Input
Inti dari pengendalian input adalah memastikan data-data yang dimasukkan ke dalam sistem
telah tervalidasi, akurat, dan terverifikasi.

Beberapa pengendalian input otomatis yang biasa diprogram:

 Validation checks
1. Format checks: sesuai dengan format yang ditentukan
2. Range and limit checks
3. Check digits
4. Validity checks (lookup)
5. Compatibility checks (data dan turunan)
 Duplicate Checks
            Membandingkan dengan input transaksi sebelumnya

 Matching
            Membandingkan (verifikasi) instan pada satu modul dengan instan modul lain  yang
terhubungkan, contoh: penerimaan barang dengan tagihan.

 Pengendalian Proses
Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu

            (1) tahapan transaksi, dimana proses terjadi pada berkas-berkas transaksi baik   yang
sementara maupun yang permanen dan

            (2) tahapan database, proses yang dilakukan pada berkas-berkas master.

Tipe pengendalian proses adalah sebagai berikut:

1. Run to run control

2. Pivot totals
3. Control/Hash totals: non numerical control
4. Control accounts
5. Data file control: menghitung instan entitas
6. Transaction validation control
7. File reconciliation control
 
 Pengendalian Output
Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis maupun manual
(kasat mata) jika output yang dihasilkan juga kasat mata. Beberapa tipe pengendalian output:

1. Ekspektansi output (logs)

2. Kelengkapan output (misal dengan no halaman)
3. Pengendalian atas spooled output
4. Reasonableness
5. Output rutin
 6. Distribusi output
7. Orang yang tepat, ditempat yang benar dalam waktu yang reasonable
8. SQL output
 
 Pengendalian Berkas Master 
Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga tidak akan
diketemukan anomali-anomali, seperti:

 Anomaly penambahan
 Anomaly penghapusan
 Anomaly pemuktahiran/pembaruan
 
Teknologi yang digunakan Audit System
Audit teknologi informasi/Information technology audit adalah bentuk pengawasan dan
pengendalian dari insfrastruktur teknologi informasi secara menyeluruh. Audit teknologi
informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau
dengan kegiatan pengawasan dan evaluasi lain yang sejenis.
Pada mulanya istilah ini dikenal dengan audit pemprosesan data elektronik, dan
sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan
evaluasi dari semua kegiatan system informasi dalam sebuah perusahaan. Istilah lain dari
audit teknologi informasi adalah audit computer yang banyak dipakai untuk menentukan
apakah asset system informasi perusahaan itu telah bekerja secara efektif, dan integrative
dalam mencapai target organisasinya.
1. Test Data: Data pengujian adalah input yang disiapkan oleh auditor yang berisi baik
input yang berisi data valid dan maupun tidak valid. Data pengujian dapat digunakan
untuk memverifikasi validasi input transaksi rutin, pemrosesan logika, dan
penghitungan rutin program-program komputer dan untuk memverifikasi
penggabungan perubahan-perubahan program. Dengan melakukan data pengujian,
program masa ekonomis produksi reguler dapat digunakan, dan hal ini penting untuk
memastikan bahwa data pengujian tidak memengaruhi file-file yang disimpan oleh
sistem.
2. Integrated Test Facility : ITF menggunakan baik data pengujian maupun penciptaan
record fiktif (vendor, karyawan) pada file master sebuah sistem computer. ITF pada
 umumnya digunakan unuk mengaudit sistem aplikasi komputer besar yang
menggunakan teknologi pemrosesan real time. 
4. Parallel Simulation : Pemrosesan data riil melalui program audit. Output
disimulasikan dan dibandingkan dengan output regular demi tujuan pengawasan.
5. Audit software : Program computer yang memungkinkan computer digunakan
sebagai alat auditing. Perangkat lunak yang konvensional seperti program penggunaan
sistem, program pemunculan kembali informasi, atau bahasa program tingkat tinggi
dapat digunakan untuk kegiatan audit ini. 
5. Generalized Audit Software : GAS adalah perangkat lunak audit yang secara khusus
didesain untuk memungkinkan auditor melakukan fungsi pemrosesan data audit yang
terkait.
6. PC Software :  Perangkat lunak yang memungkinkan auditor menggunakan sebuah
PC untuk melakukan tugas tugas audit. Paket PC software general purpose seperti
perangkat lunak pengolah kata dan spreadsheet telah memiliki banyak aplikasi audit.
7. Embedded Audit Routine :  Rutinitas auditing khusus dimasukkan dalam program
computer regular sehingga data transaksi dapat dijadikan subjek analisis audit.

Teknik-teknik Audit System 

Teknik Untuk Menguji Pengendalian Program Aplikasi Komputer Pada Batch
Processing Environment
Teknik untuk menguji pengendalian program aplikasi computer pada batch processing
environment terbagi menjadi 2 metode:

Metode Data Tes

Pada metode data tes menggunakan data simulasi yang dibuat auditor dan kemudian diproses
menggunakan software yang digunakan klien. Hal ini dilakukan untuk apakah program
komputer sudah bekerja dengan baik. Data tes ini juga dibuat untuk menguji validitas suatu
program. Dalam melakukan metode data tes ini, terdapat beberapa tahapan yang harus
dilakukan:

 Auditor membuat data tes berupa elemen-elemen data simulasi.

 Auditor memasukkan data tes tersebut pada model input atau proses yang dipilih
untuk diuji.
 Auditor menetapkan hasil yang seharusnya sesuai dengan kaidah pengendalian intern
yang baik.
 Auditor membandingkan hasil yang seharusnya dengan hasil pengujian.
 Dari hasil perbandingan dapat diketahui keandalan pengendalian system

Tes data buatan (dummy test data) lebih baik dari pada kalau memakai data (live real data)
yang sebenarnya, karena:

 Dengan dummy test data dapat dibuat data yang lebih sedikit tetapi memenuhi seluruh
kriteria yang diperlukan untuk dapat melakukan test dengan baik.
 Dengan dummy data akan lebih mudah dibuat perkiraan keluaran (designeble
expected result), kalau data masukannya sudah direncanakan dengan matang  akan
menghasilkan tipe-tipe kesalahan yang seharusnya dideteksi program.
 Kemungkinan kesalahan yang dapat dibuat pada dummy data akan lebih
kompherensif, memenuhi semua kemungkinan yang dapat diperkirakan.

Terdapat hal-hal yang perlu diperhatikan dalam menggunakan data uji:

 Data uji harus mencakup seluruh kondisi yang diinginkan oleh auditor, baik data yang
sah maupun tidak sah (error).
 Program yang diuji dengan data uji auditor harus sama seperti yang dipergunakan
untuk operasional sepanjang tahun oleh klien (bukan program “palsu”).
 Data uji harus segera dihapus dari file klien segera setelah tes selesai, dengan maksud
agar file sistem tidak terkontaminasi oleh data uji (bukan data transaksi sebenarnya).
 Pelaksanaan data uji harus menjamin bahwa data uji tidak mempengaruhi file data
sungguhan, akan ironis jika suatu prosedur audit yang dirancang untuk mendeteksi
kekeliruan justru membawa kekeliruan. Ini membutuhkan koordinasi antara auditor dan
karyawan komputer.
 Auditor harus menjalankan pengendalian yang ketat. Dia harus mengamati pemosesan
yang dilakukan oleh operator komputer. Jika pengujian selesai auditor harus segera
mendapatkan output tercetak
Terdapat beberapa keuntungan dalam menggunakan metode data tes:
 Teknik test data dapat menguji proses yang terjadi di komputer dengan perkiraan
output berdasarkan input yang dipersiapkan, relatif simple, cepat, serta relatif murah.
 Teknik test data hanya memerlukan sedikit keahlian teknis komputer dari auditor,
tetapi sering dapat menghasilkan temuan yang bagus (mengenai kelemahan kontrol dalam
program), dan dengan sedikit modifikasi, data masih dapat digunakan pada audit yang akan
datang.
Disamping memiliki beberapa keuntungan dalam menggunakan metode data tes,
terdapat juga beberapa kelemahan dalam penggunaannya:
 Limited by the auditor’s imagination, maksudnya, keberhasilan tes tersebut sangat
bergantung dari kemampuan auditor dalam memahami potensi error yang mungkin dapat
terjadi dan bagaimana ia membuat dummy data untuk menilai apakah software yang diuji
telah dilengkapi validasi (kemampuan mendeteksi).
 Sulit untuk establish that the program being tested is the one the client regularly uses,
karena bisa saja klien nempunat software ganda, artinya jika diuji klien memberi software
yang benar, tetapi sesungguhnya dalam operasi sehari-hari klien memakai software yang
lain (yang salah atau yang menguntungkan perusahaannya).
 Dalam menggunakan tehnik data uji harus dijaga agar dummy data yang dibuat tidak
“mengotori” data yang sebenarnya (make sure that the test data doesn’t effect client’s real
data).
 Data uji bisa sangat mahal, pengembangannya banyak perlu waktu, dan program yang
diuji ternyata mungkin diganti/dirubah/bukan yang sebenarnya, sehingga hasil yang
diperoleh cepat usang atau tidak tepat sasaran.
 Bagi auditor pemula mungkin sulit untuk mendeteksi kecurangan yang dilakukan oleh
operator komputer yang ahli menukar program.
 Teknik tesebut sifatnya statis, karena berfokus pada titik waktu tertentu dan tidak
memeberikan hasil yang berkesinambungan.
 Teknik ini berfokus pada program individual (program tertentu yang diuji saja), dan
cenderung tidak menguji secara komprehensif atas keseluruhan rangkaian sistem
pemrosesan transaksi.
 Sulit untuk membuat data uji yang dapat meliputi seluruh kemungkinan. Auditor tidak
dapat mengetahui apakah program yang dipakai uji- coba benar- benar program yang on-
production.
 Test data juga masih banyak mengandung kelemahan dalam arti belum tentu dapat
menentukan apakah program betul-betul sudah error-free.

Metode Simulasi Paralel

            Dalam pelaksanaan metode simulasi paralel, pemeriksaan dilakukan pada data
sebenarnya (data klien yang dicopy oleh auditor) dan diproses dengan software atau
komputer milik auditor.  Kemudian laporan yang dihasilkan dari simulasi tersebut
dibandingkan dengan laporan yang dihasilkan oleh pemrosesan rutin perusahaan. Jika terjadi
perbedaan, asumsinya perbedaan tersebut menunjukan bahwa software perusahaan tidak
memproses data sesuai dengan spesifikasi yang ada (atau programnya auditor yang salah).

Software yang dipakai dapat berupa copy dari Software auditee, tetapi proses copy harus
diawasi oleh auditor, software audit tertentu yang dibuat auditor, dan generalized audit
program. Penggunaan metode simulasi paralel memiliki beberapa keunggulan, di antaranya:

 Teknik ini memeriksa akurasi pemrosesan dari program aplikasi.

 Memungkinkan pensahihan output sesungguhnya.
 Cocok untuk pengujian substantif maupun untuk complaince test.
 Audit dilakukan pada komputernya auditor/komputer lain/bukanyang sedang diaudit,
sehingga diperoleh keyakinan akan status sistem komputerisasi tersebut dengan lebih
akurat.
 Auditor dapat memperoleh keyakinan lebih tinggi karena dengan sistem simulasi
kalau ada hal-hal yang tidak dapat terdeteksi dengan uji coba saja, maka akan diketahui
karena dicoba dengan sistem yang lain.
 Tidak terjadi kontaminasi file klien (does not contaminate client fiIes)
 Proses dapat dilakukan dengan komputer pihak ketiga independen (can be run at a
service bureau independently of client).
 Auditor menggunakan data klien sebenarnya (data real).
 Memungkinkan auditor bekerja secara terpisah dari personil (teknisi) klien,            
sehingga pelaksanaan audit lebih fleksibel.
Disisi lain, penggunaan metode simulasi paralel juga memiliki kelemahan, di antaranya:
 Auditor harus mempunyai keahlian komputer yang cukup kompeten untuk dapat
menelusuri kembali perbedaan antara dua hasil (output) program
 Perlu waktu untuk pengembangan sistem aplikasi untuk paralelnya.
 Apabila perusahaan mengupdate program pada saat diperiksa tidak segera diketahui,
dan atau auditor juga harus segera mengupdate programnya.
 Diperlukan komputer lain untuk pemeriksaan.
 Pada parallel simulation, auditor harus membuat sistem simulasinya.
 Pengecekan hanya terbatas pada data.

2. Teknik Untuk Menguji Pengendalian Program Aplikasi Komputer Pada On-

line Real Time  Envenonment
Teknik ini memiliki 6 metode yang dapat digunakan oleh auditor untuk menguji
pengendalian program aplikasi komputer pada online real time environment, yaitu:

1. Integrated Test Facility (ITF)

            ITF digunakan untuk menguji sistem aplikasi dengan data tes pada saat komputer
dioperasikan dalam kegiatan rutin pada perusahaan yang diaudit. Pada ITF pemeriksaan atau
tes sistem komputerisasi dilaksanakan secara kontinyu dan simultan antara pelaksanaan tes
dan real processing run. Hal yang perlu diperhatikan oleh auditor dalam menggunakan
metode ini adalah

 Persiapan dan pelaksanaan test harus sedemikian rupa sehingga operator tidak
mengetahui bahwa pada saat ini sedang dilakukan audit, atau data yang sedang direkamnya
ternyata adalah data dummy. Sistem ITF ini sering dilakukan pada bidang aplikasi: order
entry, purchasing, payroll, accounts receivable, dan sebagainya, dalam teknologi on-line
dan real-time (OLRT).
 Auditor membuat entitas simulasi, misalnya suatu transaksi baru, pelanggan baru,
pegawai baru, dan sebagainya. Entitas simulasi ini lalu dimasukkan ke dalam operasi yang
berjalan seolah-olah merupakan entitas yang sah. Hasil dari pemrosesan transaksi itu harus
dipisahkan dari transaksi yang sah. Sistem yang baik akan memberikan respon terhadap
adanya transaksi/entitas yang tidak sah. Sebagaimana data tes, metode ini sasarannya
adalah pada pengujian ketaatan (compliance test).
            Penggunaan metode ITF memiliki beberapa keunggulan dan kelemahan, yakni

Keunggulan Metode ITF Kelemahan Metode ITF

 ITF hanya memerlukan sedikit keahlian teknis Auditor dan timnya harus sangat hati-
komputer hati, karena sistem dan data yang
digunakan adalah live system & actual
data.
biayanya relatif rendah, karena bersamaan Auditing ini dapat menyebabkan errors
proses reguler, pada data auditee, khususnya jika audit
dilakukan juga dalam proses
penghitungan/penjumlahan.
Dapat dilakukan mendadak, sehingga dapat Karena sistem ITF pada dasarnya masih
mencegah upaya curang juga menggunakan data test, maka
kelemahan- kelemahan yang ada pada
metoda test data tetap ditemui pada
sistem ITF. Hanya saja dalam hal ini kita
yakin bahwa sistem yang kita test
memang sistem apliksasi komputer yang
dipakai secara operasional (sistem yang
sesungguhnya).
Auditor dapat memeriksa sistem aplikasi yang
sebenarnya digunakan.
Test dilakukan langsung secara operasional
bersama real processing run, sehingga tidak
usah memberhentikan proses.
Dapat sekaligus merupakan simulasi yang tidak
diketahui oleh operator
 
1. Process Tracing Software
            Process Tracing Software dapat menjadi suatu cara untuk identifikasi program
modules fraud yang tidak tertangkap dengan metoda tes uji data. Tagging Transactions ini
juga dikenal dengan istilah “Snapshot approach”. Dengan teknik snapshot ini komputer klien
diprogram untuk dimonitor kegiatan transaksinya.  Transaksi dapat dipilih bergantung pada
kriteria yg ditentukan auditor atau secara acak. Pada saat transaksi terpilih diproses auditor
dapat melihat bagaimana pemrosesan transaksi tersebut. Auditor selanjutnya dapat mereview,
analisis dan mengetes transaksi.
 
1. Embedded Audit Modules
             Embedded audit modules atau sering juga disebut dengan istilah audit hooks adalah
teknik audit dengan menggunakan modul terprogram yang disisipkan atau “dilekatkan” ke
dalam program aplikasi, dengan tujuan untuk memantau dan menghimpun data untuk tujuan
pemeriksaan. Pada saat transaksi memasuki komputer, transaksi ini diedit dan diproses oleh
program aplikasi. Pada saat yang sama transaksi dicek oleh modul audit yang terpasang di
dalam program.  Jika transaksi itu benar, maka transaksi itu dipilih oleh modul bersangkutan
dan disalin pada log audit. Secara periodik, isi log itu dicetak untuk diteliti oleh auditor.
Metode ini memiliki beberapa keunggulan dan kelemahan:

Keunggulan Embedded Audit Modules Kelemahan Embedded Audit Modules

Memungkinkan semua pemrosesan dipantau Memerlukan tambahan waktu untuk
walaupun tidak berkaitan langsung dengan memproses transaksi, karena semua instruksi
transaksi individual program dalam modul harus dilaksanakan
untuk setiap transaksi,
Dapat mendeteksi dan mencatat kemungkinan Perancangan dan implementasi modul
penyalahgunaan wewenang mengakses file biasanya mahal, khususnya jika rnodul
induk, untuk memasukan data transaksi yang tersebut ditambahkan setelah program aplikasi
palsu, atau untuk membatalkan parameter sudah ada,
pemosesan (misalnya, harga dalam program
penagihan).
Memerlukan pengamanan yang lebih ketat,
karena modul audit dan log audit harus
diamankan terhadap akses oleh pegawai
perusahaan, dan
Auditor harus menentukan kriteria pemilihan
transaksi secara seksarna. Jika terlalu ketat,
maka jurnlah transaksi yang dipilih mungkin
sulit digunakan.
 
1. Mapping (Pemetaan)
            Mapping adalah teknik audit berbantuan komputer yang dilakukan dengan cara
seolah- olah membuat pemetaan terhadap suatu program yang sedang dijalankan sehingga
 dapat diketahui bagian-bagian mana yang berfungsi sesuai dengan spesifikasinya dan bagian
mana yang mungkin merupakan sisipan karena tidak sesuai dengan spesifikasinya.

            Keunggulan metoda ini antara lain: auditor atau evaluator terhadap suatu program
dapat memberikan rekomendasi atau usul perbaikan, yaitu mengurangi bagian-bagian
program yang ternyata tidak bermanfaat. Dengan demikian jika perbaikan tersebut dapat
dilaksanakan dengan baik, maka berarti komputer akan dapat dioperasikan dengan lebih
efisien.

            Sedangkan kelemahan dari mapping adalah Biaya pengadaan software yang relatif
mahal dan perlu waktu pelatihan serta kemahiran tertentu untuk dapat memanfaatkannya.

 
1. Job Accounting Data Analysis
            Pada instalasi komputer induk (mainframe) lazimnya layanannya digunakan secara
patungan (sharing) oleh berbagai unit dan berbagai sistem aplikasi yang diimplementasikan
pada organisasi tersebut.

            Dalam rangka analisis pembebanan biaya ataupun untuk kepentingan statistik
perusahaan, pada umumnya jenis mesin tersebut juga dilengkapi dengan software yang bisa
membantu manajemen untuk memperoleh data CPU utilization, computer-time per user, dan
sebagainya.

            Bagi auditor, tersedianya fasilitas itu sangat bermanfaat karena dapat dipakai sebagai
bukti audit untuk pendukung evaluasi mengenai:

 Sebagai metoda pendukung untuk mengevaluasi beberapa jenis pengendalian,

misalnya apakah akses terhadap file-file tertentu atau kewenangan run program            
memang sudah dilaksanakan orang-orang (users) tertentu sesuai dengan yang
 Untuk dapat mengevaluasi apakah telah terjadi akses dengan remote terminal, yaitu
akses dengan menggunakan terminal jarak jauh oleh pihak pihak yang             tidak berhak.
 Untuk mengevaluai apakah pekerjaan-pekerjaan sistem aplikasi telah dioperasikan
menggunakan sumber daya informasi yang benar.
 
TEKNIK  – TEKNIK AUDIT MAJU
Para auditor menggunakan dan terus mengembangkan teknik-tekrik baru untuk mengaudit
sistem komputer. Teknik-teknik ini didasari untuk memenuhi karakteristik sistem komputer.
Teknik-teknik yang diuraikan dalam bab ini tidak mendalam sifatnya tetapi hanya sekedar
menyajikan teknik-teknik yang biasa digunakan.

Teknik-teknik auditing yang sudah maju itu merupakan teknik-teknik yang ditemukan dalam
studi dua tahun yang disponsori oleh The Institute of Internal Auditor dan dibiayai oleh
International Business Machines Corporation. Studi mengenai Auditabilitas dan
Pengendalian Sistem mencoba untuk mengidentifikasi praktek-praktek yang digunakan para
auditor untuk meniliai aplikasi bisnis yang dikomputerisasi.

Teknik-teknik yang diidentifikasi tersebut dibagi ke dalam kategori-kategori berikut:

         Teknik-teknik untuk perencanaan dan pengelolaan audit – Kategori ini meliputi dua
jenis alat dan teknik audit internal: pertama, teknik-teknik yang digunakan guna
mengevaluasi sistem aplikasi untuk disertakan dalam rencana audit internal saat ini; dan
kedua, teknik-teknik yang dapat memberikan kemampuan khusus audit EDP bagi staf audit
internal.
         Teknik-teknik untuk mengetes pengendalian program aplikasi computer – Kategori
alat dan teknik audit EDP ini digunakan untuk mengetes rutin-rutin penghitungan, program,
atau keseluruhan aplikasi untuk mengevaluasi pengendalian atau memverifikasi kecermatan
pemrosesan dan ketaatan yang kontinu terhadap prosedur-prosedur pemrosesan tertentu.
teknik-teknik ini digunakan baik untuk evaluasi pengendalian system aplikasi maupun untuk
tes ketaatan.
         Teknik-teknik untuk memilih dan memantau transaksi pengolahan data -AIat dan
teknik audit pengolahan data yang digunakan untuk memilih dan mengambil data produksi
untuk audit manual berikutnya dan verifikasi, termasuk dalam klasifikasi ini.
              Teknik-teknik untuk verifikasi data – Alat dan teknik audit pengolahan data, seperti
software audit yang digeneralisasi, termasuk dalam kategori ini. Teknik-teknik ini digunakan
setelah pemrosesan produksi untuk memilih data dari file berdasarkan persyaratan logis atau
penggunaan sampel statistik, menjumlah dan menghitung saldo file atau seksi-seksi logis file,
seperti organisasi divisional atau kelompok-kelompok perkiraan, menyaring file untuk
mencari nilai yang menyimpang, data yang hilang, atau ayat-ayat pembukuan berganda, atau
memformat laporan untuk digunakan dalam audit.
         Teknik-teknik untuk menganalisis program aplikasi komputer – Alat dan teknik
audit pengolahan data yang digunakan untuk mengevaluasi logika pengolahan dan prosedur
internal pada program-program aplikasi, sistem program, dan JCL (Job Control Language =
Bahasa Pengendalian Pekerjaan dalam seksi ini.
         Teknik-teknik untuk mengaudit pusat jasa komputer – Teknik-teknik audit intenal
yang didokumentasikan selama wawancara lapangan yang digunakan untuk mengevaluasi
dan memverifikasi pengendalian-pengendalian umum di pusat jasa computer.
         Teknik-teknik untuk mengaudit pengembangan sistem aplikasi – dalam kategori ini,
disajikan lima teknik audit yang bermanfaat bagi para auditor internal dalam mereviu
pengendalian yang mengarahkan pengembangan system aplikasi.
Berikut ini adalah kriteria yang harus dipertimbangkan seorang auditor dalam pemilihan
suatu teknik:
1. Pilihlah teknik yang dapat memenuhi tujuan audit.
2. Pilihlah teknik dimana auditor terlatih dan memiliki latar belakang yang diperlukan.
3. Pertimbangkanlah teknik-teknik yang untuknya tersedia waktu yang sesuai.
4. Dayagunakan teknik yang sesuai dengan kemampuan yang ada dalam organisasi.

Security Policy (kebijakan keamanan), mengarahkan visi dan misi manajemen agar

kontinuitas bisnis dapat dipertahankan dengan mengamankan dan menjaga
integritas/keutuhan informasi informasi krusial yang dimiliki oleh
perusahaan. Security Policy sangat diperlukan mengingat banyak ditemuinya
masalah-masalah non teknis salah satunya penggunaan password oleh lebih dari satu
orang. Hal ini menunjukan tidak adanya kepatuhan dalam menerapkan sistem
keamanan informasi. Harus dilakukan inventarisasi data-data perusahaan. Selanjutnya
dibuat peraturan yang melibatkan semua departemen sehingga peraturan yang dibuat
dapat diterima oleh semua pihak. Setelah itu rancangan peraturan tersebut diajukan ke
pihak direksi. Setelah disetujui, peraturan tersebut dapat diterapkan. Security
Policy meliputi berbagai aspek, yaitu :
a. Information security infrastructure
b. Information security policy
System Access Control (sistem kontrol akses), mengendalikan/membatasi akses user
terhadap informasi-informasi yang telah diatur kewenangannya, termasuk
pengendalian secara mobile computing ataupun tele-networking. Mengontrol tata cara
akses terhadap informasi dan sumber daya yang ada meliputi berbagai aspek, yaitu :
a. Access control.
b. User Access Management.
c. User Responsibilities.
d. Network Access Control
e. Operation System access Control
f. Application Access Control.
g. Monitor system Access and use.
h. Mobile Computing and Telenetworking.

Communication and Operations Management (manajemen komunikasi dan

operasi), menyediakan perlindungan terhadap infrastruktur sistem informasi melalui
perawatan dan pemeriksaan berkala, serta memastikan ketersediaan panduan sistem
yang terdokumentasi dan dikomunikasikan guna menghindari kesalahan operasional.
Pengaturan tentang alur komunikasi dan operasi yang terjadi meliputi berbagai aspek,
yaitu :
a. Operational procedures and reponsibilities.
b. System Planning and acceptance.
c. Protection against malicious software.
d. Housekeeping
e. Network Management.
f. Media handling and security.
g. Exchange of Information and software.

System Development and Maintenance (pengembangan sistem dan

pemeliharaan), memastikan bahwa sistem operasi maupun aplikasi yang baru
diimplementasikan mampu bersinergi melalui verifikasi terlebih dahulu sebelum
diluncurkan ke live environment. Penelitian untuk pengembangan dan perawatan
sistem yang ada meliputi berbagai aspek, yaitu :
a. Security requirements of system.
b. Security in application system.
c. Cryptographic control
d. Security of system files
e. Security in development and support process.

Physical and Environmental Security (keamanan fisik dan lingkungan),membahas

keamanan dari segi fisik dan lingkungan jaringan, untuk mencegah kehilangan/
kerusakan data yang diakibatkan oleh lingkungan, termasuk bencana alam dan
pencurian data dalam media penyimpanan atau fasilitas informasi yang lain. Aspek
yang dibahas antara lain:
a. Secure Areas
b. Equipment security
c. General Control

Compliance (penyesuaian), memastikan implementasi kebijakan-kebijakan

keamanan selaras dengan peraturan dan perundangan yang berlaku, termasuk
persyaratan kontraktual melalui audit sistem secara berkala. Kepatuhan yang
mengarah kepada pembentukan prosedur dan aturan – aturan sesuai dengan hukum
yang berlaku meliputi berbagai aspek, yaitu :
a. Compliance with legal requirements
b. Reviews of security policy and technical comliance.
c. System audit and consideration

Personnel Security (keamanan perorangan), mengatur tentang pengurangan resiko

dari penyalahgunaan fungsi penggunaan atau wewenang akibat kesalahan manusia
(human error), sehingga mampu mengurangi human error dan manipulasi data dalam
pengoperasian sistem serta aplikasi oleh user, melalui pelatihan-pelatihan mengenai
security awareness agar setiap user mampu menjaga keamanan informasi dan data
dalam lingkup kerja masing-masing. Personnel Security meliputi berbagai aspek,
yaitu :
a. Security in Job Definition and Resourcing.
b. User Training.
c. Responding to Security Incidens and Malfunction.
Security Organization (organisasi keamanan), mengatur tentang keamanan secara
global pada suatu organisasi atau instansi, mengatur dan menjaga integritas sistem
informasi internal terhadap keperluan pihak eksternal termasuk pengendalian terhadap
pengolahan informasi yang dilakukan oleh pihak ketiga (outsourcing). Aspek yang
terlingkupi, yaitu :
a. Security of third party access
b. Outsourcing

Asset Classification and Control (klasifikasi dan kontrol aset),memberikan

perlindungan terhadap aset  berusahaan dan aset informasi berdasarkan level proteksi
yang ditentukan. Membahas tentang penjagaan aset yang ada meliputi berbagai aspek,
diantaranya :
a. Accountability for Assets.
b. Information Classification.

Business Continuity Management (manajemen kelanjutan usaha), siap menghadapi

resiko yang akan ditemui didalam aktivitas lingkungan bisnis yang bisa
mengakibatkan ”major failure” atau resiko kegagalan yang utama ataupun ”disaster”
atau kejadian buruk yang tak terduga, sehingga diperlukan pengaturan dan
manajemen untuk kelangsungan proses bisnis.