Materi Pendukung mata kuliah EDP-Audit/IS-Audit

Berikut adalah beberapa materi yang dapat menambah wawasan anda tentang EDP-Audit/IS-Audit:businesswoman drawing plan of Audit

Materi Pendukung mata kuliah EDP-Audit/IS-Audit(lanjutan).

Berikut beberapa materi yang dapat menambah wawasan anda tentang Pelaksanaan AUDIT SI/TI:IS-Audit

Materi Kuliah EDP-Audit.

information-systems-auditSilahkan klik link dibawah ini untuk membaca artikelnya.

 

Soal Latihan-1 (Pilihan Tunggal).

  1. Berikut ini manakah yang merupakan karakteristik audit?
    1. Audit adalah proses yang sistematis dan bertahap.
    2. Audit mlelibatkan pengumpulan dan peninjauan bukti.
    3. Audit melibatkan penggunaan kriteria yang tekah ditetapkan untuk mengevaluasi bukti.
    4. Seluruh jawaban di atas merupakari karakteristik audit.

    .

  2. Berikut ini manakah yang bukan merupakan salah satu alasan auditor internal harus ikut serta dalam tinjauan pengendalian internal selama proses desain sistem?
    1. Lebih ekonomis untuk mendesain pengendalian selama tahap desain daripada melakukannya kemudian.
    2. Meniadakan kebutuhan untuk menguji pengendalian selama audit reguler.
    3. Meminimalkan kebutuhan modifikasi pasca implementasi yang mahal.
    4. Memungkinkan desain dari jejak audit apada waktu masih ekonomis.

    .

  3. Jenis audit apakah yang me.libatkan tinjauan pengendalian Umum dan aplikasi, dengan berfokus untuk menetapkan keberadaan kepatuhan dengan kebijakan dan pengamanan aset yang memadai?
    1. audit sistem informasi
    2. audit keuangan
    3. audit operasional
    4. audit kepatuhan

    .

  4. Pada langkah mana proses audit melaksanakan konsep keyakinan yang memadai dan materialitas dalam proses pengambilan keputusan seorang auditor?
    1. perencanaan
    2. pengumpulan bukti
    3. evaluasi bukti
    4. materialitas penting dalam ketiga tahapan tersebut

    .

  5. Proses apakah yang melibatkan kegiatan pemeriksaan jika dibutuhkan pengendalian yang seharusnya ada di dalam sistem?
    1. analisis risiko
    2. tinjauan sistem
    3. uji pengendalian
    4. pendekatan berdasarkan risiko dalam audit

    .

  6. Berikut ini prosedur manakah yang tidak digunakan untuk mendeteksi perubahan program secara tidak sah?
    1. perbandingan data sumber
    2. simulasi paralel
    3. pemrosesan ulang
    4. pemrograman ulang kode

    .

  7. Berikut ini manakah yang merupakan teknik audit bersamaan yang mengawasi seluruh transaksi dan mengumpulkan data mengenai hal-hal yang memenuhi karakteristik tertentu seperti yang telah dispesifikasikan auditor?
    1. integrated test facility
    2. teknik snapshot
    3. SCARF
    4. audit hooks

    .

  8. Berikut ini manakah yang merupakan teknik komputer yang membantu auditor untuk memahami logika program dengan cara mengidentifikasi seluruh keberadaan variabel tertentu?
    1. mapping program
    2. penelusuran program
    3. bagan alir otomatis
    4. kegiatan pemindai

    .

  9. Berikut ini manakah yang merupakan program komputer yang dibuat secara khusus untuk audit?
    1. GAS
    2. SCARF
    3. ITF
    4. CIS

    .

  10. mana yang merupakan fokus audit operasional?
    1. keandalan dan integritas informasi keuangan
    2. penggunaan yang efisien atas sumber daya
    3. pengendalian internal
    4. penjagaan aset

Soal Latihan-2 (keahlian komputer bagi Auditor).

Mengaudit suatu SIA secara efektif membutuhkan seorang auditor yang memiliki pengetahuan mengenai komputer dan aplikasinya dalam akuntansi. Akan tetapi, mungkin tidak mungkin bagi setiap auditor untuk menjadi ahli komputer.

Jelaskan sejauh mana auditor harus memiliki keahlian komputer untuk menjadi auditor yang efektif.

Soal Latihan-4 (Mendapatkan pegawai untuk fungsi Audit).

Berwick Industries adalah perusahaan yang berkembang pesat dan memproduksi kontener .untuk industri. Perusahaan tersebut memiliki SIA canggih yang menggunakan teknologi canggih. Para eksekutif Berwick telah memutuskan untuk mengejar target mendaftarkan saham perusahaan tersebut ke sebuah pasar modal nasional, tetapi mereka telah disarankan bahwa aplikasi pendaftaran mereka akan lebih kuat apabila mereka membuat departemen audit internal.

Saat ini, tidak ada seorangpun pegawai Berwick yang memiliki pengalaman audit. Untuk mendapatkan pegawai yang menjalankan fungsi audit internal, Berwick dapat:

  1. melatih beberapa spesialis komputer mereka dalam bidang audit,
  2. menyewa auditor berpengalaman dan melatih mereka untuk memahami sistem informasi di Berwick,
  3. menggunakan gabungan dari dua pendekatan tersebut, atau
  4. mencoba pendekatan yang berbeda.

Pendekatan mana yang akan Anda dukung, dan mengapa?

Soal-Latihan-5 (Penggelapan dibawah ketentuan standar audit internal).

Asisten direktur keuangan kota Tustin, California, dipecat setelah para pejabat kota tersebut menemukan bahwa dia telah menggunakan aksesnya ke komputer kota untuk membatalkan tagihan air anak perempuannya, sebesar $300.

Penyelidikan mengungkapkan bahwa dia telah menggelapkan sejumlah besar uang dari Tustin melalui cara ini dalam waktu yang lama. Dia dapat menyembunyikan penggelapan tersebut sekian lama, karena jumlah uang yang digelapkan selalu termasuk dalam faktor kesalahan 2 persen yang digunakan oleh auditor internal kota tersebut.

Apakah auditor internal Tustin seharusnya dapat lebih awal mengungkapkan penipuan ini? Jelaskanlah kondisi ini.

Soal-Latihan-6 (Peran Akuntan dalam Pengembangan Sistem).

Anda adalah direktur audit internal di sebuah universitas. Baru-baru ini, Anda bertemu dengan Issa Arnita, manajer pemrosesan data administratif, dan mengungkapkan keinginan untuk membuat alat yang lebih efektif antara kedua· departemen. Issa menginginkan Anda membantu dalam hal sistem utang usaha baru yang saat ini dalam proses pengembangan.

Dia merekomendasikan departemen Anda untuk mengasumsikan garis tanggung jawab untuk mengaudit faktur penjualan dari pemasok, sebelum pembayaran faktur tersebut. Dia juga menginginkan audit internal memberikan berbagai saran selama. masa pengembangan sistem, membantu instalasinya, dan menyetujui sistem yang telah lengkap setelah membuat tinjauan akhir terlebih dahulu.

Diminta:

  1. Akankah Anda menerima atau menolak hal-hal berikut ini, dan mengapa?
  2. Rekomendasi yang menyatakan bahwa departemen Anda bertanggung jawab atas audit awal faktur dari pemasok.
  3. Permintaan agar Anda memberikan saran selama masa pengembangan sistem.
  4. Permintaan agar Anda membantu dalam instalasi sistem dan menyetujui sistem tersebut setelah melaksanakan tinjauan akhir.

(Diadaptasi dari ujian CIA)

Soal-Latihan-7 (Lima Prosedur Audit).

Sebagai seorang auditor internal di Quick Manufacturing Company, Anda berpartisipasi dalam proses audit SIA perusahaan. Anda telah meninjau pengendalian internal sistem komputer yang memproses sebagian besar aplikasi akuntansinya. Anda telah mempelajari banyak dokumentasi perusahaan mengenai sistemnya, serta telah mewawancarai manajer MIS, supervisor operasional, dan para pegawai lainnya untuk melengkapi kuesioner standar mengenai pengendalian internal komputer.

Laporan Anda ke pada supervisor adalah bahwa perusahaan tersebut telah berhasil mendesain rangkaian pengendalian internal ke dalam sistem komputernya. Dia berterima kasih atas usaha Anda dan meminta sebuah laporan ringkasan atas penemuan-penemuan Anda untuk dimasukkan ke dalam laporan akhir keseluruhan atas pengendalian internal akuntansi.

Diminta:

Tidakkah Anda melupakan sebuah langkah audit yang penting? Jelaskan. Sebutkan lima contoh prosedur audit tertentu yang mungkin Anda rekomendasikan sebelum mencapai kesimpulan akhir.

Soal-Latihan-8 (Uji Fiktif dengan data reguler).

Sebagai seorang auditor internal, Anda telah ditugaskan untuk mengevaluasi pengendalian dan operasional sistem penggajian komputer. Untuk menguji sistem dan program komputer, Anda harus memasukkan secara independen transaksi uji fiktif dengan data reguler dalam jalannya produksi normal.

Diminta:

  1. Sebutkan lima kelebihan dari teknik ini.
  2. Sebutkan dua kelemahan dari teknik ini.

(Diadaptasi dari ujian CIA)

Soal-Latihan-9 (Tindakan dalam berbagai situasi audit).

Anda dilibatkan dalam audit internal atas piutang usaha, yang mencerminkan bagian paling besar dari aset sebuah perusahaan ritel besar. Rencana audit Anda membutuhkan penggunaan komputer, tetapi Anda menghadapi beberapa reaksi berikut:

Manajer bagian pengoperasian komputer mengatakan pada Anda bahwa seluruh waktu komputer telah habis dijadwalkan hingga masa mendatang dan tidak akan mungkin tersedia untuk membantu auditor dengan pekerjaannya.

Manajer penjadwalan komputer menyarankan agar komputer Anda dimasukkan ke dalam katalog perpustakaan program (di dalam penyimpanan dengan disk) sehingga darat dijalankan ketika komputer memiliki waktu luang.

Anda ditolak untuk mendapat izin ke ruang komputer.

Manajer sistem mengatakan pada Anda bahwa akan menghabiskan terlalu banyak waktu untuk mengadaptasikan program audit komputer ke dalam sistem operasional komputer dan bahwa para pemrogram perusahaan akan menulis seluruh program yang dibutuhkan untuk audit.

Diminta

Untuk setiap situasi di atas, sebutkan tindakan yang seharusnya dilakukan auditor untuk meneruskan audit atas piutang usaha.

(Diadaptasi dari ujian CIA)

Soal-Latihan-10 (Potensi masalah dalam uji ulang).

Anda adalah manajer sebuah Kantor Akuntan Publik regional di Dewey, Cheatem, dan Howe (DC&H). Anda sedang meninjau lembar kerja audit pegawai Anda atas sebuah badan kesejahteraan negara bagian tersebut. Anda menemukan bahwa konsep data uji digunakan untuk menguji program komputer badan tersebut yang memelihara berbagai catatan akuntansi.

Secara khusus, pegawai Anda mendapatkan sebuah salinan program dan file data akuntansi badan tersebut dari manajer operasional komputer, dan meminjam file data transaksi uji yang digunakan oleh para pemrogram badan kesejahteraan tersebut ketika program tersebut dibuat.

Semua hal ini diproses dalam komputer kantor DC&H Sebuah salinan laporan ringkasan edit yang memperlihatkan tidak adanya kesalahan dicantumkan dalam lembar kerja tersebut, dengan catatan dari auditor senior bahwa hasil uji menunjukkan penerapan pengendalian yang baik.

Anda memperhatikan bahwa kualitas kesimpulan audit yang didapat dari uji ini tidak benar dalam beberapa. hal, dan Anda memutuskan untuk meminta bawahan Anda mengulangi uji tersebut.

Diminta:

  1. Identifikasi tiga potensi masalah atau masalah yang ada dengan cara pelaksanaan uji tersebut.
  2. Untuk setiap masalah, sarankan satu atau lebih prosedur yang mungkin dapat dilaksanakan selama perbaikan uji untuk menghindari kekurangan dalam kesimpulan audit.

Soal-Latihan-11 (Pemisahan Fungsi).

Anda sedang mengaudit laporan keuangan Aardvark Wholesalers, Inc. (AW), sebuah grosir yang beroperasi di 12 negara bagian barat dengan pendapatan total sekitar $125 juta.

AW menggunakan sebuah sistem komputer dalam beberapa aplikasi akuntansi utamanya. Jadi, Anda otomatis melakukan audit sistem informasi untuk mengevaluasi pengendalian internal dalam sistem komputer mereka.

Berdasarkan buku petunjuk AW, Anda mendapatkan deskripsi pekerjaan berikut ini bagi para personil utama:

Direktur Sistem Informasi: Melapor ke wakil direktur utama bagian administrasi.

Bertanggung jawab untuk menetapkan misi bagian sistem informasi dan atas perencanaan, kepegawaian, serta pengelolaan departemen yang secara optimal melaksanakan misi tersebut.

Manajer sistem dan pemrograman: Melapor ke direktur sistem informasi.

Bertanggung jawab untuk mengelola seorang pegawai analis sistem dan para pemrogram yang memiliki misi untuk mendesain, memprogram, menguji, mengimplementasikan, dan memelihara sistem pemrosesan data yang efektif dari segi biaya.: Juga bertanggung jawab untuk membuat dan mengawasi standar dokumentasi.

Manajer operasional: Melapor ke direktur sistem informasi.

Bertanggung jawab atas manajemen operasional pusat komputer yang efektif dari segi biaya, untuk mendorong pelaksanaan standar pemrosesan, dan untuk pemrograman sistem, termasuk implementasi peningkatan sistem operasional untuk pemasok.

Supervisor pergantian jadwal masukan data: Melapor ke manajer operasional.

Bertanggung jawab atas supervisi para operator yang memasukkan data dan mengawasi standar persiapan data.

Supervisor pergantian jadwal operasional: Melapor ke manajer operasional.

Bertanggung jawab atas supervisi pegawai operasional komputer dan mengawasi standar pemrosesan.      .

Staf administrasi bagian pengendalian data: Melapor ke manajer operasional.

Bertanggung jawab untuk mendaftar dan mendistribusikan input serta output komputer, mengawasi prosedur pengendalian data sumber, dan menyimpan file program dan data.

Diminta:

  1. Persiapkan sebuah bagan organisasi untuk divisi sistem informasi di AW.
  2. Sebutkan dua aspek positif dan dua aspek negatif (dari sudut pandang pengendalian internal) struktur organisasi ini.
  3. Informasi tambahan apakah, jika ada, yang akan Anda butuhkan sebelum membuat penilaian akhir atas kecukupan pemisahan fungsi dalam bagian sistem informasi di AW?

Soal-Latihan-12 (Penggunaan Matriks Input dalam Audit).

Robinson’s Plastic Pipe Corporation menggunakan sebuah sistem pemrosesan data persediaan terkomputerisasi. Catatan input dasar ke sistem ini memiliki format seperti yang ditunjukkan dalam Tabel dibawah ini. Anda sedang melakukan audit pengendalian data sumber atas sistem ini, dan Anda memutuskan untuk menggunakar; matriks pengendalian input (seperti contoh matriks yang dicantumkan dibawah tabel) untuk tujuan ini.

Tabel File Transaksi Persediaan Suku Cadang .

Tabel-dd-10-8Gambar-10-0003-aDiminta:
Persiapkan matriks pengendaliari. input dengan menggunakan format yang sama dan dengan mendaftar pengendalian input yang sama seperti yang diperlihatkan dalam Gambar matriks diatas. Namun, gantilah nama field dalam Gambar diatas dengan nama yang terdapat dalam file transaksi persediaan di Tabel File Transaksi Persediaan Suku Cadang. Berilah tanda dalam sel-sel matriks yang mewakili pengendalian input yang-Anda harap dapat ditemukan di setiap field.

Soal-Latihan-13 (Menerapkan tehnik Audit Bersamaan).

Sebagai seorang auditor internal untuk sebuah kantor audit negara bagian, Anda telah ditugaskan untuk meninjau implementasi sebuah sistem komputer baru di badan kesejahteraan negara bagian tersebut. Badan tersebut menginstal sistem komputer on-line untuk mengelola database para penerima dana kesejahteraan di negara bagian tersebut.

Di bawah sistem yang lama, para penduduk negara bagian yang mengajukan aplikasi untuk bantuan dana kesejahteraan melengkapi formulir dengan memberikan nama, alamat, dan data pribadi lainnya, ditambah rincian mengenai penghasilan, aset, jumlah anggota keluarga tertanggung, dan data lainnya yang dibutuhkan untuk menetapkan hak penerimaan mereka.

Data di dalam formulir ini diperiksa oleh petugas pemeriksa kesejahteraan untuk memverifikasi keasliannya. Petugas pemeriksa kesejahteraan kemudian menjamin hak pemohon untuk mendapat bantuan dan menetapkan bentuk serta jumlah bantuan.

Di bawah sistem yang baru, permohon bantuan akan memberikan data mereka ke staf administrasi, yang secara simultan akan memasukkan data ke dalam sistem dengan menggunakan terminal on-line.

Setiap catatan pemohon akan diberi status “ditunda” sampai petugas pemeriksa kesejahteraan dapat memverifikasi keaslian data penting yang digunakan untuk menetapkan hak menerima bantuan.

Ketika proses verifikasi ini telah selesai, petugas pemeriksa kesejahteraan akan memasukkan perubahan dalam kode status dari “ditunda” menjadi “disetujui”, kemudian sistem akan menjalankan sebuah program untuk menghitung jumlah bantuan yang sesuai.

Secara periodik; situasi (penghasilan, aset, jumlah anggota keluarga tertanggung, dan lain-lain) penerima dana kesejahteraan berubah, dan database harus diperbarui sesuai perubahan tersebut.

Petugas pemeriksa kesejahteraan akan memasukkan perubahan transaksi ini ke dalam sistem begitu keakuratannya telah diverifikasi. Sistem kemudian akan menghitung ulang kompensasi penerima dana kesejahteraan.

Pada akhir bulan, cek akan dibuat dan dikirim ke para penerima dana kesejahteraan yang berhak.

Bantuan kesejahteraan di negara bagian Anda berjumlah hingga beberapa ratus juta dolar per tahun. Anda mengkhawatirkan terjadinya penipuan dan penyalahgunaan.

Diminta:

Jelaskan bagaimana Anda dapat menerapkan teknik audit bersamaan dalam sistem tersebut untuk mengurangi risiko penipuan dan penyalahgunaan.

Jelaskan bagaimana software audit komputer dapat digunakan untuk meninjau pekerjaan petugas pemeriksa kesejahteraan dalam memverifikasi data hal pemohon. Untuk tujuan ini, Anda dapat berasumsi bahwa kantor audit negara bagian memiliki akses ke database terkomputerisasi yang dikelola oleh badan pemerintah lokal dan negara bagian lainnya.

Soal-Latihan-14 (Uji Transaksi).

Anda adalah auditor internal di Military Industrial Company. Anda sekarang sedang mempersiapkan transaksi uji untuk program pemrosesan gaji mingguan perusahaan tersebut. Setiap catatan input ke program ini berisi bagian data berikut ini:

Tabel-Lokasi-soal-14-1Program tersebut melaksanakan pemeriksaan edit berikut ini untuk setiap catatan input:

Pemeriksaan field untuk mengidentifikasi catatan yang tidak memiliki karakter numeris dalam field untuk tarif upah/gaji, jam kerja, potongan pajak, dan gaji kotor year-ta-date.

Pemeriksaan validitas untuk kode pembayaran.

Pemeriksaan batas untuk mengidentifikasi catatan pegawai upahan yang memiliki upah lebih tinggi dari $20.

Pemeriksaan batas untuk mengidentifikasi catatan pegawai upahan yang memiliki jam kerja lebih dari 70 jam.

Pemeriksaan batas untuk mengidentifikasi catatan pegawai tetap yang memiliki gaji per minggu lebih besar dari $2.000 atau kurang dari $100.

Catatan yang tidak lolos dari pemeriksaan edit di atas akan didaftar dalam laporan kesalahan. Bagi catatan yang lolos pemeriksaan edit, program akan menjalankan serangkaian perhitungan. Pertama, gaji kotor pegawai ditetapkan. Gaji kotor untuk pegawai tetap adalah sama dengan jumlah gaji yang berada dalam lokasi 11 hingga 16 di catatan input. Gaji kotor untuk pegawai upahan adalah sama dengan tarif upah dikali jumlah jam kerja sebanyak hingga 40 jam, ditambah 1,5 kali tarif upah, dikali jumlah jam kerja yang lebih dari 40 jam.

Program tersebut menghitung potongan pajak untuk setiap pegawai dengan cara mengkalikan gaji kotor dengan tarif pajak yang ditetapkan berdasarkan Tabel-10-9. Program tersebut kemudlan akan menghitung potongan pajak negara bagian untuk setiap pegawai, dengan mengkalikan gaji kotor dengan tarif pajak dari Tabel-10-10.

Program selanjutnya akan menghitung kontribusi dana pensiun pegawai, yaitu sebasar 3 persen dari gaji kotor untuk pegawai upahan, dan 4 persen- dari gaji kotor untuk pegawai tetap. Terakhir, program tersebut akan menghitung gaji bersih pegawai, yaitu gaji kotor dikurangi potongan pajak dan kontribusi dana pensiun.

Tabel Perhitungan Potongan Pajak Pemerintah Federal

Tabel-dd-10-9Perhitungan Potongan Pajak Negara Bagian
Tabel-dd-10-10Begitu perhitungan-perhitungan ini selesai untuk satu catatan pegawai, program tersebut mencetak cek gaji pegawai terkait dan laporan ringkasan pendapatan, dan kemudian meneruskan ke catatan input pegawai berikutnya untuk melaksanakan pemeriksaan edit serta perhitungan penggajian, dengan melanjutkan siklus ini, hingga seluruh catatan input telah selesai diproses.

Tujuan jangka pendek Anda adalah mempersiapkan serangkaian uji yang berisi salah satu dari jenis kesalahan yang mung kin terjadi, dan serangkaian transaksi uji yang akan menguji tiap alternatif perhitungan sekaligus. Transaksi yang akan dipakai untuk menguji kemungkinan beberapa kesalahan dalam satu catatan, atau untuk menguji beberapa kombinasi pola logika sistem, akan dikembangkan kemudian.

Transaksl uji yang Anda persiapkan tidak harus memasukkan nomor Jaminan Sosial atau nama dan alamat pegawai (asisten Anda akan menambahkan hal-hal tersebut setelah meninjau cetakan file). Jadi, tiap transaksi uji Anda akan terdiri dari serangkaian 20 karakter yang mewakili data dalam lokasi catatan input 10 hingga 29. Contohnya, untuk seorang pegawai upahan yang memiliki tarif upah $9,50, bekerja selama 40,5 jam, mengklaim dua potongan, dan memiliki gaji kotor year-to-date tepat sebesar $12.000, transaksi ujinya akan 10009504050201200000.

Diminta:

Persiapkan serangkaian transaksi uji; setiap transaksi harus berisi salah satu kesalahan yang akan diuji oleh pemeriksaan edit. Tetapkan hasil yang diharapkan dari memproses setiap transaksi uji ini ..

Persiapkan serangkaian ttansaksi uji yang menguji setiap kemungkinan gaji kotor yang dapat dihitung. Tetapkan gaji kotor yang diharapkan dari transaksi ini.

Persiapkan serangkaian transaksi uji yang menguji setiap kemungkinan potongan pajak pemerintah yang dapat dihitung. Tetapkan jumlah yang diharapkan dari potongan pajak pemerintah untuk setiap transaksi uji ini.

Persiapkan serangkaian transaksi uji yang menguji setiiip kemungkinan potongan pajak negara bagian yang dapat dihitung. Tetapkan jumlah yang diharapkan dari potongan pajak untuk setiap transaksi uji ini.

Persiapkan serangkaian transaksi uji yang menguji setiap kemungkinan kontribusi dana pensiun yang dapat dihitung. Tetapkan jumlab. kontribusi pensiun yang diharapkan untuk setiap transaksi uji ini.

Soal-Latihan-15 (Software-Audit)

Departemen audit internal Sachem Manufacturing Company sedang mempertimbangkan untuk membeli software komputer yang akan membantu proses sudit. Sistem pengendalian keuangan dan manufaktur di Sachem semuanya telah diotomatiskan melalui komputer utama.

Melinda Robinson, direktur audit internal, yakin bahwa Sachem harus membeli software audit untuk membantu dalam audit prosedur serta keuangan yang dilaksanakan oleh departemennya. Robinson sedang mempertimbangkan jenis-jenis software berikut ini:

GAS yang membantu pekerjaan dasar audit seperti penarikan data aktual dari file komputer yang besar. Departemen tersebut akan meninjau informasi ini dengan menggunakan teknik penyelidikan audit yang konvensional. Secara lebih khusus, departemen dapat melaksanakan pemilihan kriteria, pengambilan sampel, perhitungan dasar analisis kuantitatif, mencatat penanganan, analisis grafis, dan mencetak output (untuk konfirmasi).

ITF yang menggunakan, mengawasi, dan mengendalikan data uji fiktif sewaktu mereka diproses oleh program yang telah ada. Software ini juga memeriksa program yang ada dan keberadaan serta kecukupan pengendalian masukan data program dan pemrosesan.

Software pembuat bagan alir yang secara grafis menyajikan arus informasi yang melalui sistem dan menunjukkan dengan tepat kelebihan dan kelemahan pengendalian.

Software simulasi paralel dan pembuatan model yang menggunakan data aktual untuk melaksanakan pengujian yang sama dengan menggunakan program lain, yaitu sebuah program logika komputer yang dikembangkan oleh auditor. Software tersebut juga dapat digunakan untuk mencari jawaban atas masalah audit yang sulit (yang melibatkan banyak perbandingan) dalam batas tingkat kepercayaan yang secara statistik dapat diterima.

Diminta:

  1. Tanpa harus mempertimbangkan software audit tertentu, identifikasi kelebihan umum penggunaan software audit untuk membantu audit.
  2. Jelaskan tujuan audit yang difasilitasi dan langkah prosedural yang harus diikuti oleh auditor internal dengan menggunakan hal-hal berikut ini:
  • GAS
  • ITF
  • Software pembuat bagan alir
  • Software program simulasi paralel dan pembuatan model

(Diadaptasi dari ujian CMA)

Soal-Latihan-16 (Fungsi Umum Software Audit).

Thermo-Bond Manufacturing Company memelihara catatan aktiva tetap di dalam komputernya. File utama aktiva tetap mencakup bagian data yang didaftar dalam Tabel dibawah ini.

Tabel File Utama Aktiva Tetap

Tabel-dd-10-11Diminta:

Lihatlah Tabel dibawah ini, yang menggambarkan fungsi-fungsi umum software audit. Kemudian, jelaskan beberapa cara yang dapat digunakan auditor dalam melaksanakan audit keuangan dengan menggunakan software semacam ini, pada akun aktiva tetap Thermo-Bond.

Tabel DD-(10)7

Soal-Latihan-17 (Penggunaan Software).

Seorang auditor sedang melaksanakan pemeriksaan laporan keuangan sebuah distributor grosir kosmetik yang memiliki ribuan barang. Distributor tersebut menyimpan persediaannya di pusat distribusi miliknya sendiri, dan di dalam dua gudang umum. Perusahaan tersebut memelihara file komputer persediaan dalam disk komputer, dan tiap akhir hari, perusahaan akan memperbarui file tersebut. Setiap catatan file persediaan berisi data berikut:

Tabel-Soal-17Auditor tersebut akan memiliki CAS dan sebuah disk yang berisi data persediaan sesuai tanggal perhitungan persediaan secara fisik distributor tersebut. Auditor akan melaksanakan prosedur audit berikut ini:

  • Mengamati perhitungan secara fisik persediaan pada tanggal yang telah ditetapkan, dan menguji sampel atas akurasinya.
  • Membandingkan uji perhitungan auditor dengan catatan persediaan.
  • Membandingkan data perhitungan fisik dengan catatan persediaan.
  • Menguji akurasi matematik atas penilaian akhir persediaan distributor tersebut.
  • Menguji harga persediaan dengan mendapatkan biaya barang dari pembeli, pemasok dan sumber lainnya.
  • Memeriksa pembelian persediaan dan transaksi penjualan pada atau mendekati akhir tahun, untuk memverifikasi bahwa seluruh transaksi telah dicatat dalam periode akuntansi yang tepat.
  • Memastikan ketepatan barang persediaan yang ditempatkan di gudang umum.
  • Menganalisis persediaan untuk mendapatkan bukti kemungkinan terjadinya obselensi.
  • Menganalisis persediaan untuk mendapatkan bukti kemungkinan terjadinya kelebihan persediaan atau barang yang tidak laku.
  • Menguji akurasi setiap bagian data yang terdaftar dalam file utama persediaan distributor tersebut.

Diminta:

Jelaskan bagaimana penggunaan software untuk tujuan umum dan salinan file data persediaan dapat membantu auditor dalam melaksanakan setiap prosedur audit di atas.

(Diadaptasi dari ujian CPA)

Soal-Latihan-18 (Kasus Preston Manufacturing Company).

Anda sedang melaksanakan audit keuangan atas akun-­akun buku besar di Preston Manufacturing Company. Di awal tahun fiskal, perusahaan mengubah akuntansi buku besar mereka dari sistem manual ke sistem berbasis komputer. Sistem baru tersebut menggunakan dua file komputer, yang isinya dispesifikasikan sebagai berikut:
Tabel-soal-18-1Tabel-soal-18-2Setiap hari, begitu rincian transaksi diproses oleh sistem akuntansi terkomputensasi Preston, ringkasan ayat jurnal diakumulasi; pada akhir hari kerja, diposting ke file buku besar. Pada setiap akhir minggu dan bulan, file jurnal umum akan diproses untuk dicocokkan dengan file pengendali buku besar, untuk menghitung saldo baru bagi setiap akun dan untuk mencetak neraca saldo.

Sumber-sumber berikut ini tersedia pada saat Anda selesai melakukan audit:

  • Software audit umum perusahaan Anda, yang dapat melaksanakan fungsi-fungsl umum seperti tertera pada Tabel diatas.
  • Sebuah salinan lengkap file buku besar untuk setahun penuh.
  • Sebuah salinan file buku besar sesuai akun periode fiskal (saldo saat ini = saldo akhir tahun).
  • Cetakan neraca saldo Preston yang mendaftar nomor akun, nama akun, dan saldo setlap akun di file pengendali buku besar.

Desainlah serangkaian prosedur dengan menggunakan CAS untuk menganaiisis data dalam file-file ini dan siapkan laporan-laporan yang dibutuhkan untuk melaksanakan audit keuangan Anda. Desain aplikasi Anda harus mencakup hal-hal berikut ini:

  1. Penjelasan isi data setiap laporan output, lebih baik lagi jika dalam bentuk diagram tabel dari format laporan.
  2. Penjelasan mengenai tujuan-tujuan audit setiap laporan dan bagaimana laporan tersebut akan digunakan dalam prosedur audit berikutnya untuk mencapai tujuan-tujuan tersebut.

Audit Sistem Informasi berbasis Komputer.

Para auditor disewa untuk berbagai jenis tugas dan tanggung jawab. Banyak organisasi yang mempekerjakan auditor internal untuk mengevaluasi jalannya operasi perusahaan.

auditing-in-computer-environmentGeneral Accounting Office dan pemerintah negara bagian juga mempekerjakan auditor untuk mengevaluasi kinerja manajemen dan kesesuaian dengan keinginan legislatif dalam berbagai departemen milik pemerintah. Departemen Pertahanan mempekerjakan auditor untuk melakukan tinjauan atas catatan keuangan perusahaan¬-perusahaan yang memiliki kontrak peralatan pertahanan. Perusahaan-perusahaan terbuka menyewa auditor eksternal untuk memberikan tinjauan independen atas laporan keuangan mereka.

Auditor internal secara langsung bertanggung jawab untuk membantu pihak manajemen meningkatkan efektivitas dan efisiensi organisasional, termasuk membantu mendesain dan mengimplementasikan SIA yang memberikan kontribusi pada tujuan perusahaan. Sebaliknya, auditor eksternal terutama bertanggung jawab pada pihak-pihak yang berkepentingan terhadap perusahaan dan investor, dan hanya secara tidak langsung berkepentingan dalam efektivitas SIA perusahaan. Di luar perbedaan ini, banyak konsep dan teknik audit internal yang dapat diterapkan untuk audit eksternal.

Sifat Audit.

AAA-urlAmerican Accounting Association telah merumuskan definisi umum berikut ini untuk audit. Audit adalah sebuah proses sistematis untuk secara objektif mendapatkan dan mengevaluasi bukti mengenai pernyataan perihal tindakan dan transaksi bernilai ekonomi, untuk memastikan tingkat kesesuaian antara pernyataan tersebut dengan kriteria yang telah ditetapkan, serta mengkomunikasikan hasil-hasilnya pada para pemakai yang berkepentingan.

Audit membutuhkan pendekatan langkah per langkah yang dibentuk dengan perencanaan teliti serta pemilihan dan pelaksanaan teknik yang tepat dengan hati-hati. Dalam membuat rekomendasi, auditor membuat kriteria-kriteria, seperti prinsip-prinsip manajemen dan pengendalian, sebagai dasar evaluasi.

audit-around-the-computerPara auditor biasanya mengaudit di luar komputer (audit around the computer) dan tidak menghiraukan komputer dan program-programnya. Mereka hanya mempelajari catatan dan output dari sistem tersebut, dan berpikir jika output telah dengan benar dihasilkan dari input sistem, maka pemrosesan pastilah andal.

audit-through-comp-urlPendekatan yang lebih baru, yaitu audit melalui komputer (audit through the computer), menggunakan komputer untuk memeriksa kecukupan pengendalian sistem, data dan ouput.

Standar-standar Audit Internal.

ISA2ColorPosBerdasarkan Institute of Internal Auditor (IIA), tujuan dari audit internal adalah untuk mengevaluasi kecukupan dan efektivitas sistem pengendalian internal perusahaan, serta menetapkan keluasan dari pelaksanaan tanggung jawab yang benar-benar dilakukan. Kelima standar lingkup audit IIA memberikan garis besar atas tanggung jawab auditor internal:IAASB-images

  1. Melakukan tinjauan atas keandalan dan integritas informasi operasional dan keuangan, serta bagaimana hal tersebut diidentifikasi, diukur, diklasifikasi dan dilaporkan.
  2. Menetapkan apakah sistem. telah didesain untuk sesuai dengan kebijakan operasional dan pelaporan, perencanaan, prosedur, hukum, dan peraturan yang berlaku.
  3. Melakukan tinjauan mengenai bagaimana aset dijaga, dan memverifikasi keberadaan aset tersebut.
  4. Mempelajari sumber daya perusahaan untuk menetapkan seberapa efektif dan efisien mereka digunakan.
  5. Melakukan tinjauan atas operasional dan program perusahaan, untuk menetapkan apakah mereka telah dilaksanakan sesuai rencana dan apakah mereka dapat memenuhi tujuan-tujuan mereka. .

( Committee on Basic Auditing Concepts. A Statement of Basic Auditing Concepts (Sarasota. FL.: American Accounting Association. 1973). 2.)

Berbagai organisasi sekarang ini, menggunakan SIA terkomputerisasi untuk memproses, menyimpan, clan mengendalikan informasi perusahaan. Untuk mencapai kelima tujuan yang telah disebutkan di atas, seorang auditor internal memiliki kualifikasi untuk memeriksa seluruh elemen SIA yang terkomputerisasi dan menggunakan komputer sebagai alat untuk mencapai tujuan-tujuan audit tersebut. Dengan kata lain, keahlian komputer merupakan hal yang penting untuk melaksanakan audit internal.

Jenis-jenis Kegiatan Audit Internal

financial-audit-urlTerdapat tiga jenis audit yang biasanya dilakukan, yaitu:information-systems-audit

  1. Audit Keuangan memeriksa keandalan dan integritas catatan-catatan akuntansi (baik informasi keuangan dan operasional) dan menghubungkannya dengan standar pertama dari kelima standar lingkup audit internal.
  2. Audit Sistem Informasi melakukan tinjauan atas pengendalian SIA untuk menilai kesesuaiannya dengan kebijakan dan prosedur pengendalian serta efektivitas dalam menjaga aset perusahaan. Lingkupnya secara kasar berhubungan dengan standar kedua dan ketiga dari IIA.
  3. Audit Operasional atau Manajemen berkaitan dengan penggunaan secara ekonomis dan efisien sumber daya, serta pencapaian sasaran dan tujuan yang telah ditetapkan. Lingkupnya berhubungan dengan standar keempat dan kelima.OperationalAuditing

Tinjauan Menyeluruh Proses Audit

Seluruh audit menggunakan urutan kegiatan yang hampir sama, hingga dapat dibagi ke dalam empat langkah:

  • Merencanakan Audit
  • Mengumpulkan bukti,
  • Mengevaluasi bukti, dan
  • Mengkomunikasikan hasil audit.

Gambar-10-0001-aGambar DD-1 menyajikan tinjauan menyeluruh proses audit, dengan menspesifikasikan beberapa prosedur yang biasanya dilakukan untuk setiap tahap tersebut.

Merencanakan Audit.

dtbase-designer-url
Audit Plan
Tujuan dari perencanaan audit adalah untuk menetapkan mengapa, bagaimana, kapan, dan oleh siapa audit akan dilaksanakan. Langkah pertama dalam perencanaan audit adalah menetapkan lingkup dan tujuan audit. Contohnya, lingkup audit sebuah perusahaan terbuka meluas hingga ke para pemegang saham perusahaan dengan tujuan mengevaluasi kejujuran penyajian laporan keuangan. Sebaliknya, audit internal mungkin memeriksa seluruh divisi, departemen tertentu, atau sebuah aplikasi komputer. Audit internal dapat berfokus. pada pengendalian internal, informasi keuangan, kinerja operasional, atau beberapa kombinasi dari ketiga audit tersebut.

audit-team-urlSebuah tim audit yang memiliki pengalaman dan keahlian yang dibutuhkan akan dibentuk. Para anggota tim menjadi lebih dalam mengenali pihak yang diaudit (auditee) melalui diskusi dengan personil tingkat supervisor dan operasional, melakukan tinjauan atas dokumentasi sistem, dan melakukan tinjauan atas penemuan-penemuan dalam audit terdahulu.

Untuk mematangkan tahap perencanaan, sebuah program audit awal dipersiapkan untuk menunjukkan sifat, keluasan, dan waktu prosedur-prosedur yang dibutuhkan untuk mencapai tujuan audit dan untuk meminimalkan risiko-risiko audit. Suatu anggaran waktu dipersiapkan, dan para anggota staf akan ditugaskan untuk melaksanakan langkah-langkah audit tertentu.

Resiko dalam Audit pada Proses Perencanaan Audit.

3-components-of-audit-riskSebuah audit harus direncanakan sedemikian rupa agar sebagian besar kegiatan audit berfokus pada area-area yang memiliki faktor-faktor risiko tertinggi. Ada tiga jenis risiko dalam melakukan audit, yaitu:

  1. Risiko Inheren adalah toleransi atas risiko yang material dengan mempertimbangkan ketidakberadaan pengendalian. Contohnya, sebuah system yang menerapkan pemrosesan on-line, jaringan, software database, telekomunikasi,’ dan bentuk teknologi canggih lainnya, memiliki lebih banyak risiko inheren daripada suatu sistem pemrosesan batch yang tradisional.
  2. Risiko Pengendalian adalah risiko yang timbul dari kesalahan penyajian yang material dan berdampak hingga ke struktur pengendalian internal serta ke laporan keuangan. Sebuah.perusahaan yang memiliki pengendalian internal lemah memiliki lebih banyak risiko pengendalian daripada perusahaan dengan pengendalian internal yang kuat. Risiko pengendalian dapat ditetapkan dengan cara melakukan tinjauan atas lingkungan pengendalian dan mempertimbangkan kelemahan pengendalian yang diidentifikasi dalam audit terdahulu, dan dengan mengevaluasi bagaimana kelemahan-kelemahan tersebut telah diperbaiki.
  3. Risiko Pendeteksian adalah risiko yang timbul akibat tidak dapat terdeteksinya sebuah kesalahan atau kesalahan penyajian oleh auditor dan prosedur audit yang dibuatnya.

Mengumpulkan bukti Audit.

Sebagian besar usaha audit dihabiskan untuk mengumpulkan bukti. Berikut ini adalah metode-metode yang paling umum digunakan untuk mengumpulkan bukti audit:what-do-you-collect-web-very-small-copy

  • Pengamatan atas berbagai kegiatan yang diaudit (contohnya, memperhatikan bagaimana cara para pegawai memasuki lokasi komputer atau bagaimana personil pengendalian data menangani kegiatan pemrosesan data begitu data diterima),
  • Melakukan tinjauan atas dokumentasi untuk memahami bagaimana suatu SIA atau sistem pengendalian internal berfungsi.
  • Diskusi dengan para pegawai mengenai pekerjaan mereka dan bagaimana mereka melaksanakan beberapa prosedur tertentu.
  • Kuesioner yang dapat mengumpulkan data mengenai sistem terkait.
  • Pemeriksaan fisik jumlah dan/atau kondisi aset berwujud seperti perlengkapan, persediaan, atau kas.
  • Melakukan konfirmasi atas ketepatan informasi tertentu, seperti saldo rekening pelanggan, melalui komunikasi dengan pihak ketiga yang independen.
  • Melakukan ulang prosedur pilihan perhitungan tertentu untuk memverifikasi informasi kuantitatif dari beberapa catatan dan laporan (contohnya, auditor dapat menghitung kembali suatu total batch atau menghitung kembai beban depresiasi tahunan}.
  • Pembuktian untuk mendapatkan validitas sebuah transaksi dengan cara memeriksa seluruh dokumen pendukungnya, seperti pesanan pembelian, laporan penerimaan, dan faktur penjualan dari pemasok yang mendukung transaksi utang usaha.
  • Tinjauan analitis atas hubungan dan tren antar informasi untuk mendeteksi hal-hal yang harus diselidiki lebih lanjut (contohnya, seorang auditor untuk jaringan toko baju menemukan bahwa di salah satu toko, rasio piutang usaha terhadap penjualan sangat tinggi. Sebuah penyelidikan mengungkap bahwa manajer toko tersebut telah mengalihkan uang dari hasil penagihan, untuk dipakai secara pribadi).

not-worth-itOleh karena banyak pengujian dan prosedur audit yang tidak layak untuk dilaksanakan . di seluruh rangkaian kegiatan, catatan, aset, atau dokumen yang ditinjau, pengujian dan prosedur tersebut sering kali dilaksanakan dengan mengambil sampel. Sebuah audit biasa umumnya akan menggunakan campuran berbagai prosedur.

Contohnya, suatu audit yang didesain untuk mengevaluasi pengendalian internal SIA akan menggunakan lebih banyak kegiatan pengamatan, tinjauan atas dokumentasi, diskusi dengan para pegawai, dan pelaksanaan ulang prosedur pengendalian.

Suatu audit informasi keuangan akan berfokus pada pemeriksaan fisik, konfirmasi, pembuktian, tinjauan analitis, dan pelaksanaan ulang proses perhitungan saldo rekening.

Materialitas dan Kepastian dalam mengumpulkan bukti Audit.

Materialitas dan kepastian. yang wajar merupakan hal yang penting ketika ingin memutuskan seberapa jauh kegiatan audit dibutuhkan dan kapan saat untuk mengevaluasi bukti. Oleh karena kesalahan selalu ada pada sistem manapun, para auditor berfokus untuk mendeteksi dan melaporkan kesalahan-kesalahan yang memiliki dampak signifikan pada interpretasl pihak manajemen atas penemuan-penemuan audit.

materiality-urlMenetapkan materialitas, yaitu mengenai apa yang penting dan tidak penting berdasarkan suatu situasi, sebagian besar merupakan masalah penilaian. Materialitas secara umum lebih penting untuk audit eksternal, yang penekanan umumnya adalah kejujuran penyajian laporan keuangan, bukan untuk audit internal, yang berfokus untuk menetapkan tingkat kesesuaian dengan kebijakan manajemen.

Auditor mencari keyakinan yang wajar bahwa tidak ada kesalahan yang material dalam informasi atau proses yang diaudit. Oleh karena sangat mahal untuk mencari kepastian yang lengkap, audit harus bersedia menerima sejumlah risiko bahwa kesimpulan audit tidak benar. Merupakan hal yang penting untuk disadari bahwa ketika risiko inheren atau pengendalian tinggi, auditor harus mendapatkan keyakinan yang lebih besar untuk mengimbangi ketidakpastian dan risiko yang lebih besar.

Laporan Temuan Bukti.

Dalam seluruh tahapan audit, penemuan dan kesimpulan dengan hati-hati didokumentasikan dalam lembar kerja audit. Dokumentasi sangatlah penting pada tahap evaluasi untuk mencapai dan mendukung, kesimpulan akhir.

report-finding-urlAuditor mempersiapkan laporan tertulis (dan kadang-kadang lisan) yang meringkas penemuan-penemuan dan berbagai rekomendasi audit, dengan referensi bukti pendukung dalam lembar kerja. Laporan ini disajikan kepada pihak manajemen, komite audit, dewan komisaris, dan pihak-pihak lain yang terkait. Setelah hasil audit dikomunikasikan, para auditor sering kali melaksanakan penelitian lanjut untuk memastikan bahwa rekomendasi mereka telah diimplementasikan.

Pendekatan Audit Berdasarkan Risiko(The Risk Based Audit Approach).

risk-base-audit-urlPendekatan empat tahap berikut ini untuk evaluasi pengendalian internal; disebut pula sebagai pendekatan audit berdasarkan risiko, dan memberikan kerangka logika untuk melaksanakan audit:

  • Tentukan ancaman-ancaman (kesalahan dan ketidakberaturan) yang dihadapi SIA.
  • Identifikasi prosedur pengendalian yang diimplementasikan untuk meminimalkan setiap ancaman dengan mencegah afau mendeteksi kesalahan dan ketidak¬beraturan.
  • Evaluasi prosedur pengendalian. Meninjau dokumentasi sistem dan wawancara dengan personil yang tepat untuk menetapkan apakah prosedur yang dibutuhkan ada atau tidak, disebut pula sebagai tinjauan sistem. Kemudian, uji pengendalian dilaksanakan untuk menetapkan apakah prosedur-prosedur tersebut telah diikuti dengan baik. Uji ini terdiri dari berbagai kegiatan seperti mengamati operasional sistem; memeriksa dokumen, catatan, dan laporan; memeriksa beberapa sampel input dan output sistem; serta menelusuri transaksi di sepanjang sistem.
  • Evaluasi kelemahan (kesalahan dan ketidak-beraturan yang tidak terungkap oleh prosedur pengendalian) untuk menetapkan pengaruhnya atas sifat, atau keluasan prosedur audit dan saran pada klien. Langkah ini berfokus pada risiko pengendalian dan apakah sistem pengendalian secara keseluruhan menangani hal-hal tersebut atau tidak. Apabila kekurangan pengendalian teridentifikasi, auditor menanyakan tentang pengendalian pengimbang (compensating control), atau prosedur-prosedur yang mengimbangi kekurangan tersebut. Kelemahan pengendalian di sebuah area mungkin dapat diterima apabila kelemahan tersebut diimbangi dengan kelebihan pengendalian di area lainnya.

identify-urlPendekatan berdasarkan risiko untuk audit memberikan para auditor pemahaman yang jelas atas kesalahan dan ketidak-beraturan yang dapat terjadi dan risiko serta pajanan(exposure) yang terkait. Pemahaman atas hal ini memberikan dasar yang kuat untuk mengembangkan rekomendasi pada pihak manajemen mengenai bagaimana sistem pengendalian SIA seharusnya ditingkatkan.

Audit Sistem Informasi dan Tujuannya.

Assurance chart_B_1Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem tersebut. Ketika melaksanakan audit sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini dipenuhi:

  1. Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi, atau penghancuran.
  2. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen.
  3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen.
  4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan lengkap.
  5. Data sumber yang tidak akurat. atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan.
  6. File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.

Gambar-10-0002Gambar DD-2 melukiskan hubungan di antara keenam tujuan ini dengan komponen¬komponen sistem informasi. Setiap tujuan tersebut didiskusikan secara lebih terinci dalam bagian berikut.

Setiap deskripsi terdiri dari rencana untuk mencapai setiap tujuan di atas, dan juga teknik serta prosedur yang diperlukan untuk melaksanakan rencana audit tersebut.

Tujuan 1.2-Audit Sistem Informasi: Keamanan Keseluruhan.

Tabel DD-(10)1-1Tabel DD-1 berisi kerangka untuk audit keamanan komputer. tabel tersebut menunjukkan hal-hal berikut ini:computer_security

  • Jenis kesalahan dan penipuan keamanan yang dihadapi oleh perusahaan. Hal ini mencakup kerusakan yang disengaja dan tidak disengaja atas aset sistem; akses tidak sah, pengungkapan atau modifikasi data dan program; pencurian; serta interupsi atas kegiatan bisnis yang penting.
  • Prosedur pengendalian untuk meminimalkan kesalahan dan penipuan keamanan. Hal ini mencakup mengembangkan rencana keamanan/perlindungan informasi dari virus, mengimplementasikan firewall, mengadakan pengendqlian atas pengiriman data, dan mencegah serta memulihkan diri dari kegagalan sistem atau bencana’ lainnya.
  • Prosedur audit tinjauan sistem. Hal ini mencakup memeriksa lokasi komputer; melakukan wawancara dengan para personilnya; meninjau kebijakan dan prosedur; serta memeriksa daftar akses, kebijakan asuransi, dan rencana pemulihan dari bencana.
  • Prosedur audit pengujian pengendalian. Para auditor menguji pengendalian keamanan dengan cara mengamati prosedur, memverifikasi bahwa terdapat pengendalian dan pengendalian tersebut berfungsi seperti dengan yang diharapkan, menginvestigasi berbagai kesalahan atau masalah untuk memastikan mereka ditangani dengan benar, serta memeriksa berbagai uji yang sebelumnya telah dilaksanakan. Contohnya, salah satu cara untuk menguji pengendalian akses logika adalah dengan mencoba melanggar masuk ke sistem. Selama audit keamanan sebuah badan pemerintah Amerika Serikat, para auditor menggunakan terminal¬ terminal badan tersebut untuk mendapatkan akses secara tidak sah ke sistem komputer mereka, mematikan prosedur pemeriksaan keamanannya, dan mengendalikan sistem tersebut dari terminal yang mereka pakai. Kegagalan keamanan dapat terjadi karena kurangnya p~ngendalian administratif dan software keamanan yang tidak memadai.
  • Pengendalian pengimbang. Apabila pengendalian keamanan sangatlah tidak cukup, maka organisasi menghadapi risiko yang besar. Kebijakan personil yang baik dan pemisahan tugas secara efektif atas pekerjaan yang tidak boleh disatukan, dalam beberapa hal dapat mengimbangi keamanan komputer yang kurang tersebut. Oleh karena hampir tidak mungkin pengendalian-pengendalian ini dapat mengimbangi secara keseluruhan keamanan komputer yang kurang baik, para auditor harus sangat merekomendasikan agar kelemahan keamanan tersebut diperbaiki.

Tujuan 2.2 – Audit Sistem Informasi: Pengembangan dan Perolehan Program.

Tabel DD-(10)2Tabel DD-2 memberikan kerangka untuk meninjau dan mengevaluasi proses pengembangan program. Dua hal yang dapat salah dalam pengembangan program:

  1. Kesalahan yang tidak disengaja karena adanya kesalahpahaman atas spesifikasi sistem atau kecerobohan pemrograman, dan
  2. Perintah tidak sah yang dengan sengaja dimasukkan ke dalam program. Masalah-masalah ini dapat dikendalikan dengan cara meminta otorisasi serta persetujuan dari pihak manajemen dan pemakai, pengujian keseluruhan, dan dokumentasi yang memadai.

independentPeran auditor dalam pengembangan sistem harus dibatasi sampai pada peninjauan independen atas kegiatan pengembangan sistem; Untuk mempertahankan objektivitas yang dibutuhkan dalam melaksanakan evaluasi independen atas fungsi, para auditor harus tidak dilibatkan dalam pengembangan sistem.

proc-2-urlSelama peninjauan sistem, para auditor harus mendapat pemahaman mengenai prosedur pengembangan dengan mendiskusikannya bersama pihak manajemen, pemakai sistem, dan para personil sistem informasi. Mereka juga harus meninjau kebijakan, prosedur, standar, dan dokumentasi yang tercantum pada Tabel DD-2.

Untuk menguji pengendalian pengembangan sistem, para auditor harus mewawancarai para manajer dan pemakai sistem, memeriksa persetujuan pengembangan, dan meninjau notulen rapat tim pengembangan sistem. Para auditor harus meninjau secara keseluruhan semua dokumentasi yang berhubungan dengan proses pengujian dan memastikan bahwa seluruh perubahan program telah diuji.

Auditor harus memeriksa spesifikasi uji, meninjau data uji, dan mengeyaluasi hasil pengujian. Apabila hasil pengujian tidak sesuai dengan harapan, maka auditor harus memastikan bagaimana masalah tersebut diatasi.

procedure_iconPengendalian pemrosesan yang kokoh (lihat tujuan 4) kadangkala dapat mengimbangi pengendalian pengembangan yang kurang baik.
Apabila para auditor bergantung pada pengendalian pengimbang untuk pemrosesan, mereka harus mendapatkan bukti yang mendukung ketaatan terhadap sistem, dengan menggunakan berbagai teknik, seperti pengujian data pemrosesan independen.
Apabila bukti sejenis ini tidak bisa didapatkan, mereka dapat menyimpulkan bahwa terdapat kelemahan yang material dalam pengendalian internal, dan bahwa risiko kesalahan atau penipuan dalam program aplikasi terlalu tinggi hingga tidak dapat diterima.

Tujuan 3.2 – Audit Sistem Informasi: Audit Modifikasi Program.

Tabel DD-(10)3Tabel DD-3 menyajikan kerangka untuk melakukan audit program aplikasi dan perubahan software sistem. Kesalahan dan penipuan yang terjadi dalam pengembangan program dapat juga terjadi selama modifikasi program. Contohnya, salah seorang programer ditugaskan untuk memodifikasi sistem penggajian perusahaannya, menyisipkan sebuah perintah untuk menghapus seluruh file komputer apabila perintah pemberhentian dimasukkan ke dalam catatan penggajian dirinya. Ketika programer tersebut dipecat, perintah pemberhentian yang dimasukkan ke dalam catatannya telah menyebabkan sistem tersebut bertabrakan dan menghapus file-file utama.

change-urlKetika sebuah perubahan program diserahkan untuk persetujuan, sebuah daftar hal-hal yang akan diperbarui harus disusun dan kemudian disetujui oleh pihak manajemen dan pemakai program. Semua perubahan program harus diuji secara keseluruhan dan didokumentasikan. Selama proses perubahan, versi pengembangan program harus tetap dipisahkan dari versi produksi program. Setelah program yang dirubah telah mendapatkan persetujuan akhir, perubahan tersebut diimplementasikan dengan cara mengganti versi produksi dengan versi pengembangan.

Selama tinjauan sistem, auditor harus mendapatkan pemahaman atas proses perubahan melalui diskusi dengan manajemen dan personil yang menggunakan program tersebut. Kebijakan, ‘prosedur dan standar untuk memberikan persetujuan, modifikasi, pengujian, dan dokumentasi perubahan harus diperiksa. Bahan dokumentasi akhir yang lengkap untuk perubahan program yang terbaru, termasuk prosedur dan hasil uji, harus ditinjau. Terakhir, auditor harus meninjau prosedur yang digunakan untuk membatasi akses logika ke versi pengembangan program tersebut.

test-urlBagian yang penting dari uji pengendalian yang dilaksanakan.seorang auditor adalah . memverifikasi bahwa perubahan program telah diidentifikasi, didaftar, disetujui, diuji, dan didokumentasikan. Langkah ini mensyaratkan auditor untuk mengamati bagaimana perubahan diimplementasikan untuk memverifikasi bahwa program pengembangan dan produksi yang terpisah tetap dilaksanakan, dan bahwa perubahan tersebut diimplementasikan oleh seseorang yang independen dari pemakai dan fungsi pemrograman. Auditor harus meninjau tabel pengendalian akses program pengembangan untuk memverifikasi bahwa hanya pemakai yang ditugaskan untuk melaksanakan modifikasi, yang memiliki akses ke sistem.

Untuk menguji keberadaan perubahan program secara tidak sah, para auditor dapat menggunakan program perbandingan kode. Setelah auditor menguji sebuah program yang baru dikembangkan secara menyeluruh (tujuan 2), mereka menyimpan sebuah salinan dari kode sumbernya. Di kemudian hari, auditor dapat menggunakan program perbandingan untuk membandingkan versi terakhir program dengan kode sumber aslinya. Apabila tidak ada perubahan yang diotorisasi, kedua versi ini seharusnya identik. Oleh sebab itu, perbedaan yang tidak sah akan berlanjut ke penyelidikan. Apabila perbedaan tersebut menyajikan perubahan yang diotorisasi, auditor dapat merujuk pada spesifikasi perubahan program untuk memastikan bahwa perubahan tersebut diotorisasi dan dengan tepat digabungkan.

Tujuan 3.3 – Audit Sistem Informasi: Audit Modifikasi Program.

compare-1-urlTerdapat dua teknik tambahan untuk mendeteksi perubahan yang tidak sah. Teknik pemrosesan ulang juga menggunakan salinan kode sumber yang telah diverifikasi. Tanpa pemberitahuan sebelumnya, auditor menggunakan program ini untuk memproses ulang data dan membandingkan outputnya dengan data perusahaan. Penyimpangan dari kedua pasang output tersebut akan diselidiki untuk memastikan penyebabnya.compare_iconSimulasi paralel hampir sama dengan teknik pemrosesan ulang, kecuali bahwa auditorlah yang menulis program, bukan menggunakan salinan kode sumber yang telah diverifikasi dan disimpan. Hasil dari simulasi auditor akan dibandingkan dengan hasil milik perusahaan, dan perbedaan apapun akan diselidiki. Simulasi paralel dapat digunakan untuk menguji sebuah program selama proses implementasi.compare-2-url

Tujuan 3.4 – Audit Sistem Informasi: Audit Modifikasi Program.

Para auditor harus mengamati pengujian dan implementasi, meninjau otorisasi dan dokumen yang terkait, dan jika perlu, melaksanakan pengujian independen untuk setiap perubahan program yang besar.
Apabila langkah ini dilewati dan pengendalian program kemudian ditemukan tidak memadai, maka tidak mungkin mengandalkan output program.

independent_testing_bannerSebagai tambahan, para auditor harus selalu menguji program tanpa pemberitahuan sebelumnya, sebagai tindakan pencegahan atas perubahan program secara tidak sah, yang disusupkan setelah pemeriksaan selesai dan kemudian disingkirkan tepat sebelum jadwal audit berikutnya.

Apabila pengendalian internal atas perubahan program kurang baik, maka pengendalian pengimbang seperti perbandingan kode sumber, keberadaan pengendalian pemrosesan yang baik, pengujian secara independen oleh auditor, dalam beberapa hal dapat mengimbangi kelemahan tersebut.

Akan tetapi, jika kelemahan tersebut disebabkan karena pembatasan atas akses file program yang tidak memadai, auditor harus sangat merekomendasikan tindakan untuk memperkuat pengendalian akses logika di organisasi tersebut.

Tujuan 4.2 – Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer

Tabel DD-(10)4Tabel DD-4 memberikan kerangka untuk melakukan audit pengendalian pemrosesan komputer. Fokus tujuan keempat adalah pemrosesan transaksi, file, dan catatan komputer untuk memperbarui file serta database, dan yang digunakan untuk menghasilkan laporan.

Dalam pemrosesan komputer, sistem dapat saja gagal mendeteksi input yang salah, memperbaiki kesalahan input secara tidak tepat, memroses input yang salah, atau menyebarkan atau mengungkap output secara tidak benar. Tabel DD-4 memperlihatkan prosedur pengendalian untuk mendeteksi dan mencegah kesalahan-kesalahan ini, meninjau sistem dan uji prosedur pengendalian yang dapat diterapkan auditor. Tujuan dari prosedur audit ini adalah untuk mendapatkan pemahaman atas pengendalian, mengevaluasi kecukupannya, dan mengamati jalannya sebagai bukti bahwa pengendalian memang digunakan.

comp-proc-controls-urlPara auditor harus secara periodik mengevaluasi kembali pengendalian pemrosesan untuk memastikan kelangsungan keandalannya. Apabila pengendalian pemrosesan tidak memuaskan, pengendalian pemakai dan data sumber mungkin cukup kuat untuk mengimbangi kelemahan tersebut. Apabila tidak, maka terdapat kelemahan yang material sehingga tindakan harus diambil untuk menghilangkan kelemahan pengendalian tersebut.

Beberapa teknik khusus memungkinkan auditor untuk menggunakan komputer dalam menguji pengendalian pemrosesan. Teknik-teknik tersebut mencakup pemrosesan data uji, menggunakan teknik audit bersamaan, dan menganalisis logika program. Setiap teknik tersebut memiliki kelebihan dan kelemahan masing-masing, yang berarti bahwa mereka mungkin lebih tepat di suatu situasi tetapi kurang tepat di situasi lainnya. Tidak ada satupun teknik yang cocok untuk semua keadaan. Para auditor seharusnya tidak mengungkapkan teknik apa yang mereka gunakan, karena hal ini dapat mengurangi efektivitas pengujian audit.

Tujuan 4.3- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, Memproses Data Uji.

Memproses Data Uji.
Salah satu cara untuk menguji program adalah dengan memproses serangkaian perkiraan (hypothetical) transaksi valid dan tidak valid. Program tersebut harus memproses seluruh transaksi yang valid dengan benar dan mengidentifikasi serta menolak transaksi yang tidak valid. Seluruh jalur logika harus diperiksa apakah berfungsi dengan baik atau tidak, melalui satu atau lebih uji transaksi.Hypothetical-instance

Contoh-contoh data yang valid adalah catatan dengan data yang hilang, field yang berisi jumlah yang tidak wajar banyaknya, nomor rekening atau kode pemrosesan yang salah, data non-numeris dalam field numerik, serta catatan yang tidak berurutan.

Sumber-sumber berikut ini dapat membantu untuk mempersiapkan data uji:

  • Daftar transaksi yang sebenarnya
  • Transaksi uji yang digunakan programer untuk menguji program tersebut
  • Program pembuat data .uji (test data generator program), yang secara otomatis mempersipakan data uji berdasarkan spesifikasi program

batch-proc-urlDi dalam sistem pemrosesan secara batch, program perusahaan dan salinan dari file yang terkait digunakan untuk memproses data uji. Hasilnya akan dibandingkan dengan output yang telah diperkirakan sebelumnya; penyimpangan menunjukkan kesalahan pemrosesan atau kurangnya pengendalian dan harus diselidiki secara keseluruhan.

online-proc-urlDi dalam sistem on-line, para auditor memasukkan data uji dengan menggunakan alat untuk memasukkan data, seperti PC atau terminal, dan mengamati serta mendaftar respons sistem. Apabila sistem menerima transaksi yang salah atau tidak valid, auditor akan menelusuri kembali pengaruh transaksi tersebut, menyelidiki masalahnya, dan memperbaiki kelemahannya.

Tujuan 4.4- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, Kelemahan Uji Transaksi.

Kelemahan Uji Transaksi.

weaknesses-word-63991945Walaupun pemrosesan transaksi uji biasanya efektif, teknik tersebut memiliki beberapa kelemahan:

  1. Auditor harus menghabiskan banyak waktu untuk mengembangkan pemahaman atas sistem yang diperiksanya dan mempersiapkan serangkaian transaksi uji yang memadai.
  2. Perhatian harus diberikan untuk memastikan bahwa data uji tidak mempengaruhi file dan database perusahaan. Auditor dapat menelusuri kembali (reserve) pengaruh transaksi uji atau memproses transaksi tersebut dalam proses terpisah dertgan menggunakan salinan file atau database terkait. Akan tetapi, pemrosesan terpisah akan menghilangkan beberapa keotentikan yang didapat dari proses data uji, dengan transaksi rutin. Selain itu, prosedur penelusuran kembali (reversal procedures) juga dapat mengungkapkan keberadaan dan sifat dari uji yang dilaksanakan auditor pada personil utama, sehingga menjadi kurang efektif dibanding uji yang tersembunyi.

Tujuan 4.5- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, Teknik Audit Bersamaan

Teknik Audit Bersamaan.
concurrent-audit-techJutaan dolar transaksi dapat diproses oleh sistem on-line tanpa meninggalkan jejak audit yang memuaskan. Dalam kasus semacam ini, bukti dikumpulkan setelah pemrosesan data dianggap tidak cukup untuk tujuan audit. Sebagai tambahan, oleh karena banyak sistem on-line memproses transaksi seeara terus-menerus, merupakan hal yang sulit atau tidak mungkin untuk menghentikan sistem tersebut dan melaksanakan pengujian audit. Jadi, auditor menggunakan teknik audit bersamaan untuk secara terus-menerus mengawasi sistem dan mengumpulkan bukti audit sementara data langsung diproses selama jam kerja normal.

Teknik audit bersamaan menggunakan modul audit melekat (embedded audit module), yaitu bagian-bagian dari kode program yang melaksanakan fungi audit. Mereka juga melaporkan hasil pengujian ke auditor dan menyimpan bukti yang dikumpulkan untuk ditinjau oieh auditor. Teknik audit bersamaan sangat memakan waktu dan sulit digunakan, tetapi tidak akan terlalu sulit dilaksanakan apabila digabungkan ketika program sedang dikembangkan.

Terdapat 5(lima) Teknik Audit Bersamaan, yaitu:

  • Integrated test facility (ITF)
  • Snapshot
  • System control audit review file (SCARF)
  • Audit hooks
  • Continuous and internittent simulation (CIS)

Tujuan 4.6- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, Integrated test facility (ITF)

ITF-urlIntegrated test facility (ITF) adalah teknik yang menempatkan serangkaian kecil catatan fiktif di file utama. Catatan tersebut dapat saja mewakili bagian, departemen, atau kantor cabang, pelanggan, atau pemasok fiktif..Pemrosesan transaksi uji yang memperbarui catatan fiktif ini tidak akan mempengaruhi catatan asli.

fictitious-urlOleh karena catatan fiktif dan yang sesungguhnya diproses bersama-sama, para pegawai perusahaan biasanya tetap tidak menyadari bahwa pengujian tersebut berjalan. Sistem tersebut harus membedakan catatan ITF dari catatan yang sesungguhnya, mengumpulkan informasi atas dampak transaksi uji, serta melaporkan hasilnya.

Auditor akan membandingkan pemrosesan dengan hasil yang diharapkan, untuk memverifikasi bahwa sistem tersebut beserta pengendaliannya beroperasi dengan benar.

Dalam pemrosesan seeara batch, teknik ITF meniadakan kebutuhan untuk melakukan penelusuran transaksi uji dan dengan mudah disembunyikan dari para pegawai yang mengoperasikan sistem tersebut.

ITF sangat sesuai untuk menguji sistem pemrosesan on¬line, karena transaksi uji dapat dilakukan sesering mungkin, diproses bersama dengan transaksi yang sesungguhnya, dan ditelusuri melalui seluruh tahap pemrosesan.

Semua ini dapat dicapai tanpa mengganggu operasional pemrosesan yang normal; akan tetapi, perhatian harus diberikan untuk tidak menggabungkan catatan fiktif dengan yang sesungguhnya selama proses pelaporan.

Tujuan 4.7- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, SNAPSHOT.

Teknik snapshot memeriksa cara transaksi diproses. Transaksi yang dipilih ditandai dengan kode khusus yang akan memicu proses snapshot.

snapshot-urlModul-modul audit dalam program terkait mencatat transaksi-transaksi ini beserta dengan catatan file utamanya, sebelum dan sesudah pemrosesan.

Data snapshot dicatat dalam file khusus dan ditinjau oleh auditor untuk manverifikasi bahwa selurh langkah pemrosesan telah dengan benar dilaksanakan.

Tujuan 4.8- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, System control audit review file (SCARF)

scarf-1-urlSystem control audit review file (SCARF) menggunakan modul audit melekat untuk secara terus menerus mengawasi kegiatan transaksi dan mengumpulkan data atas transaksi yang menjadi tujuan audit. Data tersebut dicatat dalam file SCARF atau daftar audit (audit log).

scarf-logoTransaksi-transaksi yang dicatat dalam file daftar audit adalah yang melebihi batas nilai uang yang telah ditentukan, atau yang berisi penurunan nirai aset. Secara periodik, auditor akan menerima cetakan file SCARF, memeriksa informasi tersebut untuk mengidentifikasi transaksi yang meragukan, dan melaksanakan penyelidikan yang dibutuhkan.

Tujuan 4.9- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, Audit Hooks.

console-hooksAudit hooks adalah kegiatan audit yang memberikan tanda atas transaksi yang mencurigakan. Contohnya, para auditor internal di State Farm Life Insurance menyatakan bahwa sistem pemegang asuransi mereka sangat rentan terhadap penipuan setiap.kali seorang pemegang asuransi mengganti nama atau alamatnya, dan kemudian menarik dana dari asuransi tersebut. Pegawai asuransi membuat sebuah sistem audit hooks untuk mengikuti catatan yang memiliki perubahan nama atau alamat.

Departemen audit internal perusahaan tersebut kini akan diperingatkan apabila catatan yang diikuti tersebut berhubungan dengan penarikan dan dapat menyelidiki apakah transaksi tersebut merupakan penipuan. Ketika audit hooks digunakan, auditor dapat diinformasikan mengenai transaksi yang mencurigakan begitu transaksi tersebut terjadi.

audit-hooks-rchitecturePendekatan ini, disebut sebagai peringatan real-time (real-time notification), yang menunjukkan sebuah pesan di terminal auditor. Informasi tambahan mengenai penggunaan audit hooks di State Farm, termasuk bagaimana sebuah penipuan besar dideteksi, dijelaskan dalam Fokus DD-1.

Tujuan 4.10- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, Continuous and intermittent simulation (CIS)

cis_logo1Continuous and intermittent simulation (CIS) melekatkan modul audit dalam sistem manajemen database. Modul CIS memeriksa seluruh transaksi yang memperbarui DBMS dengan menggunakan kriteria yang hampir sarna dengan SCARF.

intermitten-simulation-mage-0000872Apabila sebuah transaksi memiliki nilai untuk diaudit, modul tersebut akan secara independen memproses data (dalam cara yang hampir sarna dengan simulasi paralel), mencatat hasil-hasilnya, dan membandingkan hasilnya dengan yang didapat dari DBMS.

Apabila terjadi penyimpangan, rincian penyimpangan tersebut akan ditulis dalam daftar audit untuk penyelidikan selanjutnya. Apabila ditemukan penyimpangan yang serius, CIS akan mencegah DBMS melaksanakan proses pembaruan data.

Analisis Logika Program.

Apabila seorang auditor mencurigai bahwa sebuah program aplikasi berisi kode yang tidak sah atau kesalahan serius, maka analisis yang rinci atas logika program mungkin diperlukan. Proses ini sangat memakan waktu dan membutuhkan keahlian dalam hal bahasa pemrograman, sehingga langkah ini harus digunakan sebagai pilihan terakhir.

logical-error-urlUntuk melaksanakan analisis tersebut, auditor merujuk pada bagan alir sistem dan program, dokumentasi program, dan daftar kode sumber program. Software berikut dapat dipakai untuk membantu analisis ini:

  • Automated flowcharting program, yang menerjemahkan kode sumber program dan membuat bagan alir program berdasarkan kode tersebut.
  • Automated decision table program, yang rnembuat sebuah tabel keputusan yang mewakili logika program.
  • Scanning routine, yang memeriksa suatu program atas terjadinya nama variabel tertentu atau kombinasi karakter lainnya.
  • Mapping program, yang mengidentifikasi kode program yang belum berfungsi. Software ini mengungkapkan kode program yang dimasukkan oleh programer yang tidak bertanggung jawab untuk menghapus seluruh file komputer ketika dirinya diberhentikan, seperti yang dieontohkan pada.bagian sebelumnya.
  • Program tracing, yang secara berurutan meneetak seluruh langkah program aplikasi (berdasar nomor baris atau nama paragraf) yang dijalankan selama operasional program. Daftar ini bercampur dengan output yang normal sehingga auditor dapat mengamati urutan yang tepat atas suatu kegiatan yang tampak selama pengoperasian program. Penelusuran program membantu auditor untuk mendeteksi perintah program tidak sah, alur logika yang salah, dan kode program yang belum berfungsi.

Menggunakan Audit Hooks di State Farm Life.

(Fokus DD-1) Menggunakan Audit Hooks di State Farm Life.
console-hooksSistem komputer di State Farm Life Insurance Company memiliki sebuah komputer induk di Bloomington, Illinois, dan 26 komputer yang lebih kecil di kantor wilayahnya. Di berbagai kantor wilayahnya, lebih dari 1.500 terminal dan PC dipakai untuk I memperbarui hampir 4 juta catatan pemegang asuransi di komputer induk. Sistem tersebut memproses lebih ,dari 30 juta transaksi per tahun. Sistem tersebut menelusuri dana pemegang asuransi yang bernilai lebih dari $6,7 miliar.

Sistem on-line real-time ini memperbarui file dan database begitu transaksi terjadi, jejak audit berupa kertas berkurang, .dan dokumen pendukung untuk perubahan atas catatan pemegang asuransi telah ditiadakan atau hanya dipertahankan sementara sebelum diproses.

Siapa pun yang memiliki akses dan pengetahuan aplikatif atas sistem tersebut, dapat berpotensi melakukan penipuan. Pegawai internal audit memiliki tantangan untuk mengidentifikasi transaksi asuransi jiwa yang memungkinkan terjadinya penipuan: Untuk melakukan tugas ini, para auditor internal membahas berbagai cara untuk menipu sistem tersebut dan mewawancarai berbagai pemakai sistem yang dapat memberikan pandangan yang sangat berharga.

Para auditor kini memiliki 33 audit hooks melekat yang mengawasi 92 jenis transaksi. Salah satu audit hooks mengawasi transaksi tidak normal dalam rekening transfer, yang akan melakukan kliring atas dana yang sementara ditahan untuk dikreditkan ke beberapa rekening.

audit-hooks-rchitectureAudit hooks tersebut berfungsi dengan sangat baik. Salah seorang pegawai mendapatkan uang dengan memproses sebuah pinjaman atas polis asuransi saudara laki-lakinya secara tidak sah. Dia kemudian memalsukan tanda tangan saudara laki-lakinya dan menguangkan cek tersebut. Untuk menutupi penipuan tersebut, dia harus membayar kembali pinjaman tersebut sebelum laporan status tahunan dikirim ke saudara laki-lakinya. Untuk melakukan hal tersebut, dia menggunakan serangkaian transaksi fiktif yang melibatkan sebuah rekening transfer. Penipuan tersebut terungkap segera ketika audit hooks rekening transfer tersebut mengenali transaksi fiktif pertama dan memperingatkan auditor.

Dalam waktu sebulan setelah peringatan tersebut, kasus tersebut diselidiki dan pegawai tersebut diberhentikan.

Sumber: Linda Marie Leinicke, W. Max Rexroad, dan JO’hn D. Ward, “Computer Fraud Auditing: It Works,” Internal Auditor (Agustus 1990),

Tujuan 5.2 – Audit Sistem Informasi: Audit Pengendalian Data Sumber.

Tabel DD-(10)5Tabel DD-5 memperlihatkan pengendalian internal yang mencegah, mendeteksi, dan memperbaiki data sumber yang salah atau tidak akurat. Tabel tersebut juga memperlihatkan tinjauan sistem dan prosedur uji pengendalian yang dapat digunakan auditor untuk melakukan evaluasi. Dalam sistem on-line, entri dan fungsi pemrosesan data sumber merupakan satu kesatuan operasi. Oleh sebab itu, pengendalian data sumber seperti otorisasi yang memadai dan edit input data, diintegrasikan dengan pengendalian pemrosesan.

Para auditor menggunakan matriks pengendalian input, seperti yang ditunjukkan dalam Gambar DD~3, untuk mendokumentasikan tinjauan atas pengendalian data sumber. Matriks tersebut memperlihatkan prosedur pengendalian yang diterapkan ke setiap field dalam catatan input. Gambar-10-0003-a

Para auditor harus memastikan bahwa fungsi pengendalian data independen dari fungsi lainnya, memelihara daftar pengendalian data, menangani kesalahan dan memastikan efisiensi umum operasinya. Biasanya tidak layak secara ekonomi bagi perusahaan kecil dan instalasi PC untuk memiliki fungsi pengendalian data yang independen. Untuk mengimbanginya, pengendalian departemen pemakai harus lebih kuat dalam hal persiapan data, pengendalian jumlah total batch, program edit, pembatasan atas akses secara fisik dan logika ke sistem, dan prosedur penanganan.kesalahan. Prosedur-prosedur ini harus menjadi fokus tinjauan sistem dan uji pengendalian auditor, ketika tidak didapati adanya fungsi pengendalian data yang independen.

my-document-a4045a88469cb15e_mainpicWalaupun pengendalian data sumber bisa saja tidak sering berubah, batasan penerannya berubah-ubah. Oleh sebab itu, auditor harus mengujinya secara teratur. Auditor harus menguji sistem dengan cara mengevaluasi beberapa sampel data sumber untuk melihat ada tidaknya otorisasi yang memadai. Sebuah sampel pengendalian batch harus direkonsiliasi. Sebuah sampel kesalahan edit data harus dievaluasi untuk memeriksa bahwa kesalahan tersebut telah diselesaikan dan diserahkan dikembalikan ke dalam sistem.

Apabila data sumber tidak memadai, pengendalian departemen pemakai dan pemrosesan komputer dapat menjadi pengimbang. Apabila tidak, maka auditor harus sangat merekomendasikan •langkah-langkah untuk memperbaiki kelemahan pengendalian data sumber.