bab 10-sistem audit

I. Pengertian Audit

Audit adalah sebuah proses sistematis untuk secara objektif mendapatkan dan

mengevaluasi bukti mengenai pernyataan perihal tindakan dan transaksi bernilai

ekonomi, untuk memastikan tingkat kesesuaian antara pernyataan tersebut dengan

criteria yang telah ditetapkan, serta mengkomunikasikan hasil-hasilnya pada para

pemakai yang berkepentingan.

Audit membutuhkan pendekatan langkah per langkah yang dibentuk dengan peren-

canaa teliti serta pemilihan dan pelaksanaan teknik yang tepat dengan hati-hati.

System dan auditing electronic data processing- pemrosesan data electronic (PLE)

telah ada selama beberapa decade terakhir. Meskipun istilah PDE sekarang ini jus-

tru sudah terasa kuno, tetapi “ PDE auditing masih tetap banyak digunakan. Istilah

PDE auditing umumnya digunakan untuk menerangkan dua jenis aktivitas yang

berhubungan dengan komputer.jenis aktivitas ini biasanya dilakukan oleh auditor

selama pengujian ketaatan (compliance test), dan disebut sebagai auditing melalui

computer.

Penggunaan istilah lainnya aalah untuk menerangkan pemanfaatan computer oleh

auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dilakukan secara

manual. Jenis aktivitas ini disebut sebagai sebagai auditing dengan computer. Ke-

banyakan audit meliputi pengujian ketaatan dan pengujian substantif.

II. Tujuan Audit

Tujuan dan tanggung jawab utama auditor ekstern adalah menilai kewajaran lapo-

ran keuangan suatu perusahaan. Auditor ekstern melayani para pemegang saham,

pemerintah, dan masyarakat luas

Secara umum tujuan dari auditor intern acalah melayani kebutuhan manajemen pe-

rusahaan. Sedangkan berdasarkan Institute of Internal Auditor (IIA), tujuan dari au-

dit internal adalah untuk mengevaluasi kecukupan dan efektivitas system pengen-

dalian internal perusahaan, serta menetapkan keluasan dari pelaksanaan tanggung

jawab yang benar dilakukan

Ada lima standar lingkup audit menurut Institute of Internal Auditor, yaitu :

Audit Sistem Informasi Berbasis Komputer

a. Melakukan tinjauan atas keandalan dan integritas informasi operasional an

keuangan, serta bagaimana hal tersebut diidentifikasi, diukur, diklasifikasi dan

dilaporkan.

b. Menetapkan apakah system telah didesain untuk sesuai dengan kebijakan op-

erasional dan pelaporan, perencanaan, prosedur, hukum, dan peraturan yang

berlaku.

c. Melakukan tinjauan mengenai bagaimana asset dijaga, dan memverifikasi ke-

beradaan asset tersebut.

d. Mempelajari sumber daya perusahaan untuk menetapkan seberapa efektif dan

efisien mereka digunakan

e. Melakukan tinjauan atas operasional dan program perusahaan, untuk menetap-

kan apakah mereka telah dilaksanakan sesuai dengan rencana dan apakah

mereka dapat memenuhi tujuan-tujuan mereka.

Audit secara umum dibagi menjadi dua komponen dasar yaitu :

1. Audit Interim

Bertujuan menetapkan tingkat keandalan system pengendalian intern. Biasanya

untuk ini diperlukan pengujian ketaatan. Tujuan dari pengujian ketaatan adalah

untuk melihat eksistensi, efektivitas, dan pengecekan kontinuitas kegiatan yang

mengandalkan system pengendalian tersebut.

2. Audit laporan keuangan

Untuk audit laporan keuangan mencakup pengujian substantif, pengujian ini

merupakan verifikasi langsung terhadap angka-angka laporan keuangan,

berdasarkan hasil pengujian pengendalian intern dalam audit interim

III. Jenis- jenis Kegiatan Audit Internal

Terdapat tiga jenis audit yang biasanya dilakukan yaitu :

1. Audit keuangan

Memeriksa keandalan dan integritas catatan-catatan akuntansi (baik informasi

keuangan dan operasional) dan menghubungkan dengan standar pertama

dalam lima standar lingkup audit menurut IIA

2. Audit system informasi


Melakukan tinjauan atas pengendalian SIA untuk menilai kesesuaiannya den-

gan kebijakan dan prosedur pengendalian serta efektivitas dalam menjaga as-

set perusahaan.

3. Audit operasional atau manajemen

Berkaitan dengan penggunaan secara ekonomis dan efisiensi sumber daya,

serta pencapaian sasaran dan tujuan yang telah ditetapkan.

IV. Proses audit

Seluruh audit menggunakan urutan kegiatan yang hamper sama, hingga dapat

dibagi ke dalam empat langkah yaitu :

a. Merencanakan Audit

Tujuan dari perencanaan audit adalah untuk menetapkan mengapa,

bagaimana, kapan dan oleh siapa audit akan dilaksanakan.

Dalam merencanakan sebuah audit internal ada beberapa langkah yaitu :

1. Menetapkan audit dan tujuan audit

Audit internal dapat berfokus pada pengendalian internal, informasi keuan-

gan, kinerja operasional. Sebuah tim audit yang memiliki pengalaman dan

keahlian yang dibutuhkan akan dibentuk. Para anggota tim menjadi lebih

dalam mengenali pihak yang diaudit melalui diskusi dengan personil tingkat

supervisor dan operasional, melakukan tinjauan atas dokumentasi system,

dan melakukan tinjauan atas penemuan-penemuan dalam audit terdahulu.

Sebuah audit direncanakan sedemikian rupa agar sebagian besar kegiatan

audit berfokus pada area-area yang memiliki faktor-faktor risiko tertinggi.

Ada tiga jenis resiko dalam melakukan audit, yaitu :

Risiko inheren

Toleransi atas risiko yang material dengan mempertimbangkan ketidak-

beradaan pengendalian

Risiko pengendalian

Risiko yang timbul dai kesalahan penyajian yang material dan

berdampak hingga ke struktur pengendalian internal serta ke laporan

keuangan. Sebuah perusahaan memiliki pengendalian internal lemah

memiliki lebih banyak risiko pengendalian daripada perusahaan dengan


dengan pengendalian internal yang kuat. Risiko pengendalian dapat dite-

tapkan dengan cara melakukan tinjauan atas lingkungan pengendalian

yang diidentifikasi dalam audit terdahulu, dan dengan mengevaluasi

bagaimana kelemahan-kelemahan tersebut telah diperbaiki.

Risiko pendeteksian

Risiko yang timbul akibat tidak dapat terdeteksinya sebuah kesalahan

atau kesalahan penyajian oleh auditor dan prosedur auditor.

2. Organisir tim audit

3. Kembangkan pengetahuan mengenai operasional bisnis

4. Tinjauan hasil audit sebelumnya

5. Identifikasi factor-faktor risiko

6. Siapkan program audit

b. Mengumpulkan bukti

Ada beberapa metode yang dilakukan auditor dalam mengumpulkan bukti, an-

tara lain :

1. Pengamatan atas berbagai kegiatan yang diaudit

2. Melakukan peninjauan atas dokumentasi

3. Diskusi

4. Kuesioner

5. Pemeriksaan fisik

6. Melakukan konfirmasi

7. Melakukan prosedur ulang

8. Pembuktian

9. Tinjauan analisis

Oleh karena banyak pengujian dan prosedur audit yang tidak layak untuk dilak-

sanakan di seluruh rangkaian kegiatan, catatan, asset atau dokumen yang ditin-

jau, pengujian dan prosedur tersebut sering kali dilaksanakan dengan mengam-

bil sampel.

c. Mengevaluasi bukti


Auditor mengevaluasi bukti yang dikumpulkan dengan dasar tujuan audit ter-

tentu, dan memutuskan apakah bukti tersebut mendukung kesimpulan atau

tidak. Apabila kurang mendukung, auditor akan merencanakan dan melak-

sanakan prosedur tambahan sampai bukti yang cukup dapat dikumpulkan untuk

membuat kesimpulan yang kuat.

Materialitas dan kepastian yang wajar merupakan hal yang penting ketika ingin

memutuskan seberapa jauh kegiatan audit dibutuhkan dan kapan saat untuk

mengevaluasi bukti. Oleh karena kesalahan selalu ada pada system manapun,

para auditor berfokus untuk mendeteksi dan melaporkan kesalahan-kesalahan

yang memiliki dampak signifikan pada interpretasi pihak manajemen atas pene-

muan-penemuan audit. Materialitas secara umum lebih penting untuk audit ek-

sternal, yang penekanan umumnya adalah kejujuran penyajian laporan keuan-

gan, bukan untuk audit internal, yang berfokus untuk menetapkan tingkat ke-

sesuaian dengan kebijakan manajemen.

Auditor mencari keyakinan yang wajar bahwa tidak ada kesalahan yang mate-

rial dalam informasi atau proses yang diaudit. Oleh karena sangat mahal untuk

mencari kepastian yang lengkap, audit harus bersedia menerima sejumlah

risiko bahwa kesimpulan audit tidak benar. Merupakan hal yang penting untuk

disadari bahwa ketika risiko inheren atau pengendalian tinggi, auditor harus

mendapatkan keyakinan yang lebih besar untuk mengimbangi ketidakpastian

dan risiko yang lebih besar.

d. Mengkomunikasikan hasil audit

Auditor mempersiapkan laporan tertulis (dan terkadang lisan) yang meringkas

penemuan-penemuan dan berbagai rekomendasi audit, dengan referensi bukti

pendukung dalam lembar kerja. Laporan ini disajikan kepada pihak manajemen,

komite audit, dewan komisaris, dan pihak lain yang terkait. Setelah ada komu-

nikasi, maka para auditor sering kali melaksanakan penelitian lebih lanjut untuk

memastikan bahwa rekomendasi mereka telah diimplementasikan.

V. Pendekatan Audit Berdasarkan Risiko (The Risk-Based Audit

Approach)


Pendekatan empat tahap untuk melakukan evaluasi pengendalian internal:

1. Tentukan Ancaman-ancaman yang dihadapi SIA

2. Identifikasi prosedur pengendalian yang diimplementasikan untuk memini-

malkan setiap ancaman dengan mencegah atau mendeteksi kesalahan dan

ketidakberaturan.

3. Evaluasi prosedur pengendalian

4. Evaluasi kelemahan.

VI. AUDIT SISTEM INFORMASI

Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi

pengendalian internal yang melindungi sistem tersebut. Ketika melaksanakan audit

sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini:

1. Perlengkapan keamanan melindungi komputer, program, komunikasi dan data

dari akses yang tidak sah, modifikasi, atau penghancuran

2. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi

khusus dan umum dari pihak manajeman

3. Modifikasi progaram dilaksanakan dengan otorisasi dan persetujuan pihak

manajemen

4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat

dan lengkap

5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat

diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah

ditetapkan

6. file data komputer telah akurat, lengkap dan dijaga kerahasiaannya

Setiap tujuan tersebut didiskusikan secara lebih terinci dalam bagian berikut. Setiap

deskripsi terdiri dari rencana untuk mencapai setiap tujuan diatas, dan juga teknik

serta prosedur yang diperlukan untuk melaksanakan rencana audit tersebut.

Tujuan 1:

Keamanan Keseluruhan


Gambar 1.1 melukiskan hubungan diantara keenam tujuan ini dengan komponen-

komponen sistem informasi.


Data sumbera

Entri data

Data sumber

Pemrosesan

Output

Program File

Tujuan 5 :Data Sumber

Tujuan : 2Pengembangan dan perolehan program

Tujuan : 6File data

Tujuan 4 : Pemrosesan Komputer

Tujuan 3 : Modifikasi Program

Tujuan 1: Keamanan Keseluruhan

Dalam tujuan 1 ini berisi tentang kerangka untuk audit keamanan komputer. Tujuan 1

ini menunjukkan hal-hal berikut ini:

1. Jenis kesalahan dan penipuan keamanan yang dihadapi oleh perusahaan. Hal ini

mencakup kerusakan yang disengaja dan tidak disengaja atas aset sistem; akses tidak

sah, pengungkapan atau modifikasi data dan program; pencurian serta interupsi atas

kegiatan bisnis yang penting.

2. Prosedur pengendalian untuk meminimalkan kesalahan dan penipuan keamanan. Hal ini

mencakup mengembangkan rencana keamanan/perlindungan informasi dari virus,

mengimplementasikan firewall, mengadakan pengendalian atas pengiriman data, dan

mencegah serta memulihkan diri dari kegagalan sistem atau bencana lainnya

3. Prosedur audit tinjauan sistem. Hal ini mencakup memeriksa lokasi komputer, melakukan

wawancara dengan para personalianya; meninjau kebijakan dan prosedur; serta

memeriksa daftar akses, kebijakan asuransi , dan rencana pemulihan dari bencana

4. Prosedur audit pengujian pengendalian. Para auditor menguji pengendalian keamanan

dengan cara mengamati prosedur, menverifikasi bahwa terdapat pengendalian tersebut

berfungsi seperti yang diharapkan, menginvestigasi berbagai kesalahan atau masalah

untuk memastikan mereka ditangani dengan benar. serta memeriksa berbagai uji yang

sebelumnya telah dilaksanakan. Contohnya, salah satu cara untuk menguji pengendalian

akses logika adalah dengan mencoba melanggar masuk ke sistem. Selama audit

keamanan sebuah badan pemerintah Amerika Serikat, para auditor menggunakan

terminal-terminal badan tersebut untuk mendapatkan akses secara tidak sah ke sistem

komputer mereka, mematikan prosedur pemeriksaan keamanannya, dan mengendalikan

sistem tersebut dari terminal yang mereka pakai. Kegagalan keamanan dapat terjadi

karena kurangnya pengendalian administrasif software keamanan yang tidak memadai.

5. Pengendalian pengimbang. Apabila pengendalian keamanan sangatlah tidak cukup, maka

organisasi menghadapi resiko yang berat. Kebijakan personil yang baik dan pemisahan

tugas secara efektif atas pekerjaan yang tidak boleh disatukan, dalam beberapa hal dapat

mengimbangi keamanan komputer yang kurang tersebut. Oleh karena hampir tidak

mungkin pengendalian-pengendalian ini dapat mengimbangi secara keseluruhan

keamanan komputer yang kurang baik, para auditor harus sangat merekomendasikan


agar kelemahan keamanan tersebut diperbaiki

Tujuan 2 : Pengembangan Perolehan Program

Dua hal yang dapat salah dalam pengembangan program: (1) kesalahan yang tidak

disengaja karena adanya kesalahanpahaman atas spesifikasi sistem atau kecerobohan

pemrograman, dan (2) perintah tidak sah yang dengan sengaja dimasukkan kedalam

program. Masalah-masalah ini dapat dikendalikan dengan cara meminta otorisasi serta

persetujuan dari pihak manajemen dan pemakai, pengujian keseluruhan, dan dokumentasi

yang memadai.

Peran auditor dalam pengembangan sistem harus dibatasi sampai pada peninjauan

independen atas kegiatan pengembangan sistem. Untuk mempertahankan objektivitas yang

dibutuhkan dalam melaksanakan evaluasi independen atas fungsi, para auditor harus tidak

dilibatkan dalam pengembangan sistem. Selama peninjauan sistem, para auditor harus

mendapat pemahaman mengenai prosedur pengembangan dengan mendiskusikannya

bersama pihak manajemen, pemakaian sistem, dan para personil sistem informasi.

Untuk menguji pengendalian pengembangan sistem, para auditor harus

mewawancarai para manajer dan pemakai sistem, memeriksa persetujuan pengembangan,

dan meninjau notulen rapat tim pengembangan sistem. Para auditor harus meninjau secara

keseluruhan semua dokumentasi yang berhubungan dengan proses pengujian dan

memastikan bahwa seluruh perubahan program telah diuji. Auditor harus memeriksa

spesifikasi uji, meninjau data uji, dan mengevaluasi hasil pengujian. Apabila hasil pengujian

tidak sesuai dengan harapan, maka auditor harus memastikan bagaimana masalah tersebut

diatas. Pengendalian pemrosesan yang kokoh (lihat tujuan 4) kadang kala dapat

mengimbangi pengendalian pengembangan yang kurang baik. Apabila para auditor

bergantung pada pengendalian pengimbang untuk pemrosesan, mereka harus mendapatkan

bukti yang mendukung ketaatan terhadap sistem, dengan menggunakan berbagai teknik,

seperti pengujian data pemrosesan independent. Apabila bukti sejenis ini tidak bisa

didapatkan, mereka dapat menyimpulkan bahwa terdapat kelemahan yang material dalam

pengendalian internal, dan bahwa resiko kesalahan atau penipuan dalam program aplikasi

terlalu tinggi hingga tidak dapat diterima.


Tujuan 3: Modifikasi Program

Bagian yang penting dari uji pengendalian yang dilaksanakan seorang auditor adalah

memverifikasi bahwa perubahan program telah diidentifikasi, didaftar, disetujui, diuji, dan

didokumentasikan. Langkah ini mensyaratkan auditor untuk mengamati bagaimana

perubahan diimplementasikan untuk memverifikasi bahwa program pengembangan dan

produksi yang terpisah tetap dilaksanakan dan bahwa perubahan tersebut

diimplementasikan oleh seorang yang independen dari pemakai dan fungsi pemrograman.

Auditor harus meninjau tabel pengendalian akses program pengembangan untuk

memverifikasi bahwa hanya pemakai yang ditugaskan untuk melaksanakan modifikasi, yang

memiliki akses ke sistem.

Terdapat dua teknik tambahan untuk mendeteksi perubahan yang tidak sah. Teknik

pemrosesan ulang, menggunakan salinan kode sumber yang telah diverifikasi. Tanpa

pemberitahuan sebelumnya, auditor menggunakan program ini untuk memproses ulang data

dan membandingkan outputnya dengan data perusahaan. Penyimpangan dari kedua pasang

output tersebut akan diselidiki untuk memastikan penyebabnya. Simulasi paralel adalah

hampir sama dengan teknik pemrosesan ulang, kecuali bahwa auditoral yang menulis

program, bukan menggunakan salinan kode sumber yang telah diverifikasi dan disimpan.

Hasil dari simulasi auditor akan dibandingkan dengan hasil milik perusahaan, dan perbedaan

apapun akan diselidiki. Simulasi paralel dapat digunakan untuk menguji sebuah program

selama proses implementasi. Contohnya, Jason menggunakan teknik ini untuk menguji

beberapa bagian dari sistem penggajian baru SPP.

Para auditor harus mengamati pengujian dan implementasi, meninjau otorisasi dan

dokumen yang terkait, dan jika perlu, melaksanakan pengujian independen untuk setiap

perubahan program yang besar. Apabila langkah ini dilewati dan pengendalian program

kemudian ditemukan tidak memadai, maka tidak mungkin mengandalkan output program.

Sebagai tambahan, para auditor harus selalu menguji program tanpa pemberitahuan

sebelumnya, sebagai tindakan pencegahan atas perubahan program secara tidak sah, yang

disusupkan setelah pemeriksaan selesai dan kemudian disingkirkan tepat sebelum jadwal

audit berikutnya.

Apabila pengendalian internal atas perubahan program kurang baik, maka

pengendalian pengimbang seperti perbandingan kode sumber, keberadaan pengendalian


pemrosesan yang baik, pengujian secara independen oleh auditor, dalam beberapa hal

dapat mengimbangi kelemahan tersebut. Akan tetapi, jika kelemahan tersebut disebabkan

karena pembatasan atas akses file program yang tidak memadai, auditor harus sangat

merekomendasikan tindakan untk memperkuat pengendalian akses logika di organisasi

tersebut.

Tujuan 4: Pemrosesan Komputer

Fokus tujuan keempat adalah pemrosesan transaksi, file, dan catatan komputer untuk

memperbaharui file serta database, dan digunakan untuk menghasilkan laporan. Dalam

pemrosesan komputer, sistem dapat saja gagal, mendeteksi input yang salah, mempebaiki

kesalahan input secara tidak tepat, memproses input yang salah, atau menyebarkan atau

mengungkap output secara tidak benar.

Beberapa teknik khusus memungkinkan auditor untuk menggunakan komputer dalam

menguji pengendalian pemrosesan. Teknik tersebut mencakup pemrosesan data uji,

menggunakan teknik audit bersamaan, dan menganalisis logika program. Setiap teknik

tersebut memiliki kelebihan dan kelemahan masing-masing, yang berarti bahwa mereka

mungkin lebih tepat disuatu situasi tetapi kurang tepat disituasi lainnya. Tidak ada satupun

teknik yang cocok untuk semua keadaan. Para auditor seharusnya tidak mengungkapkan

teknik apa yang mereka gunakan, karena hal ini dapat mengurangi efektifitas pengujian

audit.

Memproses Data Uji

Salah satu cara untuk menguji program adalah dengan memproses serangkaian

perkiraan (hypothetical) transaksi valid dan tidak valid . Program tersebut harus memproses

seluruh transaksi yang valid dengan benar dan mengidentifikasi serta menolak transaksi

yang tidak valid. Seluruh jalur logika harus diperiksa apakah berfungsi dengan baik atau

tidak, melalui satu atau lebih uji transaksi. Contoh-contoh data yang valid adalah catatan

dengan data yang hilang, field yang berisi jumlah yang tidak wajar banyaknya, nomor

rekening atau kode pemrosesan yang salah, data non numeris dalam field numerik, serta

catatan yang tidak berurut.

Sumber-sumber berikut ini dapat membantu untuk mempersiapkan data uji:


Daftar transaksi yang sebenarnya

Transaksi uji yang digunakan programer untuk menguji program tersebut

Program pembuat data uji (test data generator program), yang secara otomatis

mempersiapkan data uji berdasarkan spesifikasi program

Didalam sistem pemrosesan secara batch, program perusahaan dan salinan dari file

yang terkait digunakan untuk memproses data uji. Hasilnya akan dibandingkan dengan

output yang telah diperkirakan sebelumnya; penyimpangan menunjukkan kesalahan

pemrosesan atau kurangnya pengendalian dan harus diselidiki secara keseluruhan.

Didalam sistem online, para auditor memasukkan data uji dengan menggunakan alat

untuk memasukkan daya, seperti PC atau terminal, dan mengamati serta mendaftar respon

sistem. Apabila sistem menerima transakasi yang salah atau tidak valid, auditor akan

menelusuri kembali pengaruh transaksi tersebut, menyelidiki masalahnya, dan memperbaiki

kelemahannya.

Walaupun pemrosesan transaksi uji biasanya efektif teknik tersebut memiliki beberapa

kelemahan;

1. Auditor harus menghabiskan banyak waktu untuk mengembangkan pemahaman atas

sistem yang diperiksanya dan mempersiapkan serangkaian transaksi uji yang memadai

2. Perhatian harus diberikan untuk memastikan bahwa data uji tidak mempengaruhi file dan

database perusahaan. Auditor dapat menelusuri kembali (reserve) pengaruh transaksi uji

atau memproses transaks tersebut dalam proses terpisah dengan menggunakan salinan

file atau database yang terkait. Akan tetapi, pemrosesan terpisah akan menghilangkan

beberapa keotentikan yang didapat dari proses data uji, dengan transaksi rutin. Selain itu,

prosedur penelusuran kembali (reversal procedures) juga dapat mengungkapkan

keberadaan dan sifat dari uji yang dilaksanakan auditor pada personil utama, sehingga

menjadi kurang efektif dibanding uji yang tersembunyi.

Teknik Audit Bersamaan

Jutaan dolar transaksi dapat diproses oleh sistem online tanpa meninggalkan jejak

audit yang memuaskan. Dalam kasus semacam ini, bukti dikumpulkan setelah pemrosesan

data dianggap tidak cukup untuk tujuan audit. Sebagai tambahan, oleh karena banyak sistem

on-line memproses transaksi secara terus menerus, merupakan hal yang sulit atau tidak


mungkin untuk menghentikan sestem tersebut dan melaksanakan pengujian audit. Jadi,

auditor menggunakan teknik audit bersamaan untuk secara terus menerus mengawasi

sistem dan mengumpulkan bukti audit sementara data langsung diproses selama jam kerja

normal. Teknik audit bersamaan menggunakan modul audit melekat (embedded audit

module), yaitu bagian-bagian dari kode program yang melaksanakan fungsi audit. Mereka

juga melaporkan hasil pengujian keauditor dan menyimpan bukti yang dikumpulkan untuk

ditinjau oleh auditor. Teknik audit bersamaan sangat memakan waktu dan sulit digunakan,

tetapi tidak akan terlalu sulit dilaksanakan apabila digabungkan ketika program sedang

dikembangkan

Para auditor umumnya menggunakan lima teknik audit bersamaan. Integrated test

facility (ITF) adalah teknik yang menempatkan serangkaian kecil catatan fiktif di file utama.

Catatan tesebut dapat saja mewakili bagian, departemen, atau kantor cabang, pelanggan,

atau pemasok fiktif. Auditor akan membandingkan pemrosesan dengan hasil yang

diharapkan, untuk memverifikasi bahwa sistem tersebut beserta pengendaliannya beroperasi

dengan benar.

ITF sangat sesuai untuk menguji sistem pemrosesan on-line, karena transaksi uji

dapat dilakukan sesering mungkin, diproses bersama dengan transaksi yang sesungguhnya

dan ditelusuri melalui seluruh tahap pemrosesan. Semua ini dapat dicapai tanpa

mengganggu operasional pemrosesan yang normal. Akan tetapi, perhatian harus diberikan

untuk tidak menggabungkan catatan fiktif dengan yang sesungguhnya selama proses

pelaporan.

Teknik snapshot memeriksa cara transaksi diproses. Transaksi yang dipilih ditandai

dengan kode khusus yang akan memicu proses snapshot. Modul-modul audit dalam program

terkait mencatat transaksi-transaksi ini beserta dengan catatan file utamanya, sebelum dan

sesudah pemrosesan. Data snapshot dicatat dalam file khusus dan ditinjau oleh auditor

untuk memverifikasi bahwa seluruh langkah pemrosesan telah dengan benar dilaksanakan.

System control audit review file (SCARF) menggunakan modul audit melekat untuk

secara terus menerus mengawasi kegiatan transaksi dan mengumpulkan data atas transaksi

yang menjadi tujuan audit. Data tersebut dicatat dalam file SCARF atau daftar audit (audit

log). Transaksi-transaksi yang dicatat dalam file daftar audit adalah yang melebihi batas nilai

uang yang telah ditentukan, atau berisi penurunan nilai aset. Secara periodek, auditor akan


menerima cetakan file SCARF, memeriksa informasi tesebut untuk mengidentifikasi transaksi

yang meragukan, dan melaksanakan penyelidikan yang dibutuhkan.

Audit hooks adalah kegiatan audit yang memberikan tanda atas transaksi yang

mencurigakan. Contohnya, para auditor internal di state farm life insurance menyatakan

bahwa sistem pemegang asuransi mereka sangat rentan terhadap penipuan setiap kali

seseorang pemegang asuransi mengganti nama atau alamatnya, dan kemudian menarik

dana dari asuransi tersebut. Pegawai asuransi membuat sebuah sistem audit hooks untuk

mengikuti catatan yang memiliki perubahan nama atau alamat. Departemen audit internal

perusahaan tersebut kini akan diperingatkan apabila catatan yang diikuti tersebut

berhubungan dengan penarikan dan dapat menyelidiki apakah transaksi tersebut merupakan

penipuan. Ketika audit hooks digunakan, auditor dapat diinformasikan mengenai transaksi

yang mencurigakan begitu transaksi terjadi. Pendekatan ini, disebut sebagai peringatan

real-time (real-time notification) , yang menunjukkan sebuah pesan diterminal auditor.

Continuous and internitten simulation (CIS) melekatkan modul audit dalam sistem

manajemen database. Modul CIS memeriksan seluruh transaksi yang memperbaharui DBMS

dengan menggunakan kriteria yang hampir sama dengan SCARF. Apabila sebuah transaksi

memiliki nilai untuk diaudit, modul tersebut akan secara independen memproses data (dalam

cara yang hampir sama dengan simulasi paralel), mencatat hasil-hasilnya, dan

membandingkan hasilnya dengan yang didapat dari DBMS. Apabila terjadi penyimpangan,

rincian penyimpangan tersebut akan ditulis dalam daftar audit untuk penyelidikan

selanjutnya. Apabila ditemukan penyimpangan yang serius, CIS akan mencegah DBMS

melaksanakan proses pembaharuan data

Analisis Logika Program

Apabila seorang auditor mencurigai bahwa sebuah program aplikasi berisi kode yang

tidak sah atau kesalahan serius, maka analisis yang rinci atas logika program mungkin

diperlukan. Proses ini sangat memakan waktu dan membutuhkan keahlian dalam hal bahasa

pemrograman, sehingga langkah ini harus digunakan sebagai pilihan terakhir. Untuk

melaksanakan analisis tersebut, auditor merujuk pada bagan alir sistem dan program,

dokumentasi program, dan daftar kode sumber program. Software berikut dapat dipakai

untuk membantu analisis ini:


Automated flowcharting program, yang menerjemahkan kode sumber program dan

membuat bagan alir program berdasarkan kode tersebut

Automated decision table program, yang membuat sebuah table keputusan yang

mewakili logika program

Scanning routine, yang memeriksa suatu program atas terjadinya nama variable tertentu

atau kombinasi karakter lainnya

Mapping program, yang mengidentifikasi kode program yang belum berfungsi. Software

ini mengungkapkan kode program yang dimasukan oleh programer yang tidak

bertanggung jawab untuk menghapus seluruh file komputer ketika dirinya diberhentikan,

seperti yang dicontohkan pada bagian sebelumnya

Program tracing, yang secara berurutan mencetak seluruh langkah program aplikasi

(berdasar nomor baris atau nama paragraf) yang dijalankan selama operasional

program. Daftar ini bercampur dengan output yang normal sehingga auditor dapat

mengamati urutan yang tepat atas sesuatu kegiatan yang tampak selama pengoperasian

program. Penelusuran program membantu auditor untuk mendeteksi perintah program

tidak sah, alur logika yang salah, dan kode program yang belum berfungsi.

Tujuan 5 : Data Sumber

Pada tujuan ini auditor harus memastikan bahwa fungsi pengendalian data bersifat

independen terhadap fungsi lainnya seperti: memelihara daftar pengendalian data,

menangani kesalahan dan memastikan efisiensi umum operasinya. Tetapi hal ini mungkin

tidak bisa dilaksanakan oleh perusahaan-perusahaan kecil. Jadi sebagai penyeimbang fungsi

pengendalian harus lebih kuat di departemen pemakai seperti dalam hal persiapan data,

pengendalian jumlah total batch, program edit, pembatasan akses secara fisik dan logika ke

sistem, dan prosedur penanganan kesalahan. Prosedur-prosedur inilah yang harus mendapat

perhatian bila tidak didapati adanya fungsi pengendalian data yang independen.

Apabila data sumber tidak memadai, pengendalian departemen pemakai dan

pemrosesan komputer dapat menjadi pengimbang. Apabila tidak, maka auditor harus sangat

merekomendasikan langkah-langkah untuk memperbaiki kelemahan data sumber.

Berikut kerangka untuk Audit Pengendalian Data Sumber :

Jenis-jenis kesalahan dan Penipuan :


- Data sumber yang tidak akurat

- Data sumber yang tidak sah

Prosedur Pengendalian :

- Penanganan input data

- Otorisasi

- Rekonsiliasi batch

- Penerimaan,perpindahan dan pemrosesan data sumber

- Verifikasi digit dan kunci

- Penggunaan dokumen yang dapat dikirim kembali

- Rutinitas edit data komputer

- Pencatatan dan ringkasan perubahan file

- Prosedur untuk perbaikan data yang salah

Prosedur audit : Tinjauan Sistem

- Meninjau penanggung jawab fungsi pengendalian data

- Standar pengendalian data sumber

- Meninjau penandatanganan Otorisasi

- Meninjau sistem akutansi isi data sumber

- Mendokumentasikan pengendalian data sumber akutansi

- Mendiskusikan prosedur pengendalian sumber data dengan personil pengendalian

data dan pemakai

Prosedur audit : Uji Pengendalian

- Mengamati dan mengevaluasi jalannya departemen pengendalian data dan prosedur

Pengendalian data tertentu

- Memeriksa beberapa sample data sumber akutansi dalam hal otorisasi yang memadai

- Menelusuri pemrosesan sebuah sample kesalahan yang ditandai oleh rutinitas edit

data

Tujuan 6 : File Data

Meliputi,akurasi, integritas dan kemanan data yang disimpan dalam file yang dapat dibaca


oleh mesin.

Berikut Kerangka untuk Audit Pengendalian File Data

Kesalahan dan Penipuan:

- Penghancuran data yang disimpan sengaja atau tidak

- Modifikasi atau pengungkapan yang tidak sah atas data yang disimpan

Prosedur Pengendalian

- Perpustakaan yang aman dan pembatasan atas akses ke file data

- Menggunakan password terhadap akses file data

- Penggunaan write protection

- Enkrip data untuk data yang sangat rahasia

- Penggunaan software anti virus

- Back up data

- Fasilitasi pemuliahan sistem

Prosedur Audit : Tinjauan sistem

- Meninjau dokumentasi atas fungsi-fungsi operasional perpustakaan file

- Meninjau kebijakan dan prosedur akses logika

- Memeriksa rencana pemuliahn dari bencana

- Mendiskusikan prosedur pengendalian file data dengan para manager dan operator

sistem

Prosedur Audit: Uji Pengendalian

- Mengamati dan mengevaluasi operasional perpustakaan file

- Meninjau catatan pemberian dan modifikasi password

- Mengamati dan mengevaluasi penyimpanan di luar lokasi kantor

- Verifikasi efektif terhadapa prosedur perlindungan dari virus,enkripsi data dan rencana

pemulihan data

Software Komputer

Beberapa program komputer yang disebut Computer Audit Software (CAS) atau Generalized

Audit Software (GAS) telah dibuat secara khusus untuk auditor.CAS idealnya sesuai untuk

pemeriksaan file dengan data yang besar.CAS adalah program komputer yang berdasarkan


spesifikasi dari auditor,menghasilkan program yang melaksanakan fungsi-fungsi audit.

Program ini membuat catatan spesifikasi yang digunakan CAS untuk menghasilkan satu atau

lebih program audit. Program audit memproses file-file sumber dan melaksanakan

operasional audit yang dibutuhkan untuk menghasilkan laporan audit yang telah ditentukan.

Beberapa fungsi umum software audit komputer :

– Pemformatan ulang

– Manipulasi file

– Perhitungan

– Pemilihan data

– Analisis data

– Pemrosesan file

– Statistik

– Pembuatan laporan

Audit Operasional Atas Suatu SIA

Perbedaan utama antara audit operasional dan audit sistem informasi dan keuangan adalah

bahwa lingkup audit sistem informasi dibatasi pada pengendalian internal, sementara lingkup

audit keuangan dibatasi pada ouput sistem. Sebaliknya, lingkup audit operasional lebih luas,

melintasi seluruh aspek manajemen sistem informasi.

Tujuan audit operasional mencakup faktor-faktor seperti: efektivitas, efisiensi, dan pencapaian

tujuan. Langkah pertama dalam audit operasional adalah perencanaan audit, yaitu masa

pembuatan lingkup dan tujuan audit, tinjauan awal atas sistem dilakukan, dan program audit

sementara dijalankan.

Pengumpulan bukti mencakup kegiatan-kegiatan berikut ini:

- Meninjau kebijakan dokumentasi operasional

- Melakukan konfirmasi atas prosedur dengan pihak manajemen serta personil opera-

sional

- Mengamati fungsi-fungsi dan kegiatan operasional

- Menguji akurasi informasi operasional


- Menguji pengendalian

Menjadi auditor operasional yang baik adalah orang yang memiliki pelatihan dan pengalaman

audit serta beberapa tahun pengalaman di posisi manajerial.


bab 10-sistem audit

Documents