Audit Sistem Informasi berbasis Komputer.

Para auditor disewa untuk berbagai jenis tugas dan tanggung jawab. Banyak organisasi yang mempekerjakan auditor internal untuk mengevaluasi jalannya operasi perusahaan.

auditing-in-computer-environmentGeneral Accounting Office dan pemerintah negara bagian juga mempekerjakan auditor untuk mengevaluasi kinerja manajemen dan kesesuaian dengan keinginan legislatif dalam berbagai departemen milik pemerintah. Departemen Pertahanan mempekerjakan auditor untuk melakukan tinjauan atas catatan keuangan perusahaan¬-perusahaan yang memiliki kontrak peralatan pertahanan. Perusahaan-perusahaan terbuka menyewa auditor eksternal untuk memberikan tinjauan independen atas laporan keuangan mereka.

Auditor internal secara langsung bertanggung jawab untuk membantu pihak manajemen meningkatkan efektivitas dan efisiensi organisasional, termasuk membantu mendesain dan mengimplementasikan SIA yang memberikan kontribusi pada tujuan perusahaan. Sebaliknya, auditor eksternal terutama bertanggung jawab pada pihak-pihak yang berkepentingan terhadap perusahaan dan investor, dan hanya secara tidak langsung berkepentingan dalam efektivitas SIA perusahaan. Di luar perbedaan ini, banyak konsep dan teknik audit internal yang dapat diterapkan untuk audit eksternal.

Sifat Audit.

AAA-urlAmerican Accounting Association telah merumuskan definisi umum berikut ini untuk audit. Audit adalah sebuah proses sistematis untuk secara objektif mendapatkan dan mengevaluasi bukti mengenai pernyataan perihal tindakan dan transaksi bernilai ekonomi, untuk memastikan tingkat kesesuaian antara pernyataan tersebut dengan kriteria yang telah ditetapkan, serta mengkomunikasikan hasil-hasilnya pada para pemakai yang berkepentingan.

Audit membutuhkan pendekatan langkah per langkah yang dibentuk dengan perencanaan teliti serta pemilihan dan pelaksanaan teknik yang tepat dengan hati-hati. Dalam membuat rekomendasi, auditor membuat kriteria-kriteria, seperti prinsip-prinsip manajemen dan pengendalian, sebagai dasar evaluasi.

audit-around-the-computerPara auditor biasanya mengaudit di luar komputer (audit around the computer) dan tidak menghiraukan komputer dan program-programnya. Mereka hanya mempelajari catatan dan output dari sistem tersebut, dan berpikir jika output telah dengan benar dihasilkan dari input sistem, maka pemrosesan pastilah andal.

audit-through-comp-urlPendekatan yang lebih baru, yaitu audit melalui komputer (audit through the computer), menggunakan komputer untuk memeriksa kecukupan pengendalian sistem, data dan ouput.

Standar-standar Audit Internal.

ISA2ColorPosBerdasarkan Institute of Internal Auditor (IIA), tujuan dari audit internal adalah untuk mengevaluasi kecukupan dan efektivitas sistem pengendalian internal perusahaan, serta menetapkan keluasan dari pelaksanaan tanggung jawab yang benar-benar dilakukan. Kelima standar lingkup audit IIA memberikan garis besar atas tanggung jawab auditor internal:IAASB-images

  1. Melakukan tinjauan atas keandalan dan integritas informasi operasional dan keuangan, serta bagaimana hal tersebut diidentifikasi, diukur, diklasifikasi dan dilaporkan.
  2. Menetapkan apakah sistem. telah didesain untuk sesuai dengan kebijakan operasional dan pelaporan, perencanaan, prosedur, hukum, dan peraturan yang berlaku.
  3. Melakukan tinjauan mengenai bagaimana aset dijaga, dan memverifikasi keberadaan aset tersebut.
  4. Mempelajari sumber daya perusahaan untuk menetapkan seberapa efektif dan efisien mereka digunakan.
  5. Melakukan tinjauan atas operasional dan program perusahaan, untuk menetapkan apakah mereka telah dilaksanakan sesuai rencana dan apakah mereka dapat memenuhi tujuan-tujuan mereka. .

( Committee on Basic Auditing Concepts. A Statement of Basic Auditing Concepts (Sarasota. FL.: American Accounting Association. 1973). 2.)

Berbagai organisasi sekarang ini, menggunakan SIA terkomputerisasi untuk memproses, menyimpan, clan mengendalikan informasi perusahaan. Untuk mencapai kelima tujuan yang telah disebutkan di atas, seorang auditor internal memiliki kualifikasi untuk memeriksa seluruh elemen SIA yang terkomputerisasi dan menggunakan komputer sebagai alat untuk mencapai tujuan-tujuan audit tersebut. Dengan kata lain, keahlian komputer merupakan hal yang penting untuk melaksanakan audit internal.

Jenis-jenis Kegiatan Audit Internal

financial-audit-urlTerdapat tiga jenis audit yang biasanya dilakukan, yaitu:information-systems-audit

  1. Audit Keuangan memeriksa keandalan dan integritas catatan-catatan akuntansi (baik informasi keuangan dan operasional) dan menghubungkannya dengan standar pertama dari kelima standar lingkup audit internal.
  2. Audit Sistem Informasi melakukan tinjauan atas pengendalian SIA untuk menilai kesesuaiannya dengan kebijakan dan prosedur pengendalian serta efektivitas dalam menjaga aset perusahaan. Lingkupnya secara kasar berhubungan dengan standar kedua dan ketiga dari IIA.
  3. Audit Operasional atau Manajemen berkaitan dengan penggunaan secara ekonomis dan efisien sumber daya, serta pencapaian sasaran dan tujuan yang telah ditetapkan. Lingkupnya berhubungan dengan standar keempat dan kelima.OperationalAuditing

Tinjauan Menyeluruh Proses Audit

Seluruh audit menggunakan urutan kegiatan yang hampir sama, hingga dapat dibagi ke dalam empat langkah:

  • Merencanakan Audit
  • Mengumpulkan bukti,
  • Mengevaluasi bukti, dan
  • Mengkomunikasikan hasil audit.

Gambar-10-0001-aGambar DD-1 menyajikan tinjauan menyeluruh proses audit, dengan menspesifikasikan beberapa prosedur yang biasanya dilakukan untuk setiap tahap tersebut.

Merencanakan Audit.

dtbase-designer-url
Audit Plan
Tujuan dari perencanaan audit adalah untuk menetapkan mengapa, bagaimana, kapan, dan oleh siapa audit akan dilaksanakan. Langkah pertama dalam perencanaan audit adalah menetapkan lingkup dan tujuan audit. Contohnya, lingkup audit sebuah perusahaan terbuka meluas hingga ke para pemegang saham perusahaan dengan tujuan mengevaluasi kejujuran penyajian laporan keuangan. Sebaliknya, audit internal mungkin memeriksa seluruh divisi, departemen tertentu, atau sebuah aplikasi komputer. Audit internal dapat berfokus. pada pengendalian internal, informasi keuangan, kinerja operasional, atau beberapa kombinasi dari ketiga audit tersebut.

audit-team-urlSebuah tim audit yang memiliki pengalaman dan keahlian yang dibutuhkan akan dibentuk. Para anggota tim menjadi lebih dalam mengenali pihak yang diaudit (auditee) melalui diskusi dengan personil tingkat supervisor dan operasional, melakukan tinjauan atas dokumentasi sistem, dan melakukan tinjauan atas penemuan-penemuan dalam audit terdahulu.

Untuk mematangkan tahap perencanaan, sebuah program audit awal dipersiapkan untuk menunjukkan sifat, keluasan, dan waktu prosedur-prosedur yang dibutuhkan untuk mencapai tujuan audit dan untuk meminimalkan risiko-risiko audit. Suatu anggaran waktu dipersiapkan, dan para anggota staf akan ditugaskan untuk melaksanakan langkah-langkah audit tertentu.

Resiko dalam Audit pada Proses Perencanaan Audit.

3-components-of-audit-riskSebuah audit harus direncanakan sedemikian rupa agar sebagian besar kegiatan audit berfokus pada area-area yang memiliki faktor-faktor risiko tertinggi. Ada tiga jenis risiko dalam melakukan audit, yaitu:

  1. Risiko Inheren adalah toleransi atas risiko yang material dengan mempertimbangkan ketidakberadaan pengendalian. Contohnya, sebuah system yang menerapkan pemrosesan on-line, jaringan, software database, telekomunikasi,’ dan bentuk teknologi canggih lainnya, memiliki lebih banyak risiko inheren daripada suatu sistem pemrosesan batch yang tradisional.
  2. Risiko Pengendalian adalah risiko yang timbul dari kesalahan penyajian yang material dan berdampak hingga ke struktur pengendalian internal serta ke laporan keuangan. Sebuah.perusahaan yang memiliki pengendalian internal lemah memiliki lebih banyak risiko pengendalian daripada perusahaan dengan pengendalian internal yang kuat. Risiko pengendalian dapat ditetapkan dengan cara melakukan tinjauan atas lingkungan pengendalian dan mempertimbangkan kelemahan pengendalian yang diidentifikasi dalam audit terdahulu, dan dengan mengevaluasi bagaimana kelemahan-kelemahan tersebut telah diperbaiki.
  3. Risiko Pendeteksian adalah risiko yang timbul akibat tidak dapat terdeteksinya sebuah kesalahan atau kesalahan penyajian oleh auditor dan prosedur audit yang dibuatnya.

Mengumpulkan bukti Audit.

Sebagian besar usaha audit dihabiskan untuk mengumpulkan bukti. Berikut ini adalah metode-metode yang paling umum digunakan untuk mengumpulkan bukti audit:what-do-you-collect-web-very-small-copy

  • Pengamatan atas berbagai kegiatan yang diaudit (contohnya, memperhatikan bagaimana cara para pegawai memasuki lokasi komputer atau bagaimana personil pengendalian data menangani kegiatan pemrosesan data begitu data diterima),
  • Melakukan tinjauan atas dokumentasi untuk memahami bagaimana suatu SIA atau sistem pengendalian internal berfungsi.
  • Diskusi dengan para pegawai mengenai pekerjaan mereka dan bagaimana mereka melaksanakan beberapa prosedur tertentu.
  • Kuesioner yang dapat mengumpulkan data mengenai sistem terkait.
  • Pemeriksaan fisik jumlah dan/atau kondisi aset berwujud seperti perlengkapan, persediaan, atau kas.
  • Melakukan konfirmasi atas ketepatan informasi tertentu, seperti saldo rekening pelanggan, melalui komunikasi dengan pihak ketiga yang independen.
  • Melakukan ulang prosedur pilihan perhitungan tertentu untuk memverifikasi informasi kuantitatif dari beberapa catatan dan laporan (contohnya, auditor dapat menghitung kembali suatu total batch atau menghitung kembai beban depresiasi tahunan}.
  • Pembuktian untuk mendapatkan validitas sebuah transaksi dengan cara memeriksa seluruh dokumen pendukungnya, seperti pesanan pembelian, laporan penerimaan, dan faktur penjualan dari pemasok yang mendukung transaksi utang usaha.
  • Tinjauan analitis atas hubungan dan tren antar informasi untuk mendeteksi hal-hal yang harus diselidiki lebih lanjut (contohnya, seorang auditor untuk jaringan toko baju menemukan bahwa di salah satu toko, rasio piutang usaha terhadap penjualan sangat tinggi. Sebuah penyelidikan mengungkap bahwa manajer toko tersebut telah mengalihkan uang dari hasil penagihan, untuk dipakai secara pribadi).

not-worth-itOleh karena banyak pengujian dan prosedur audit yang tidak layak untuk dilaksanakan . di seluruh rangkaian kegiatan, catatan, aset, atau dokumen yang ditinjau, pengujian dan prosedur tersebut sering kali dilaksanakan dengan mengambil sampel. Sebuah audit biasa umumnya akan menggunakan campuran berbagai prosedur.

Contohnya, suatu audit yang didesain untuk mengevaluasi pengendalian internal SIA akan menggunakan lebih banyak kegiatan pengamatan, tinjauan atas dokumentasi, diskusi dengan para pegawai, dan pelaksanaan ulang prosedur pengendalian.

Suatu audit informasi keuangan akan berfokus pada pemeriksaan fisik, konfirmasi, pembuktian, tinjauan analitis, dan pelaksanaan ulang proses perhitungan saldo rekening.

Materialitas dan Kepastian dalam mengumpulkan bukti Audit.

Materialitas dan kepastian. yang wajar merupakan hal yang penting ketika ingin memutuskan seberapa jauh kegiatan audit dibutuhkan dan kapan saat untuk mengevaluasi bukti. Oleh karena kesalahan selalu ada pada sistem manapun, para auditor berfokus untuk mendeteksi dan melaporkan kesalahan-kesalahan yang memiliki dampak signifikan pada interpretasl pihak manajemen atas penemuan-penemuan audit.

materiality-urlMenetapkan materialitas, yaitu mengenai apa yang penting dan tidak penting berdasarkan suatu situasi, sebagian besar merupakan masalah penilaian. Materialitas secara umum lebih penting untuk audit eksternal, yang penekanan umumnya adalah kejujuran penyajian laporan keuangan, bukan untuk audit internal, yang berfokus untuk menetapkan tingkat kesesuaian dengan kebijakan manajemen.

Auditor mencari keyakinan yang wajar bahwa tidak ada kesalahan yang material dalam informasi atau proses yang diaudit. Oleh karena sangat mahal untuk mencari kepastian yang lengkap, audit harus bersedia menerima sejumlah risiko bahwa kesimpulan audit tidak benar. Merupakan hal yang penting untuk disadari bahwa ketika risiko inheren atau pengendalian tinggi, auditor harus mendapatkan keyakinan yang lebih besar untuk mengimbangi ketidakpastian dan risiko yang lebih besar.

Laporan Temuan Bukti.

Dalam seluruh tahapan audit, penemuan dan kesimpulan dengan hati-hati didokumentasikan dalam lembar kerja audit. Dokumentasi sangatlah penting pada tahap evaluasi untuk mencapai dan mendukung, kesimpulan akhir.

report-finding-urlAuditor mempersiapkan laporan tertulis (dan kadang-kadang lisan) yang meringkas penemuan-penemuan dan berbagai rekomendasi audit, dengan referensi bukti pendukung dalam lembar kerja. Laporan ini disajikan kepada pihak manajemen, komite audit, dewan komisaris, dan pihak-pihak lain yang terkait. Setelah hasil audit dikomunikasikan, para auditor sering kali melaksanakan penelitian lanjut untuk memastikan bahwa rekomendasi mereka telah diimplementasikan.

Pendekatan Audit Berdasarkan Risiko(The Risk Based Audit Approach).

risk-base-audit-urlPendekatan empat tahap berikut ini untuk evaluasi pengendalian internal; disebut pula sebagai pendekatan audit berdasarkan risiko, dan memberikan kerangka logika untuk melaksanakan audit:

  • Tentukan ancaman-ancaman (kesalahan dan ketidakberaturan) yang dihadapi SIA.
  • Identifikasi prosedur pengendalian yang diimplementasikan untuk meminimalkan setiap ancaman dengan mencegah afau mendeteksi kesalahan dan ketidak¬beraturan.
  • Evaluasi prosedur pengendalian. Meninjau dokumentasi sistem dan wawancara dengan personil yang tepat untuk menetapkan apakah prosedur yang dibutuhkan ada atau tidak, disebut pula sebagai tinjauan sistem. Kemudian, uji pengendalian dilaksanakan untuk menetapkan apakah prosedur-prosedur tersebut telah diikuti dengan baik. Uji ini terdiri dari berbagai kegiatan seperti mengamati operasional sistem; memeriksa dokumen, catatan, dan laporan; memeriksa beberapa sampel input dan output sistem; serta menelusuri transaksi di sepanjang sistem.
  • Evaluasi kelemahan (kesalahan dan ketidak-beraturan yang tidak terungkap oleh prosedur pengendalian) untuk menetapkan pengaruhnya atas sifat, atau keluasan prosedur audit dan saran pada klien. Langkah ini berfokus pada risiko pengendalian dan apakah sistem pengendalian secara keseluruhan menangani hal-hal tersebut atau tidak. Apabila kekurangan pengendalian teridentifikasi, auditor menanyakan tentang pengendalian pengimbang (compensating control), atau prosedur-prosedur yang mengimbangi kekurangan tersebut. Kelemahan pengendalian di sebuah area mungkin dapat diterima apabila kelemahan tersebut diimbangi dengan kelebihan pengendalian di area lainnya.

identify-urlPendekatan berdasarkan risiko untuk audit memberikan para auditor pemahaman yang jelas atas kesalahan dan ketidak-beraturan yang dapat terjadi dan risiko serta pajanan(exposure) yang terkait. Pemahaman atas hal ini memberikan dasar yang kuat untuk mengembangkan rekomendasi pada pihak manajemen mengenai bagaimana sistem pengendalian SIA seharusnya ditingkatkan.

Audit Sistem Informasi dan Tujuannya.

Assurance chart_B_1Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem tersebut. Ketika melaksanakan audit sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini dipenuhi:

  1. Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi, atau penghancuran.
  2. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen.
  3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen.
  4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan lengkap.
  5. Data sumber yang tidak akurat. atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan.
  6. File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.

Gambar-10-0002Gambar DD-2 melukiskan hubungan di antara keenam tujuan ini dengan komponen¬komponen sistem informasi. Setiap tujuan tersebut didiskusikan secara lebih terinci dalam bagian berikut.

Setiap deskripsi terdiri dari rencana untuk mencapai setiap tujuan di atas, dan juga teknik serta prosedur yang diperlukan untuk melaksanakan rencana audit tersebut.

Tujuan 1.2-Audit Sistem Informasi: Keamanan Keseluruhan.

Tabel DD-(10)1-1Tabel DD-1 berisi kerangka untuk audit keamanan komputer. tabel tersebut menunjukkan hal-hal berikut ini:computer_security

  • Jenis kesalahan dan penipuan keamanan yang dihadapi oleh perusahaan. Hal ini mencakup kerusakan yang disengaja dan tidak disengaja atas aset sistem; akses tidak sah, pengungkapan atau modifikasi data dan program; pencurian; serta interupsi atas kegiatan bisnis yang penting.
  • Prosedur pengendalian untuk meminimalkan kesalahan dan penipuan keamanan. Hal ini mencakup mengembangkan rencana keamanan/perlindungan informasi dari virus, mengimplementasikan firewall, mengadakan pengendqlian atas pengiriman data, dan mencegah serta memulihkan diri dari kegagalan sistem atau bencana’ lainnya.
  • Prosedur audit tinjauan sistem. Hal ini mencakup memeriksa lokasi komputer; melakukan wawancara dengan para personilnya; meninjau kebijakan dan prosedur; serta memeriksa daftar akses, kebijakan asuransi, dan rencana pemulihan dari bencana.
  • Prosedur audit pengujian pengendalian. Para auditor menguji pengendalian keamanan dengan cara mengamati prosedur, memverifikasi bahwa terdapat pengendalian dan pengendalian tersebut berfungsi seperti dengan yang diharapkan, menginvestigasi berbagai kesalahan atau masalah untuk memastikan mereka ditangani dengan benar, serta memeriksa berbagai uji yang sebelumnya telah dilaksanakan. Contohnya, salah satu cara untuk menguji pengendalian akses logika adalah dengan mencoba melanggar masuk ke sistem. Selama audit keamanan sebuah badan pemerintah Amerika Serikat, para auditor menggunakan terminal¬ terminal badan tersebut untuk mendapatkan akses secara tidak sah ke sistem komputer mereka, mematikan prosedur pemeriksaan keamanannya, dan mengendalikan sistem tersebut dari terminal yang mereka pakai. Kegagalan keamanan dapat terjadi karena kurangnya p~ngendalian administratif dan software keamanan yang tidak memadai.
  • Pengendalian pengimbang. Apabila pengendalian keamanan sangatlah tidak cukup, maka organisasi menghadapi risiko yang besar. Kebijakan personil yang baik dan pemisahan tugas secara efektif atas pekerjaan yang tidak boleh disatukan, dalam beberapa hal dapat mengimbangi keamanan komputer yang kurang tersebut. Oleh karena hampir tidak mungkin pengendalian-pengendalian ini dapat mengimbangi secara keseluruhan keamanan komputer yang kurang baik, para auditor harus sangat merekomendasikan agar kelemahan keamanan tersebut diperbaiki.

Tujuan 2.2 – Audit Sistem Informasi: Pengembangan dan Perolehan Program.

Tabel DD-(10)2Tabel DD-2 memberikan kerangka untuk meninjau dan mengevaluasi proses pengembangan program. Dua hal yang dapat salah dalam pengembangan program:

  1. Kesalahan yang tidak disengaja karena adanya kesalahpahaman atas spesifikasi sistem atau kecerobohan pemrograman, dan
  2. Perintah tidak sah yang dengan sengaja dimasukkan ke dalam program. Masalah-masalah ini dapat dikendalikan dengan cara meminta otorisasi serta persetujuan dari pihak manajemen dan pemakai, pengujian keseluruhan, dan dokumentasi yang memadai.

independentPeran auditor dalam pengembangan sistem harus dibatasi sampai pada peninjauan independen atas kegiatan pengembangan sistem; Untuk mempertahankan objektivitas yang dibutuhkan dalam melaksanakan evaluasi independen atas fungsi, para auditor harus tidak dilibatkan dalam pengembangan sistem.

proc-2-urlSelama peninjauan sistem, para auditor harus mendapat pemahaman mengenai prosedur pengembangan dengan mendiskusikannya bersama pihak manajemen, pemakai sistem, dan para personil sistem informasi. Mereka juga harus meninjau kebijakan, prosedur, standar, dan dokumentasi yang tercantum pada Tabel DD-2.

Untuk menguji pengendalian pengembangan sistem, para auditor harus mewawancarai para manajer dan pemakai sistem, memeriksa persetujuan pengembangan, dan meninjau notulen rapat tim pengembangan sistem. Para auditor harus meninjau secara keseluruhan semua dokumentasi yang berhubungan dengan proses pengujian dan memastikan bahwa seluruh perubahan program telah diuji.

Auditor harus memeriksa spesifikasi uji, meninjau data uji, dan mengeyaluasi hasil pengujian. Apabila hasil pengujian tidak sesuai dengan harapan, maka auditor harus memastikan bagaimana masalah tersebut diatasi.

procedure_iconPengendalian pemrosesan yang kokoh (lihat tujuan 4) kadangkala dapat mengimbangi pengendalian pengembangan yang kurang baik.
Apabila para auditor bergantung pada pengendalian pengimbang untuk pemrosesan, mereka harus mendapatkan bukti yang mendukung ketaatan terhadap sistem, dengan menggunakan berbagai teknik, seperti pengujian data pemrosesan independen.
Apabila bukti sejenis ini tidak bisa didapatkan, mereka dapat menyimpulkan bahwa terdapat kelemahan yang material dalam pengendalian internal, dan bahwa risiko kesalahan atau penipuan dalam program aplikasi terlalu tinggi hingga tidak dapat diterima.

Tujuan 3.2 – Audit Sistem Informasi: Audit Modifikasi Program.

Tabel DD-(10)3Tabel DD-3 menyajikan kerangka untuk melakukan audit program aplikasi dan perubahan software sistem. Kesalahan dan penipuan yang terjadi dalam pengembangan program dapat juga terjadi selama modifikasi program. Contohnya, salah seorang programer ditugaskan untuk memodifikasi sistem penggajian perusahaannya, menyisipkan sebuah perintah untuk menghapus seluruh file komputer apabila perintah pemberhentian dimasukkan ke dalam catatan penggajian dirinya. Ketika programer tersebut dipecat, perintah pemberhentian yang dimasukkan ke dalam catatannya telah menyebabkan sistem tersebut bertabrakan dan menghapus file-file utama.

change-urlKetika sebuah perubahan program diserahkan untuk persetujuan, sebuah daftar hal-hal yang akan diperbarui harus disusun dan kemudian disetujui oleh pihak manajemen dan pemakai program. Semua perubahan program harus diuji secara keseluruhan dan didokumentasikan. Selama proses perubahan, versi pengembangan program harus tetap dipisahkan dari versi produksi program. Setelah program yang dirubah telah mendapatkan persetujuan akhir, perubahan tersebut diimplementasikan dengan cara mengganti versi produksi dengan versi pengembangan.

Selama tinjauan sistem, auditor harus mendapatkan pemahaman atas proses perubahan melalui diskusi dengan manajemen dan personil yang menggunakan program tersebut. Kebijakan, ‘prosedur dan standar untuk memberikan persetujuan, modifikasi, pengujian, dan dokumentasi perubahan harus diperiksa. Bahan dokumentasi akhir yang lengkap untuk perubahan program yang terbaru, termasuk prosedur dan hasil uji, harus ditinjau. Terakhir, auditor harus meninjau prosedur yang digunakan untuk membatasi akses logika ke versi pengembangan program tersebut.

test-urlBagian yang penting dari uji pengendalian yang dilaksanakan.seorang auditor adalah . memverifikasi bahwa perubahan program telah diidentifikasi, didaftar, disetujui, diuji, dan didokumentasikan. Langkah ini mensyaratkan auditor untuk mengamati bagaimana perubahan diimplementasikan untuk memverifikasi bahwa program pengembangan dan produksi yang terpisah tetap dilaksanakan, dan bahwa perubahan tersebut diimplementasikan oleh seseorang yang independen dari pemakai dan fungsi pemrograman. Auditor harus meninjau tabel pengendalian akses program pengembangan untuk memverifikasi bahwa hanya pemakai yang ditugaskan untuk melaksanakan modifikasi, yang memiliki akses ke sistem.

Untuk menguji keberadaan perubahan program secara tidak sah, para auditor dapat menggunakan program perbandingan kode. Setelah auditor menguji sebuah program yang baru dikembangkan secara menyeluruh (tujuan 2), mereka menyimpan sebuah salinan dari kode sumbernya. Di kemudian hari, auditor dapat menggunakan program perbandingan untuk membandingkan versi terakhir program dengan kode sumber aslinya. Apabila tidak ada perubahan yang diotorisasi, kedua versi ini seharusnya identik. Oleh sebab itu, perbedaan yang tidak sah akan berlanjut ke penyelidikan. Apabila perbedaan tersebut menyajikan perubahan yang diotorisasi, auditor dapat merujuk pada spesifikasi perubahan program untuk memastikan bahwa perubahan tersebut diotorisasi dan dengan tepat digabungkan.

Tujuan 3.3 – Audit Sistem Informasi: Audit Modifikasi Program.

compare-1-urlTerdapat dua teknik tambahan untuk mendeteksi perubahan yang tidak sah. Teknik pemrosesan ulang juga menggunakan salinan kode sumber yang telah diverifikasi. Tanpa pemberitahuan sebelumnya, auditor menggunakan program ini untuk memproses ulang data dan membandingkan outputnya dengan data perusahaan. Penyimpangan dari kedua pasang output tersebut akan diselidiki untuk memastikan penyebabnya.compare_iconSimulasi paralel hampir sama dengan teknik pemrosesan ulang, kecuali bahwa auditorlah yang menulis program, bukan menggunakan salinan kode sumber yang telah diverifikasi dan disimpan. Hasil dari simulasi auditor akan dibandingkan dengan hasil milik perusahaan, dan perbedaan apapun akan diselidiki. Simulasi paralel dapat digunakan untuk menguji sebuah program selama proses implementasi.compare-2-url

Tujuan 3.4 – Audit Sistem Informasi: Audit Modifikasi Program.

Para auditor harus mengamati pengujian dan implementasi, meninjau otorisasi dan dokumen yang terkait, dan jika perlu, melaksanakan pengujian independen untuk setiap perubahan program yang besar.
Apabila langkah ini dilewati dan pengendalian program kemudian ditemukan tidak memadai, maka tidak mungkin mengandalkan output program.

independent_testing_bannerSebagai tambahan, para auditor harus selalu menguji program tanpa pemberitahuan sebelumnya, sebagai tindakan pencegahan atas perubahan program secara tidak sah, yang disusupkan setelah pemeriksaan selesai dan kemudian disingkirkan tepat sebelum jadwal audit berikutnya.

Apabila pengendalian internal atas perubahan program kurang baik, maka pengendalian pengimbang seperti perbandingan kode sumber, keberadaan pengendalian pemrosesan yang baik, pengujian secara independen oleh auditor, dalam beberapa hal dapat mengimbangi kelemahan tersebut.

Akan tetapi, jika kelemahan tersebut disebabkan karena pembatasan atas akses file program yang tidak memadai, auditor harus sangat merekomendasikan tindakan untuk memperkuat pengendalian akses logika di organisasi tersebut.

Tujuan 4.2 – Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer

Tabel DD-(10)4Tabel DD-4 memberikan kerangka untuk melakukan audit pengendalian pemrosesan komputer. Fokus tujuan keempat adalah pemrosesan transaksi, file, dan catatan komputer untuk memperbarui file serta database, dan yang digunakan untuk menghasilkan laporan.

Dalam pemrosesan komputer, sistem dapat saja gagal mendeteksi input yang salah, memperbaiki kesalahan input secara tidak tepat, memroses input yang salah, atau menyebarkan atau mengungkap output secara tidak benar. Tabel DD-4 memperlihatkan prosedur pengendalian untuk mendeteksi dan mencegah kesalahan-kesalahan ini, meninjau sistem dan uji prosedur pengendalian yang dapat diterapkan auditor. Tujuan dari prosedur audit ini adalah untuk mendapatkan pemahaman atas pengendalian, mengevaluasi kecukupannya, dan mengamati jalannya sebagai bukti bahwa pengendalian memang digunakan.

comp-proc-controls-urlPara auditor harus secara periodik mengevaluasi kembali pengendalian pemrosesan untuk memastikan kelangsungan keandalannya. Apabila pengendalian pemrosesan tidak memuaskan, pengendalian pemakai dan data sumber mungkin cukup kuat untuk mengimbangi kelemahan tersebut. Apabila tidak, maka terdapat kelemahan yang material sehingga tindakan harus diambil untuk menghilangkan kelemahan pengendalian tersebut.

Beberapa teknik khusus memungkinkan auditor untuk menggunakan komputer dalam menguji pengendalian pemrosesan. Teknik-teknik tersebut mencakup pemrosesan data uji, menggunakan teknik audit bersamaan, dan menganalisis logika program. Setiap teknik tersebut memiliki kelebihan dan kelemahan masing-masing, yang berarti bahwa mereka mungkin lebih tepat di suatu situasi tetapi kurang tepat di situasi lainnya. Tidak ada satupun teknik yang cocok untuk semua keadaan. Para auditor seharusnya tidak mengungkapkan teknik apa yang mereka gunakan, karena hal ini dapat mengurangi efektivitas pengujian audit.

Tujuan 4.3- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, Memproses Data Uji.

Memproses Data Uji.
Salah satu cara untuk menguji program adalah dengan memproses serangkaian perkiraan (hypothetical) transaksi valid dan tidak valid. Program tersebut harus memproses seluruh transaksi yang valid dengan benar dan mengidentifikasi serta menolak transaksi yang tidak valid. Seluruh jalur logika harus diperiksa apakah berfungsi dengan baik atau tidak, melalui satu atau lebih uji transaksi.Hypothetical-instance

Contoh-contoh data yang valid adalah catatan dengan data yang hilang, field yang berisi jumlah yang tidak wajar banyaknya, nomor rekening atau kode pemrosesan yang salah, data non-numeris dalam field numerik, serta catatan yang tidak berurutan.

Sumber-sumber berikut ini dapat membantu untuk mempersiapkan data uji:

  • Daftar transaksi yang sebenarnya
  • Transaksi uji yang digunakan programer untuk menguji program tersebut
  • Program pembuat data .uji (test data generator program), yang secara otomatis mempersipakan data uji berdasarkan spesifikasi program

batch-proc-urlDi dalam sistem pemrosesan secara batch, program perusahaan dan salinan dari file yang terkait digunakan untuk memproses data uji. Hasilnya akan dibandingkan dengan output yang telah diperkirakan sebelumnya; penyimpangan menunjukkan kesalahan pemrosesan atau kurangnya pengendalian dan harus diselidiki secara keseluruhan.

online-proc-urlDi dalam sistem on-line, para auditor memasukkan data uji dengan menggunakan alat untuk memasukkan data, seperti PC atau terminal, dan mengamati serta mendaftar respons sistem. Apabila sistem menerima transaksi yang salah atau tidak valid, auditor akan menelusuri kembali pengaruh transaksi tersebut, menyelidiki masalahnya, dan memperbaiki kelemahannya.

Tujuan 4.4- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, Kelemahan Uji Transaksi.

Kelemahan Uji Transaksi.

weaknesses-word-63991945Walaupun pemrosesan transaksi uji biasanya efektif, teknik tersebut memiliki beberapa kelemahan:

  1. Auditor harus menghabiskan banyak waktu untuk mengembangkan pemahaman atas sistem yang diperiksanya dan mempersiapkan serangkaian transaksi uji yang memadai.
  2. Perhatian harus diberikan untuk memastikan bahwa data uji tidak mempengaruhi file dan database perusahaan. Auditor dapat menelusuri kembali (reserve) pengaruh transaksi uji atau memproses transaksi tersebut dalam proses terpisah dertgan menggunakan salinan file atau database terkait. Akan tetapi, pemrosesan terpisah akan menghilangkan beberapa keotentikan yang didapat dari proses data uji, dengan transaksi rutin. Selain itu, prosedur penelusuran kembali (reversal procedures) juga dapat mengungkapkan keberadaan dan sifat dari uji yang dilaksanakan auditor pada personil utama, sehingga menjadi kurang efektif dibanding uji yang tersembunyi.

Tujuan 4.5- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, Teknik Audit Bersamaan

Teknik Audit Bersamaan.
concurrent-audit-techJutaan dolar transaksi dapat diproses oleh sistem on-line tanpa meninggalkan jejak audit yang memuaskan. Dalam kasus semacam ini, bukti dikumpulkan setelah pemrosesan data dianggap tidak cukup untuk tujuan audit. Sebagai tambahan, oleh karena banyak sistem on-line memproses transaksi seeara terus-menerus, merupakan hal yang sulit atau tidak mungkin untuk menghentikan sistem tersebut dan melaksanakan pengujian audit. Jadi, auditor menggunakan teknik audit bersamaan untuk secara terus-menerus mengawasi sistem dan mengumpulkan bukti audit sementara data langsung diproses selama jam kerja normal.

Teknik audit bersamaan menggunakan modul audit melekat (embedded audit module), yaitu bagian-bagian dari kode program yang melaksanakan fungi audit. Mereka juga melaporkan hasil pengujian ke auditor dan menyimpan bukti yang dikumpulkan untuk ditinjau oieh auditor. Teknik audit bersamaan sangat memakan waktu dan sulit digunakan, tetapi tidak akan terlalu sulit dilaksanakan apabila digabungkan ketika program sedang dikembangkan.

Terdapat 5(lima) Teknik Audit Bersamaan, yaitu:

  • Integrated test facility (ITF)
  • Snapshot
  • System control audit review file (SCARF)
  • Audit hooks
  • Continuous and internittent simulation (CIS)

Tujuan 4.6- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, Integrated test facility (ITF)

ITF-urlIntegrated test facility (ITF) adalah teknik yang menempatkan serangkaian kecil catatan fiktif di file utama. Catatan tersebut dapat saja mewakili bagian, departemen, atau kantor cabang, pelanggan, atau pemasok fiktif..Pemrosesan transaksi uji yang memperbarui catatan fiktif ini tidak akan mempengaruhi catatan asli.

fictitious-urlOleh karena catatan fiktif dan yang sesungguhnya diproses bersama-sama, para pegawai perusahaan biasanya tetap tidak menyadari bahwa pengujian tersebut berjalan. Sistem tersebut harus membedakan catatan ITF dari catatan yang sesungguhnya, mengumpulkan informasi atas dampak transaksi uji, serta melaporkan hasilnya.

Auditor akan membandingkan pemrosesan dengan hasil yang diharapkan, untuk memverifikasi bahwa sistem tersebut beserta pengendaliannya beroperasi dengan benar.

Dalam pemrosesan seeara batch, teknik ITF meniadakan kebutuhan untuk melakukan penelusuran transaksi uji dan dengan mudah disembunyikan dari para pegawai yang mengoperasikan sistem tersebut.

ITF sangat sesuai untuk menguji sistem pemrosesan on¬line, karena transaksi uji dapat dilakukan sesering mungkin, diproses bersama dengan transaksi yang sesungguhnya, dan ditelusuri melalui seluruh tahap pemrosesan.

Semua ini dapat dicapai tanpa mengganggu operasional pemrosesan yang normal; akan tetapi, perhatian harus diberikan untuk tidak menggabungkan catatan fiktif dengan yang sesungguhnya selama proses pelaporan.

Tujuan 4.7- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, SNAPSHOT.

Teknik snapshot memeriksa cara transaksi diproses. Transaksi yang dipilih ditandai dengan kode khusus yang akan memicu proses snapshot.

snapshot-urlModul-modul audit dalam program terkait mencatat transaksi-transaksi ini beserta dengan catatan file utamanya, sebelum dan sesudah pemrosesan.

Data snapshot dicatat dalam file khusus dan ditinjau oleh auditor untuk manverifikasi bahwa selurh langkah pemrosesan telah dengan benar dilaksanakan.

Tujuan 4.8- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, System control audit review file (SCARF)

scarf-1-urlSystem control audit review file (SCARF) menggunakan modul audit melekat untuk secara terus menerus mengawasi kegiatan transaksi dan mengumpulkan data atas transaksi yang menjadi tujuan audit. Data tersebut dicatat dalam file SCARF atau daftar audit (audit log).

scarf-logoTransaksi-transaksi yang dicatat dalam file daftar audit adalah yang melebihi batas nilai uang yang telah ditentukan, atau yang berisi penurunan nirai aset. Secara periodik, auditor akan menerima cetakan file SCARF, memeriksa informasi tersebut untuk mengidentifikasi transaksi yang meragukan, dan melaksanakan penyelidikan yang dibutuhkan.

Tujuan 4.9- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, Audit Hooks.

console-hooksAudit hooks adalah kegiatan audit yang memberikan tanda atas transaksi yang mencurigakan. Contohnya, para auditor internal di State Farm Life Insurance menyatakan bahwa sistem pemegang asuransi mereka sangat rentan terhadap penipuan setiap.kali seorang pemegang asuransi mengganti nama atau alamatnya, dan kemudian menarik dana dari asuransi tersebut. Pegawai asuransi membuat sebuah sistem audit hooks untuk mengikuti catatan yang memiliki perubahan nama atau alamat.

Departemen audit internal perusahaan tersebut kini akan diperingatkan apabila catatan yang diikuti tersebut berhubungan dengan penarikan dan dapat menyelidiki apakah transaksi tersebut merupakan penipuan. Ketika audit hooks digunakan, auditor dapat diinformasikan mengenai transaksi yang mencurigakan begitu transaksi tersebut terjadi.

audit-hooks-rchitecturePendekatan ini, disebut sebagai peringatan real-time (real-time notification), yang menunjukkan sebuah pesan di terminal auditor. Informasi tambahan mengenai penggunaan audit hooks di State Farm, termasuk bagaimana sebuah penipuan besar dideteksi, dijelaskan dalam Fokus DD-1.

Tujuan 4.10- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, Continuous and intermittent simulation (CIS)

cis_logo1Continuous and intermittent simulation (CIS) melekatkan modul audit dalam sistem manajemen database. Modul CIS memeriksa seluruh transaksi yang memperbarui DBMS dengan menggunakan kriteria yang hampir sarna dengan SCARF.

intermitten-simulation-mage-0000872Apabila sebuah transaksi memiliki nilai untuk diaudit, modul tersebut akan secara independen memproses data (dalam cara yang hampir sarna dengan simulasi paralel), mencatat hasil-hasilnya, dan membandingkan hasilnya dengan yang didapat dari DBMS.

Apabila terjadi penyimpangan, rincian penyimpangan tersebut akan ditulis dalam daftar audit untuk penyelidikan selanjutnya. Apabila ditemukan penyimpangan yang serius, CIS akan mencegah DBMS melaksanakan proses pembaruan data.

Analisis Logika Program.

Apabila seorang auditor mencurigai bahwa sebuah program aplikasi berisi kode yang tidak sah atau kesalahan serius, maka analisis yang rinci atas logika program mungkin diperlukan. Proses ini sangat memakan waktu dan membutuhkan keahlian dalam hal bahasa pemrograman, sehingga langkah ini harus digunakan sebagai pilihan terakhir.

logical-error-urlUntuk melaksanakan analisis tersebut, auditor merujuk pada bagan alir sistem dan program, dokumentasi program, dan daftar kode sumber program. Software berikut dapat dipakai untuk membantu analisis ini:

  • Automated flowcharting program, yang menerjemahkan kode sumber program dan membuat bagan alir program berdasarkan kode tersebut.
  • Automated decision table program, yang rnembuat sebuah tabel keputusan yang mewakili logika program.
  • Scanning routine, yang memeriksa suatu program atas terjadinya nama variabel tertentu atau kombinasi karakter lainnya.
  • Mapping program, yang mengidentifikasi kode program yang belum berfungsi. Software ini mengungkapkan kode program yang dimasukkan oleh programer yang tidak bertanggung jawab untuk menghapus seluruh file komputer ketika dirinya diberhentikan, seperti yang dieontohkan pada.bagian sebelumnya.
  • Program tracing, yang secara berurutan meneetak seluruh langkah program aplikasi (berdasar nomor baris atau nama paragraf) yang dijalankan selama operasional program. Daftar ini bercampur dengan output yang normal sehingga auditor dapat mengamati urutan yang tepat atas suatu kegiatan yang tampak selama pengoperasian program. Penelusuran program membantu auditor untuk mendeteksi perintah program tidak sah, alur logika yang salah, dan kode program yang belum berfungsi.

Menggunakan Audit Hooks di State Farm Life.

(Fokus DD-1) Menggunakan Audit Hooks di State Farm Life.
console-hooksSistem komputer di State Farm Life Insurance Company memiliki sebuah komputer induk di Bloomington, Illinois, dan 26 komputer yang lebih kecil di kantor wilayahnya. Di berbagai kantor wilayahnya, lebih dari 1.500 terminal dan PC dipakai untuk I memperbarui hampir 4 juta catatan pemegang asuransi di komputer induk. Sistem tersebut memproses lebih ,dari 30 juta transaksi per tahun. Sistem tersebut menelusuri dana pemegang asuransi yang bernilai lebih dari $6,7 miliar.

Sistem on-line real-time ini memperbarui file dan database begitu transaksi terjadi, jejak audit berupa kertas berkurang, .dan dokumen pendukung untuk perubahan atas catatan pemegang asuransi telah ditiadakan atau hanya dipertahankan sementara sebelum diproses.

Siapa pun yang memiliki akses dan pengetahuan aplikatif atas sistem tersebut, dapat berpotensi melakukan penipuan. Pegawai internal audit memiliki tantangan untuk mengidentifikasi transaksi asuransi jiwa yang memungkinkan terjadinya penipuan: Untuk melakukan tugas ini, para auditor internal membahas berbagai cara untuk menipu sistem tersebut dan mewawancarai berbagai pemakai sistem yang dapat memberikan pandangan yang sangat berharga.

Para auditor kini memiliki 33 audit hooks melekat yang mengawasi 92 jenis transaksi. Salah satu audit hooks mengawasi transaksi tidak normal dalam rekening transfer, yang akan melakukan kliring atas dana yang sementara ditahan untuk dikreditkan ke beberapa rekening.

audit-hooks-rchitectureAudit hooks tersebut berfungsi dengan sangat baik. Salah seorang pegawai mendapatkan uang dengan memproses sebuah pinjaman atas polis asuransi saudara laki-lakinya secara tidak sah. Dia kemudian memalsukan tanda tangan saudara laki-lakinya dan menguangkan cek tersebut. Untuk menutupi penipuan tersebut, dia harus membayar kembali pinjaman tersebut sebelum laporan status tahunan dikirim ke saudara laki-lakinya. Untuk melakukan hal tersebut, dia menggunakan serangkaian transaksi fiktif yang melibatkan sebuah rekening transfer. Penipuan tersebut terungkap segera ketika audit hooks rekening transfer tersebut mengenali transaksi fiktif pertama dan memperingatkan auditor.

Dalam waktu sebulan setelah peringatan tersebut, kasus tersebut diselidiki dan pegawai tersebut diberhentikan.

Sumber: Linda Marie Leinicke, W. Max Rexroad, dan JO’hn D. Ward, “Computer Fraud Auditing: It Works,” Internal Auditor (Agustus 1990),

Tujuan 5.2 – Audit Sistem Informasi: Audit Pengendalian Data Sumber.

Tabel DD-(10)5Tabel DD-5 memperlihatkan pengendalian internal yang mencegah, mendeteksi, dan memperbaiki data sumber yang salah atau tidak akurat. Tabel tersebut juga memperlihatkan tinjauan sistem dan prosedur uji pengendalian yang dapat digunakan auditor untuk melakukan evaluasi. Dalam sistem on-line, entri dan fungsi pemrosesan data sumber merupakan satu kesatuan operasi. Oleh sebab itu, pengendalian data sumber seperti otorisasi yang memadai dan edit input data, diintegrasikan dengan pengendalian pemrosesan.

Para auditor menggunakan matriks pengendalian input, seperti yang ditunjukkan dalam Gambar DD~3, untuk mendokumentasikan tinjauan atas pengendalian data sumber. Matriks tersebut memperlihatkan prosedur pengendalian yang diterapkan ke setiap field dalam catatan input. Gambar-10-0003-a

Para auditor harus memastikan bahwa fungsi pengendalian data independen dari fungsi lainnya, memelihara daftar pengendalian data, menangani kesalahan dan memastikan efisiensi umum operasinya. Biasanya tidak layak secara ekonomi bagi perusahaan kecil dan instalasi PC untuk memiliki fungsi pengendalian data yang independen. Untuk mengimbanginya, pengendalian departemen pemakai harus lebih kuat dalam hal persiapan data, pengendalian jumlah total batch, program edit, pembatasan atas akses secara fisik dan logika ke sistem, dan prosedur penanganan.kesalahan. Prosedur-prosedur ini harus menjadi fokus tinjauan sistem dan uji pengendalian auditor, ketika tidak didapati adanya fungsi pengendalian data yang independen.

my-document-a4045a88469cb15e_mainpicWalaupun pengendalian data sumber bisa saja tidak sering berubah, batasan penerannya berubah-ubah. Oleh sebab itu, auditor harus mengujinya secara teratur. Auditor harus menguji sistem dengan cara mengevaluasi beberapa sampel data sumber untuk melihat ada tidaknya otorisasi yang memadai. Sebuah sampel pengendalian batch harus direkonsiliasi. Sebuah sampel kesalahan edit data harus dievaluasi untuk memeriksa bahwa kesalahan tersebut telah diselesaikan dan diserahkan dikembalikan ke dalam sistem.

Apabila data sumber tidak memadai, pengendalian departemen pemakai dan pemrosesan komputer dapat menjadi pengimbang. Apabila tidak, maka auditor harus sangat merekomendasikan •langkah-langkah untuk memperbaiki kelemahan pengendalian data sumber.

Tujuan-6.2 – Audit Sistem Informasi: Audit Pengendalian File Data.

filesTujuan keenam meliputi akurasi, integritas, dan keamanan data yang disimpan dalam file yang dapat dibaca oleh mesin. Risiko penyimpanan data mencakup modifikasi tidak sah, penghancuran, atau pengungkapan data. Apabila pengendalian file sangat lemah, terutama dalam kaitannya dengan akses fisik atau logika atau dengan prosedur salinan cadangan dan pemulihan file, maka auditor harus sangat merekomendasikan perbaikan atas kelemahan-kelemahan tersebut.

Tabel DD-(10)6Tabel DD-6 meringkas kesalahan, pengendalian, dan prosedur audit untuk tujuan ini.

Pendekatan audit berdasarkan tujuan (auditing-by-objective approach) merupakan alat yang komprehensif, sistematis, dan efektif untuk mengevaluasi pengendalian internal di dalam sebuah SIA. Hal ini dapat diimplementasikan dengan menggunakan daftar prosedur audit untuk setiap tujuan. Daftar tersebut harus membantu auditor untuk membuat kesimpulan terpisah bagi setiap tujuan, dan menyarankan pengendalian pengimbangnya ketika sebuah tujuan tidak dapat dicapai secara penuh. Versi terpisah dari daftar tersebut harus dilengkapi untuk setiap aplikasi yang signifikan.

Para auditor harus meninjau desain sistem ketika masih terdapat waktu untuk mengimplementasikan saran-saran mereka atas pengendalian dan fitur audit. Teknik¬teknik seperti ITF, snapshot, SCARF, audit hooks dan peringatan secara real-time harus digabungkan ke dalam sebuah sistem selama masa proses desain, bukan sesudahnya. Dengan pemikiran yang hampir sarna, kebanyakan teknik pengendalian aplikasi lebih mudah untuk didesain masuk ke dalam sistem daripada ditambahkan ketnudian setelah sistem tersebut dikembangkan.

Software Komputer untuk Audit Sistem Informasi berbasis Komputer.

GAS-urlBeberapa program komputer, yang disebut computer audit software (CAS) atau generalized audit software (GAS) telah dibuat secara khusus untuk auditor. Program tersebut tersedia di pemasok software dan kantor akuntan publik besar.

Pada dasarnya, CAS adalah program komputer yang, berdasarkan spesifikasi dari auditor, menghasilkan program yang melaksanakan fungsi-fungsi audit. CAS idealnya sesuai untuk pemeriksaan file data yang besar, untuk mengidentifikasi catatan-catatan yang membutuhkan pemeriksaaan audit lebih lanjut.

CAS-urlContohnya, Fokus DD-2 menggambarkan bagaimana pemerintah Amerika Serikat menggunakan CAS untuk memerangi-defisit anggaran negara. Tabel DD-7 berisi sebuah daftar fungsi-fungsi CAS dengan satu atau lebih contoh audit untuk setiap fungsi tersebut.

Penggunaan CAS dalam Audit Sistem Informasi.

Gambar-10-0004-aGambar DD-4 memperlihatkan bagaimana CAS digunakan. Langkah pertama auditor adalah memutuskan tujuan-tujuan audit, mempelajari file serta database yang akan diaudit, mendesain laporan audit, dan menetapkan bagaimana cara menghasilkannya. Informasi ini akan dicatat dalam lembar spesifikasi dan dimasukkan ke dalam sistem melalui program input data.

CAS-urlProgram ini membuat catatan spesifikasi yang digunakan CAS untuk menghasilkan satu atau lebih program audit. Program audit memproses file¬file sumber dan melaksanakan operasional audit yang dibutuhkan untuk menghasilkan laporan audit yang telah ditentukan.

Sering kali, aplikasi awal CAS pada komputer dilaksanakan untuk mengekstraksi informasi utama audit dan menempatkannya di dalam file kerja audit. Laporan dan analisis audit tambahan dihasilkan oleh serangkaian urutan operasi komputer yang menggunakan file kerja audit sebagai inputnya.

Ilustrasi Nilai Software Audit dalam Audit Sistem Informasi.

valuesKasus berikut ini mengilustrasikan nilai software audit. Di dalam sebuah kota kecil di New England, seorang penagih pajak baru saja dipilih dengan mengalahkan orang yang sebelumnya memegang jabatan yang sarna. Penagih pajak yang baru tersebut meminta diadakannya audit atas catatan penagihan pajak kota tersebut.

software-icon-256-x-256Dengan menggunakan CAS, auditor yang ditunjuk mengakses catatan penagihan pajak untuk 4 tahun terakhir, . menyortirnya berdasarkan tanggal penagihan, menambahkan jumlah total pajak yang dikumpulkan bulanan, serta mempersiapkan laporan ringkasan 4 tahun atas penagihan pajak bulanan tersebut.

Analisis auditor mengungkapkan bahwa penagihan pajak selama bulan Januari hingga Juli, dua bulan tersibuk dalam setahun, telah menurun sebanyak 58 persen dan 72 persen, secara spesifik. Auditor menggunakan CAS untuk membandingkan catatan-catatan penagihan pajak satu per satu, dengan catatan-catatan properti kota.

Laporan selanjutnya mengidentifikasi beberapa penyimpangan, termasuk suatu kasus yang menyebutkan penagih pajak sebelumnya menggunakan pembayaran dari pembayar pajak lainnya untuk menutupi tunggakan tagihan pajak dirinya sendiri. Penagih pajak yang sebelumnya ditahan dan dituntut dengan tuduhan penggelapan.

Tujuan utama dari CAS adalah untuk membantu auditor dalam melakukan tinjauan serta menarik informasi dari berbagai file komputer. Ketika auditor menerima laporan dari CAS, sebagian besar kegiatan audit akan tetap harus dilaksanakan. Hal-hal yang termasuk dalam laporan pengecualian harus diselidiki, jumlah total file harus diverifikasi dengan sumber informasi lainnya, seperti buku besar, dan sampel-sampel audit harus diselidiki serta dievaluasi.

Walaupun kelebihan menggunakan CAS sangat banyak dan dapat dipereaya, CAS tidak dapat menggantikan penilaian auditor atau membebaskan auditor dari tahap-tahap audit lainnya.

Memerangi Defisit Anggaran Negara dengan Software Audit.

Fokus DD-2: Memerangi Defisit Anggaran Negara dengan Software Audit.
deficitPemerintah Amerika Serikat menemukan bahwa software audit komputer adalah alat yang berharga dalam usaha mereka untuk mengurangi defisit anggaran pemerintah dalam jumlah besar. Contohnya, software yang digunakan untuk mengidentifikasi penipuan klaim asuransi Medicare dan menunjukkan dengan tepat tagihan-tagihan berlebih yang dilakukan oleh para kontraktor Departemen Pertahanan.

Suatu audit komputer yang dilaksanakan oleh General Accounting Office (GAO) memeriksa silang berbagai angka dengan IRS dan menemukan bahwa ribuan veteran perang berbohong mengenai penghasilan mereka agar dapat memenuhi kualifikasi untuk kompensasi pensiun.

general accounting office sealAudit tersebut mengungkapkan bahwa 116.000 veteran yang menerima pensiun berdasarkan kebutuhan mereka, tidak mengungkapkan $338 juta penghasilan dari tabungan, dividen saham, atau sewa. Lebih dari 13.600 veteran mengurangi penghasilan mereka di laporan, bahkan salah seorang dari mereka tidak melaporkan . penghasilannya sejumlah lebih dari $300.000.

Sebelum pemeriksaan dengan komputer diadakan, Veteran Administration (VA) bergantung pada para veteran untuk memberikan laporan penghasilan yang akurat. Begitu V A memperingatkan para penerima kompensasi bahwa penghasilan mereka akan diverifikasi oleh IRS dan Social Security Administration, kompensasi pensiun turun sebanyak lebih dari 13.000 orang, dengan penghematan sebesar $9 juta per bulan, berdasarkan laporan GAO.

VA berencana menggunakan sistem yang sarna untuk memeriksa tingkat penghasilan mereka yang mengajukan aplikasi untuk asuransi kesehatan. Apabila penghasilan mereka ditemukan di atas suatu level tertentu, pasien-pasien tersebut akan diminta untuk melakukan pembayaran bersama (co-payment).

Audit Operasional atas suatu SI.

Berbagai teknik dan prosedur yang digunakan dalam audit operasional hampir sarna dengan yang diterapkan dalam audit sistem informasi dan keuangan.

Perbedaan utamanya adalah bahwa lingkup audit sistem informasi dibatasi pada pengendalian internal,audit-operational-22710117 sementara lingkup audit keuangan dibatasi pada output sistem. Sebaliknya, lingkup audit operasional lebih luas, melintasi seluruh aspek manajemen sistem informasi.

Sebagai tambahan, tujuan audit operasional mencakup faktor-faktor seperti efektivitas, efisiensi, dan pencapaian tujuian. .

Langkah pertama dalam audit operasional adalah perencanaan audit, yaitu masa pembuatan lingkup dan tujuan audit, tinjauan awal atas sistem dilakukan, dan program audit sementara dipersiapkan.

Pengumpulan Bukti Audit pada Audit Operasional atas Sistem Informasi.

evidencePengumpulan bukti mencakup kegiatan-kegiatan berikut ini:

  • Meninjau kebijakan dokumentasi operasional
  • Melakukan konfirmasi atas prosedur dengan pihak manajemen serta personil operasional
  • Mengamati fungsi-fungsi dan kegiatan operasional
  • Memeriksa rencana dan laporan keuangan serta operasional
  • Menguji akurasi imormasi operasional
  • Menguji pengendalian

Pada tahap pengumpulan bukti, auditor mengukur sistem yandata-capture-urlg sesungguhnya dengan sistem yang ideal, yaitu sistem yang mengikuti prinsip-prinsip terbaik dari manajemen sistem. Salah satu pertimbangan yang penting adalah hasil-hasil dari kebijakan serta praktik manajemen lebih signifikan dari kebijakan dan praktik mereka sendiri.

Jadi, .apabila hasil yang baik dicapai melalui kebijakan dan praktik yang secara teori lemah, maka auditor harus secara hati-hati mempertimbangkan apakah perbaikan yang direkomendasikan akan secara substansial memperbaiki hasil. Dalam banyak kejadian, auditor harus secara menyeluruh mendokumentasikan penemuan-penemuan dan kesimpulan-kesimpulan tersebut, serta mengkomunikasikan hasil audit ke pihak manajemen.

Keahlian yang dibutuhkan untuk menjadi Auditor Operasional.

Menjadi auditor operasional yang baik membutuhkan suatu pengalaman dalam bidang manajemen. Mereka yang memiliki latar belakang audit yang kuat tetapi lemah dari sisi pengalaman dalam bidang manajemen, sering kali kurang memiliki perspektif yang dibutuhkan untuk memahami proses manajemen.

mgt-skill-urlJadi, auditor operasional yang baik adalah orang yang memiliki pelatihan dan pengalaman audit serta beberapa tahun pengalaman di posisi manajerial.