Nama kelompok :

 Nama kelompok :

Lesi Marwidianti

Lesi Marwidianti

Budi Nurrahman

Budi Nurrahman

Monika kartika

Monika kartika

“AUDIT SISTEM BERBASI

“AUDIT SISTEM BERBASI

KOMPUTER”

KOMPUTER”

BAB 10 BAB 10

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

K 

K 

ASUSASUS

II

 NTEGRATIF NTEGRATIF : :

 N

 N

ORTHWESTORTHWEST

II

 NDUSTRIES NDUSTRIES

Segera setelah mempelajari cara menggunakan software audit untuk komputer, Jason scott Segera setelah mempelajari cara menggunakan software audit untuk komputer, Jason scott ditugaskan pada sebuah proyek di Seattle Paper Products (SPP). Perusahaan tersebut sedang ditugaskan pada sebuah proyek di Seattle Paper Products (SPP). Perusahaan tersebut sedang memodifikasi sistem penggajian di departemen penjualannya, untuk mengubah cara menghitung memodifikasi sistem penggajian di departemen penjualannya, untuk mengubah cara menghitung komisi penjualan. Dibawah sistem yang lama, komisi merupakan persentase tetap dari nilai komisi penjualan. Dibawah sistem yang lama, komisi merupakan persentase tetap dari nilai  penjualan.

 penjualan. Sitem Sitem yang yang baru baru ini ini jauh jauh lebih lebih rumit, rumit, dengan dengan tariff tariff komisi komisi yang yang berbeda-bedaberbeda-beda tergantung pada produk yang dijual dan nilai total penjualan.

tergantung pada produk yang dijual dan nilai total penjualan.

Tugas Jason yang pertama adalah menggunakan software audit untuk menulis program Tugas Jason yang pertama adalah menggunakan software audit untuk menulis program  pengujian

 pengujian parallel, parallel, yang yang menghitung menghitung komisi komisi penjualan penjualan dan dan membandingkan membandingkan hasilnya hasilnya dengandengan yang dihasilkan oleh sistem yang baru. Jason mendapatkan dokumentasi penggajian yang yang dihasilkan oleh sistem yang baru. Jason mendapatkan dokumentasi penggajian yang dibutuhkannya dan rincian tentang kebijakan komisi penjualan yang baru.

dibutuhkannya dan rincian tentang kebijakan komisi penjualan yang baru.

Jason mendapatkan file yang berisi transaksi penjualan untuk periode penggajian terakhir Jason mendapatkan file yang berisi transaksi penjualan untuk periode penggajian terakhir dan menggunakannya untuk menjalankan programnya. Dia sangat terkejut, karena hasil dan menggunakannya untuk menjalankan programnya. Dia sangat terkejut, karena hasil  perhitungannya lebih

 perhitungannya lebih rendah $5.000 rendah $5.000 dari pada dari pada yang dihasilakan oleh yang dihasilakan oleh program baru Sprogram baru SPP; bahkan,PP; bahkan, terdapat perbedaan individual atas sekitar separuh dari pegawai penjualan perusahaan. Jason terdapat perbedaan individual atas sekitar separuh dari pegawai penjualan perusahaan. Jason memeriksa ulang kode programnya, tetapi tidak dapat menemukan kesalahan apapun. Dia memeriksa ulang kode programnya, tetapi tidak dapat menemukan kesalahan apapun. Dia memilih seorang pegawai penjualan yang catatannya memiliki perbedaan perhitungan, dan memilih seorang pegawai penjualan yang catatannya memiliki perbedaan perhitungan, dan menghitung ulang komisi yang tercatat secara manual. Hasilnya sesuai dengan hasil sebelumnya menghitung ulang komisi yang tercatat secara manual. Hasilnya sesuai dengan hasil sebelumnya dari program miliknya. Dia meninjau kebijakan komisi yang baru dengan manajer bagian dari program miliknya. Dia meninjau kebijakan komisi yang baru dengan manajer bagian  penjualan,

 penjualan, baris perbaris, baris perbaris, dan berkesimpulan dan berkesimpulan bahwa bahwa dia telah dia telah memahami denmemahami dengan baik gan baik keseluruhkeseluruh kebijakan baru tersebut. Jason kini yakin bahwa program miliknya sudah benar dan bahwa kebijakan baru tersebut. Jason kini yakin bahwa program miliknya sudah benar dan bahwa kesalahan terletak pada program yang baru. Berdasarkan kesimpulan ini, dia memikirkan kesalahan terletak pada program yang baru. Berdasarkan kesimpulan ini, dia memikirkan  beberapa pertanyaan berikut :

 beberapa pertanyaan berikut : 1.

1. Bagaimana sebuah kesalahan pemrograman yang sangat signifikan seperti ini terlewatBagaimana sebuah kesalahan pemrograman yang sangat signifikan seperti ini terlewat oleh para pembuat program berpengalaman yang meninjau dan menguji sistem baru oleh para pembuat program berpengalaman yang meninjau dan menguji sistem baru tersebut secara keseluruhan ?

tersebut secara keseluruhan ? 2.

2. Apakah ini merupakan kesalahan yang tidak disengaja atau mungkinkah ini merupakanApakah ini merupakan kesalahan yang tidak disengaja atau mungkinkah ini merupakan kasus penipuan lainnya ?

kasus penipuan lainnya ? 3.

BAB 10 BAB 10

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

K 

K 

ASUSASUS

II

 NTEGRATIF NTEGRATIF : :

 N

 N

ORTHWESTORTHWEST

II

 NDUSTRIES NDUSTRIES

Segera setelah mempelajari cara menggunakan software audit untuk komputer, Jason scott Segera setelah mempelajari cara menggunakan software audit untuk komputer, Jason scott ditugaskan pada sebuah proyek di Seattle Paper Products (SPP). Perusahaan tersebut sedang ditugaskan pada sebuah proyek di Seattle Paper Products (SPP). Perusahaan tersebut sedang memodifikasi sistem penggajian di departemen penjualannya, untuk mengubah cara menghitung memodifikasi sistem penggajian di departemen penjualannya, untuk mengubah cara menghitung komisi penjualan. Dibawah sistem yang lama, komisi merupakan persentase tetap dari nilai komisi penjualan. Dibawah sistem yang lama, komisi merupakan persentase tetap dari nilai  penjualan.

 penjualan. Sitem Sitem yang yang baru baru ini ini jauh jauh lebih lebih rumit, rumit, dengan dengan tariff tariff komisi komisi yang yang berbeda-bedaberbeda-beda tergantung pada produk yang dijual dan nilai total penjualan.

tergantung pada produk yang dijual dan nilai total penjualan.

Tugas Jason yang pertama adalah menggunakan software audit untuk menulis program Tugas Jason yang pertama adalah menggunakan software audit untuk menulis program  pengujian

 pengujian parallel, parallel, yang yang menghitung menghitung komisi komisi penjualan penjualan dan dan membandingkan membandingkan hasilnya hasilnya dengandengan yang dihasilkan oleh sistem yang baru. Jason mendapatkan dokumentasi penggajian yang yang dihasilkan oleh sistem yang baru. Jason mendapatkan dokumentasi penggajian yang dibutuhkannya dan rincian tentang kebijakan komisi penjualan yang baru.

dibutuhkannya dan rincian tentang kebijakan komisi penjualan yang baru.

Jason mendapatkan file yang berisi transaksi penjualan untuk periode penggajian terakhir Jason mendapatkan file yang berisi transaksi penjualan untuk periode penggajian terakhir dan menggunakannya untuk menjalankan programnya. Dia sangat terkejut, karena hasil dan menggunakannya untuk menjalankan programnya. Dia sangat terkejut, karena hasil  perhitungannya lebih

 perhitungannya lebih rendah $5.000 rendah $5.000 dari pada dari pada yang dihasilakan oleh yang dihasilakan oleh program baru Sprogram baru SPP; bahkan,PP; bahkan, terdapat perbedaan individual atas sekitar separuh dari pegawai penjualan perusahaan. Jason terdapat perbedaan individual atas sekitar separuh dari pegawai penjualan perusahaan. Jason memeriksa ulang kode programnya, tetapi tidak dapat menemukan kesalahan apapun. Dia memeriksa ulang kode programnya, tetapi tidak dapat menemukan kesalahan apapun. Dia memilih seorang pegawai penjualan yang catatannya memiliki perbedaan perhitungan, dan memilih seorang pegawai penjualan yang catatannya memiliki perbedaan perhitungan, dan menghitung ulang komisi yang tercatat secara manual. Hasilnya sesuai dengan hasil sebelumnya menghitung ulang komisi yang tercatat secara manual. Hasilnya sesuai dengan hasil sebelumnya dari program miliknya. Dia meninjau kebijakan komisi yang baru dengan manajer bagian dari program miliknya. Dia meninjau kebijakan komisi yang baru dengan manajer bagian  penjualan,

 penjualan, baris perbaris, baris perbaris, dan berkesimpulan dan berkesimpulan bahwa bahwa dia telah dia telah memahami denmemahami dengan baik gan baik keseluruhkeseluruh kebijakan baru tersebut. Jason kini yakin bahwa program miliknya sudah benar dan bahwa kebijakan baru tersebut. Jason kini yakin bahwa program miliknya sudah benar dan bahwa kesalahan terletak pada program yang baru. Berdasarkan kesimpulan ini, dia memikirkan kesalahan terletak pada program yang baru. Berdasarkan kesimpulan ini, dia memikirkan  beberapa pertanyaan berikut :

 beberapa pertanyaan berikut : 1.

1. Bagaimana sebuah kesalahan pemrograman yang sangat signifikan seperti ini terlewatBagaimana sebuah kesalahan pemrograman yang sangat signifikan seperti ini terlewat oleh para pembuat program berpengalaman yang meninjau dan menguji sistem baru oleh para pembuat program berpengalaman yang meninjau dan menguji sistem baru tersebut secara keseluruhan ?

tersebut secara keseluruhan ? 2.

2. Apakah ini merupakan kesalahan yang tidak disengaja atau mungkinkah ini merupakanApakah ini merupakan kesalahan yang tidak disengaja atau mungkinkah ini merupakan kasus penipuan lainnya ?

kasus penipuan lainnya ? 3.

PENDAHULUAN PENDAHULUAN

Bab ini berfokus pada berbagai konsepm dan teknik yang digunakan dalam melakukan audit Bab ini berfokus pada berbagai konsepm dan teknik yang digunakan dalam melakukan audit SIA. Para auditor disewa untuk berbagai jenis tugas dan tanggung jawab. Banyak organisasi SIA. Para auditor disewa untuk berbagai jenis tugas dan tanggung jawab. Banyak organisasi yang memperkerjakan auditor internal untuk mengevaluasi jalannya operasi perusahaan. General yang memperkerjakan auditor internal untuk mengevaluasi jalannya operasi perusahaan. General accounting office dan pemerintah Negara bagian juga memperkerjakan auditor untuk accounting office dan pemerintah Negara bagian juga memperkerjakan auditor untuk mengevaluasi kinerja manjemen dan kesesuaian dengan keinginan legislative dalam berbagai mengevaluasi kinerja manjemen dan kesesuaian dengan keinginan legislative dalam berbagai departemen milik pemerintah. Departemen pertahanan memperkerjakan auditor untuk departemen milik pemerintah. Departemen pertahanan memperkerjakan auditor untuk melakukan tinjauan atas catatan keuangan perusahaan-perusahaan yang memiliki kontrak melakukan tinjauan atas catatan keuangan perusahaan-perusahaan yang memiliki kontrak  peralatan

 peralatan pertahanan. pertahanan. Perusahaan-perusahaan Perusahaan-perusahaan terbuka terbuka menyewa menyewa auditor auditor ekternal ekternal untukuntuk memberikan tinjauan independen atas laporan keuangan mereka.

memberikan tinjauan independen atas laporan keuangan mereka.

Bab ini ditulis terutama berdasarkan perspektif dari auditor internal. Auditor internal Bab ini ditulis terutama berdasarkan perspektif dari auditor internal. Auditor internal secara langsung bertanggung jawab untuk membantu pihak manajemen meningkatan efektifitas secara langsung bertanggung jawab untuk membantu pihak manajemen meningkatan efektifitas dan efisiensi organisasional, termasuk membantu mendesain dan mengimplementasikan SIA dan efisiensi organisasional, termasuk membantu mendesain dan mengimplementasikan SIA yang memberikan kontribusi pada tujuan perusahaan. Sebaliknya, auditor eksternal terutama yang memberikan kontribusi pada tujuan perusahaan. Sebaliknya, auditor eksternal terutama  bertanggung jawab pada pihak-pihak

 bertanggung jawab pada pihak-pihak yang berkepentingan terhadap perusahaan dan investor, danyang berkepentingan terhadap perusahaan dan investor, dan hanya secara tidak

hanya secara tidak langsung berkepentingan dalam efektlangsung berkepentingan dalam efektifitas SIA ifitas SIA perusahaan. Diluar perbedaanperusahaan. Diluar perbedaan ini, banyak konsep dan teknik audit internal yang didiskusikan dalam bab ini yang dapat ini, banyak konsep dan teknik audit internal yang didiskusikan dalam bab ini yang dapat diterapkan untuk audit eksternal.

diterapkan untuk audit eksternal.

Bagian pertama dari bab ini memberikan gambaran umum proses audit, lingkup dan Bagian pertama dari bab ini memberikan gambaran umum proses audit, lingkup dan tujuan kegiatan audit internal, seta langkah-langkah proses audit. Bagian kedua mendeskripsikan tujuan kegiatan audit internal, seta langkah-langkah proses audit. Bagian kedua mendeskripsikan sebuah metodologi dan serangkaian teknik untuk mengevaluasi pengendalian internal SIA. sebuah metodologi dan serangkaian teknik untuk mengevaluasi pengendalian internal SIA. Bagian ketiga, mendiskusikan teknik evaluasi atas keandalan dan integritas informasi SIA bagian Bagian ketiga, mendiskusikan teknik evaluasi atas keandalan dan integritas informasi SIA bagian terakhir, merupakan tinjauan terhadap audit operasional SIA.

terakhir, merupakan tinjauan terhadap audit operasional SIA.

SIFAT AUDIT SIFAT AUDIT

American accounting association telah merumuskan defenisi umum berikut ini untuk American accounting association telah merumuskan defenisi umum berikut ini untuk audit.Audit adalah sebuah proses sistematis untuk secara objektif mendapatkan dan audit.Audit adalah sebuah proses sistematis untuk secara objektif mendapatkan dan mengevaluasi bukti mengenai penyertaan perihal tindakan dan transaksi bernilai ekonomi, untuk mengevaluasi bukti mengenai penyertaan perihal tindakan dan transaksi bernilai ekonomi, untuk memastikan tingkat

memastikan tingkat kesesuaian antara pernyataan terkesesuaian antara pernyataan tersebut sebut dengan kriteria yang tdengan kriteria yang telah ditetapkan,elah ditetapkan, serta mengkomunikasikan hasil-hasilnya pada para pemakai yang berkepentingan.

serta mengkomunikasikan hasil-hasilnya pada para pemakai yang berkepentingan.

Audit membutukan pendekatan langkah per langkah yang dibentuk dengan perencanaan Audit membutukan pendekatan langkah per langkah yang dibentuk dengan perencanaan teliti serta pemilihan dan pelaksanaan teknik yang tepat dengan hati-hati. Dalam membuat teliti serta pemilihan dan pelaksanaan teknik yang tepat dengan hati-hati. Dalam membuat rekomendasi, audit membuat kriteria-kriteria,seperti prinsip-prinsip manajemen dan pengedalian, rekomendasi, audit membuat kriteria-kriteria,seperti prinsip-prinsip manajemen dan pengedalian, yang telah dijelaskan dalam babb-bab sebelumnya, sebagai dasar evaluasi.

Para

Para auditor auditor biasanya biasanya mengaudit mengaudit diluar diluar computer computer ( ( audit audit around around the the computer computer ) ) dan dan tidaktidak menghiraukan computer dan progr4am-prongramnya. Mereka hanya mempelajari catatan dan menghiraukan computer dan progr4am-prongramnya. Mereka hanya mempelajari catatan dan autput dari s

autput dari sistem tersebut,dan istem tersebut,dan berfikir jiberfikir jika output telah dengan ka output telah dengan benar dihasilkan benar dihasilkan dari inputdari input sisitem, maka pemrosesan pastilah handal. Pendekatan yang lebih baru, yaitu audit melalui sisitem, maka pemrosesan pastilah handal. Pendekatan yang lebih baru, yaitu audit melalui computer ( audit through the computer ), mengunakan computer untuk memeriksa kecukupan computer ( audit through the computer ), mengunakan computer untuk memeriksa kecukupan  pengendalian

 pengendalian sistem, data sistem, data dan odan output. Sutput. Sebagian bebagian besar teknik esar teknik audit audit yang dididkuyang dididkusikan dalam sikan dalam babbab ini melibatkan audit melalui computer.

ini melibatkan audit melalui computer.

Standar-standar audit internal Standar-standar audit internal

Berdasarkan institute of internal audit ( IIA ), tujuan dari audit internal adalah untuk Berdasarkan institute of internal audit ( IIA ), tujuan dari audit internal adalah untuk mengevaluasi kecukupan dan efektifitas sistem pengendalian internal perusahaan, serta mengevaluasi kecukupan dan efektifitas sistem pengendalian internal perusahaan, serta menetapkan keluasan dari pelaksanaan tanggung jawab yang benar-benar dilakukan. Kelima menetapkan keluasan dari pelaksanaan tanggung jawab yang benar-benar dilakukan. Kelima standar lingkup audit IIA memberikan garis besar atas tanggun

standar lingkup audit IIA memberikan garis besar atas tanggung jawab audit internal :g jawab audit internal : 1.

1. Melakukan tinjauan atas keadaan dan integritas informasi operasional dan keuangan,Melakukan tinjauan atas keadaan dan integritas informasi operasional dan keuangan, serta bagaimana hal tersebut diidentifikasi, diukur, diklasifikasi dan dilaporkan.

serta bagaimana hal tersebut diidentifikasi, diukur, diklasifikasi dan dilaporkan. 2.

2. Menetapkan apakah sistem telah didesain untuk sesuai dengan kebijakan operasional danMenetapkan apakah sistem telah didesain untuk sesuai dengan kebijakan operasional dan  pelaporan, perencanaan, prosedur, hukum, dan peraturan yang berlaku.

 pelaporan, perencanaan, prosedur, hukum, dan peraturan yang berlaku. 3.

3. Melakukan tinjauan mengenai bagaimana asset dijaga, dan memverifikasi keberadaanMelakukan tinjauan mengenai bagaimana asset dijaga, dan memverifikasi keberadaan asset tersebut.

asset tersebut. 4.

4. Mempelajari sumber daya perusahaan untuk menetapkan seberapa efektif dan efisienMempelajari sumber daya perusahaan untuk menetapkan seberapa efektif dan efisien mereka digunakan .

mereka digunakan . 5.

5. Melakukan tinjauan atas operasional dan program perusahaan, untuk menetapkan apakahMelakukan tinjauan atas operasional dan program perusahaan, untuk menetapkan apakah mereka telah dilaksanakan sesuai rencana dan apakah mereka dapat memenuhi mereka telah dilaksanakan sesuai rencana dan apakah mereka dapat memenuhi tujuan-tujuan mereka.

tujuan mereka.

Berbagai

Berbagai organisasi organisasi sekarang ini, sekarang ini, mengunakan SIA mengunakan SIA terkomputerisasi terkomputerisasi untuk memprosuntuk memproses,es, menyimpan, dan mengendalikan informasi perusahaan. Untuk mencapai kelima tujuan yang menyimpan, dan mengendalikan informasi perusahaan. Untuk mencapai kelima tujuan yang telah disebut diatas, seorang auditor internal memiliki kualifikasi untuk memeriksa seluruh telah disebut diatas, seorang auditor internal memiliki kualifikasi untuk memeriksa seluruh elemen SIA yang terkomputerisasi dan menggunakan computer sebagai alat untuk mencapai elemen SIA yang terkomputerisasi dan menggunakan computer sebagai alat untuk mencapai tujuan-tujuan audit tersebut. Dengan kata lain, keahlian computer merupakan hal yang penting tujuan-tujuan audit tersebut. Dengan kata lain, keahlian computer merupakan hal yang penting untuk melaksanakan audit internal.

untuk melaksanakan audit internal. Jenis-jenis kegiatan audit internal Jenis-jenis kegiatan audit internal

Terdapat tiga jenis audit yang biasanya dilakukan, yaitu : Terdapat tiga jenis audit yang biasanya dilakukan, yaitu :

1. Audit keuagan memeriksa keandalan dan integritas catatan-catatan akuntasi ( baik informasi keungan dan operasional ) dan menghubungkannya dengan standar pertama dari kelima standar lingkup audit internal.

2. Audit sistem informasi melakukan tinjauan atas pengendalian SIA untuk menilai kesesuainnya dengan kebijakan dan prosedur pengendalian serta efektifitas dalam menjaga aset perusahaan. Lingkupnya secara kasar berhubungan dengan standar kedua dan ketiga dari IIA.

3. Audit operasional atau manajemen berkaitan dengan penggunaan secara ekonomis dan efisien sumber daya, serta pencapaian sasaran dan tujuan yang telah ditetapkan. Lingkupnya berhubungan dengan standarn keempat dan kelima.

Tinjauan menyeluruh proses audit

Seluruh audit mengunakan urutan kegiatan yang hampir sama, hingga dapat dibagi ke dalam empat langkah : merencanakan, mengumpulkan bukti, mengevaluasi bukti, dan mengkomunikasikan hasil audit. Gambar 10-1 menyajikan tinjauanmenyeluruh proses audit, dengan menspesifikasikan beberapa prosedur yang biasanya dilakukan untuk setiap tahap tersebut. Bagian ini mendiskusikan keempat tahap audit dan kegiatan-kegiatan yang dilakukan secara lebih terinci.

Merencanakan audit

Tujuan dari perencanaan audit adalah untuk menetapkan mengapa, bagaimana, kapan, dan oleh siapa audit akan dilaksanakan. Langkah pertama dalam perencanan audit adalah menetapkan lingkup dan tujuan audit. Contohnya, lingkup audit sebuah perusahaan terbuka meluas sehingga kepara pemegang saham perusahaan dengan tujuan mengevaluasi kejujuran  penyajian laporan keuangan. Sebaliknya, audit internal mungkin memeriksa seluruh divisi, departemen tertentu, atau sebuah aplikasi computer. Audit internal dapat berfokus pada  pengendalian internal, informasi keuangan, kinerja operasional, atau beberapa kombinasi dari

ketiga audit tersebut.

Sebuah tim audit yang memiliki pengalaman dan keahlian yang dibutuhkan akan di  bentuk. Para anggota tim menjadi lebih dalam mengenali pihak yang audit ( auditee ) melalui

diskusi dengan personil tingkat supervisor dan operasional, melakukan tinjauan

Merencanakan audit

Tetapkan lingkup dan tujuanorganisir tim audit kembangkan pengetahuan mengenai operasional bisnis tinjauan hasil audit sebelumnya identifikasi faktor-faktor

Gambar 10-1 tinjauan menyeluruh prose audit

Atas dokumentasi sistem, dan melakukan tinjauan atas penemuan –   penemuan dalam audit terdahulu.

Sebuah audit harus direncanakan sedenikian rupa agar sebagian besar kegiatan audit  berfokus pada area-area yang memiliki faktor-faktor risiko tinggi. Ada tiga jenis risiko dalam

melakukan audit, yaitu :

1. Risiko inher4en adalah toleransi atas risiko yang material dengan mempertimbangkan ketidak beradaan pengendalian. Contohnya, sebuah sistem yang menerapkan pemrosesan on-line, jaringan, software database, telekomunikasi, dan bentuk teknologi canggi

Mengumpulkan bukti audit

Pengamatan atas kegiatan-kegiatan operasional tinjauan dokumentasi berdiskusi dengan para pegawai kuesioner pemeriksaan fisik asset konfirmasi melalui pihak ketiga melakukan ulang prosedur pembuktian dengan dokumen

sumber review analitis pengambilan sampel audit

Mengevaluasi bukti audit

Nilai kualitas pengendalian internal nilai keandalan informasi nilai kinerja operasinal pertimbangan kebutuhan atas bukti tambahan pertimbangan

faktor-faktor risiko pertimbangan faktor-faktor materialitas dokumentasika penemuan-penemuan audit

Mengkomunikasikan hasil audit Memformulasikan kesimpulan audit membuat rekomendasi bagi pihak manajemen mempersiapkan

laporan audit menyajikan hasil-hasil audit ke pihak manajemen

lainnya, memiliki lebih banyak risiko inheren dari pada suatu sistem pemrosesan batch yang tradisonal.

2. Risiko pengendalian adalah risiko yang timbul dari kesalahan penyajian yang material dan berdampak hingga ke struktur pengendalian internal serta ke laporan keuangan.Sebuah perusahaan yang memiliki pengendalian internal lemah memiliki lebih  banyak risiko pengendaliam daripada perusahaan dengan pengendalian internal yang kuat. Risiko pengendalian dapat ditetapkan dengan cara melakukan tinjauan atas lingkungan pengendalian dan mempertimbangkan kelemahan pengendalian yang diidentifikasi dalam audit terdahulu, dan dengan mengevaluasi bagaimana kelemahan-kelemahan tersebut telah diperbaiki.

3. Risiko pendeteksian adalah risiko yang timbul akibat tidak dapat terdeteksinya sebuah kesalahan atau kesalahan penyajian oleh auditor dan prosedur audit yang dibuatnya.

Untuk mematangkan tahap perencanaan, sebuah program audit awal dipersiapkan untuk menunjukan sifat, keluasan, dan waktu prosedur-prosedur yang dibutuhkan untuk mencapai tujuan audit dan untuk meminimalkan risiko-risiko audit. Suatu angaran waktu dipersiapkan, dan  para anggota staf akan ditugaskan untuk melaksanakan langkah-langkah audit tertentu.

Mengumpulkan bukti audit

Sebagian besar usaha audit dihabiskan untuk mengumpulkan bukti. Berikut ini adalah metode-metode yang paling umum digunakan untuk mengumpulkan bukti audit :

 Pengamatan atas berbagai kegiatan yang diaudit ( contohnya, memperhatikan bagaimana cara pegawai memasuki lokasi computer atau bagaimana personil pengendalian data menangani kegiatan pemprosesan data begitu data diterima).

 Melakukan tinjauan atas dokumentasi untuk memahami bagaimana suatu SIA atau sistem  pengendalian internal berfungsi.

 Diskusi dengan para pegawai mengenai pekerjaan mereka dan bagaimana mereka melaksanakan beberapa prosedur tertentu.

 Kuesioner yang dapat mengumpulkan data mengenai sistem terkait.

 Pemeriksaan fisik jumlah dan / atau kondisi asset berwujut seperti perlengkapan,  persediaan, atau kas.

 Melakukan konfirmasi atas ketepatan informasi tertentu, seperti saldo rekening  pelanggan, melalui komunikasi dengan pihak ketiga yang independen.

 Melakukan ulang prosedur pilihan perhitungan tertentu untuk memverifikasi informasi kuantitatif dari beberapa catatan dan laporan ( contohnya, auditor dapat menghitung kembali suatu total batch atau menghitung kembali beban depresiasi tahunan ).

 Pembuktian untuk mendapatkan validitas sebuah transaksi dengan cara memeriksa seluruh dokumen pendukungnya, seperti pesanan pembelian, laporan penerimaan, dan faktur penjualan dari pemasok yang mendukungtransaksi utang usaha.

 Tinjauan analitis atas hubungan dan tren antar informasi untuk mendeteksi hal-hal yang harus diselediki lebih lanjut ( contohnya, seorang auditor untuk jaringan took baju menemukan bahwa disalah satu took, rasio piutang usaha terhadap penjualan sangat tinggi. Sebuah penyelidikan mengungkap bahwa manajer took tersebut telah mengalihkan uang dari hasil penagihan, untuk dipakai secara pribadi ).

Oleh karena banyak pengujian dan prosedur audit yang tidak layak untuk dilaksanakan di seluruh rangkaian kegiatan, catatan, asset, atau dokumen yang ditinjau, pengujian dan  prosedur tersebut sering kali dilaksanakan dengan mengambil sampel. Sebuah audit biasa umumnya akan menggunakan campuran berbagai prosedur. Contohnya, suatu audit yang di desain untuk mengevaluasi pengendalian internal SIA akan mengunakan lebih banyak kegiatan pengamatan, tinjauan atas dokumentas, diskusi dengan para pegawai, dan  pelaksanaan ulang prosedur pengendalian. Suatu audit informasi keuangan akan berfokus  pada pemeriksaan fisik, konfirmasi, pembuktian, tinjauananalitis, dan pelaksanaan ulang  proses perhitungan saldo rekening.

Mengevaluasi bukti audit

Auditor mengevaluasi bukti yang dikumpulkan dengan dasar tujuan audit tertentu, dan memutuskan apakah bukti tersebut mendukung kesimpulan atau tidak.Apabila kurang mendukung, auditor akan merencanakan dan melaksanakan prosedur tambahan sampai bukti yang cukup dapat di kumpulkan untuk membuat kesimpulan yang kuat.

Materialitas dan kepastian yang wajar merupakan hal yang penting ketika ingin memutuskan seberapa jauh kegiatan audit dibutuhkan dan kapan saat untuk mengevaluasi bukti. Oleh karena kesalahan selalu ada pada sistem manapun, para auditor berfokus untuk mendeteksi dan melaporkan kesalahan-kesalahan yang memiliki dampak signifikan pada interpretasi pihak manajemen atas penemuan-penemuan audit.Menetapkan materialitas, yaitu mengenai apa yang  pentinag dan tidak penting berdasarkan suatu situasi, sebagian besar merupakan masalah  penilaian. Materialitas secara umum lebih penting untuk audit eksternal, yang penekanan umumnya adalah kejujuran penyajian laporan keuangan, bukan untuk audit internal, yang  berfokus untuk menetapkan tingkat kesesuaian dengan kebijakan manajemen.

Auditor mencari keyakinan yang wajar bahwa tidak ada kesalahan yang material dalam informasi atau proses yang di audit. Oleh karena sangat mahal untuik mencari kepastian yang lengkap, audit harus bersedia menerima sejumlah risiko bahwa kesimpilan audit tidak besar. Merupakan hal yang penting untuk disadari bahwa ketika risiko inheren atau pengendalian tinggi, auditor harus mendapatkan keyakinan yang lebih besar untuk mengimbangi ketidak  pastiaan dan risiko yang lebih besar.

Dalam seluruh tahapan audit, penemuan dan kesimpulan dengan hati-hati didokumentasikan dalam lembar kerja audit. Dokumentasi sangatlah penting pada tahap evaluasi untuk mencapai dan mendukung, kesimpulan akhir.

Mengkomunikasikan hasil audit

Audit mempersiapkan laporan tertulis ( dan kadang-kadang lisan ) yang meringkas  penemuan-penemuan dan berbagai rekomendasi audit, dengan referensi bukti pendukung dalam

lembar kerja. Laporan ini disajikan kepada pihak manajemen, komite audit, dewan komisaris, dan pihak-pihak lain yang terkai. Setelah hasil audit dikomunikasikan, para auditor sering kali melaksanakan penelitia lanjut untuk memastikan bahwa rekomendasi mereka telah diimplementasikan.

Penekatan audit berdasarkan risiko ( the risk-based audit approach )

Pendekatan empat tahap berikut ini untuk evaluasi pengendalian internal, disebut pula sebagai pendekatan audit berdasarkan risiko, dan memberikan kerangka logika untuk melaksanakan audit :

1. Tentukan ancaman-ancaman ( kesalahan dan ketidak beraturan ) yang di hadapi SIA. 2. Identifikasi prosedur pengendalian yang diimplementasikan untuk meminimalkan setiap

ancaman denga mencegah atau mendeteksi kesalahan dan ketidak beraturan

3. Evaluasi prosedur pengendalian. Meninjau dokumentasi sistem dan wawancara dengan  personil yang tepat untuk menetapkan apakah prosedur yang dibutuhkan ada atau tidak,

disebut pula sebagai tinjauan sistem. Kemudian, uji pengendalian dilaksanakan untuk menetapkan apakah prosedur-prosedur tersebut telah diikuti dengan baik. Uji ini terdiri dari berbagai kegiatan seperti mengamati operasional sistem; memeriksa dokumen, catatan, dan laporan; memeriksa beberapa sampel input dan output sistem; serta menelusuri transaksi di sepanjang sistem.

4. Evaluasi kelemahan ( kesalahan dan ketidak-beraturan yang tidak terungkap oleh  prosedur pengendalian ) untuk menetapkan pengaruhnya atas sifat, atau keluasan  prosedur audit dan saran pada klien. Langkah ini berfokus pada risiko pengendalian dan apakah sistem pengendalian secara keseluruhan menangani hal-hal tersebut atau tidak. Apabila kekurangan pengendalian teridentifikasi, auditor menanyakan tentang  pengendalian pengimbang ( compensating control ), atau prosedur-prosedur yang mengimbangi kekurangan tersebut. Kelemahan pengendalian di sebuah area mungkin dapat diterima apabila kelemahan tersebut diimbangi dengan kelebihan pengendalian di area lainnya.

Pendekatan berdasarkan risiko untuk audit memberikan para auditor pemahaman yang jelas atas kesalahan dan ketidak-beraturan yang dapat terjadi dan risiko serta pajanan yang terkait. Pemahaman atas hal ini memberikan dasar yang kuat untuk mengembangkan rekomendasi dasar yang kuat untuk mengembangkan rekomendasi pada pihak manajemen mengenai  bagaimana sistem pengendalian SIA seharusnya ditingkatkan.

Audit sistem informasi

Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem tersebut. Ketika melaksanakan audit sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini di penuhi :

1. Perlengkapan keamanan melindungi perlengkapan computer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi, atau penghancuran.

2. Pengembanan dan perolehan program dilaksanakan sesuai dengan otoritas khusus dan umum dari pihak manajemen.

3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen. 4. Pemrosesan transaksi, file, laporan, dan catatan computer lainnya telah akurat dan

lengkap.

5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasikan dan ditanggani sesuai dengan kebijakan manajerial yang telah di tetapkan.

6. File data computer telah akurat, lengkap, dan dijaga kerahasiaannya.

Gambar 10-2 melukiskan hubungan diantara enam tujuan ini dengan komponen-komponen sistem informasi. Setiap tujuan tersebut didiskusikan secara lebih terinci dalam bagian berikut. Setiap deskripsi terdiri dari rencana untuk mencapai setiap tujuan di atas, dan juga teknik serta  prosedur yang di perlukan untuk melaksanakan rencana audit tersebut.

Tujuan 1 : keamanan keseluruhan

Table 10-1 berisi kerangkan untuk audit keamanan computer. Tabel tersebut menunjukan hal-hal berikut ini :

1. Jenis kesalahan dan penipuan keamanan yang dihadapi oleh perusahaan. Hal ini mencakup kerusakan yang disengaja atas asset sistem; akses tidak sah, pengungkapan atau modifikasi data dan program; pencusrian; serta interupsi atas kegiatan bisnis yang  penting.

2. Prosedur pengendalian untuk memenimalkan kesalahan dan penipuan keamanan. Hal ini mencakup mengembangkan rencana keamanan / perlindungan informasi dari virus, mengimplementasikan firewall, mengadakan pengendalian atas pengiriman data, dan mencegah serta memulihkan diri dari kegagalan sistem atau bencana lainnya.

3. Prosedur audit tinjauan sistem. Hal ini mencakup memerikasa lokasi computer; melakukan wawancara dengan para personilanya; meninjau kebijakan dan prosedur; serta memeriksa daftar akses, kebijakan asuransi, dan rencana pemuilihan dari bencana.

4. Prosedur audit pengujian pengendalian. Para auditor menguji pengendalian keamanan dengan cara mengamati prosedur, memferivikasi bahwa terdapat pengendalian dan

 pengendalian tersebut berfungsi seperti dengan yang diharapkan, menginvestigasi  berbagai kesalahan atau masalah untuk memastika mereka ditangani dengan benar, serta memerikasa berbagai uji yang sebelumnya telah dilaksanakan. Contohnya, salah satu cara untuk menguji pengendalian akses logika adalah dengan mencoba melaksanakn masuk kesistem. Selam audit keamanan sebuah badan pemerintah Amerika serikat, para auditor menggunakan terminal-terminal badan tersebut untuk mendapatkan akses secara tidak sah kesistem computer mereka, memastikan prosedur pemeriksaan keamananya, dan mengendalikan sistem tersebut dari terminal yang mereka pakai.Kegagalan keamanan dapat terjadi karena kurangnya pengendalian administrative dan software keamanan yang tidak memadai.

Gambar 10-2 komponen sistem informasi dan tujuan audit yang berkaitan Tujuan 1 :

Keaman keseluruhan Tujuan 5 :

Data sumber

Tujuan 2 :

Pengembangan dan perolehan program

Entri data Data sumber pemrosesan file program output Data sumber

Tujuan 3 : tujuan 4 : tujuan 6 :

Modifikasi program pemrosesan computer file data

5. Pengendalian pengimbangan. Apabila pengendalian keamanan sangatlah tidak cukup, amaka organisasi menghadapi risiko yang besar. Kebijakan personil yang baik dan  pemisahan tugas secara efektis atas pekerjaan yang tidak boleh disatukan, dalam  beberapa hal dapat mengimbangi keamanan computer yang kurang tersebut. Oleh karena hampir tidak mungkin pengendalian  –  pengendalian ini dapat mengimbangi secara keseluruhan keaman computer yang kurang baik, para auditor harus sangat merekomendasikan agar kelemahan keamanan tersebut diperbaiki.

Tujuan 2 : pengembangan dan perolehan program

Table 10-2 memberikan kerangka untuk meninjau dan mengevaluasi proses pengembangan  program: ( 1 ) Kesalah yang tidak di sengaja karena adanya kesalapahaman atas spesifikasi

sistem

Table 10-1 kerangka untuk audit keamana computer Jenis-jenis kesalahan dan penipuan

 _{Pencurian atau kerusakan yang tidak} disengaja dan disengaja atas hardware dan file

 Kehilangan atau pencurian atas atau akses tidak sah ke program, file data dan sumber daya sistem lainnya

 _{Kehilangan atau pencurian atas atau}  pengungkapan secara tidak sah atas data

rahasia

 _{Modifikasi atau penggunaan secara tidak} sah program dan file data

 _{Interupsi atas kegiatan bisnis yang}  penting

Prosedur pengendalian

 _{Rencana keamanan/perlindungan} informasi

 _{Pembatasan atas akses secara fisik ke}  perlengkapan komputer

 _{Pengendalian atas akses logika dengan}  perlindungan password dan prosedur

 Meninjau kebijakan dan prosedur  pembuatan cadangan dan pemulihan file  _{Meninjau kebijakan dan prosedur}

 penyimpanan serta pengiriman data

 _{Meninjau prosedur yang diterapkan} untuk meminimalkan kegagalan waktu sistem (system downtime)

 _{Meninjau kontrak pemeliharaan dengan}  pemasok

 _{Memeriksa daftar akses sistem}

 _{Memeriksa rencana pemulihan dari}  bencana

 Memeriksa kebijakan asuransi apabila terjadi bencana atas sistem informasi Prosedur audit: uji pengendalian

 Mengamati prosedur akses ke lokasi komputer

 _{Mengamati persiapan dan penyimpanan} diluar lokasi kantor untuk file cadangan  _{Meninjau catatan pemberian dan}

konfirmasi lainnya

 _{Pengendalian penyimpanan dan}  pengiriman data seperti enkripsi

 _{Prosedur perlindungan dari virus}

 _{Prosedur pembuatan cadangan dan}  pemulihan file

 _{Desain sistem yang dapat mentoleransi} kegagalan

 _{Rencana pemulihan dari bencana}  _{Pemeliharaan pencegahan}

 _{Menggunakan firewall}  _{Asuransi sistem informasi} Prosedur audit: tinjauan atas sistem  Menginspeksi lokasi komputer

 Meninjau rencana

keamanan/perlindungan informasi

 _{Wawancara dengan personil sistem} informasi mengenai prosedur keamanan  _{Meninjau dokumentasi tertulis mengenai}

kebijakan dan prosedur akses secara fisik  _{Meninjau kebijakan dan prosedur akses}

logika

 Menyelidiki bagaimana percobaan akses tidak sah ditangani

 _{Memverifikasi keluasan dan efektivitas}  penggunaan enkripsi data

 _{Memverifikasi efektivitas penggunaan}  pengendalian pengiriman data

 _{Memverifikasi penggunaan secara efektif} firewall

 _{Memverifikasi penggunaan secara efektif}  prosedur perlindungan dari virus

 _{Memverifikasi penggunaan pemeliharaan}  pencegahan serta sumber listrik yang

tidak terganggu

 _{Memverifikasi jumlah dan batasan}  jaminan asuransi

 _{Memeriksa hasil uji simulasi rencana}  pemulihan dari bencana

Pengendalian pengimbang

 _{Kebijakan yang baik dalam hal}  personalia

 _{Pengguanaan pengendalian secara efektif}  Pemisahan pekerjaan yang tidak boleh

disatukan

Atau kecerobohan pemrograman, dan ( 2 ) perintah tidak sah yang dengan sengaja dimasukkan kedalam program. Masalah-masalah ini dapat dikendalikan dengan cara meminta otorisasi serta persetujuan dari pihak manajemen dan pemakai, pengujian keseluruhan, dan dokumentasi yang memadai.

Peran auditor dalam pengembangan sistem harus dibatasi sampai pada peninjauan independen atas kegiatan pengembangan sistem. Untuk mempertahankan objektivitas yang dibutuhkan dalam melaksanakan evaluasi independen atas fungsi, para auditor harus tidak di libatkan dalam pengembangan sistem. Selam peninjauan sistem, para auditor harus mendapat  pemahaman mengenai prosedur pengembangan dengan mendiskusikannya bersama pihak

manajemen, pemakai sistem, dan para personil sistem informasi. Mereka juga harus meninjau kebijakan, prosedur, standar, dan dokumentasi yang tercantum pada Tabel 10-2.

Tabel 10-2

Jenis-jenis kesalahan dan penipuan

 _{Kesalahan pemrograman yang} tidak di sengaja

 _{Kode program yang tidak sah} Prosedur pengendalian

 Meninjau perjanjian lisensi software

 _{Otorisasi manajemen atas}  pengembangan program dan  persetujuan untuk spesifikasi  pemrograman

 _{Otorisasi dari pihak manajemen} untuk memperoleh software

 _{Persetujuan pemakai atas} spesifikasi pemrograman

 _{Pengujian keseluruhan atas}  program yang baru

 _{Pengujian penerimaan oleh}  pemakia

 _{Dokumentasi sistem, termasuk}  persetujuan yang lengkap

Prosedur audit : tinjauan atas sistem

 _{Tinjauan independen dan}  bersamaan atas proses  pengembangan sistem

 _{Tinjauan prosedur dan kebijakan}  pengembangan / perolehan sistem  _{Tinjauan otorisasi sistem dan}

 prosedur persetujuannya

 _{Tinjauan atas standar evaluasi}  pemrograman

 Tinjauan atas standar dokumentasi  program

 Tinjauan atas pengujian program dan  prosedur persetujuan pengujian

 _{Tinjauan atas prosedur untuk} memastikan seluruh software yang diperoleh memiliki perjanjian lisensi hak cipta yang sesuai

 _{Diskusikan prosedur pengembangna} sistem dengan pihak manajemen,  pemakai sistem, dan personil sistem

informasi

 _{Tinjauan dokumentasi sistem sistem} aplikasi akhir

Prosedur audit : uju pengendalian

 _{Wawancara dengan pemakai} mengenai keterlibatan mereka dalam  perolehan / pengembangan serta

implementasi sistem

 _{Tinjauan atas notulen rapat tim}  pengembangan untuk mendapat  bukti keterlibatan

 Memverifikasi poin-poin penting  penolakan manajemen dan pemakia

dalam proses pengembangan

 _{Tinjauan atas spesifikasi pengujian,} data uji, dan hasil pengujian sistem  _{Tinjauan atas perjanjian lisensi}

software

Pengendalian pengimbangan

 _{Pengendalian pemrosesan yang} kokoh

 _{Pemrosesan secara independen data} uji oleh auditor

Untuk menguji pengendalian pengembangan sistem, para auditor harus mewawancarai  para manajemen dan pemakai sistem, memeriksa persetujuan pengembangan, dan meninjau notulen rapat tim pengembangan sistem. Para auditor harus meninjau secara keseluruhan semua dokumentasi yang berhubungan dengan proses pengujian dan memastikan bahwa seluruh  perubahan program telah diuji. Auditor harus memeriksa spesifikasi uji, meninjau data uji, dan mengevaluasi hasil pengujian. Apabila hasil pengujian tidak sesuai dengan harapan, maka auditor harus memastikan bagaimana masalah tersebut diatasi. Pengendalian pemrosesan yang kokoh ( lihat tujuan 4 ) kadangkala dapat mengimbangi pengendalian pengembangan yang kurang baik. Apabila para auditor bergantumg pada pengendalian pengimbangan untuk

 pemrosesan, mereka harus mendapatkan bukti yang mendukung ketaatan terhadap sistem, dengan menggunakan berbagai teknik, seperti pengujian data pemrosesan independen. Apabila  bukti sejenis ini tidak bisa di dapatkan, mereka dapat menyimpulkan bahwa terdapat kelemahan yang material dalam pengendalian internal, dan bahwa risiko kesalahan atau penipuan dalam  program aplikasi terlalu tinggi hingga tidak dapat diterima.

Tujuan 3 : modifikasi program

Table 10-3 menyajikan kerangka untuk melakukan audit program aplikasi dan perubahan software sistem. Kesalahan dan penipuan yang terjadi dalam pengembangan program dapat juga terjadi selam modifikasi program. Contohnya, salah seorang programmer ditugaskan untuk memodifikasi sistem pengajian perusahaannya, menyisipkan sebuah perintah untuk menghapus seluruh file computer apabila perintah pemberhentian dimasukan kedalam catatan pengajian dirinya. Ketika programmer tersebut dipecat, perintah pemberhentian yang dimasukkan kedalam catatannya telah menyebabkan sistem tersebut tertabrakan dan menghapus file-file utama.

Ketika sebuah perubahan program diserahkan untuk persetujuan, sebuah daftar hal-hal yang akan diperbarui harus di susun dan kemudian disetujui oleh pihak manajemen dan pemakia  program. Semua perubahan program harus di uji secara keseluruhan dan didokumentasikan.

Selama proses perubahan, versi pengembangan program harus tepat dipisahkan dari versi  produksi program. Setelah program yang dirubah telah mendapatklan persetujuan akhir,  perubanha tersebut diimplementasikan dengan cara menganti versi produksi dengan versi  pengembangan.

Selam tinjaun sistem, auditor harus mendapatkan pemahaman atas proses perubahan melalui diskusi dengan manajemen dan personil yang mengunkan program tersebut. Kebujakan,  prosedur dan standar untuk memberikan persetujuan, modifikasi, pengujian, dan dokumentasi  perubahan harus di periksa. Bahan dokumentasi akhir yang lengkap untuk perubahan program yang terbaru, termasuk prosedur dan hasil uji, harus ditinjau. Terakhir, auditor harus meninjau  prosedur yang digunakan untuk membatasi akses logika ke versi pengembangan program

tersebut.

Bagian yang penting dari uji pengendalian yang dilaksanakan seorang auditor adalah memverifikasi bahwa perubahan program telah diidentifikasi, didaftar, disetujui, diuji, dan didokumentasikan.langkah ini mensyaratkan auditor untuk mengamati bagaimana perubahan diimplementasikan untuk memverifikasi bahwa program pengembangan dan

Table 10-3

Jenis-jenis kesalahan dan penipuan

 _{Kesalahan pemrograman yang tidak}

di sengaja

 _{Kode program yang tidak sah}

Prosedur pengendalian

 Daftar berbagai komponen program

yang akan dimodifikasi

 _{Otorisasi dan persetujuan pihak}

manajemen atas modifikasi program

 _{Persetujuan pemakai atas perubahan}

spesifikasi program

 Pengujian keseluruhan atas

 perubahan program, termasuk uji  penerimaan pemakai

 _{Dokumentasi perubahan program}

yang lengkap, termasuk perihal  persetujuan

 _{Pengembangan, uji dan versi}

 produksi program yang terpisah

 _{Perubahan yang diimplementasikan}

oleh yang pegawai independen serta  programmer

 _{Pengendalian akses logika}

Prosedur audit : tinjaun atas sistem

 Tinjaua kebijakan, standar, dan

 prosedur modifikasi program

 Tinjaun standar dokumentasi untuk

modifikasi program

 _{Tnjaua pengujian modifikasi}

 program serta uji prosedur  pemberian persetujuan

 Diskusikan kebijakan dan prosedur

modifikasi program dengan pihak manajemen, pemakia,sistem, dan  personil sistem informasi

 Tunjau dokumen akhir untuk

 beberapa modifikaso program tipikal

 _{Tihjau spesifikasi uji, data uji, dan}

hasil dari pengujian sistem

 _{Tinjau kebijakan dan prosedur}

 pengendalian akses logika Prosedur audit : uji pengendalian

 _{Verifikasi pemakai dan persetujuan}

manajemen sistem informasi atas  perubahan program

 _{Verifikasi bahwa}

komponen-komponen yang dimodifikasi telah diidentifikasi dan didaftar

 _{Verifikasi bahwa prosedur uji}

 perubahan perubahan program sesuai dengan standar

 _{Verifikasi bahwa dokumentasi}

 perubahan program sesuai dengan standar

 _{Verifikasi bahwa pengendalian akses}

logika berfungsi dalam perubahan  program

 _{Amati impelementasi perubahan}

 program dan verifikasi bahwa ( 1 )  pengembangan, uji, dan versi  produksi yang terpisah dibuat, dan (

2 ) perubahan tidak

diimplementasikan baik oleh

 pemakai maupun personil

 programmer

 _{Untuk menguji perubahan yang tidak}

sah atau yang salah, gunakan ( 1 )  program perbandingan kode sumber, ( 2 ) pemrosesan ulang, dan ( 3 ) simulasi paraler

Pengendalian pengimbangan

 _{Uji audit independen untuk}

 perubahan program yang tidak sah atau yang salah

 Pengendalian pemrosesan yang

 bagus

Produksi yang terpisah tetap dilaksanakan, dan bahwa perubahan tersebut diimplementasikan oleh seseorang yang independen dari pemakai dan fungsi pemrograman.

Auditor harus meninjau table pengendalian akses program pengembangan untuk memverifikasi  bahwa hanya pemakai yang ditugaskan untuk melaksanakan modifikasi, yang memiliki akses

kesistem.

Untuk menguji keberadaan perubahan program secara tidak sa, para auditor dapat menggunakan program perbandingan kode. Setelah auditor menguji sebuah program yang baru dikembangkan secara menyeluruh ( tujuan 2 ), mereka menyimpan sebuah salinan dari kode sumbernya. Di kemudian hari, auditor dapat menggunakan program perbandingan untuk membandingkan versi terakhir program dengan kode sumber lainnya.Apabila tidak ada  perubahan yang diotorisasi, kedua versi ini seharusnya identic. Oleh sebab itu, perbedaan yang tidak sah akan berlanjut ke penyelidikan. Apabila perbedaan tersebut menyajikan perubahan yang teotorisasi, auditor dapat merujuk pada spesifikasi perubahan program untuk memastikan  bahwa perubahan tersebut terotorisasi dan dengan tepat digabungkan.

Terdapat dua teknik tambahan untuk mendeteksi perubahan yang tidak sah. Teknik  pemrosesan ulang juga menggunakan salinan kode sumber yang telah diferevekasi. Tanpa  pemberitahuan sebelumnya, auditor mengunakan program ini untuk memproses ulang data dan membandingkan outputnya dengan data perusahaan. Penyimpangan dari kedua pasang output tersebut akan diselidiki untuk memastikan penyebabnya. Simulasi parallel hampir sama dengan teknik pemrosesan ulang, kecuali bahwa auditorlah yang menulis program, bukan menggunakan salinan kode sumber yang telah diverifikasi dan di simpan. Hasil dari simulasi auditor akan di  bandingkan dengan hasil milik perusahaan, dan perbedaan apapun akan diselidiki. Simulasi  parallel dapat digunakan untuk menguji sebuah program selama proses implementasi. Contohnya, Jason menggunakan teknik untuk untuk menguji beberapa bagian dari sistem  penggajian baru SPP.

Para auditor harus mengamati pengujian dan implementasi, meninjau otoritas dan dokumen yang terkait, dan jika perlu, melaksanakan pengujian independen untuk setiap  perubahan program yang besar. Apabila langkah ini dilewati dan pengendalian program kemudian ditemukan tidak memadai, maka tidak mungkin mengandalkan output program. Sebagai tambahan, para auditor harus selalu menguji program tanpa pemberitahuan sebelumnya, sebagai tindakan pencegahan atas perubahan program secara tidak sah, yang disusupkan setelah  pemeriksaan selesai dan kemudian disingkirkan tepat sebelum jadwal audit berikutnya.

Apabila pengendalian internal atas perubahan program kurang baik, maka pengendalian  pengimbangan seperti perbandingan kode sumber, keberadaan pengendalian pemrosesan yang  baik, pengujian secara independen oleh auditor, dalam beberapa hal dapat mengimbangi kelemahan tersebut. Akan tetapi, jika kelemahan tersebut disebabkan karena pembatasan atas akses file program yang tidak memadai, auditor harus sangat merekomendasikan tindakan untuk memperkuat pengendalian akses logika do organisasi tersebut.

Tujuan 4 : pemrosesan computer

Table 10-4 memberikan kerangka untuk melakukan audit pengendalian pemrosesan computer. Fokus tujuan keempat adalah pemrosesan transaksi, file, dan catatan computer untuk memperbarui file serta database, dan yang digunakan untuk menghasilkan laporan.

Dalam pemrosesan computer, sistem dapat saja gagal mendeteksi input yang salah, memperbaiki kesalahan input secara tidak tepat, memroses input yang salah, atau menyebarkan atau mengungkap aoutput secara tidak benar. Tabel 10-4 memperlihatkan prosedur pengendalian untuk mendeteksi dan mencegah kesalahakesalahan ini, meninjau sistem dan uji prosedur  pengendalian yang dapat di terapkan auditor. Tujuan dari prosedur audit ini adalah untuk

mendapatkan pemahaman atas pengendalian, mengevaluasi kecukupannya, dan mengamati  jalannya sebagai bukti bahwa pengendalian memang digunakan .

Para auditor harus secara peroide mengevaluasi kembali pengendalian pemrosesan untuk memsatikan kelangsungan keandalannya. Apabila pengendalian pemrosesan tidak memusakan,  pengendalian pemakia dan data sumber cukup kuat untuk mengimbangi kelemahan tersebut. Apabila tidak, maka terdapat kelemahan yang material sehingga tindakan harus diambil untuk menghilangkan kelemahan pengendalian tersebut.

Beberapa teknik khusus memungkinkan auditor untuk mengunakan computer dalam menguji pengendalian pemrosesan. Teknik-teknik tersebut mencakup pemrosesan data uji, menggunakan teknik audit bersamaan, dan menganalisis logika program. Setiap teknik tersebut memiliki kelebihan dan kelemahan masing-masing, yang berarti bahwa mereka mungkun tetapt di suatu situasi tetapi kurang tepat disituasi lainnya. Tidak ada satupun teknik yang cocok untuk semua keadaan. Para auditor seharusnya tidak mengungkapkan teknik apa yng mereka gunakan, karena hal ini dapat mengurangi efektifitas pengujian audit. Setiap prosedur mereka kini akan dijelaskan di bagian selanjutnya.

Memproses data uji

Salah satu cara untuk menguji program adalah dengan menproses serangkaian perkiraan ( hypothetical ) transaksi valid dan tidak valid. Program tersebut harus memproses seluruh transaksi yang valid dengan benar dan mengidentifikasi serta menolak transaksi yang tidak valid. Seluruh jalur logika harus di periksa apakah berfungsi dengan baik atau tidak, melalui satu atau lebih uji transaksi. Contoh-contoh data ynag valid adalah catatan dengan data yang hilang, field yang berisi jumlah yang tidak wajar banyaknya, nomor rekening atau kode pemrosesan yang salah, data non-numerik dalam field numeric, serta catatan yang tidak berurutan.

Sumber-sumber berikut ini dapat membantu untuk mempersiapkan data uji :

 Data transaksi yang sebenarnya

 Program pembuatan data uji ( test data generator program ), yang secara otomatis mempersiapkan data uji berdasarkan spesifikasi program

Di dalam sistem pemrosesan secara batch, program perusahaan dan salinan dari file yang terkait digunakan untuk meproses data uji. Hasilnya kan dibandingkan dengan output yang telah diperkirakan sebelumnya; penyimpangan menunjukan kesalahan pemrosesan atau kurangnya  pengendalian dan harus selidiki secara keseluruhan.

Di dalam sistem on-line, para auditor memasuki dat uji dengan menggunakan alat untuk memasukan data, seperti pc atau terminal, dan mengamati serta mendaftar respon sistem. Apabila sistem menerima transaksi yang salah atau tidak valid, auditor akan menelusuri kembali  pengaruh transaksi tersebut, menyelidiki masalahnya, dan memperbaiki kelemahannya.

Tabel 10-4

Kerangka untuk melakukan audit pengendalian pemrosesan computer Jenis-jenis kesalahan dan penipuan

 _{Kegagalan untuk mendeteksi input} data yang salah, tidak lengkap, atau tidak sah

 _{Kegagalan untuk memperbaiki} kesalahan yang ditandai oleh prosedur edit data dengan tepat

 Masuknya kesalahan pada file atau database selama pembaharuan

 Penyebaran atau pengungkapan yang tidak semestinya atas output computer  _{Ketidak tepatan laporan yang di}

sengaja atau tidak disengaja Prosedur pengendalian

 Rutinitas data edit computer

 _{Penggunaan dengan benar label file} eksternal dan internal

 _{Rekonsiliasi jumlah total batch}

 _{Prosedur perbaikan kesalahan yang} efektif

 _{Dokumentasi dan serangkaian buku}  petunjuk operasional yang mudah

dipahami

 _{Supervise atas yang kompeten} operasional computer

 _{Penanganan yang efektif atas input and} output data oleh personil pengendalian data

 _{Mengamati operasional computer} dan fungsi pengendalian data

 _{Mendiskusikan pengendalian}  pemrosesan dan output dengan  para operatol dan personil tingkat

supervisor sistem informasi Prosedur audit : uji pengendalian

 Mengevaluasi kecukupan standard an prosedur pengendalian  pemrosesan

 _{Mengevaluasi kecukupan dan} kelengkapan pengendalian edit data

 _{Memverifikasi kepatuhan pada}  prosedur pengendalian pemrosesan dengan cara mengamati operasional computer dan fungsi  pengendalian data

 _{Memverifikasi bahwa output} sistem aplikasi yang dipilih telah distribusi dengan benar

 _{Merekonsiliasi sampel jumlah total}  batch, dan menindak lanjuti  penyimpangan

 _{Menelusuri pengaturan sampel} kesalahan yang ditandai oleh rutinitas edit data untuk memastikan adanya penanganan

 Daftar dan ringkasan perubahan file yang disiapkan untuk tinjauan atas departemen pemakai

 _{Pemeliharaan kondisi lingkungan yang} sesuai dalam fasilitas computer

Prosedur audit : tinjauan sistem

 _{Meninjau dokumntasi administratif} untuk standar pengendalian  pemrosesan

 _{Meninjau dokumtasi sistem untuk}  pengendalian atas editing data serta  pengendalian pemrosesan lainnya  _{Meninjau dokumentasi operasional}

untuk kelengkapan dan kejelasan

 _{Meninjau salinan daftar kesalahan,} laporan jumlah total batch, dan daftar  perubahan file

yang tepat

 _{Memverifikasi akurasi pemrosesan} untuk sebuah sampel transaksi yang sensitive

 _{Memverifikasi akurasi transaksi}  pilihan yang dihasilkan oleh

computer

 _{Mencari kode yang salah atau tidak} sah melalui analisis atas logika  program

 _{Memeriksa akurasi dan} kelengkapan pengendalian  pemrosesan dengan menggunakan

data uji

 _{Mengawasi sistem pemrosesan} on-line dengan menggunakan teknik audit bersamaan

 _{Membuat kembali laporan yang} dipilih untuk menguji akurasi dan kelengkapannya

Pengendalian keimbangan

 _{Pengendalian yang kokoh terhadap}  pemakai

 _{Pengendalian data sumber yang} efektif

Walaupun pemrosesan transaksi uji biasanya efektif, teknik tersebut memiliki beberapa kelemahan :

1. Auditor harus menghabiskan banyak waktu untuk mengembangkan pemahaman atas sistem yang di periksanya dan mempersiapkan serangkaian transaksi uji yang memadai. 2. Perhatian harus diberikan untuk memastikan bahwa data uji tidak mempengaruhi file dan

database perusahaan. Auditor dapat menelusuri kembali ( reserve ) pengaruh transaksi uji atau memproses transaksi tersebut dalam proses terpisah akan menghilangkan beberapa keotentika yang didapat dari proses data uji, dengan transaksi rutin. Selain itu, prosedur  penelusuran kembali ( reversal procedures ) juga dapat mengungkapkan keberadaan dan sifat dari uji yang dilaksanakan auditor pada personil uatam, sehingga menjadi kurang efektif disbanding uji yang tersembunyi.

Teknik audit bersamaan

Jutaan dolar transaksi dapat di proses oleh sistem on-line tanpa meninggalkan jejak audit yang memuaskan. Dalam kasus semacam ini, bukti dikumpulkan setelah pemrosesan data dianggap tidak cukup untuk tujuan audit. Sebagai tambahan, oleh karena banyak sistem on-line

memproses transaksi secara terus-menerus, merupakan hal yang sulit atau tidak mungkin untuk menghentikan sistem tersebut dan melaksanakan pengujian audit. Jadi, auditor menggunakan teknik audit bersamaan untuk secara terus-menerus mengawasi sistem dan mengumpulkan bukti sudit sementara data langsung di proses selama jam kerja normal. Teknik audit bersamaan mengunakan modul audit melekat ( embedded audit module ), yaitu bagian-bagian dari kode  program yang melaksanakan fungsi audit. Mereka juga melaporkan hasil pengujian ke auditor dan menyimpan bukti yang dikumpulkan untuk ditinjau oleh auditor. Teknik audit bersamaan sangat memakan waktu dan sulit digunakan, tetapi tidak akan terlalu sulit dilaksanakan apabila digabungkan ketika program sedang dikembangkan.

Para auditor umumnya menggunakan lima teknik audit bersamaan. Integrated test facility ( ITF ) adalah teknik yang menepatkan serangkaian kecil catatan fiktif di file utama. Catatan tersebut dapat saja mewakili bagian, departemen, atau kantor cabang, pelanggan, atau pemasok fiktif. Pemrosesan transaksi uji yang memperbarui catatan fiktif ini tidak akan mempengaruhi catatan asli. Oleh karena catatan fiktif dan yang sesungguhnya diproses bersama-sama, para  pegawai perusahaan biasanya tetap tidak menyadari bahwa pengujian tersebut berjalan. Sistem

tersebut harus membedakan catatan ITF dari catatan yang sesunggunya, mengumpulkan informasi atas dampak transaksi uji, serta melaporkan hasilnya. Auditor akan membandingkan  pemrosesan dengan hasil yang diharapkan, untuk memverifikasi bahwa sistem tersebut beserta  pengendaliannya beroperasi dengan benar.

Dalam pemrosesan secara batch, teknik ITF meniadakan kebutuhan untuk melakukan  penelusuran transaksi uji dan dengan mudah di sembunyikan dari para pegawai yang mengoperasikan sistem tersebut. ITF sangat sesuai untuk menguji sistem pemrosesan on-line, karena transaksi uji dapat dilakukan seesring mungkin, diproses bersama dengan transaksi yang sesungguhnya, dan ditelusurih melaui seluruh tahap pemrosesan. Semua ini dapat dicapai tanpa menggangu operasinal pemrosesan yang normal; akan tetapi, perhatian harus diberikan untuk tidak menggabungkan catatan fiktif dengan yang sesungguhnya selam proses pelaporan.

Teknik snapshot memeriksa cara transaksi diproses. Transaksi yang dipilih ditandai dengan kode khusus yang akan memicu proses snapshot. Modul-modul audit dalam program terkait mencatat transaksi-transaksi ini beserta dengan catatan file utamanya, sebelum dan sesudah pemrosesan. Data snapshot dicatat dalam file khusus dan ditinjau oleh auditor untuk memverifikasi bahwa seluruh langkah pemrosesan telah dengan benar dilaksanakan.

System control audit review file (SCARF) menggunakan modul audit melekat untuk secara terus menerus mengawasi kegiatan transaksi dan mengumpulkan data atas transaksi yang menjadi tujuan audit. Data tersebut dicatat dalam file SCARF atau daftar audit (audit log). Transaksi-transaksi yang dicatat dalam file daftar audit adalah yang melebihi batas nilai uang yang telah ditentukan, atau yang berisi penurunan aset. Secara periodik, auditor akan menerima cetakan file SCARF, memeriksa informasi tersebut untuk mengidentifikasi transaksi yang meragukan, dan melaksanakan penyelidikan yang dibutuhkan.,

Audit hooks adalah kegiatan audit yang memberikan tanda atas transaksi yang mencurigakan. Contohnya, para auditor internal di state farm life insurance menyatakan bahwa sistem pemegang asuransi mereka sangat rentan terhadap penipuan setiap kali seorang pemegang asuransi mengganti nama atau alamatnya, dan kemudian menarik dana dari asuransi tersebut. Pegawai asuransi membuat sebuah sistem audit hooks untuk mengikuti catatan yang memiliki  perubahan nama atau alamat. Departemen audit internal perusahaan tersebut kini akan diperingatkan apabila catatan yang diikuti tersebut berhubungan dengan penarikan dan dapat menyelidiki apakah transaksi tersebut merupakan penipuan. Ketika audit hooks digunakan, auditor dapat diinformasikan mengenai transaksi yang mencurigakan begitu transaksi tersebut terjadi. Pendekatan ini, disebut sebagai peringatan real-time (real-time notification), yang menunjukkan sebuah pesan diterminal auditor. Informasi tambahan mengenai penggunaan audit hooks distate farm, termasuk bagaimana sebuah penipuan besar dideteksi, dijelaskan dalam fokus 10-1.

Continuous and intermittent simulation ( CIS ) melekatkan modul audit dalam sistem manajemen database. Modul CIS memeriksa seluruh transaksi yang memperbarui DBMS dengan menggunakan riteria yang hampir sama dengan SCARF. Apabila sebuah transaksi memiliki nilai unit diaudit, modul tersebut akan secara independen memproses data ( dalam cara yang hampir sama dengan simulasi pararel ), mencatat hasil-hasilnya, dan membandingkan hasilnya dengan yang di dapat dari DBMS. Apabila terjadi penyimpangan, rincian penyimpangan tersebut akan ditulis dalam daftar audit untuk penyelidikan selanjutnya. Apabila ditemukan penyimpangan yang serius, CIS akan mencegah DBMS melaksanakan proses pembaruan data.

Analisis logika program

Apabila seorang auditor mencurigai bahwa sebuah program aplikasi berisi kode yang Focus 10-1

Menggunakan audit hooks di state farm life Sistem computer di state farm life insurance company memiliki sebuah computer induk di Bloomington,Illinois, dan 26 komputeryang lebih kecil dikantor wilayahnya. Di berbagai kntor wilayahnya, lebih dari 1.500 treminal dan pc dipakai untuk memperbarui hampir 4 juta catatan  pemegang asuransi di computer induk. Sistem tersebut memproses lebih dari 30 juta transaksi per tahun. Sistem tersebut menelusuri dana pemegang asuransi yang  bernilai lebih dari $6,7 miliar.

Sistem on-line real-time ini memperbaruifile

Para auditor kini memiliki 33 audit hooks melekat yang mengawasi 92 jenis transaksi. Salah satu audit hooks mengawasi transaksi tidak normal dalam rekening transfer, yang akan melakukan kliring atas dana yang sementara ditahan untuk kreditkan ke  beberapa rekening.

Audit hooks tersebut berfungsi dengan sangat baik. Salah seorang pegawai mendapatkan uang dengan memproses sebuah pinjaman atas polis asuransi saudara laki-lakinya secara tidak sah. Dia kemudian memalsukan tanda tangan saudara laki-lakinya dan menguangkan cek tersebut. Untuk menutupi penipuan tersebut, dia harus

dan database begitu transaksi terjadi, jejak audit berupa kertas berkurang, dan dokumen  pendukung untuk perubahan atas catatan  pemegang asuransi telah ditiadakan atau hanya dipertahankan sementara sebeluk di  proses.

Siapapun yang memiliki akses dan  pengetahuan aplikatif atas sistem tersebut, dapat berpotensi melakukan penipuan. Pegawai internal audit memiliki tantangan untuk mengidentifikasi transaksi asuransi  jiwa yang memungkinkan terjadinya  ppenipuan. Untuk melakukan tugas ini, para auditor internal membahas berbagai cara untuk menipu sistem tersebut dan mewawancarai berbagai pemakai sistem yang dapat memberikan pandangan yang sangat berharga

membayar kembali pinjaman tersebut sebelum laporan status tahunan dikirim ke saudara laki-lakinya. Untuk melakukan hal tersebut, dia mengunakan serangkaian transaksi fiktif yang melibatkan sebuah rekening transfer. Penipuan tersebut terungkap segera ketika audit hooks rekening transfer tersebut mengenali transaksi fiktif pertama dan memperingatkan auditor.

Dalam waktu sebulan setelah peringatan tersebut, kasus tersebut diselidiki dan  pegawai tersebut diberhentikan.

Sumber : linda marie leinicki, W.Max rexroad, dan john D. Ward, “computer fraud auditing : it works,” internal auditor ( agustus 1990 ).

Tidak sah atau kesalahan serius, maka analisis yang rinci atas logika program mungkin diperlukan. Proses ini sangat memakan waktu dan membutuhkan keahlian dalam hal bahasa  pemograman, sehingga langkah ini harus digunakan sebagai pilihan terakhir. Untuk melaksanakan analisis tersebut, auditor merujuk pada bagian alir sistem dan program, dokumentasi program, dan daftar kode sumber program. Software berikut dapat dipaki untuk membantu analisis ini :

 Automated flowcharting program, yang menerjemahkan kode sumber program dan membuat bagian alir program berdasarkan kode tersebut.

 Automated decision table program, yang membuat sebuah table keputusan yang mewakili logika program.

 Scanning routine, yang memeriksa suatu programatas terjadinya nama variable tertentu atau kombinasi karakter lainnya.

 Mapping program, yang mengidentifikasi kode program yang belum berfungsi. Software ini mengungkapkan kode program yang dimasukkan oleh programmer yang tidak  bertanggung jawab untuk menghapus seluruh file computer ketika dirinnya

diberhentikan, seperti yang dicontohkan pada bagian sebelumnya.

 Program tracing, yang secara berurutan mencetak seluruh langkah program aplikasi (  berdasar nomor baris atau nama paragraph ) yang dijalankan selama operasional program. Daftar ini bercampur dengan output yang normal sehingga auditor dapat mengamati urutan yang tepat atas suatu kegiatan yang tampak selama pengoperasian program. Penelusuran program membatu auditor untuk mendeteksi perintah program yang tidak sah, alur logika yang salah, dank ode program yang belum berfyngsi.