TEKNIK AUDITBERBANTUAN KOMPUTER
Teknik
Dr. Imam Subaweh, SE., Ak., MM
Teknik audit adalah cara-cara yang ditempuhauditor untuk memperoleh pembuktian dalammembandingkan keadaan yang sebenarnyadengan keadaan yang seharusnya.
Teknik audit erat hubungannya dengan proseduraudit, dimana teknik-teknik audit digunakandalam suatu prosedur audit untuk mencapaitujuan audit.
Ada beberapa prosedur audit terhadappengendalian yang harus dilakukan langsungoleh auditor (secara manual), dan beberapaprosedur yang dapat menggunakan dukungankomputer seperti tabel berikut ini:
Pengendalian Internal dan Prosedur Audit
No Bidang Pengendalian yg DiauditProsedur
AuditBukti Audit
1. Perencanaan Organisasi, IT Plan,
dan Operasi
Manual Dokumen planning, risalah
rapat direksi
2. Prosedur pengembangan aplikasi,
sistem dokumentasi, review, testing,
dan operating system dan
perubahan
Manual Hasil observasi, cek
dokumentasi, hasil
wawancara
3. Pengendalian hardware/systems
software
Komputer Produk pabrikan komputer/
software house sdh
dilengkapi pengendalian
4. Pengendalian acces equipment dan
data/file
Manual/
komputer
Hasil interview mendalam
dgn teknisi atau cek dgn
software.
5. Pengendalian menyeluruh terkait
dgn data dan prosedur yg mungkin
berdampak dgn keseluruhan operasi
komputer
Manual Observasi, bukti
dokumentasi, SOP tertulis,
wawancara, dll
Data Uji
IntegratedTest Facility (ITF)
Simulasi Paralel
TEKNIKAUDIT
Pada BatchProcessing
Environment
Pada On-LineReal Time
Environment
Process Tracing Software/Snapshot
Pemetaan(Mapping)
Embedded Audit Modules
Job Accounting Data Analysis
Perangkat Lunak Audit
SKEMA TEKNIK AUDIT BERBANTUAN KOMPUTER
1. Teknik Untuk Menguji Pengendalian Program Aplikasi Komputer Pada Batch Processing Environment
a. Metode Data Tes (Test Deck) - Auditor’s Data, Client’s Software
Pengujian yang dilakukan dengan data uji ialahuntuk mengetahui apakah program komputersudah bekerja dengan baik. Biasanya data tesdibuat untuk menguji apakah program sudah:
Perform validity checks
Perform limit and reasonableness checks
Attempt to process an improperly authorizedtransaction
Perforrn numeric, alphabetic, and special characterchecks.
1. Teknik Untuk Menguji Pengendalian Program Aplikasi Komputer Pada Batch Processing Environment
Tahapan Pengujian Test Deck
Auditor membuat data tes berupa elemen-elemen data simulasi (berupa dummy data).
Auditor memasukkan data tes tersebut pada model input atau model proses yang dipilih untuk diuji.
Auditor menetapkan hasil yang seharusnya sesuai dengan kaidah pengendalian intern yang baik
Auditor membandingkan HASIL YANG SEHARUSNYA dengan HASIL PENGUJIAN.
Dari hasil perbandingan dapat diketahui keandalan pengendalian sistem tersebut.
Data uji yang dibuat auditor harus mencakup seluruhkemungkinan transaksi yang tidak sah atau salah agardapat ditentukan apakah program komputer yang diujibereaksi dengan tepat terhadap berbagai kesalahandengan cara memeriksa daftar kesalahan danperincian keluaran yang dihasilkan dari data pengujian.
Jika ternyata hasil yang diharapkan ternyata tidakterjadi, berarti ada sesuatu yang salah pada programaplikasi. Misalnya, kode pelanggan sengaja dibuatsalah, atau sengaja pesanan melewati limit kredit, atautanggal 31 Februari; jika ternyata komputer tidakmendeteksi kesalahan-kesalahan itu, berartipengendalian aplikasinya masih lemah.
Test
Transaction
Updated
Master
File
Error Report
Transaction
Report
Predetermined
ResultsCompare
Fictitious
Master
File Client's Application Program
Test deck - Auditor’s data,client’s software
Tes data buatan (dummy test data) lebih baik dari pada kalau memakai data (live real data) yang sebenarnya, karena:
Dengan dummy test data dapat dibuat data yang lebih sedikit tetapi memenuhi seluruh kriteria yang diperlukan untuk dapat melakukan test dengan baik.
Dengan dummy data akan lebih mudah dibuat perkiraan keluaran (designeble expected result), kalau data masukannya sudah direncanakan dengan matang akan menghasilkan tipe-tipe kesalahan yang seharusnya dideteksi program.
Kemungkinan kesalahan yang dapat dibuat pada dummy data akan lebih kompherensif, memenuhi semua kemungkinan yang dapat diperkirakan oleh evaluator.
Hal-hal yang perlu diperhatikan dalam menggunakan data uji:
Data uji harus mencakup seluruh kondisi yang diinginkan oleh auditor, baik data yang sah maupun tidak sah (error).
Program yang diuji dengan data uji auditor harus sama seperti yang dipergunakan untuk operasional sepanjang tahun oleh klien (bukan program “palsu”).
Data uji harus segera dihapus dari file klien segera setelah tes selesai, dengan maksud agar file sistem tidak terkontaminasi oleh data uji (bukan data transaksi sebenarnya).
Hal-hal yang perlu diperhatikan dalam menggunakan data uji:
Pelaksanaan data uji harus menjamin bahwa data uji tidak mempengaruhi file data sungguhan, akan ironis jika suatu prosedur audit yang dirancang untuk mendeteksi kekeliruan justru membawa kekeliruan. Ini membutuhkan koordinasi antara auditor dan karyawan komputer.
Auditor harus menjalankan pengendalian yang ketat. Dia harus mengamati pemosesan yang dilakukan oleh operator komputer. Jika pengujian selesai auditor harus segera mendapatkan output tercetak
Keuntungan Sistem Data Uji
Teknik test data dapat menguji proses yangterjadi di komputer dengan perkiraan outputberdasarkan input yang dipersiapkan, relatifsimple, cepat, serta relatif murah.
Teknik test data hanya memerlukan sedikitkeahlian teknis komputer dari auditor, tetapisering dapat menghasilkan temuan yangbagus (mengenai kelemahan kontrol dalamprogram), dan dengan sedikit modifikasi,data masih dapat digunakan pada audit yangakan datang.
Kelemahan Sistem Data Uji Limited by the auditor’s imagination, maksudnya,
keberhasilan tes tersebut sangat bergantung dari
kemampuan auditor dalam memahami potensi error
yang mungkin dapat terjadi dan bagaimana ia
membuat dummy data untuk menilai apakah software
yang diuji telah dilengkapi validasi (kemampuan
mendeteksi).
Sulit untuk establish that the program being tested is
the one the client regularly uses, karena bisa saja
klien nempunat software ganda, artinya jika diuji klien
memberi software yang benar, tetapi sesungguhnya
dalam operasi sehari-hari klien memakai software
yang lain (yang salah atau yang menguntungkan
perusahaannya).
Kelemahan Sistem Data Uji Dalam menggunakan tehnik data uji harus dijaga agar
dummy data yang dibuat tidak “mengotori” data yang
sebenarnya (make sure that the test data doesn’t
effect client’s real data).
Data uji bisa sangat mahal, pengembangannyabanyak perlu waktu, dan program yang diuji ternyatamungkin diganti/dirubah/bukan yang sebenarnya, sehingga hasil yang diperoleh cepat usang atau tidaktepat sasaran.
Bagi auditor pemula mungkin sulit untuk mendeteksikecurangan yang dilakukan oleh operator komputeryang ahli menukar program.
Teknik tesebut sifatnya statis, karena berfokus padatitik waktu tertentu dan tidak memeberikan hasil yang berkesinambungan
. Teknik ini berfokus pada program individual (program tertentu yang diuji saja), dancenderung tidak menguji secara komprehensifatas keseluruhan rangkaian sistem pemrosesantransaksi.
Sulit untuk membuat data uji yang dapat meliputiseluruh kemungkinan. Auditor tidak dapatmengetahui apakah program yang dipakai uji-coba benar-benar program yang on- production.
Test data juga masih banyak mengandungkelemahan dalam arti belum tentu dapatmenentukan apakah program betul-betul sudaherror-free.
b. Simulasi Paralel (Parallel Simulation) -
auditor's Software, Client's Data
Dalam teknik ini pelaksanaan pemeriksaandilakukan terhadap data sesungguhnya (dataauditee yang di-copy) dan diproses dengansoftware atau bahkan komputernya auditor.
Laporan yang dihasilkan dari simulasidibandingkan oleh auditor dengan laporan yangdihasilkan oleh pemrosesan rutin perusahaan
Jika terjadi perbedaan, asumsinya perbedaantersebut menunjukan bahwa softwareperusahaan tidak memproses data sesuai denganspesifikasi yang ada (atau programnya auditoryang salah).
Auditor's Results
Compare
Client's Data
Client's Results
Client's Computer Program Auditor's Simulated Program
Parallel Simulation - Auditor's software,client's data
Software yang dipakai dapat berupa:
Copy dari Software auditee, tetapi prosescopy harus diawasi oleh auditor,
Software audit tertentu yang dibuatauditor,
Generalized audit program.
Pada dasarnya sistem Paralel Test Facility (PIF) ini dapat dibedakan dalam dua cara, yaitu:
a. Parallel simulationDalam parallel simulation, auditor akan meminjam(mencopy data atau contoh data, misalnya data satu bulan) dan diproses pada komputer auditor, tetapi dengan sistem simulasi (sistem yang dibuatsendiri oleh auditor dengan spesifikasi yang samadengan aslinya/ yang ada di auditee).
b. Parallel processingDalam parallel processing, auditor akan meminjam(mencopy data atau contoh data, misalnya data satu bulan) dan diproses pada komputer auditor dengan sistem aplikasi yang juga di copy darikomputernya auditee.
Keunggulannya metoda ini adalah:
Teknik ini memeriksa akurasi pemrosesan dariprogram aplikasi.
Memungkinkan pensahihan output sesungguhnya.
Cocok untuk pengujian substantif maupununtuk complaince test.
Audit dilakukan pada komputernyaauditor/komputer lain/bukanyang sedangdiaudit, sehingga diperoleh keyakinan akanstatus sistem komputerisasi tersebut denganlebih akurat.
Keunggulannya metoda ini adalah:
Auditor dapat memperoleh keyakinan lebih tinggikarena dengan sistem simulasi kalau ada hal-hal yang tidak dapat terdeteksi dengan uji coba saja, makaakan diketahui karena dicoba dengan sistem yang lain.
Tidak terjadi kontaminasi file klien (does not contaminate client fiIes)
Proses dapat dilakukan dengan komputer pihak ketigaindependen (can be run at a service bureau independently of client).
Auditor menggunakan data klien sebenarnya (data real).
Memungkinkan auditor bekerja secara terpisah daripersonil (teknisi) klien, sehingga pelaksanaan audit lebih fleksibel
Kelemahannya adalah: Auditor harus mempunyai keahlian komputer yang
cukup kompeten untuk dapat menelusuri kembaliperbedaan antara dua hasil (output) program tersebut.
Perlu waktu untuk pengembangan sistem aplikasi untukparalelnya.
Apabila perusahaan mengupdate program pada saatdiperiksa tidak segera diketahui, dan atau auditor jugaharus segera mengupdate programnya.
Diperlukan komputer lain untuk pemeriksaan
Pada parallel simulation, auditor harus membuat sistemsimulasinya.
Pengecekan hanya terbatas pada data.
2. Teknik Untuk Menguji Pengendalian Program
Aplikasi Komputer Pada On-line Real Time Envenonment
a. Integrated Test Facilities (lTF)ITF digunakan untuk menguji sistem aplikasi dengan data tes pada saat komputer dioperasikan dalam kegiatan rutin pada perusahaan yang diaudit (auditan/auditee). Pada ITF pemeriksaan atau tes sistem komputerisasi dilaksanakan secara kontinyu dan simultan antara pelaksanaan tes dan real processing run. Dalam ITF Auditor harus membuat dummy data dan diproses bersamaan dengan real data yang mamang saat itu sedang diolah.
Persiapan dan pelaksanaan test harus sedemikian rupa sehingga operator tidak mengetahui bahwa pada saat ini sedang dilakukan audit, atau data yang sedang direkamnya ternyata adalah data dummy. Sistem ITF ini sering dilakukan pada bidang aplikasi: order entry, purchasing, payroll, accounts receivable, dan sebagainya, dalam teknologi on-line dan real-time (OLRT).
Auditor membuat entitas simulasi, misalnya suatu transaksi baru, pelanggan baru, pegawai baru, dan sebagainya. Entitas simulasi ini lalu dimasukkan ke dalam operasi yang berjalan seolah-olah merupakan entitas yang sah. Hasil dari pemrosesan transaksi itu harus dipisahkan dari transaksi yang sah. Sistem yang baik akan memberikan respon terhadap adanya transaksi/entitas yang tidak sah. Sebagaimana data tes, metode ini sasarannya adalah pada pengujian ketaatan (compliance test).
Integrated Test Facilities (ITF) - (mini-company approach)
Integrated Test Facility Integrated Test Facility
ITF File
Normal Reports
Predetermined Results
Compare
Normal Files
Processing System Normal Data Input
Auditor Submitted
Transactions
ITF Reports
Keunggulannya:
• ITF hanya memerlukan sedikit keahlian teknis komputer• biayanya relatif rendah, karena bersamaan proses
reguler,• Dapat dilakukan mendadak, sehingga dapat mencegah
upaya curang• Auditor dapat memeriksa sistem aplikasi yang
sebenarnya digunakan.• Test dilakukan langsung secara operasional bersama
real processing run, sehingga tidak usah memberhentikan proses.
• Dapat sekaligus merupakan simulasi yang tidak diketahui oleh operator
Kelemahannya adalah:• Auditor dan timnya harus sangat hati-hati, karena
sistem dan data yang digunakan adalah live system & actual data.
• Auditing ini dapat menyebabkan errors pada data auditee, khususnya jika audit dilakukan juga dalam proses penghitungan/penjumlahan.
• Karena sistem ITF pada dasarnya masih juga menggunakan data test, maka kelemahan-kelemahan yang ada pada metoda test data tetap ditemui pada sistem ITF. Hanya saja dalam hal ini kita yakin bahwa sistem yang kita test memang sistem apliksasi komputer yang dipakai secara operasional (sistem yang sesungguhnya).
b. Process Tracing Software
Process Tracing Software dapat menjadi suatu cara untuk identifikasi program modules fraud yang tidak tertangkap dengan metoda tes uji data. Tagging Transactions ini juga dikenal dengan istilah “Snapshot approach”.
Overview of Snapshot Approach Overview of Snapshot Approach
Reports
Updated Data
Snapshot of Selected Data
Data Entry
Client's Computer Program
Processing Step 1
Processing
Step 2
Processing
Step n
Dengan teknik snapshot ini komputer kliendiprogram untuk dimonitor kegiatantransaksinya.
Transaksi dapat dipilih bergantung padakriteria yg ditentukan auditor atau secaraacak.
Pada saat transaksi terpilih diproses auditor dapat melihat bagaimana pemrosesanransaksi tersebut.
Auditor selanjutnya dapat me-review, analisis dan mengetes transaksi.
Jadi metoda tagging & tracing ini dilaksanakandengan menambahkan kode atau elemen datatertentu pada data yang ada, kemudiandiamati, dianalisa dan ditentukan apakahmekanisme sistem komputerisasi sudahberjalan baik.
Tagging & tracing sebagai sistem pengujianketaatan dan sekaligus juga pengujiansubstantif. Karena didalam pengujian ini padadasarnya langsung mengamati data yangsebenarnya (secara sampling), dan jugamekanisme sistemnya.
Teknik embedded audit modules atausering juga disebut dengan istilah audithooks adalah teknik audit denganmenggunakan modul terprogram yangdisisipkan atau “dilekatkan” ke dalamprogram aplikasi, dengan tujuan untukmemantau dan menghimpun data untuktujuan pemeriksaan.
Pada saat transaksi memasuki komputer,transaksi ini diedit dan diproses olehprogram aplikasi.
c. Embedded Audit Modules
Pada saat yang sama transaksi dicekoleh modul audit yang terpasang didalam program.
Jika transaksi itu benar, makatransaksi itu dipilih oleh modulbersangkutan dan disalin pada logaudit (sering disebut SCARF/ SystemControl Audit Review File). Secaraperiodik, isi log itu dicetak untukditeliti oleh auditor.
c. Embedded Audit Modules
Keunggulan teknik audit Embedded Audit Modules adalah:
memungkinkan semua pemrosesan dipantauwalaupun tidak berkaitan langsung dengantransaksi individual,
dapat mendeteksi dan mencatat kemungkinanpenyalahgunaan wewenang mengakses file induk, untuk memasukan data transaksi yang palsu, atau untuk membatalkan parameter pemosesan (misalnya, harga dalam program penagihan).
Kelemahan teknik Embedded Audit Modules adalah:
memerlukan tambahan waktu untuk memprosestransaksi, karena semua instruksi program dalam modulharus dilaksanakan untuk setiap transaksi,
perancangan dan implementasi modul biasanya mahal, khususnya jika rnodul tersebut ditambahkan setelahprogram aplikasi sudah ada,
memerlukan pengamanan yang lebih ketat, karenamodul audit dan log audit harus diamankan terhadapakses oleh pegawai perusahaan, dan
auditor harus menentukan kriteria pemilihan transaksisecara seksarna. Jika terlalu ketat, maka jurnlahtransaksi yang dipilih mungkin sulit digunakan.
Mapping adalah teknik audit berbantuan komputer yang dilakukan dengan cara seolah-olah membuat pemetaan terhadap suatu program yang sedang dijalankan sehingga dapat diketahui bagian-bagian mana yang berfungsi sesuai dengan spesifikasinya dan bagian mana yang mungkin merupakan sisipan karena tidak sesuai dengan spesifikasinya.
d. Mapping
Keunggulan metoda ini antara lain:
auditor atau evaluator terhadap suatu program dapat memberikan rekomendasi atau usulperbaikan, yaitu mengurangi bagian-bagianprogram yang ternyata tidak bermanfaat.
Dengan demikian jika perbaikan tersebut dapatdilaksanakan dengan baik, maka berartikomputer akan dapat dioperasikan dengan lebihefisien.
Kelemahan metoda ini ialah antara lain:
Biaya pengadaan software yang relatif mahal dan perluwaktu pelatihan serta kemahiran tertentu untuk dapatmemanfaatkannya.
e. Job Accounting Data Analysis
Pada instalasi komputer induk (mainframe) lazimnya layanannya digunakan secara patungan (sharing) oleh berbagai unit dan berbagai sistem aplikasi yang diimplementasikan pada organisasi tersebut. Pada instalasi ini hanya terdapat satu central processing unit tetapi users atau pemakainya mungkin puluhan, bahkan bisa mencapai ratusan orang (terminal) pada saat yang bersamaan. Sementara itu pada jenis mesin tersebut computer-time cost relatif tinggi karena harga investasi serta biaya operasional atau konsumsi sumber-daya (khususnya listrik, infrastruktur) sangat mahal.
Dalam rangka analisis pembebanan biaya ataupun untuk kepentingan statistik perusahaan, pada umumnya jenis mesin tersebut juga dilengkapi dengan software yang bisa membantu manajemen untuk memperoleh data CPU utilization, computer-time per user, dan sebagainya.
Data itu sangat penting untuk mengevaluasi sistem aplikasi mana atau user mana yang pemakaian computer time-nya relatif tinggi, atau dalam service terhadap unit pemakai dikenakan charge maka data ini dipakai sebagai dasar billing kepada pelanggan. oleh karena itu pada jenis mesin mainframe biasanya juga dilengkapi dengan software yang dapat dipakai untuk keperluan tersebut, yang pada umumnya disebut Job Accounting Data Analysis.
Bagi auditor, tersedianya fasilitas itu sangatbermanfaat karena dapat dipakai sebagai buktiaudit untuk pendukung evaluasi mengenai:
Sebagai metoda pendukung untuk mengevaluasibeberapa jenis pengendalian, misalnya apakah aksesterhadap file-file tertentu atau kewenangan run program memang sudah dilaksanakan orang-orang(users) tertentu sesuai dengan yang seharusnya.
Untuk dapat mengevaluasi apakah telah terjadi aksesdengan remote terminal, yaitu akses denganmenggunakan terminal jarak jauh oleh pihak pihakyang tidak berhak.
Untuk mengevaluai apakah pekerjaan-pekerjaan sistemaplikasi telah dioperasikan menggunakan sumber dayainformasi yang benar.
f. Perangkat Lunak Audit
Perangkat lunak audit terdiri dari software (program-program komputer) yang digunakan oleh auditor sebagai bagian atau dukungan teknis pengumpulan bahan bukti audit dalam prosedur auditnya.
Software audit mencakup program-program komputer yang memungkinkan komputer digunakan sebagai alat audit untuk mengumpulkan dan mengolah data audit yang signifikan dari sistem informasi perusahaan.
Sebelum meggunakan program untuk tujuan auditnya, auditor harus meyakini validitas program yang akan ia gunakan.
Komputer diprogram untuk dapat membaca, memilih, mengekstrak, dan memsostir data dari file-file komputer.
Terdapat banyak jenis perangkat lunak audit yang dapat digunakan dalam berbagai tingkatan (mainframe maupun komputer mikro).
Auditor dapat menggungkan perangkat lunak konvensional seperti program-program utilitas sistem, program aplikasi yang didesain untuk audit, paket perangkat lunak audit yang dirancang secara khusus, yang dikenal sebagai perangkat lunak audit umum - Generalized Audit Software (GAS) dan paket-paket perangkat lunak komputer mikro.
f. Perangkat Lunak Audit
Top Related