TEKNIK AUDIT
BERBANTUAN KOMPUTERTeknik
Teknik audit adalah cara-cara yang ditempuh auditor untuk memperoleh pembuktian dalam membandingkan keadaan yang sebenarnya dengan keadaan yang seharusnya.
Teknik audit erat hubungannya dengan prosedur audit, dimana teknik-teknik audit digunakan dalam suatu prosedur audit untuk mencapai tujuan audit.
Ada beberapa prosedur audit terhadap pengendalian yang harus dilakukan langsung oleh auditor (secara manual), dan beberapa prosedur yang dapat menggunakan dukungan komputer seperti tabel berikut ini:
Pengendalian Internal dan Prosedur Audit
No Bidang Pengendalian yg Diaudit Prosedur
Audit Bukti Audit
1. Perencanaan Organisasi, IT Plan, dan Operasi
Manual Dokumen planning, risalah rapat direksi
2. Prosedur pengembangan aplikasi, sistem dokumentasi, review, testing,
dan operating system dan
perubahan
Manual Hasil observasi, cek dokumentasi, hasil wawancara
3. Pengendalian hardware/systems
software
Komputer Produk pabrikan komputer/
software house sdh
dilengkapi pengendalian 4. Pengendalian acces equipment dan
data/file
Manual/ komputer
Hasil interview mendalam dgn teknisi atau cek dgn
software.
5. Pengendalian menyeluruh terkait dgn data dan prosedur yg mungkin berdampak dgn keseluruhan operasi komputer
Manual Observasi, bukti
dokumentasi, SOP tertulis, wawancara, dll
Data Uji
Integrated
Test Facility (ITF)
Simulasi Paralel TEKNIK AUDIT Pada Batch Processing Environment Pada On-Line Real Time Environment Process Tracing Software/Snapshot Pemetaan (Mapping) Embedded Audit Modules Job Accounting Data Analysis Perangkat Lunak Audit
1. Teknik Untuk Menguji Pengendalian Program
Aplikasi Komputer Pada Batch Processing
Environment
a. Metode Data Tes (Test Deck) - Auditor’s Data, Client’s Software
Pengujian yang dilakukan dengan data uji ialah untuk mengetahui apakah program komputer sudah bekerja dengan baik. Biasanya data tes dibuat untuk menguji apakah program sudah:
Perform validity checks
Perform limit and reasonableness checks
Attempt to process an improperly authorized
transaction
Perforrn numeric, alphabetic, and special character
1. Teknik Untuk Menguji Pengendalian Program
Aplikasi Komputer Pada Batch Processing
Environment
Tahapan Pengujian Test Deck
Auditor membuat data tes berupa elemen-elemen
data simulasi (berupa dummy data).
Auditor memasukkan data tes tersebut pada model
input atau model proses yang dipilih untuk diuji.
Auditor menetapkan hasil yang seharusnya sesuai
dengan kaidah pengendalian intern yang baik
Auditor membandingkan HASIL YANG
SEHARUSNYA dengan HASIL PENGUJIAN.
Dari hasil perbandingan dapat diketahui keandalan
Data uji yang dibuat auditor harus mencakup seluruh kemungkinan transaksi yang tidak sah atau salah agar dapat ditentukan apakah program komputer yang diuji bereaksi dengan tepat terhadap berbagai kesalahan dengan cara memeriksa daftar kesalahan dan perincian keluaran yang dihasilkan dari data pengujian. Jika ternyata hasil yang diharapkan ternyata tidak terjadi, berarti ada sesuatu yang salah pada program aplikasi. Misalnya, kode pelanggan sengaja dibuat salah, atau sengaja pesanan melewati limit kredit, atau tanggal 31 Februari; jika ternyata komputer tidak mendeteksi kesalahan-kesalahan itu, berarti pengendalian aplikasinya masih lemah.
Test Transaction Updated Master File Error Report Transaction Report Predetermined Results Compare Fictitious Master
File Client's Application Program
Test deck - Auditor’s data, client’s software
Tes data buatan (dummy test data) lebih baik dari
pada kalau memakai data (live real data) yang
sebenarnya, karena:
Dengan dummy test data dapat dibuat data yang lebih sedikit tetapi memenuhi seluruh kriteria yang
diperlukan untuk dapat melakukan test dengan baik. Dengan dummy data akan lebih mudah dibuat
perkiraan keluaran (designeble expected result), kalau data masukannya sudah direncanakan dengan
matang akan menghasilkan tipe-tipe kesalahan yang seharusnya dideteksi program.
Kemungkinan kesalahan yang dapat dibuat pada dummy data akan lebih kompherensif, memenuhi semua kemungkinan yang dapat diperkirakan oleh evaluator.
Hal-hal yang perlu diperhatikan dalam
menggunakan data uji:
Data uji harus mencakup seluruh kondisi yang
diinginkan oleh auditor, baik data yang sah
maupun tidak sah (error).
Program yang diuji dengan data uji auditor
harus sama seperti yang dipergunakan untuk
operasional sepanjang tahun oleh klien
(bukan program “palsu”).
Data uji harus segera dihapus dari file klien
segera setelah tes selesai, dengan maksud
agar file sistem tidak terkontaminasi oleh data
uji (bukan data transaksi sebenarnya).
Hal-hal yang perlu diperhatikan dalam
menggunakan data uji:
Pelaksanaan data uji harus menjamin bahwa
data uji tidak mempengaruhi file data
sungguhan, akan ironis jika suatu prosedur
audit yang dirancang untuk mendeteksi
kekeliruan justru membawa kekeliruan. Ini
membutuhkan koordinasi antara auditor dan
karyawan komputer.
Auditor harus menjalankan pengendalian yang
ketat. Dia harus mengamati pemosesan yang
dilakukan oleh operator komputer. Jika
pengujian selesai auditor harus segera
mendapatkan output tercetak
Keuntungan Sistem Data Uji
Teknik test data dapat menguji proses yang
terjadi di komputer dengan perkiraan output
berdasarkan input yang dipersiapkan, relatif
simple, cepat, serta relatif murah.
Teknik test data hanya memerlukan sedikit
keahlian teknis komputer dari auditor, tetapi
sering dapat menghasilkan temuan yang
bagus (mengenai kelemahan kontrol dalam
program), dan dengan sedikit modifikasi,
data masih dapat digunakan pada audit yang
akan datang.
Kelemahan Sistem Data Uji
Limited by the auditor’s imagination, maksudnya, keberhasilan tes tersebut sangat bergantung dari kemampuan auditor dalam memahami potensi error yang mungkin dapat terjadi dan bagaimana ia membuat dummy data untuk menilai apakah software yang diuji telah dilengkapi validasi (kemampuan mendeteksi).
Sulit untuk establish that the program being tested is the one the client regularly uses, karena bisa saja klien nempunat software ganda, artinya jika diuji klien memberi software yang benar, tetapi sesungguhnya dalam operasi sehari-hari klien memakai software yang lain (yang salah atau yang menguntungkan perusahaannya).Kelemahan Sistem Data Uji
Dalam menggunakan tehnik data uji harus dijaga agar dummy data yang dibuat tidak “mengotori” data yang sebenarnya (make sure that the test data doesn’t effect client’s real data).
Data uji bisa sangat mahal, pengembangannyabanyak perlu waktu, dan program yang diuji ternyata mungkin diganti/dirubah/bukan yang sebenarnya,
sehingga hasil yang diperoleh cepat usang atau tidak tepat sasaran.
Bagi auditor pemula mungkin sulit untuk mendeteksi kecurangan yang dilakukan oleh operator komputer yang ahli menukar program.
Teknik tesebut sifatnya statis, karena berfokus pada titik waktu tertentu dan tidak memeberikan hasil yang berkesinambungan
. Teknik ini berfokus pada program individual
(program tertentu yang diuji saja), dan
cenderung tidak menguji secara komprehensif
atas keseluruhan rangkaian sistem pemrosesan
transaksi.
Sulit untuk membuat data uji yang dapat meliputi
seluruh kemungkinan. Auditor tidak dapat
mengetahui apakah program yang dipakai
uji-coba benar-benar program yang on- production.
Test data juga masih banyak mengandung
kelemahan dalam arti belum tentu dapat
menentukan apakah program betul-betul sudah
error-free.
b. Simulasi Paralel (Parallel Simulation)
-auditor's Software, Client's Data
Dalam teknik ini pelaksanaan pemeriksaan
dilakukan terhadap data sesungguhnya (data
auditee yang di-copy) dan diproses dengan
software atau bahkan komputernya auditor.
Laporan
yang
dihasilkan
dari
simulasi
dibandingkan oleh auditor dengan laporan yang
dihasilkan oleh pemrosesan rutin perusahaan
Jika terjadi perbedaan, asumsinya perbedaan
tersebut
menunjukan
bahwa
software
perusahaan tidak memproses data sesuai dengan
spesifikasi yang ada (atau programnya auditor
yang salah).
Auditor's Results Compare Client's Data Client's Results
Client's Computer Program Auditor's Simulated Program
Parallel Simulation - Auditor's software, client's data
Software yang dipakai dapat berupa:
Copy dari Software auditee, tetapi proses
copy harus diawasi oleh auditor,
Software audit tertentu yang dibuat
auditor,
Pada dasarnya sistem
Paralel Test Facility
(PIF)
ini dapat dibedakan dalam dua cara, yaitu:
a. Parallel simulation
Dalam parallel simulation, auditor akan meminjam (mencopy data atau contoh data, misalnya data satu bulan) dan diproses pada komputer auditor, tetapi dengan sistem simulasi (sistem yang dibuat sendiri oleh auditor dengan spesifikasi yang sama dengan aslinya/ yang ada di auditee).
b. Parallel processing
Dalam parallel processing, auditor akan meminjam (mencopy data atau contoh data, misalnya data satu bulan) dan diproses pada komputer auditor dengan sistem aplikasi yang juga di copy dari
Keunggulannya metoda ini adalah:
Teknik ini memeriksa akurasi pemrosesan dari
program aplikasi.
Memungkinkan pensahihan output
sesungguhnya.
Cocok untuk pengujian substantif maupun
untuk complaince test.
Audit dilakukan pada komputernya
auditor/komputer lain/bukanyang sedang
diaudit, sehingga diperoleh keyakinan akan
status sistem komputerisasi tersebut dengan
lebih akurat.
Keunggulannya metoda ini adalah:
Auditor dapat memperoleh keyakinan lebih tinggi
karena dengan sistem simulasi kalau ada hal-hal yang tidak dapat terdeteksi dengan uji coba saja, maka
akan diketahui karena dicoba dengan sistem yang lain.
Tidak terjadi kontaminasi file klien (does not
contaminate client fiIes)
Proses dapat dilakukan dengan komputer pihak ketiga
independen (can be run at a service bureau independently of client).
Auditor menggunakan data klien sebenarnya (data
real).
Memungkinkan auditor bekerja secara terpisah dari
personil (teknisi) klien, sehingga pelaksanaan audit lebih fleksibel
Kelemahannya adalah:
Auditor harus mempunyai keahlian komputer yang
cukup kompeten untuk dapat menelusuri kembali
perbedaan antara dua hasil (output) program tersebut.
Perlu waktu untuk pengembangan sistem aplikasi untuk
paralelnya.
Apabila perusahaan mengupdate program pada saat
diperiksa tidak segera diketahui, dan atau auditor juga harus segera mengupdate programnya.
Diperlukan komputer lain untuk pemeriksaan
Pada parallel simulation, auditor harus membuat sistem
simulasinya.
2. Teknik Untuk Menguji Pengendalian Program
Aplikasi Komputer
Pada On-line Real Time
Envenonment
a. Integrated Test Facilities (lTF)
ITF digunakan untuk menguji sistem aplikasi dengan data tes pada saat komputer dioperasikan dalam
kegiatan rutin pada perusahaan yang diaudit
(auditan/auditee). Pada ITF pemeriksaan atau tes
sistem komputerisasi dilaksanakan secara kontinyu dan simultan antara pelaksanaan tes dan real processing run. Dalam ITF Auditor harus membuat dummy data dan diproses bersamaan dengan real data yang
Persiapan dan pelaksanaan test harus sedemikian
rupa sehingga operator tidak mengetahui bahwa pada saat ini sedang dilakukan audit, atau data yang sedang direkamnya ternyata adalah data dummy. Sistem ITF ini sering dilakukan pada
bidang aplikasi: order entry, purchasing, payroll, accounts receivable, dan sebagainya, dalam
teknologi on-line dan real-time (OLRT).
Auditor membuat entitas simulasi, misalnya suatu
transaksi baru, pelanggan baru, pegawai baru, dan sebagainya. Entitas simulasi ini lalu dimasukkan ke dalam operasi yang berjalan seolah-olah
merupakan entitas yang sah. Hasil dari pemrosesan transaksi itu harus dipisahkan dari transaksi yang sah. Sistem yang baik akan memberikan respon terhadap adanya transaksi/entitas yang tidak sah. Sebagaimana data tes, metode ini sasarannya
Integrated Test Facilities (ITF) -
(mini-company approach)
Integrated Test Facility
Integrated Test Facility
ITF File Normal Reports Predetermined Results Compare Normal Files Processing System Normal Data Input Auditor Submitted Transactions ITF Reports
Keunggulannya:
• ITF hanya memerlukan sedikit keahlian teknis komputer • biayanya relatif rendah, karena bersamaan proses
reguler,
• Dapat dilakukan mendadak, sehingga dapat mencegah upaya curang
• Auditor dapat memeriksa sistem aplikasi yang sebenarnya digunakan.
• Test dilakukan langsung secara operasional bersama real processing run, sehingga tidak usah
memberhentikan proses.
• Dapat sekaligus merupakan simulasi yang tidak diketahui oleh operator
Kelemahannya adalah:
• Auditor dan timnya harus sangat hati-hati, karena sistem dan data yang digunakan adalah live
system & actual data.
• Auditing ini dapat menyebabkan errors pada data auditee, khususnya jika audit dilakukan juga
dalam proses penghitungan/penjumlahan.
• Karena sistem ITF pada dasarnya masih juga menggunakan data test, maka
kelemahan-kelemahan yang ada pada metoda test data tetap ditemui pada sistem ITF. Hanya saja dalam hal ini kita yakin bahwa sistem yang kita test memang sistem apliksasi komputer yang dipakai secara operasional (sistem yang sesungguhnya).
b. Process Tracing Software
Process Tracing Software dapat menjadi
suatu cara untuk identifikasi program
modules fraud yang tidak tertangkap
dengan metoda tes uji data. Tagging
Transactions ini juga dikenal dengan
istilah “Snapshot approach”.
Overview of Snapshot Approach
Overview
of
Snapshot
Approach
Reports Updated Data Snapshot of Selected Data Data Entry
Client's Computer Program
Processing Step 1 Processing Step 2 Processing Step n
Dengan teknik snapshot ini komputer klien
diprogram untuk dimonitor kegiatan
transaksinya.
Transaksi dapat dipilih bergantung pada
kriteria yg ditentukan auditor atau secara
acak.
Pada saat transaksi terpilih diproses auditor
dapat melihat bagaimana pemrosesan
ransaksi tersebut.
Auditor selanjutnya dapat me-review,
analisis dan mengetes transaksi.
Jadi metoda tagging & tracing ini dilaksanakan
dengan menambahkan kode atau elemen data
tertentu pada data yang ada, kemudian
diamati, dianalisa dan ditentukan apakah
mekanisme
sistem
komputerisasi
sudah
berjalan baik.
Tagging & tracing sebagai sistem pengujian
ketaatan
dan
sekaligus
juga
pengujian
substantif. Karena didalam pengujian ini pada
dasarnya langsung mengamati data yang
sebenarnya (secara sampling), dan juga
mekanisme sistemnya.
Teknik embedded audit modules atau
sering juga disebut dengan istilah audit
hooks
adalah
teknik
audit
dengan
menggunakan modul terprogram yang
disisipkan atau “dilekatkan” ke dalam
program aplikasi, dengan tujuan untuk
memantau dan menghimpun data untuk
tujuan pemeriksaan.
Pada saat transaksi memasuki komputer,
transaksi ini diedit dan diproses oleh
program aplikasi.
Pada saat yang sama transaksi dicek
oleh modul audit yang terpasang di
dalam program.
Jika
transaksi
itu
benar,
maka
transaksi itu dipilih oleh modul
bersangkutan dan disalin pada log
audit (sering disebut SCARF/ System
Control Audit Review File). Secara
periodik, isi log itu dicetak untuk
diteliti oleh auditor.
Keunggulan teknik audit Embedded Audit
Modules adalah:
memungkinkan semua pemrosesan dipantau
walaupun tidak berkaitan langsung dengan
transaksi individual,
dapat mendeteksi dan mencatat kemungkinan
penyalahgunaan wewenang mengakses file
induk, untuk memasukan data transaksi yang
palsu, atau untuk membatalkan parameter
pemosesan (misalnya, harga dalam program
penagihan).
Kelemahan teknik Embedded Audit Modules
adalah:
memerlukan tambahan waktu untuk memproses
transaksi, karena semua instruksi program dalam modul harus dilaksanakan untuk setiap transaksi,
perancangan dan implementasi modul biasanya mahal,
khususnya jika rnodul tersebut ditambahkan setelah program aplikasi sudah ada,
memerlukan pengamanan yang lebih ketat, karena
modul audit dan log audit harus diamankan terhadap akses oleh pegawai perusahaan, dan
auditor harus menentukan kriteria pemilihan transaksi
secara seksarna. Jika terlalu ketat, maka jurnlah transaksi yang dipilih mungkin sulit digunakan.
Mapping adalah teknik audit berbantuan
komputer yang dilakukan dengan cara
seolah-olah membuat pemetaan terhadap suatu
program yang sedang dijalankan sehingga
dapat diketahui bagian-bagian mana yang
berfungsi sesuai dengan spesifikasinya dan
bagian mana yang mungkin merupakan
sisipan karena tidak sesuai dengan
spesifikasinya.
Keunggulan metoda ini antara lain:
auditor atau evaluator terhadap suatu program
dapat memberikan rekomendasi atau usul
perbaikan, yaitu mengurangi bagian-bagian
program yang ternyata tidak bermanfaat.
Dengan demikian jika perbaikan tersebut dapat
dilaksanakan dengan baik, maka berarti
komputer akan dapat dioperasikan dengan lebih
efisien.
Kelemahan metoda ini ialah antara lain:
Biaya pengadaan software yang relatif mahal dan perlu
waktu pelatihan serta kemahiran tertentu untuk dapat memanfaatkannya.
e. Job Accounting Data Analysis
Pada instalasi komputer induk (mainframe) lazimnya layanannya digunakan secara patungan (sharing) oleh berbagai unit dan berbagai sistem aplikasi yang
diimplementasikan pada organisasi tersebut. Pada
instalasi ini hanya terdapat satu central processing unit tetapi users atau pemakainya mungkin puluhan, bahkan bisa mencapai ratusan orang (terminal) pada saat yang bersamaan. Sementara itu pada jenis mesin tersebut computer-time cost relatif tinggi karena harga investasi serta biaya operasional atau konsumsi sumber-daya
Dalam rangka analisis pembebanan biaya ataupun untuk kepentingan statistik perusahaan, pada umumnya jenis mesin tersebut juga dilengkapi dengan software yang bisa membantu manajemen untuk memperoleh data CPU
utilization, computer-time per user, dan sebagainya.
Data itu sangat penting untuk mengevaluasi sistem aplikasi mana atau user mana yang pemakaian computer time-nya relatif tinggi, atau dalam service terhadap unit pemakai
dikenakan charge maka data ini dipakai sebagai dasar
billing kepada pelanggan. oleh karena itu pada jenis mesin mainframe biasanya juga dilengkapi dengan software yang dapat dipakai untuk keperluan tersebut, yang pada
Bagi auditor, tersedianya fasilitas itu sangat
bermanfaat karena dapat dipakai sebagai bukti
audit untuk pendukung evaluasi mengenai:
Sebagai metoda pendukung untuk mengevaluasi
beberapa jenis pengendalian, misalnya apakah akses terhadap file-file tertentu atau kewenangan run
program memang sudah dilaksanakan orang-orang (users) tertentu sesuai dengan yang seharusnya.
Untuk dapat mengevaluasi apakah telah terjadi akses
dengan remote terminal, yaitu akses dengan
menggunakan terminal jarak jauh oleh pihak pihak yang tidak berhak.
Untuk mengevaluai apakah pekerjaan-pekerjaan sistem
aplikasi telah dioperasikan menggunakan sumber daya informasi yang benar.
f. Perangkat Lunak Audit
Perangkat lunak audit terdiri dari software
(program-program komputer) yang digunakan oleh auditor sebagai bagian atau dukungan teknis
pengumpulan bahan bukti audit dalam prosedur auditnya.
Software audit mencakup program-program
komputer yang memungkinkan komputer digunakan sebagai alat audit untuk mengumpulkan dan
mengolah data audit yang signifikan dari sistem informasi perusahaan.
Sebelum meggunakan program untuk tujuan
auditnya, auditor harus meyakini validitas program yang akan ia gunakan.
Komputer diprogram untuk dapat membaca,
memilih, mengekstrak, dan memsostir data dari file-file komputer.
Terdapat banyak jenis perangkat lunak audit yang
dapat digunakan dalam berbagai tingkatan (mainframe maupun komputer mikro).
Auditor dapat menggungkan perangkat lunak
konvensional seperti program-program utilitas
sistem, program aplikasi yang didesain untuk audit, paket perangkat lunak audit yang dirancang secara khusus, yang dikenal sebagai perangkat lunak audit umum - Generalized Audit Software (GAS) dan
paket-paket perangkat lunak komputer mikro.