Generalized Audit Software (GAS) merupakan tools major yang dapat membantu auditor TI untuk mengumpulkan dan menganalisis buktibukti pada sistem aplikasi.

Tipe software audit yang utama adalah GAS (Generalized Audit Software), yang terdiri dari satu atau lebih program yang applicable pada berbagai situasi audit pada suatu perusahaan. ACL (Audit Command Language) merupakan interaktif yang menghubungkan user dengan computer.

Fungsi audit yang khas yang tersedia pada paket GAS:` ` ` ` ` ` ` ` `

Extracting data from files Calculating With data, Performing comparisons with data Sumarizing data Analyzing data Reorganizing data Select sample for testing Gathering statistical data Printing Confirmation Request, analyses, and other output

Manfaat GAS:`

Memungkinkan auditor untuk mengakses catatan computer yang dapat dibaca untuk berbagai macam aplikasi dan organisasi.

`

Memungkinkan auditor untuk memeriksa lebih banyak data daripada jika auditor masih menggunakan proses manual.

`

Dapat melakukan berbagai macam fungsi audit secara cepat dan akurat, termasuk pemilihan sample secara statistic.

`

Mengurangi ketergantungan pada non-auditing personel untuk melakukan peringkasan data, dengan demikian auditor dapat mengelola pengendalian audit yang lebih baik.

`

Auditor hanya memerlukan pengetahuan yang cukup (tidak begitu dalam) tentang computer.

`

Keterbatasan GAS 1. GAS tidak memeriksa application programe dan programmed check secara langsung sehingga tidak dapat menggantikan audit through-thecomputer-techniques. 2. Pengumpulan bukti tidak selalu tepat waktu, karena GAS digunakan untuk memperoleh bukti pada state sistem aplikasi hanya beberapa waktu setelah data diproses. 3. GAS hanya dapat dijalankan dalam melakukan pengujian terbatas pada pengujian untuk memverifikasi autentisitas, akurasi dan kelengkapan proses logis. 4.GAS memiliki keterbatasan cara untuk menentukan kecenderungan sistem aplikasi membuat kesalahan.

`

Pengendalian khusus atau pengendalian aplikasi (application controls) ialah kontrol internal

komputer yang berlaku khusus untuk aplikasi komputerisasi tertentu pada suatu organisasi

Pengendalian aplikasi terdiri dari :` ` ` ` ` `

pengendalian masukan (input control) pengendalian proses (process control) pengendalian keluaran (output control) pengendalian database (database control) pengendalian komunikasi (communication control) boundary control (aspek ini terutama diperkenalkan oleh Weber)

Kategori Pengendalian Jenis-Jenis Pengendalian 1. Boundary Control Otoritas akses ke sistem aplikasi Identitas dan otentisitas pengguna 2. Input Controls Otoritas dan validasi masukan Transmisi dan konversi data Penanganan kesalahan 3. Process Controls Pemeliharaan ketepatan data Pengujian terprogram atas batasan dan memadainya pengolahan

4. Output Controls Rekonsiliasi keluaran Penelaahan dan pengujian hasil pengolahan Distribusi keluaran Record retention 5. Database Control Akses Integritas data 6. Communication Control Pengendalian kegagalan unjuk kerja Gangguan komunikasi

Pengendalian aplikasi adalah salah satu kategori pengendalian yang harus Audit. diuji sebagaimana aplikasi dikehendaki merupakan oleh Standar yang Pengendalian pengendalian

ditempatkan pada masing-masing sistem baik diprogramkan ke dalam sistem itu sendiri maupun bersifat manual. Kategori pengendalian ini seharusnya berorientasi pada pemakai (user oriented) karena unsur manusialah yang mengendalikan masukan dan merekonsiliasikan keluaran dengan masukan tersebut.`

Pengendalian aplikasi ini meliputi pengendalian atas masukan, pemrosesan, dan keluaran.

Ada lima tujuan pengendalian aplikasi yakni memperoleh keyakinan bahwa :

untuk

1. setiap transaksi telah diproses dengan lengkap dan hanya diproses satu kali 2. setiap data transaksi berisi informasi yang lengkap dan akurat 3. setiap pemrosesan transaksi dilakukan dengan benar dan tepat (andal) 4. hasil-hasil pemrosesan digunakan sesuai dengan maksudnya (efektifitas) 5. aplikasi-aplikasi yang ada dapat berfungsi terus.

1. Tujuan :` ` ` ` ` ` ` ` ` `

Transaksi diotorisasi sebagaimana mestinya sebelum diolah dengan komputer Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak semestinya Transaksi yang keliru ditolak, dikoreksi, dan jika perlu, dimasukkan kembali secara tepat waktu Transaksi dientri ke terminal yang semestinya Data dientri ke periode akuntansi yang semestinya Data yang dientri telah diklasifikasikan dengan benar dan pada nilai transaksi yang valid Data yang tidak valid tidak dientri pada saat transmisi, Transaksi tidak dientri lebih dari sekali Data yang dientri tidak hilang selama masa transmisi berlangsung Transaksi yang tidak berotorisasi tidak dientri selama transmisi berlangsung

2. Kategori dasar dari masukan sistem PDE : a. jurnal-jurnal atas transaksi yang terjadi

b. file maintenance transaction c. transaksi untuk mengetahui suatu informasi tertentu (inquiry transactions),

d. transaksi perbaikan kesalahan.

3. Jenis-jenis pengendalian atas masukan : (a) Input Authorization Control (b) Input Validation Control (c) Pengendalian Transmisi Data (d) Pengendalian Konversi Data (e) Pengendalian Penanganan Kesalahan

`

Processing controls dilaksanakan setelah data memasuki sistem dan program-program aplikasi mengolah data tersebut.

1. Tujuan Menurut IAI, pengendalian atas pengolahan dimaksudkan untuk memperoleh jaminan yang memadai bahwa :` ` ` `

Transaksi diolah sebagaimana mestinya oleh komputer, Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak semestinya, Transaksi yang keliru ditolak, dikoreksi, dan jika perlu, dimasukkan kembali secara tepat waktu. Sedangkan pengendalian pengolahan pada sistem yang on-line dimaksudkan untuk memperoleh jaminan yang memadai bahwa :

`

Hasil perhitungan telah diprogram dengan benar

Sedangkan pengendalian pengolahan pada sistem yang on-line dimaksudkan untuk memperoleh jaminan yang memadai bahwa :` ` ` ` ` ` ` ` `

Hasil perhitungan telah diprogram dengan benar Logika yang digunakan dalam proses pengolahan adalah benar, File dan record yang digunakan dalam proses pengolahan adalah benar, Operator telah memasukkan data ke komputer console yang semestinya, Tabel yang digunakan selama proses pengolahan adalah benar, Selama proses pengolahan telah digunakan standar operasi (default) yang semestinya, Data yang tidak sah tidak digunakan dalam proses pengolahan, Proses pengolahan tidak menggunakan program dengan versi yang salah, Hasil penghitungan yang dilakukan secara otomatis oleh program adalah sesuai dengan kebijakan manajemen satuan usaha,

`

Data masukan yang diolah adlah data yang berotorisasi.

2. Teknik Processing Controls (a) Mempertahankan Keakuratan Data (i) Batch control totals, (ii) Run-to-run control totals, (iii) Transaction log, (iv) Fullback procedures, (v) Restart procedures, ((vi) Recovery procedures

(b) Programmed Limit and Reasonableness Test (i) Check Digit (ii) Sign Check (iii) Numerin and alphabetic check (iv) Logic check (v) Limit and reasonableness checks (vi) Zero balancing check (vii) Crossfooting check (viii) Overflow check

(c) File Controls`

Teknik-teknik File Controls : (i) Penggunaan label eksternal (ii) Penggunaan label internal (iii) Teknik lock-out (iv) Teknik rekonsiliasi

C. PENGENDALIAN ATAS KELUARAN Pengendalian atas keluaran (output controls) dimaksudkan untuk menetapkan bahwa data yang diproses adalah lengkap, akurat, dan didistribusikan kepada pihak-pihak yang berhak serta tepat waktu. 1. Tujuan Menurut IAI, pengendalian ini dimaksudkan untuk memberikan keyakinan yang memadai bahwa :` `

Hasil pengolahan adalah cermat Akses terhadap keluaran dibatasi hanya bagi karyawan yang telah mendapat otorisasi

`

Keluaran disediakan secara tepat waktu bagi karyawan yang telah mendapat otorisasi semestinya

Sementaraitu, output controls pada sistem on-line dimaksudkan untuk memberikan keyakinan bahwa :`

Keluaran yang diterima oleh satuan usaha adalah tepat dan lengkap

`

Keluaran

yang

diterima

oleh

satuan

usaha

diklasifikasikan dengan benar`

Keluaran

didistribusikan

kepada

pegawai

yang

mempunya otorisasi

2. Teknik Ouput Controls (i) Rekonsiliasi keluaran dnegan masukan dan pengolahan (ii) Penelaahan dan pengujian hasil-hasil pemrosesan (iii) Pendistribusian keluaran (iv) Record Retention

Salah satu aset perusahaan yang paling

berharga saat ini adalah sistem informasi yang

responsif dan berorientasi pada pengguna. Sistem yang baik dapat meningkatkan produktifitas, menurunkan jumlah persediaan yang harus dikelola, mengurangi kegiatan yang tidak mempermudah

memberikan nilai tambah, meningkatkan pelayanan kepada pelanggan dan

pengambilan keputusan bagi manajemen serta mengkoordinasikan kegiatan dalam perusahaan. Oleh karena itu, audit atas pengembangan dan pemeliharaan sistem informasi semakin dibutuhkan sehingga sistem yang dimiliki efektif dalam menyelesaikan pekerjaan dan meningkatkan efisiensi kerja.

Alasan keterlibatan auditor dan akuntan pada proses pengembangan sistem antara lain:

1.

Pengembangan sistem informasi mengakibatkan perubahan yang signifikan terhadap

transaksi keuangan. Oleh karena itu akuntan serta auditor yang terlibat dapat memberikan input kritis terhadap sistem terkait dengan pengendalian, integritas, ketepatan waktu dan berbagai aspek lainnya dari transaksi keuangan.

2.

Mengumpulkan bukti yang ditujukan untuk melakukan observasi atas semua pihak yang

terlibat dalam proses pengembangan sistem sehingga dapat memberikan masukan pada pengembang sistem mengenai inefisiensi yang terjadi pada saat proses pengembangan.

3. Akuntan dan auditor berkepentingan dengan kualitas sistem informasi yang digunakan oleh perusahaan sehingga memudahkan mereka dalam melakukan tugasnya.

Tujuan audit pengembangan sistem informasi adalah: a. Meyakinkan bahwa kegiatan SDLC telah diterapkan secara konsisten dan sesuai dengan kebijakan managemen b. Meyakinkan bahwa pada saat sistem diimplementasikan bebas dari salah saji material dan kecurangan c. Meyakinkan bahwa sistem memang dibutuhkan dan dinilai pada bererapa titik selama SDLC d. Memastikan bahwa dokumentasi sistem cukup akurat dan lengkap untuk memperlancar audit dan pemeliharaan.

`

Biasanya

yang

digunakan

untuk

proses

pengembangan sistem adalah SDLC ( System Development Life Cycle ). SDLC terdiri atas beberapa tahapan di mana setiap tahapan

tersebut saling berkaitan dan dilakukan review yang terus menerus atas semua tahapan yang ada tersebut.

Perencanaan sistem System planning terjadi pada dua tahap yaitu: a. Perencanaan Strategik Pengembangan Sistem b. Perencanaan Proyek Analisa Sistem Tahap ini melibatkan dua proses yaitu: a. Survey tersumbat b. Analisa kebutuhan pengguna Perancangan Sistem Tahap perancangan sistem akan melibatkan beberapa aktifitas seperti: a. System Evaluation and Selection b. Detailed Design c. System Programming danTesting

Implementasi Sistem a. b. c. d. Pengujian keseluruhan sistem Pendokumentasian sistem Konversi Database Review setelah implementasi

Model Normatif Proses Pengembangan Sistem`

Terdapat beberapa model normatif proses pengembangan sistem antara lain: 1. 2. 3. 4. 5. 6. System Development Life Cycle Approach Sociotechnical Design Approach Political Approach Soft System Approach Prototyping Approach Contingency Approach

`

Auditing SDLC Proses audit atas pengembangan sistem informasi itu sendiri dapat dilakukan pada saat pengembangan atau setelah masa pengembangan tersebut selesai (tahapan review). Pengembangan sistem biasanya akan mengikuti tahapan yang dikenal sebagai SDLC (system development life cyle).

Terdapat tiga jenis audit yang dapat dilakukan dalam proses pengembangan sistem yaitu: 1. 2. 3. Concurrent Audit Post-implementation Audit General Audit

Pengendalian dan audit atas SDLC meliputi: 1. Controlling New System Development Pengendalian kegiatan atas sistem baru yang harus dilakukan yaitu: a. b. c. d. e. System Authorization Activities User Specification Activities Technical Design Activities Internal Audit Participation User Test and Acceptance Procedures

2.

Controlling Systems Maintenance Akses ke sistem untuk tujuan pemeliharaan meningkatkan kemungkinan kesalahan sistem baik disengaja maupun tidak. Untuk meminimalkan resiko tersebut, minimal ada 4 pengendalian yang harus dilakukan yaitu otorisasi formal, spesifiksi teknis perubahan, pengujian ulang sistem dan memperbaharui dokumentasi.

Perubahan pada sistem dapat dikelompokkan menjadi a. tiga tipe perubahan yakni:

Repair maintenance

b. Perfective maintenance c. Adaptive maintenance