Kamis, 22 Januari 2015

Audit Komputer – Berbasis Sistem Informasi (RESUME)



Pendahuluan
Bab ini berfokus pada audit Sistem Informasi Akuntansi (SIA). Audit adalah proses sistematis untuk memperoleh dan mengevaluasi bukti mengenai pernyataan tentang tindakan dan peristiwa ekonomi dalam rangka untuk menentukan seberapa baik mereka sesuai dengan kriteria yang telah ditetapkan. Hasil audit tersebut kemudian dikomunikasikan kepada pengguna yang tertarik. Audit membutuhkan perencanaan yang matang dan koleksi, review, dan dokumentasi dari bukti audit. Dalam mengembangkan rekomendasi, auditor menggunakan kriteria yang telah ditetapkan, seperti prinsip-prinsip pengendalian dijelaskan dalam bab-bab sebelumnya, sebagai dasar untuk evaluasi.
Audit internal merupakan jaminan yang memiliki, independen, obyektif dan aktivitas konsultasi yang dirancang untuk menambah nilai dan meningkatkan efektivitas organisasi dan efisiensi, termasuk membantu dalam desain dan implementasi SIA. Audit internal membantu organisasi mencapai tujuannya dengan membawa pendekatan yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektivitas proses manajemen risiko, pengendalian, dan tata kelola.
Ada beberapa jenis audit internal:
1.  Audit keuangan memeriksa keandalan dan integritas transaksi keuangan, catatan akuntansi dan laporan keuangan.
2.  Sistem informasi, atau pengendalian internal, audit ulasan kontrol dari SIA untuk menilai kepatuhan dengan kebijakan dan prosedur pengendalian internal dan efektivitas dalam menjaga aset. Audit biasanya mengevaluasi sistem input dan output, kontrol pengolahan, rencana cadangan dan pemulihan, sistem keamanan, dan fasilitas komputer.
3.  Audit operasional berkaitan dengan penggunaan ekonomis dan efisien sumber daya dan pencapaian tujuan yang telah ditetapkan dan tujuan.
4.  Sebuah audit kepatuhan, menentukan apakah entitas mematuhi hukum yang berlaku, peraturan, kebijakan, dan prosedur. Audit ini sering mengakibatkan rekomendasi untuk meningkatkan proses dan kontrol yang digunakan untuk memastikan kepatuhan terhadap peraturan.
5.  Audit investigasi meneliti insiden penipuan mungkin, penyalahgunaan aset, limbah dan penyalahgunaan, atau kegiatan pemerintah yang tidak tepat.
Sebaliknya, auditor eksternal bertanggung jawab kepada pemegang saham perusahaan dan sebagian besar berkaitan dengan mengumpulkan bukti yang diperlukan untuk menyatakan pendapat atas laporan keuangan. Mereka hanya secara tidak langsung berkaitan dengan efektivitas SIA perusahaan. Namun, auditor eksternal yang diperlukan untuk mengevaluasi bagaimana strategi audit dipengaruhi oleh penggunaan organisasi Teknologi Informasi (TI). Auditor eksternal mungkin memerlukan keterampilan khusus untuk (1) menentukan bagaimana audit akan terpengaruh oleh TI, (2) menilai dan mengevaluasi TI kontrol, dan (3) merancang dan melakukan kedua tes TI kontrol dan tes substantif.

Sifat Audit
Sekilas Proses Audit
PERENCANAAN AUDIT.   Perencanaan audit menentukan mengapa, bagaimana, kapan, dan oleh siapa audit akan dilakukan. Langkah pertama adalah untuk menetapkan ruang lingkup audit dan tujuan. Sebagai contoh, audit dari perusahaan publik menentukan apakah laporan keuangan disajikan secara wajar. Sebaliknya, audit internal dapat memeriksa departemen tertentu atau aplikasi komputer. Ini mungkin fokus pada pengendalian internal, informasi keuangan, kinerja operasional, atau beberapa kombinasi dari ketiganya.
Audit direncanakan sehingga jumlah terbesar dari pekerjaan audit berfokus pada bidang dengan faktor risiko tertinggi. Ada tiga jenis risiko audit:
1.      Risiko Inheren adalah kerentanan terhadap risiko materi tanpa adanya kontrol. Sebagai contoh, sebuah sistem yang menggunakan pengolahan online, jaringan, database, telekomunikasi, dan bentuk lain dari teknologi canggih memiliki risiko yang lebih melekat daripada sistem batch processing.
2.      Pengendalian risiko adalah risiko bahwa salah saji material akan melewati struktur pengendalian intern dan ke dalam laporan keuangan. Sebuah perusahaan dengan kontrol internal yang lemah memiliki risiko kontrol lebih tinggi dari satu dengan kontrol yang kuat. Pengendalian risiko dapat ditentukan dengan meninjau lingkungan pengendalian, pengujian pengendalian internal, dan mempertimbangkan kelemahan kontrol diidentifikasi dalam audit sebelumnya dan mengevaluasi bagaimana mereka telah diperbaiki.
3.      Risiko deteksi adalah risiko bahwa auditor dan prosedur audit mereka akan gagal untuk mendeteksi kesalahan material atau salah saji.

KOLEKSI BUKTI AUDIT   Upaya audit Kebanyakan dihabiskan mengumpulkan bukti-bukti. Karena tes audit yang banyak tidak dapat dilakukan pada semua item di bawah review, mereka sering dilakukan secara sampel. Berikut ini adalah cara yang paling umum untuk mengumpulkan bukti audit:
·         Pengamatan  terhadap kegiatan yang diaudit (misalnya, menonton bagaimana data mengontrol personel menangani pengolahan data pekerjaan seperti yang diterima)
·         Ulasan dokumentasi untuk memahami bagaimana proses tertentu atau sistem pengendalian intern yang seharusnya berfungsi
·         Diskusi dengan  karyawan  tentang  pekerjaan  mereka dan tentang bagaimana mereka melaksanakan prosedur tertentu
·         Kuesioner yang mengumpulkan data
·         Pemeriksaan fisik dari kuantitas dan/atau kondisi aset berwujud seperti peralatan dan persediaan
·         Konfirmasi keakuratan informasi seperti saldo rekening nasabah melalui komunikasi dengan pihak ketiga yang independen
·         Menyelenggarakan kembali perhitungan untuk memverifikasi informasi kuantitatif (misalnya menghitung ulang beban penyusutan tahunan)
·   Penjaminan untuk keabsahan transaksi dengan memeriksa dokumen-dokumen pendukung, seperti pesanan pembelian, menerima laporan, dan faktur vendor mendukung sebuah rekening transaksi hutang
·  Tinjauan analitis hubungan antara informasi dan tren untuk mendeteksi barang-barang yang harus diselidiki lebih lanjut. Sebagai contoh, auditor untuk toko rantai menemukan bahwa rasio satu toko piutang terhadap penjualan terlalu tinggi. Sebuah penyelidikan mengungkapkan bahwa manajer mengalihkan dana yang dikumpulkan untuk penggunaan pribadinya.
Audit khas memiliki campuran prosedur audit. Sebagai contoh, audit pengendalian internal memanfaatkan lebih dari observasi, review dokumentasi, wawancara karyawan, dan penyelenggaraan kembali dari prosedur pengendalian. Sebuah audit keuangan berfokus pada fisik, konfirmasi pemeriksaan, vouching, review analitis, dan penyelenggaraan kembali perhitungan saldo rekening.
EVALUASI BUKTI AUDIT    Auditor mengevaluasi bukti yang dikumpulkan dan memutuskan apakah mendukung kesimpulan yang menguntungkan atau tidak menguntungkan. Jika tidak meyakinkan, auditor melakukan prosedur tambahan yang cukup untuk mencapai kesimpulan definitif.
Karena kesalahan ada di kebanyakan sistem, auditor berfokus pada mendeteksi dan melaporkan orang-orang bahwa interpretasi secara signifikan dampak manajemen terhadap temuan audit. Menentukan materialitas, apa yang bisa dan tidak penting dalam audit, adalah masalah pertimbangan profesional. Materialitas yang lebih penting untuk audit eksternal, di mana penekanannya adalah kewajaran laporan keuangan, daripada audit internal, di mana fokusnya adalah pada kepatuhan terhadap kebijakan manajemen.
Auditor mencari keyakinan memadai bahwa tidak ada kesalahan material ada dalam informasi atau proses diaudit. Karena itu mahal untuk mencari jaminan lengkap, auditor memiliki beberapa risiko bahwa kesimpulan audit yang tidak benar. Ketika inherent risk atau kontrol yang tinggi, auditor harus memperoleh keyakinan yang lebih besar untuk mengimbangi ketidakpastian yang lebih besar dan risiko.
Dalam semua tahap audit, temuan dan kesimpulan yang didokumentasikan dalam kertas kerja audit. Dokumentasi sangat penting pada tahap evaluasi, ketika kesimpulan harus dicapai dan didukung.
KOMUNIKASI HASIL AUDIT Auditor menyampaikan laporan tertulis menyimpulkan temuan-temuan audit dan rekomendasi kepada manajemen, komite audit, dewan direksi, dan pihak lain yang sesuai. Setelah itu, auditor sering melakukan studi lanjutan untuk memastikan apakah rekomendasi telah dilaksanakan.

Pendekatan Risiko-Berbasis Audit
Kontrol berikut Pendekatan evaluasi internal, yang disebut pendekatan audit berbasis risiko, menyediakan kerangka kerja untuk melakukan audit sistem informasi:
1. Tentukan ancaman (penipuan dan kesalahan) yang dihadapi perusahaan. Ini adalah daftar dari penyalahgunaan disengaja atau tidak disengaja dan kerusakan yang sistem terkena.
2.    Mengidentifikasi prosedur kontrol yang mencegah, mendeteksi, atau mengoreksi ancaman. Ini semua adalah kontrol yang manajemen telah dimasukkan ke dalam tempat dan bahwa auditor harus meninjau dan menguji, untuk meminimalkan ancaman.
3.      Evaluasi prosedur pengendalian. Kontrol dievaluasi dua cara:
a.      Sebuah tinjauan sistem menentukan apakah prosedur pengendalian sebenarnya di tempat. 
b.      Pengujian pengendalian dilakukan untuk menentukan apakah kontrol yang ada bekerja sebagaimana dimaksud.
4.      Mengevaluasi kelemahan kontrol untuk mengetahui efeknya pada waktu, sifat, atau luasnya prosedur audit.  Jika auditor menentukan risiko pengendalian yang terlalu tinggi karena sistem kontrol memadai, auditor mungkin harus mengumpulkan lebih banyak bukti, bukti yang lebih baik, atau bukti lebih tepat waktu. Kontrol kelemahan dalam satu bidang mungkin dapat diterima jika ada kontrol kompensasi di daerah lain.
Pendekatan berbasis risiko menyediakan auditor dengan pemahaman yang lebih jelas dari penipuan dan kesalahan yang dapat terjadi dan risiko terkait dan eksposur. Hal ini juga membantu mereka merencanakan bagaimana untuk menguji dan mengevaluasi pengendalian internal, serta bagaimana merencanakan prosedur audit berikutnya. Hasilnya adalah dasar yang kuat untuk mengembangkan rekomendasi kepada manajemen tentang bagaimana sistem kontrol AIS harus ditingkatkan.


Sistem Informasi Audit
Tujuan dari audit sistem informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem. Ketika melakukan audit sistem informasi, auditor harus memastikan bahwa enam berikut tujuan terpenuhi:
1.      Ketentuan keamanan melindungi peralatan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi, atau perusakan.
2.      Program pengembangan dan akuisisi dilakukan sesuai dengan otorisasi manajemen umum dan khusus.
3.      Program modifikasi memiliki otorisasi manajemen dan persetujuan.
4.      Pengolahan transaksi, lalat, laporan, dan catatan komputer lainnya adalah akurat dan lengkap.
5.      Sumber data yang tidak akurat atau tidak benar berwenang diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang ditentukan.
6.      Komputer file data yang akurat, lengkap, dan rahasia.

Tujuan 1: Keamanan Keseluruhan
Tabel 11-1 Menggunakan pendekatan berbasis risiko untuk menyajikan kerangka kerja untuk audit keamanan komputer secara keseluruhan. Hal ini menunjukkan bahwa ancaman keamanan sistem secara keseluruhan termasuk kerusakan akibat kecelakaan atau disengaja untuk aset sistem, akses yang tidak sah, pengungkapan, atau modifikasi data dan program, pencurian, dan gangguan kegiatan bisnis penting.
GAMBAR 11-2
Sistem informasi komponen dan tujuan audit terkait
                     

TABEL 11-1 Kerangka Kerja Untuk Audit Keamanan Komputer Secara Keseluruhan
Jenis Kesalahan dan Penipuan
·         Pencurian atau 01 disengaja. disengaja kerusakan hardware
·         Rugi, pencurian, atau akses tidak sah  ke program, data, dan sumber daya sistem lainnya
·         Rugi, pencurian, atau pengungkapan yang tidak sah dari data rahasia
·         Modifikasi yang tidak resmi atau penggunaan program dan ritus Data
·         Gangguan kegiatan bisnis penting

Prosedur Kontrol
·         Informasi keamanan/perlindungan rencana
·         Membatasi akses fisik ke peralatan komputer
·         Membatasi akses logis untuk sistem kontrol menggunakan otentikasi dan otorisasi
·         Penyimpanan data dan transmisi kontrol
·         Perlindungan virus prosedur
·         File backup dan prosedur recovery
·         Toleransi kegagalan sistem desain
·         Bencana rencana pemulihan
·         Pencegah pemeliharaan
·         Firewall
·         Korban kecelakaan dan asuransi gangguan usaha

Audit Prosedur: Sistem Ulasan
·         Periksa situs komputer
·         Tinjau keamanan informasi/perlindungan dan rencana pemulihan bencana
·         Personil informasi Wawancara sistem berteriak prosedur keamanan
·         Meninjau kebijakan akses fisik dan logis dan prosedur
·         Ulasan menggusarkan kebijakan pemulihan cadangan kering dan prosedur
·         Ulasan penyimpanan data dan transmisi kebijakan dan prosedur
·         Ulasan prosedur yang digunakan untuk meminimalkan downtime sistem
·         Kontrak vendor pemeliharaan Ulasan
·         Periksa log sistem akses
·         Memeriksa santai dan kebijakan gangguan bisnis asuransi

Audit Prosedur: Tes Kontrol
·         Amati dan menguji komputer-situs prosedur akses
·         Amati penyusunan dan off-situs penyimpanan cadangan riles
·         Uji tugas dan prosedur modifikasi untuk ID pengguna dan password
·         Menyelidiki bagaimana upaya akses yang tidak sah ditangani dengan
·         Verifikasi efektivitas sejauh kering enkripsi data
·         Pastikan penggunaan efektif kontrol transmisi data
·         Verifikasi efektifitas penggunaan firewall dan prosedur perlindungan virus
·         Pastikan penggunaan pemeliharaan preventif dan Uninterruptible Power Supply
·         Pastikan jumlah dan pembatasan asuransi
·         Periksa hasil simulasi rencana pemulihan bencana uji

Kompensasi Kontrol
·         Suara personel kebijakan, termasuk pemisahan tugas yang tidak kompatibel
·         Kontrol pengguna Efektif
Kontrol prosedur untuk meminimalkan ancaman-ancaman termasuk mengembangkan keamanan informasi/perlindungan rencana, membatasi akses fisik dan logis, enkripsi data, melindungi terhadap virus, firewall pelaksanaan, melembagakan kontrol transmisi data, dan mencegah dan memulihkan dari kegagalan sistem atau bencana.
Sistem review prosedur termasuk situs komputer memeriksa, personil wawancara, meninjau kebijakan dan prosedur: dan log akses memeriksa, kebijakan asuransi, dan rencana pemulihan bencana.

Tujuan 2: Program Pengembangan dan Akuisisi
Peran auditor dalam pengembangan sistem harus dibatasi tinjauan independen dari kegiatan pengembangan sistem. Untuk menjaga objektivitas, auditor tidak harus membantu mengembangkan sistem.
Dua hal yang bisa salah dalam pengembangan program: (1) kesalahan pemrograman sengaja karena spesifikasi sistem kesalahpahaman atau pemrograman ceroboh dan (2) instruksi yang tidak sah sengaja dimasukkan ke dalam program.
Masalah-masalah ini dapat dikontrol dengan mewajibkan otorisasi manajemen dan pengguna dan persetujuan, pengujian menyeluruh, dan dokumentasi yang tepat.
Selama peninjauan sistem, auditor harus mendiskusikan prosedur pembangunan dengan personil sistem manajemen, pengguna sistem, dan informasi. Mereka juga harus meninjau kebijakan, prosedur, standar, dan dokumentasi yang tercantum dalam Tabel 11-2.

Tabel 11-2 Kerangka Audit Pengembangan Program
Jenis Kesalahan dan Penipuan
·         Sengaja kesalahan pemrograman atau kode program yang tidak sah
Kontrol Prosedur
·         Ulasan dari perjanjian lisensi perangkat lunak
·         Manajemen otorisasi untuk pengembangan program dan perangkat lunak akuisisi
·         Manajemen dan persetujuan pengguna spesifikasi pemrograman
·         Teliti pengujian program baru, termasuk tes penerimaan pengguna
·         Lengkap sistem dokumentasi, termasuk persetujuan
Audit Prosedur: Sistem Ulasan
·         Independen review dari proses pengembangan sistem
·         Ulasan kebijakan akuisisi pengembangan sistem dan prosedur
·         Ulasan otorisasi sistem dan kebijakan persetujuan dan prosedur
·         Ulasan dari standar evaluasi program
·         Ulasan standar dokumentasi program dan sistem
·         Ulasan spesifikasi tes, data uji, dan hasil tes
·         Ulasan kebijakan persetujuan uji dan prosedur
·         Ulasan akuisisi kebijakan perjanjian lisensi hak cipta dan prosedur
·         Diskusi dengan manajemen, pengguna, dan personel sistem informasi mengenai prosedur pembangunan
Audit Prosedur: Tes Kontrol
·         Wawancara pengguna tentang akuisisi mereka pengembangan sistem/dan keterlibatan pelaksanaan
·         Ulasan menit dari pertemuan tim pengembangan untuk bukti keterlibatan
·         Verifikasi manajemen dan pengguna sign-off persetujuan pada titik tonggak perkembangan
·         Ulasan dot spesifikasi, data uji, dan sistem hasil tes
·         Perjanjian lisensi perangkat lunak Ulasan
Kompensasi Kontrol
·         Kontrol pengolahan kuat
·         Independen pengolahan data tes oleh auditor
Untuk menguji kontrol pengembangan sistem, auditor harus mewawancarai manajer dan pengguna sistem, memeriksa persetujuan pembangunan, dan menit tinjauan tim pengembangan pertemuan. Auditor harus meninjau semua dokumentasi yang berkaitan dengan proses pengujian untuk memastikan semua perubahan program diuji. Auditor harus memeriksa spesifikasi tes dan data pengujian dan mengevaluasi hasil tes. Auditor harus memastikan bagaimana masalah tak terduga tes hasil diselesaikan.
Kontrol proses yang kuat dapat mengimbangi kontrol pembangunan yang tidak memadai jika auditor memperoleh bukti persuasif sesuai dengan pengolahan kontrol, menggunakan teknik seperti pengolahan data uji independen. Jika bukti ini tidak diperoleh, auditor mungkin harus menyimpulkan bahwa kelemahan pengendalian internal yang ada materi dan bahwa risiko ancaman yang signifikan dalam program aplikasi yang sangat tinggi.

Tujuan 3: Modifikasi Program
Tabel 11-3 menyajikan suatu kerangka kerja untuk perubahan audit program aplikasi dan perangkat lunak sistem. Ancaman yang sama yang terjadi selama pengembangan program terjadi selama modifikasi program. Sebagai contoh, seorang programmer ditugaskan untuk memodifikasi sistem penggajian perusahaannya memasukkan perintah untuk menghapus semua file perusahaan jika ia dihentikan. Ketika ia dipecat, sistem jatuh dan menghapus file kunci.

Tabel 11-3 Kerangka Audit Modifikasi Program
Jenis Kesalahan dan Penipuan
·         Sengaja kesalahan pemrograman atau kode program yang tidak sah
Kontrol Prosedur
·         komponen program Daftar untuk dimodifikasi
·         Manajemen otorisasi dan persetujuan modifikasi program
·         Pengguna persetujuan perubahan spesifikasi program yang
·         Menyeluruh Uji perubahan program, termasuk tes penerimaan pengguna
·         Program Lengkap perubahan dokumentasi, termasuk persetujuan
·         Pengembangan terpisah, pengujian, dan produksi versi program
·         Perubahan dilaksanakan oleh personel independen dari pengguna dan programmer
·         Kontrol akses logis
Audit Prosedur: Sistem Ulasan
·         Ulasan kebijakan modifikasi program, standar, dan prosedur
·         Standar dokumentasi Ulasan untuk program modifikasi
·         Ulasan dokumentasi akhir dari modifikasi program
·         Ulasan program modifikasi pengujian dan prosedur tes persetujuan
·         Tinjau spesifikasi tes, data uji, dan hasil tes
·         Ulasan kebijakan persetujuan uji dan prosedur
·         Standar pemrograman evaluasi Ulasan
·         Diskusikan kebijakan modifikasi dan prosedur dengan manajemen, pengguna, dan personel sistem
·         Ulasan kebijakan pengendalian akses logis dan prosedur
Audit Prosedur: Tes Kontrol
·         Verifikasi pengguna dan persetujuan manajemen signoff untuk perubahan program
·         Pastikan bahwa program komponen yang akan diubah diidentifikasi dan terdaftar
·         Pastikan bahwa program prosedur dot perubahan dan dokumentasi sesuai dengan standar
·         Pastikan bahwa kontrol akses logis yang berlaku untuk perubahan program
·         Amati pelaksanaan program perubahan
·         Pastikan bahwa perkembangan terpisah, pengujian, dan produksi versi dipertahankan
·         Pastikan bahwa perubahan tidak dilaksanakan oleh personel pengguna atau pemrograman
·         Test untuk perubahan program yang tidak sah atau salah menggunakan program kode sumber perbandingan, pengolahan, dan simulasi paralel
Kompensasi Kontrol
·         Tes Audit Independen untuk perubahan program yang tidak sah atau salah
·         Kontrol pengolahan kuat
Ketika perubahan program diajukan untuk disetujui, daftar semua pembaruan yang diperlukan harus disusun dan disetujui oleh manajemen pengguna dan program. Semua perubahan program harus diuji dan didokumentasikan. Selama proses perubahan, program pembangunan harus dipisahkan dari versi produksi. Setelah program yang dimodifikasi disetujui, versi produksi menggantikan versi perkembangan.
Selama peninjauan sistem, auditor harus mendiskusikan proses perubahan dengan personil manajemen dan pengguna. Kebijakan, prosedur, dan standar untuk menyetujui, memodifikasi, pengujian, dan mendokumentasikan perubahan harus diperiksa. Semua bahan dokumentasi akhir untuk perubahan program, termasuk prosedur tes dan hasil, harus ditinjau ulang. Prosedur yang digunakan untuk membatasi akses logis untuk program pembangunan harus ditinjau.
Auditor harus menguji program secara mengejutkan untuk menjaga terhadap seorang karyawan memasukkan perubahan program yang tidak sah setelah audit selesai dan menghapus mereka sebelum audit berikutnya. Ada tiga cara tes auditor untuk perubahan program yang tidak sah:
1.      Setelah menguji program baru, auditor menyimpan salinan kode sumbernya. Auditor menggunakan program kode sumber perbandingan untuk membandingkan versi saat ini dari program dengan kode sumber. Jika tidak ada perubahan yang berwenang, dua versi harus identik, perbedaan harus diselidiki. Jika perbedaan adalah perubahan resmi, auditor memeriksa spesifikasi program perubahan untuk memastikan bahwa perubahan telah disetujui dan benar dimasukkan.
2.      Dalam teknik pengolahan, auditor memproses ulang data menggunakan kode sumber dan bandingkan hasilnya dengan output perusahaan. Perbedaan dalam output diselidiki.
3.      Dalam simulasi paralel, auditor menulis program daripada menggunakan kode sumber, membandingkan output, dan menyelidiki perbedaan. Simulasi paralel dapat digunakan untuk menguji program selama proses implementasi. Misalnya, Jason menggunakan teknik ini untuk menguji sebagian dari sistem departemen baru SPP penjualan penggajian.
Untuk setiap perubahan program utama, auditor mengamati pengujian dan otorisasi pelaksanaan review, dan dokumen, dan melakukan tes independen. Jika langkah ini akan dilewati dan perubahan Program kontrol kemudian terbukti tidak memadai, tidak mungkin untuk mengandalkan hasil program.

Tujuan 4: Komputer Pengolahan
Tabel 11-4 menyediakan kerangka kerja untuk audit pengolahan transaksi, file, dan catatan komputer terkait untuk memperbarui file dan database dan menghasilkan laporan.
Selama pemrosesan komputer, sistem mungkin gagal untuk mendeteksi masukan yang salah, kesalahan input benar, masukan proses yang salah, atau tidak benar mendistribusikan atau mengungkapkan output. Tabel 11-4 menunjukkan prosedur pengendalian untuk mendeteksi dan mencegah ancaman dan review sistem dan tes kontrol yang digunakan untuk memahami kontrol, evaluasi kecukupan mereka, dan uji. Apakah mereka berfungsi dengan baik.
Auditor secara berkala mengevaluasi kembali kontrol pengolahan untuk memastikan keandalan lanjutan mereka. Jika mereka tidak memuaskan, pengguna dan sumber data kontrol mungkin cukup kuat untuk mengimbangi. Jika tidak, kelemahan materi ada, dan langkah-langkah harus diambil untuk menghilangkan kekurangan kontrol.
Teknik khusus Beberapa digunakan untuk menguji kontrol pengolahan, yang masing-masing memiliki kelebihan dan kekurangan. Teknik Tidak efektif untuk semua situasi, semua lebih tepat dalam beberapa situasi dan kurang begitu pada orang lain. Auditor tidak harus mengungkapkan teknik yang mereka gunakan, karena hal itu dapat mengurangi efektivitas mereka. Masing-masing prosedur sekarang dijelaskan.
Tabel 11-4 Kerangka Audit Kontrol Pengolahan Komputer
Jenis Kesalahan dan Penipuan
·         Kegagalan untuk mendeteksi benar, input data tidak lengkap, atau tidak sah
·         Kegagalan untuk benar kesalahan kopi ditandai oleh prosedur editing data yang
·         Pengenalan kesalahan ke file atau database selama memperbarui
·         Tidak Layak distribusi atau pengungkapan output komputer
·         Disengaja atau tidak disengaja ketidakakuratan pelaporan
Kontrol Prosedur
·         Data editing rutinitas
·         Proper penggunaan label file internal dan eksternal
·         Rekonsiliasi total bets
·         Kesalahan prosedur koreksi Efektif
·         Dokumentasi operasi dimengerti dan manual menjalankan
·         Kompeten pengawasan operasi komputer
·         Efektif penanganan data input dan output oleh personil data kontrol
·         Persiapan daftar perubahan file dan ringkasan untuk pengguna departemen tinjauan
·         Pemeliharaan kondisi lingkungan yang tepat dalam fasilitas komputer
Audit Prosedur: Sistem Ulasan
·         Ulasan dokumentasi administrasi untuk memproses standar kontrol
·         Review sistem dokumentasi untuk mengedit data dan kontrol pengolahan lainnya
·         Ulasan operasi dokumentasi untuk kelengkapan dan kejelasan
·         Ulasan salinan daftar kesalahan, laporan sekumpulan total, dan daftar file perubahan
·         Amati operasi komputer dan fungsi data kontrol
·         Diskusikan kontrol pengolahan dan output dengan operator dan pengawas sistem informasi
Audit Prosedur: Tes Kontrol
·         Mengevaluasi kecukupan standar pengendalian proses dan prosedur
·         Mengevaluasi kecukupan dan kelengkapan data kontrol editing
·         Verifikasi kepatuhan terhadap prosedur pengendalian pengolahan dengan mengamati operasi komputer dan data kontrol
·         Pastikan bahwa aplikasi keluaran sistem terdistribusi dengan
·         Rekonsiliasi sampel total batch: menindaklanjuti perbedaan
·         Jejak sampel data rutinitas kesalahan edit untuk memastikan penanganan yang tepat
·         Verifikasi proses akurasi transaksi sensitif
·         Verifikasi akurasi pemrosesan komputer yang dihasilkan transaksi
·         Cari kode yang salah atau tidak sah melalui analisis logika program
·         Periksa keakuratan dan kelengkapan kontrol pengolahan menggunakan data uji
·         Memantau sistem pengolahan online menggunakan teknik audit bersamaan
·         Ulang memilih laporan untuk menguji keakuratan dan kelengkapan
Kompensasi Kontrol
·         Kontrol pengguna yang kuat dan kontrol yang efektif dari sumber data
Pengolahan Data Uji. Salah satu cara untuk agar program adalah untuk memproses set hipotesis transaksi yang valid dan tidak valid. Program ini harus memproses semua transaksi yang valid benar dan menolak semua yang tidak valid. Semua jalur logika harus diperiksa oleh satu atau lebih transaksi uji. Data yang tidak valid termasuk catatan dengan hilang, bidang data yang mengandung sejumlah besar tidak masuk akal, nomor rekening tidak valid atau kode pengolahan, data nonnumeric di bidang numerik, dan catatan keluar dari urutan.
Sumberdaya berikut ini whets membantu mempersiapkan data uji:
·         Sebuah daftar transaksi yang sebenarnya
·         Transaksi Tes perusahaan yang digunakan untuk menguji program
·         Sebuah data uji generator, yang mempersiapkan data uji berdasarkan spesifikasi program
Dalam sistem batch processing, program perusahaan dan salinan file yang relevan digunakan untuk memproses data uji. Hasil dibandingkan dengan output yang benar yang telah ditentukan, perbedaan mengindikasikan kesalahan pengolahan atau kekurangan kontrol untuk diselidiki.
Dalam sistem online, auditor memasukkan data uji dan kemudian mengamati dan log respon sistem. Jika sistem menerima transaksi pengujian yang salah, auditor membalikkan efek dari transaksi, menyelidiki masalah, dan merekomendasikan bahwa kekurangan diperbaiki.
Pengolahan transaksi uji memiliki dua kelemahan. Pertama, auditor harus menghabiskan waktu yang cukup memahami sistem dan mempersiapkan transaksi uji. Kedua, auditor harus memastikan bahwa data uji tidak mempengaruhi file perusahaan dan database. Auditor dapat membalikkan efek dari transaksi uji atau memproses transaksi dalam jangka terpisah menggunakan salinan dari file atau database. Namun, menjalankan terpisah menghilangkan beberapa keaslian diperoleh dari pengolahan data tes dengan transaksi biasa. Karena prosedur pembalikan dapat mengungkapkan keberadaan dan sifat dari tes auditor untuk personil kunci, bisa kurang efektif daripada tes tersembunyi.
Concurrent Audit Teknik. Karena transaksi dapat diproses dalam sistem online tanpa meninggalkan jejak audit, bukti yang dikumpulkan setelah data diolah tidak cukup untuk tujuan audit. Selain itu, karena banyak sistem online proses transaksi terus menerus, sulit untuk menghentikan sistem untuk melakukan tes audit. Dengan demikian, auditor menggunakan teknik audit bersamaan untuk terus memonitor sistem dan mengumpulkan bukti audit sementara data hidup diproses selama jam operasi rutin. Teknik audit bersamaan menggunakan modul audit yang tertanam, yang merupakan segmen kode program yang melakukan fungsi audit, hasil laporan pengujian, dan menyimpan bukti yang dikumpulkan untuk diperiksa auditor. Teknik audit bersamaan yang memakan waktu dan sulit untuk digunakan, tetapi kurang sehingga jika dimasukkan ketika program dikembangkan.
Auditor biasanya menggunakan lima teknik audit bersamaan.
1.      Sebuah Fasilitas Uji Terintegrasi (FUT) menyisipkan catatan fiktif yang mewakili sebuah divisi fiktif, departemen, pelanggan, atau pemasok di file induk perusahaan. Pengolahan transaksi tes untuk memperbarui mereka tidak akan mempengaruhi catatan sebenarnya. Karena catatan fiktif dan yang sebenarnya diproses bersama-sama, karyawan perusahaan tidak menyadari pengujian. Sistem ini membedakan catatan FUT dari catatan yang sebenarnya, mengumpulkan informasi mengenai transaksi uji, dan melaporkan hasilnya. Auditor membandingkan data yang diolah dengan hasil yang diharapkan untuk memverifikasi bahwa sistem dan kontrol yang beroperasi dengan benar. Dalam sistem batch processing, FUT menghilangkan memperhatikan membalikkan transaksi uji. FUT efektif menguji sistem pengolahan online, karena transaksi uji dapat disampaikan sering, diproses dengan transaksi yang sebenarnya, dan ditelusuri melalui setiap tahap pengolahan tanpa mengganggu operasi pengolahan rutin. Auditor harus berhati-hati untuk tidak menggabungkan catatan dummy dan sebenarnya selama proses pelaporan.
2.      Dalam teknik snapshot, transaksi dipilih ditandai dengan kode khusus. Modul Audit mencatat transaksi ini dan mereka menguasai catatan file sebelum dan sesudah pengolahan dan Menyimpan data dalam file khusus. Auditor mengkaji data untuk memverifikasi bahwa semua langkah proses yang benar dieksekusi.
3.      Sistem kontrol audit pengkajian file (SCARF) menggunakan tertanam modul audit untuk terus memantau aktivitas transaksi, mengumpulkan data tentang transaksi dengan signifikansi audit khusus, dan Menyimpannya dalam file SCARF atau log audit. Transaksi tercatat termasuk yang melebihi batas dolar tertentu, yang melibatkan rekening yang tidak aktif, menyimpang dari kebijakan perusahaan, atau mengandung write-downs dari nilai aset. Secara berkala, auditor memeriksa log audit untuk mengidentifikasi dan menyelidiki transaksi dipertanyakan.
4.      Kait Audit adalah pemeriksaan rutin yang memberitahukan auditor transaksi dipertanyakan, sering terjadi. Penggunaan State Farm terhadap kait audit, termasuk bagaimana perusahaan mendeteksi kecurangan besar, dijelaskan dalam Focus 11-1.
5.      Continuous and Intermittent Simulation (CIS) menanamkan modul audit DataBase Management System (DBMS) yang meneliti semua transaksi yang update database menggunakan kriteria yang sama dengan SCARF. Jika transaksi memiliki signifikansi audit khusus, modul CIS mandiri memproses data (dalam cara yang mirip dengan simulasi paralel), mencatat hasil, dan membandingkannya dengan yang diperoleh oleh DBMS. Ketika perbedaan yang ada, mereka disimpan dalam log audit untuk penyelidikan selanjutnya. Jika perbedaan serius, CIS dapat mencegah DBMS dari melaksanakan pembaruan.
Analisis Program Logic. Jika auditor menduga bahwa program berisi kode yang tidak sah atau kesalahan yang serius, analisis rinci dari logika program mungkin diperlukan. Ini adalah kapur memakan dan membutuhkan kemahiran dalam bahasa pemrograman yang sesuai, sehingga harus digunakan sebagai upaya terakhir. Auditor menganalisis pengembangan, operasi, dan dokumentasi program serta printout dari source code. Mereka juga menggunakan paket perangkat lunak berikut:
·         Program flowcharting Otomatis menafsirkan kode sumber dan menghasilkan sebuah diagram alur program.
·         Program keputusan Otomatis meja menafsirkan kode sumber dan menghasilkan tabel keputusan.
·         Pemindaian rutinitas mencari program untuk semua kejadian dari item tertentu.
·         Program Pemetaan mengidentifikasi kode program yang tidak dijalankan. Perangkat lunak ini bisa menemukan kode program yang programmer bermoral dimasukkan untuk menghapus semua file komputer ketika ia dihentikan.
·         Program tracing berurutan mencetak semua program langkah dieksekusi ketika program berjalan, bercampur dengan output teratur sehingga urutan peristiwa eksekusi program dapat diamati. Program tracing membantu mendeteksi instruksi program yang tidak sah, jalur logika yang salah, dan kode program yang tidak dijalankan.
Fokus: Menggunakan Hooks Audit di Perusahaan Asuransi Jiwa State Farm
Pertanian Negara. Perusahaan Asuransi Jiwa sistem komputer memiliki komputer host di Bloomington, Illinois, dan komputer kecil di kantor regional. Sistem proses lebih dari 30 juta transaksi per tahun selama lebih dari 4 juta kebijakan individu senilai lebih dari $ 7 miliar.
Ini, online update real-time sistem file dan database sebagai transaksi terjadi. Kertas audit telah hampir lenyap, dan dokumen pendukung perubahan pada catatan polis telah dieliminasi atau diadakan hanya dalam waktu singkat sebelum disposisi.
Karena siapapun yang memiliki akses dan pengetahuan kerja sistem dapat melakukan penipuan, staf audit internal diminta untuk mengidentifikasi semua cara penipuan adalah mungkin. Mereka menyerbu otak-cara untuk menipu sistem dan mewawancarai pengguna sistem, yang memberikan wawasan yang sangat berharga.
Tujuan 5: Sumber Data
Sebuah masukan kontrol matriks digunakan untuk mendokumentasikan penelaahan kontrol sumber data. Matriks pada Gambar 11-3 menunjukkan prosedur pengendalian yang diterapkan untuk masing-masing bidang record input.
Fungsi kontrol data harus independen dari fungsi lainnya, mempertahankan tog data kontrol, menangani error, dan menjamin efisiensi keseluruhan operasi. Hal ini biasanya tidak layak secara ekonomis untuk usaha kecil untuk memiliki data fungsi kontrol independen. Untuk kompensasi, pengguna kontrol departemen harus ia kuat sehubungan dengan persiapan data, total kontrol batch, mengedit program, pembatasan akses fisik dan logis, dan kesalahan-penanganan prosedur. Prosedur ini harus menjadi fokus kajian sistem auditor dan tes kontrol ketika tidak ada data fungsi kontrol independen.
Jika sumber data kontrol tidak memadai, pengguna departemen dan kontrol pengolahan data dapat kompensasi. Jika tidak, auditor harus merekomendasikan bahwa sumber data kekurangan kontrol dikoreksi.
Tabel 11-5 menunjukkan pengendalian internal yang mencegah, mendeteksi, dan memperbaiki sumber data yang tidak akurat atau tidak sah. Hal ini juga menunjukkan system review dan tes pengendalian auditor menggunakan prosedur. Dalam sistem online, sumber data fungsi masuk dan pengolahan satu operasi. Oleh karena itu, sumber data kontrol yang terintegrasi dengan pengolahan kontrol pada Tabel 11-4.

Gambar 11-3
Kontrol masukan Matrix
Tujuan 6: Data File
Tujuan keenam menyangkut akurasi, integritas, dan keamanan data yang tersimpan pada mesin-dibaca file. Tabel 11-6 merangkum kesalahan, kontrol, dan prosedur audit untuk tujuan ini. Jika kontrol file yang serius kekurangan, terutama berkenaan dengan akses fisik atau logis atau prosedur backup dan pemulihan, auditor harus merekomendasikan mereka diperbaiki.
Tabel 11-5 Kerangka Audit Kontrol Sumber Data
Jenis Kesalahan dan Penipuan
·         Sumber data tidak akurat atau tidak sah
Kontrol Prosedur
·         Efektif penanganan masukan sumber data oleh personil data kontrol
·         Pengguna otorisasi di 'masukan sumber data
·         Persiapan dan rekonsiliasi total kontrol batch
·         Membukukan penerimaan, gerakan, dan disposisi dari masukan sumber data
·         Periksa Verifikasi digit
·         Kunci Verifikasi
·         Penggunaan dokumen turnaround (perbaikan)
·         Data editing rutinitas
·         Pengguna departemen review daftar perubahan file dan ringkasan
·         Efektif prosedur untuk memperbaiki dan mengirimkan kembali data yang salah
Audit Prosedur: Sistem Ulasan
·         Ulasan dokumentasi tentang tanggung jawab fungsi kontrol Data
·         Dokumentasi Ulasan administrasi untuk sumber data kontrol standar
·         Meninjau metode otorisasi dan memeriksa tanda tangan otorisasi
·         Tinjau dokumentasi untuk mengidentifikasi langkah-langkah pengolahan dan sumber konten data dan kontrol
·         Data Dokumen sumber kontrol menggunakan matriks kontrol masukan
·         Diskusikan sumber data kontrol dengan personil kontrol data, pengguna sistem, dan manajer
Tabel 11-5 Lanjutan
Audit Prosedur: Tes Kontrol
·         Amati dan mengevaluasi operasi data departemen pengendalian dan prosedur pengendalian
·         Verifikasi perawatan yang tepat dan penggunaan log data kontrol
·         Mengevaluasi bagaimana kesalahan item log ditangani dengan
·         Periksa sumber data untuk otorisasi yang tepat
·         Rekonsiliasi total batch dan ikuti pada perbedaan
·         Jejak disposisi kesalahan ditandai oleh data sunting rutinitas
Kompensasi Kontrol
·         Kuat pengguna dan kontrol pengolahan data
Tabel 11-6 Kerangka Audit Kontrol Data File
Jenis Kesalahan dan Penipuan
·         Penghancuran data yang disimpan karena kesalahan, perangkat keras atau perangkat lunak malfungsi, dan tindakan sengaja sabotase atau vandalisme
·         Modifikasi yang tidak berwenang atau pengungkapan data yang tersimpan
Kontrol Prosedur
·         Penyimpanan data di perpustakaan file aman dan pembatasan akses fisik ke file data
·         Kontrol akses logis dan matriks kontrol akses
·         Proper penggunaan label file dan menulis-mekanisme perlindungan
·         Kontrol pembaruan concurrent (yang terjadi bersama-sama)
·         Enkripsi data untuk data rahasia
·         Virus software perlindungan
·         Off-situs cadangan dari semua file data
·         Checkpoint dan rollback prosedur untuk memfasilitasi pemulihan sistem
Audit Prosedur: Sistem Ulasan
·         Ulasan dokumentasi untuk operasi file library
·         Ulasan kebijakan akses logis dan prosedur
·         Ulasan standar untuk perlindungan virus, off-situs penyimpanan data, dan prosedur pemulihan sistem
·         Ulasan kontrol untuk update Concurrent, enkripsi data, konversi file, dan rekonsiliasi dari total master file dengan total kontrol independen
·         Periksa rencana pemulihan bencana
·         Diskusikan prosedur file kontrol dengan manajer dan operator
Audit Prosedur: Tes Kontrol
·         Amati dan mengevaluasi operasi file library
·         Ulasan catatan tugas sandi dan modifikasi
·         Amati dan mengevaluasi file-prosedur penanganan oleh personil operasi
·         Amati persiapan dan off-situs penyimpanan file backup
·         Pastikan penggunaan yang efektif dari prosedur perlindungan virus
·         Pastikan penggunaan kontrol pembaruan bersamaan dan enkripsi data
·         Verifikasi kelengkapan, mata uang, dan pengujian rencana pemulihan bencana
·         Rekonsiliasi total file master dengan total kontrol secara terpisah dipertahankan
·         Amati prosedur yang digunakan untuk mengendalikan konversi file
Kompensasi Kontrol
·         Kuat pengguna dan kontrol pengolahan data
·         Kontrol komputer yang efektif keamanan
Pendekatan audit dengan tujuan adalah sarana yang komprehensif, sistematis, dan efektif mengevaluasi pengendalian internal. Hal ini dapat diimplementasikan menggunakan daftar periksa audit prosedur untuk masing-masing tujuan. Checklist membantu auditor mencapai kesimpulan yang terpisah untuk masing-masing tujuan dan menunjukkan kontrol kompensasi yang sesuai. Masing-masing dari enam daftar periksa harus diselesaikan untuk setiap aplikasi yang signifikan.

Audit Software
Teknik audit berbantuan komputer (CAATS) mengacu mengaudit software, sering disebut audit software umum (GAS), yang menggunakan auditor yang disediakan spesifikasi untuk menghasilkan sebuah program yang melakukan fungsi audit, sehingga mengotomatisasi atau menyederhanakan proses audit. Dua dari paket perangkat lunak yang paling populer adalah Audit Control Language (ACL) dan interaktif Ekstraksi Data dan Analisis (IDEA). CAATS cocok untuk memeriksa file besar data untuk mengidentifikasi catatan yang membutuhkan pengawasan audit lebih lanjut.
Berikut ini adalah beberapa kegunaan yang lebih penting dari CAATS:
·         Query file data untuk mengambil catatan memenuhi kriteria tertentu
·         Menciptakan, memperbarui, membandingkan, download, dan penggabungan file
·         Meringkas, menyortir, dan penyaringan data yang
·         Mengakses data dalam format yang berbeda dan mengkonversi data ke dalam format yang umum
·         Meneliti catatan untuk kualitas, kelengkapan, konsistensi, dan kebenaran
·         Stratifikasi catatan, memilih dan menganalisis sampel statistik
·         Pengujian untuk risiko spesifik dan mengidentifikasi cara untuk mengendalikan risiko yang
·         Melakukan perhitungan, analisis statistik, dan operasi matematika lainnya
·         Melakukan tes analitis, seperti rasio dan analisis kecenderungan, mencari pola data tak terduga atau tidak dapat dijelaskan yang dapat mengindikasikan penipuan
·         Mengidentifikasi kebocoran keuangan, ketidakpatuhan kebijakan, dan kesalahan pengolahan data
·         Menyesuaikan jumlah fisik yang dihitung, pengujian akurasi ulama ekstensi and balances, pengujian untuk item duplikat
·         Memformat dan mencetak laporan dan dokumen
·         Membuat kertas kerja elektronik

Operasional Audit SIA
Teknik-teknik dan prosedur yang digunakan dalam audit operasional serupa dengan audit sistem informasi dan laporan keuangan. Perbedaan mendasar adalah ruang lingkup audit. Sebuah sistem informasi audit terbatas pada kontrol internal dan audit keuangan untuk output sistem, sedangkan audit operasional meliputi semua aspek manajemen sistem. Selain itu, tujuan dari audit operasional meliputi efektivitas mengevaluasi, efisiensi, dan pencapaian tujuan.
Langkah pertama dalam audit operasional adalah audit perencanaan, di mana ruang lingkup dan tujuan audit ditetapkan, system review awal dilakukan, dan program audit tentatif disiapkan. Langkah selanjutnya, pengumpulan bukti, meliputi kegiatan:
·         Meninjau kebijakan operasional dan dokumentasi
·         Mengkonfirmasi prosedur dengan personil manajemen dan operasi
·         Mengamati fungsi operasi dan kegiatan
·         Meneliti rencana keuangan dan operasi dan laporan
·         Pengujian keakuratan informasi operasi
·         Pengujian kontrol
Pada tahap evaluasi bukti, auditor mengukur sistem terhadap salah satu yang mengikuti sistem terbaik prinsip-prinsip manajemen. Salah satu pertimbangan penting adalah bahwa hasil dari kebijakan dan praktek yang lebih signifikan daripada kebijakan dan praktik sendiri. Artinya, jika hasil yang baik dicapai melalui kebijakan dan praktek-praktek yang secara teoritis kekurangan, maka auditor harus hati-hati mempertimbangkan apakah rekomendasi perbaikan secara substansial akan meningkatkan hasil. Auditor mendokumentasikan temuan mereka dan kesimpulan dan berkomunikasi mereka kepada manajemen.
Auditor operasional ideal memiliki pelatihan audit dan pengalaman serta pengalaman beberapa tahun 'dalam posisi manajerial. Auditor dengan latar belakang audit yang kuat namun pengalaman manajemen yang lemah seringkali tidak memiliki perspektif yang diperlukan untuk memahami proses manajemen.
 
sumber : Buku Sistem Informasi Akuntansi, Marshall B. Romney, Paul John Steinbart 
 

 

Tidak ada komentar:

Posting Komentar