Pendahuluan
Bab ini berfokus pada audit Sistem Informasi Akuntansi (SIA). Audit
adalah proses sistematis untuk memperoleh dan mengevaluasi bukti mengenai
pernyataan tentang tindakan dan peristiwa ekonomi dalam rangka untuk menentukan
seberapa baik mereka sesuai dengan kriteria yang telah ditetapkan. Hasil audit
tersebut kemudian dikomunikasikan kepada pengguna yang tertarik. Audit
membutuhkan perencanaan yang matang dan koleksi, review, dan dokumentasi dari
bukti audit. Dalam mengembangkan rekomendasi, auditor menggunakan kriteria yang
telah ditetapkan, seperti prinsip-prinsip pengendalian dijelaskan dalam bab-bab
sebelumnya, sebagai dasar untuk evaluasi.
Audit internal merupakan jaminan yang memiliki, independen, obyektif dan
aktivitas konsultasi yang dirancang untuk menambah nilai dan meningkatkan
efektivitas organisasi dan efisiensi, termasuk membantu dalam desain dan
implementasi SIA. Audit internal membantu organisasi mencapai tujuannya dengan
membawa pendekatan yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan
efektivitas proses manajemen risiko, pengendalian, dan tata kelola.
Ada beberapa jenis audit internal:
1. Audit keuangan memeriksa keandalan dan
integritas transaksi keuangan, catatan akuntansi dan laporan keuangan.
2. Sistem informasi, atau pengendalian internal,
audit ulasan kontrol dari SIA untuk menilai kepatuhan dengan kebijakan dan
prosedur pengendalian internal dan efektivitas dalam menjaga aset. Audit
biasanya mengevaluasi sistem input dan output, kontrol pengolahan, rencana
cadangan dan pemulihan, sistem keamanan, dan fasilitas komputer.
3. Audit operasional berkaitan dengan penggunaan
ekonomis dan efisien sumber daya dan pencapaian tujuan yang telah ditetapkan
dan tujuan.
4. Sebuah audit kepatuhan, menentukan apakah
entitas mematuhi hukum yang berlaku, peraturan, kebijakan, dan prosedur. Audit
ini sering mengakibatkan rekomendasi untuk meningkatkan proses dan kontrol yang
digunakan untuk memastikan kepatuhan terhadap peraturan.
5. Audit investigasi meneliti insiden penipuan
mungkin, penyalahgunaan aset, limbah dan penyalahgunaan, atau kegiatan
pemerintah yang tidak tepat.
Sebaliknya, auditor eksternal bertanggung jawab kepada pemegang saham
perusahaan dan sebagian besar berkaitan dengan mengumpulkan bukti yang
diperlukan untuk menyatakan pendapat atas laporan keuangan. Mereka hanya secara
tidak langsung berkaitan dengan efektivitas SIA perusahaan. Namun, auditor
eksternal yang diperlukan untuk mengevaluasi bagaimana strategi audit
dipengaruhi oleh penggunaan organisasi Teknologi Informasi (TI). Auditor
eksternal mungkin memerlukan keterampilan khusus untuk (1) menentukan bagaimana
audit akan terpengaruh oleh TI, (2) menilai dan mengevaluasi TI kontrol, dan
(3) merancang dan melakukan kedua tes TI kontrol dan tes substantif.
Sifat Audit
Sekilas Proses Audit
PERENCANAAN
AUDIT. Perencanaan audit menentukan mengapa,
bagaimana, kapan, dan oleh siapa audit akan dilakukan. Langkah pertama adalah
untuk menetapkan ruang lingkup audit dan tujuan. Sebagai contoh, audit dari
perusahaan publik menentukan apakah laporan keuangan disajikan secara wajar.
Sebaliknya, audit internal dapat memeriksa departemen tertentu atau aplikasi
komputer. Ini mungkin fokus pada pengendalian internal, informasi keuangan,
kinerja operasional, atau beberapa kombinasi dari ketiganya.
Audit direncanakan sehingga jumlah terbesar dari pekerjaan audit berfokus
pada bidang dengan faktor risiko tertinggi. Ada tiga jenis risiko audit:
1. Risiko
Inheren adalah kerentanan terhadap risiko materi tanpa adanya kontrol.
Sebagai contoh, sebuah sistem yang menggunakan pengolahan online, jaringan,
database, telekomunikasi, dan bentuk lain dari teknologi canggih memiliki
risiko yang lebih melekat daripada sistem batch processing.
2. Pengendalian
risiko adalah risiko bahwa salah saji material akan melewati struktur
pengendalian intern dan ke dalam laporan keuangan. Sebuah perusahaan dengan
kontrol internal yang lemah memiliki risiko kontrol lebih tinggi dari satu
dengan kontrol yang kuat. Pengendalian risiko dapat ditentukan dengan meninjau
lingkungan pengendalian, pengujian pengendalian internal, dan mempertimbangkan
kelemahan kontrol diidentifikasi dalam audit sebelumnya dan mengevaluasi
bagaimana mereka telah diperbaiki.
3. Risiko
deteksi adalah risiko bahwa auditor dan prosedur audit mereka akan
gagal untuk mendeteksi kesalahan material atau salah saji.
·
Pengamatan
terhadap kegiatan yang diaudit
(misalnya, menonton bagaimana data mengontrol personel menangani pengolahan
data pekerjaan seperti yang diterima)
·
Ulasan
dokumentasi untuk memahami bagaimana proses tertentu atau sistem
pengendalian intern yang seharusnya berfungsi
·
Diskusi dengan karyawan
tentang pekerjaan mereka dan tentang bagaimana mereka
melaksanakan prosedur tertentu
·
Kuesioner yang
mengumpulkan data
·
Pemeriksaan
fisik dari kuantitas dan/atau kondisi aset berwujud seperti peralatan dan
persediaan
·
Konfirmasi
keakuratan informasi seperti saldo rekening nasabah melalui komunikasi
dengan pihak ketiga yang independen
·
Menyelenggarakan
kembali perhitungan untuk memverifikasi informasi kuantitatif (misalnya
menghitung ulang beban penyusutan tahunan)
· Penjaminan
untuk keabsahan transaksi dengan memeriksa dokumen-dokumen pendukung,
seperti pesanan pembelian, menerima laporan, dan faktur vendor mendukung sebuah
rekening transaksi hutang
· Tinjauan
analitis hubungan antara informasi dan tren untuk mendeteksi barang-barang
yang harus diselidiki lebih lanjut. Sebagai contoh, auditor untuk toko rantai
menemukan bahwa rasio satu toko piutang terhadap penjualan terlalu tinggi.
Sebuah penyelidikan mengungkapkan bahwa manajer mengalihkan dana yang
dikumpulkan untuk penggunaan pribadinya.
Audit khas
memiliki campuran prosedur audit. Sebagai contoh, audit pengendalian internal
memanfaatkan lebih dari observasi, review dokumentasi, wawancara karyawan, dan
penyelenggaraan kembali dari prosedur pengendalian. Sebuah audit keuangan
berfokus pada fisik, konfirmasi pemeriksaan, vouching, review analitis, dan
penyelenggaraan kembali perhitungan saldo rekening.
EVALUASI BUKTI
AUDIT Auditor mengevaluasi bukti yang
dikumpulkan dan memutuskan apakah mendukung kesimpulan yang menguntungkan atau
tidak menguntungkan. Jika tidak meyakinkan, auditor melakukan prosedur tambahan
yang cukup untuk mencapai kesimpulan definitif.
Karena kesalahan
ada di kebanyakan sistem, auditor berfokus pada mendeteksi dan melaporkan
orang-orang bahwa interpretasi secara signifikan dampak manajemen terhadap
temuan audit. Menentukan materialitas, apa yang bisa dan tidak penting dalam
audit, adalah masalah pertimbangan profesional. Materialitas yang lebih penting
untuk audit eksternal, di mana penekanannya adalah kewajaran laporan keuangan,
daripada audit internal, di mana fokusnya adalah pada kepatuhan terhadap
kebijakan manajemen.
Auditor mencari
keyakinan memadai bahwa tidak ada kesalahan material ada dalam informasi atau
proses diaudit. Karena itu mahal untuk mencari jaminan lengkap, auditor
memiliki beberapa risiko bahwa kesimpulan audit yang tidak benar. Ketika
inherent risk atau kontrol yang tinggi, auditor harus memperoleh keyakinan yang
lebih besar untuk mengimbangi ketidakpastian yang lebih besar dan risiko.
Dalam semua
tahap audit, temuan dan kesimpulan yang didokumentasikan dalam kertas kerja
audit. Dokumentasi sangat penting pada tahap evaluasi, ketika kesimpulan harus
dicapai dan didukung.
KOMUNIKASI HASIL
AUDIT Auditor menyampaikan laporan tertulis menyimpulkan temuan-temuan audit
dan rekomendasi kepada manajemen, komite audit, dewan direksi, dan pihak lain
yang sesuai. Setelah itu, auditor sering melakukan studi lanjutan untuk memastikan
apakah rekomendasi telah dilaksanakan.
Pendekatan Risiko-Berbasis Audit
Kontrol berikut Pendekatan evaluasi internal, yang disebut pendekatan
audit berbasis risiko, menyediakan kerangka kerja untuk melakukan audit sistem
informasi:
1. Tentukan ancaman (penipuan dan kesalahan) yang
dihadapi perusahaan. Ini adalah daftar dari penyalahgunaan disengaja atau tidak
disengaja dan kerusakan yang sistem terkena.
2. Mengidentifikasi prosedur kontrol yang mencegah,
mendeteksi, atau mengoreksi ancaman. Ini semua adalah kontrol yang manajemen
telah dimasukkan ke dalam tempat dan bahwa auditor harus meninjau dan menguji,
untuk meminimalkan ancaman.
3.
Evaluasi prosedur pengendalian. Kontrol
dievaluasi dua cara:
a. Sebuah tinjauan sistem menentukan apakah prosedur pengendalian sebenarnya di tempat. b. Pengujian pengendalian dilakukan untuk menentukan apakah kontrol yang ada bekerja sebagaimana dimaksud.
4.
Mengevaluasi kelemahan kontrol untuk mengetahui
efeknya pada waktu, sifat, atau luasnya prosedur audit. Jika auditor menentukan risiko pengendalian
yang terlalu tinggi karena sistem kontrol memadai, auditor mungkin harus
mengumpulkan lebih banyak bukti, bukti yang lebih baik, atau bukti lebih tepat
waktu. Kontrol kelemahan dalam satu bidang mungkin dapat diterima jika ada kontrol kompensasi di daerah lain.
Pendekatan berbasis risiko menyediakan auditor dengan pemahaman yang
lebih jelas dari penipuan dan kesalahan yang dapat terjadi dan risiko terkait
dan eksposur. Hal ini juga membantu mereka merencanakan bagaimana untuk menguji
dan mengevaluasi pengendalian internal, serta bagaimana merencanakan prosedur
audit berikutnya. Hasilnya adalah dasar yang kuat untuk mengembangkan
rekomendasi kepada manajemen tentang bagaimana sistem kontrol AIS harus
ditingkatkan.
Sistem Informasi Audit
Tujuan dari
audit sistem informasi adalah untuk meninjau dan mengevaluasi pengendalian
internal yang melindungi sistem. Ketika melakukan audit sistem informasi,
auditor harus memastikan bahwa enam berikut tujuan terpenuhi:
1.
Ketentuan keamanan melindungi peralatan
komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi,
atau perusakan.
2.
Program pengembangan dan akuisisi dilakukan
sesuai dengan otorisasi manajemen umum dan khusus.
3.
Program modifikasi memiliki otorisasi manajemen
dan persetujuan.
4.
Pengolahan transaksi, lalat, laporan, dan
catatan komputer lainnya adalah akurat dan lengkap.
5.
Sumber data yang tidak akurat atau tidak benar
berwenang diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang
ditentukan.
6.
Komputer file data yang akurat, lengkap, dan
rahasia.
Tujuan 1: Keamanan Keseluruhan
Tabel 11-1
Menggunakan pendekatan berbasis risiko untuk menyajikan kerangka kerja untuk
audit keamanan komputer secara keseluruhan. Hal ini menunjukkan bahwa ancaman
keamanan sistem secara keseluruhan termasuk kerusakan akibat kecelakaan atau
disengaja untuk aset sistem, akses yang tidak sah, pengungkapan, atau
modifikasi data dan program, pencurian, dan gangguan kegiatan bisnis penting.
GAMBAR
11-2
Sistem informasi
komponen dan tujuan audit terkait
TABEL 11-1
Kerangka Kerja Untuk Audit Keamanan Komputer Secara Keseluruhan
Jenis Kesalahan dan Penipuan
·
Pencurian atau 01 disengaja. disengaja kerusakan
hardware
·
Rugi, pencurian, atau akses tidak sah ke program, data, dan sumber daya sistem
lainnya
·
Rugi, pencurian, atau pengungkapan yang tidak
sah dari data rahasia
·
Modifikasi yang tidak resmi atau penggunaan
program dan ritus Data
·
Gangguan kegiatan bisnis penting
Prosedur Kontrol
·
Informasi keamanan/perlindungan rencana
·
Membatasi akses fisik ke peralatan komputer
·
Membatasi akses logis untuk sistem kontrol
menggunakan otentikasi dan otorisasi
·
Penyimpanan data dan transmisi kontrol
·
Perlindungan virus prosedur
·
File backup dan prosedur recovery
·
Toleransi kegagalan sistem desain
·
Bencana rencana pemulihan
·
Pencegah pemeliharaan
·
Firewall
·
Korban kecelakaan dan asuransi gangguan usaha
Audit Prosedur: Sistem Ulasan
·
Periksa situs komputer
·
Tinjau keamanan informasi/perlindungan dan
rencana pemulihan bencana
·
Personil informasi Wawancara sistem berteriak
prosedur keamanan
·
Meninjau kebijakan akses fisik dan logis dan
prosedur
·
Ulasan menggusarkan kebijakan pemulihan cadangan
kering dan prosedur
·
Ulasan penyimpanan data dan transmisi kebijakan
dan prosedur
·
Ulasan prosedur yang digunakan untuk
meminimalkan downtime sistem
·
Kontrak vendor pemeliharaan Ulasan
·
Periksa log sistem akses
·
Memeriksa santai dan kebijakan gangguan bisnis
asuransi
Audit Prosedur: Tes Kontrol
·
Amati dan menguji komputer-situs prosedur akses
·
Amati penyusunan dan off-situs penyimpanan
cadangan riles
·
Uji tugas dan prosedur modifikasi untuk ID
pengguna dan password
·
Menyelidiki bagaimana upaya akses yang tidak sah
ditangani dengan
·
Verifikasi efektivitas sejauh kering enkripsi
data
·
Pastikan penggunaan efektif kontrol transmisi
data
·
Verifikasi efektifitas penggunaan firewall dan
prosedur perlindungan virus
·
Pastikan penggunaan pemeliharaan preventif dan
Uninterruptible Power Supply
·
Pastikan jumlah dan pembatasan asuransi
·
Periksa hasil simulasi rencana pemulihan bencana
uji
Kompensasi Kontrol
·
Suara personel kebijakan, termasuk pemisahan
tugas yang tidak kompatibel
·
Kontrol pengguna Efektif
Kontrol prosedur
untuk meminimalkan ancaman-ancaman termasuk mengembangkan keamanan informasi/perlindungan
rencana, membatasi akses fisik dan logis, enkripsi data, melindungi terhadap
virus, firewall pelaksanaan, melembagakan kontrol transmisi data, dan mencegah
dan memulihkan dari kegagalan sistem atau bencana.
Sistem review
prosedur termasuk situs komputer memeriksa, personil wawancara, meninjau
kebijakan dan prosedur: dan log akses memeriksa, kebijakan asuransi, dan
rencana pemulihan bencana.
Tujuan 2: Program Pengembangan dan Akuisisi
Peran auditor
dalam pengembangan sistem harus dibatasi tinjauan independen dari kegiatan
pengembangan sistem. Untuk menjaga objektivitas, auditor tidak harus membantu
mengembangkan sistem.
Dua hal yang
bisa salah dalam pengembangan program: (1) kesalahan pemrograman sengaja karena
spesifikasi sistem kesalahpahaman atau pemrograman ceroboh dan (2) instruksi
yang tidak sah sengaja dimasukkan ke dalam program.
Masalah-masalah
ini dapat dikontrol dengan mewajibkan otorisasi manajemen dan pengguna dan
persetujuan, pengujian menyeluruh, dan dokumentasi yang tepat.
Selama
peninjauan sistem, auditor harus mendiskusikan prosedur pembangunan dengan
personil sistem manajemen, pengguna sistem, dan informasi. Mereka juga harus
meninjau kebijakan, prosedur, standar, dan dokumentasi yang tercantum dalam
Tabel 11-2.
Tabel
11-2 Kerangka Audit Pengembangan Program
Jenis Kesalahan dan Penipuan
·
Sengaja kesalahan pemrograman atau kode program
yang tidak sah
Kontrol Prosedur
·
Ulasan dari perjanjian lisensi perangkat lunak
·
Manajemen otorisasi untuk pengembangan program
dan perangkat lunak akuisisi
·
Manajemen dan persetujuan pengguna spesifikasi
pemrograman
·
Teliti pengujian program baru, termasuk tes
penerimaan pengguna
·
Lengkap sistem dokumentasi, termasuk persetujuan
Audit Prosedur: Sistem Ulasan
·
Independen review dari proses pengembangan
sistem
·
Ulasan kebijakan akuisisi pengembangan sistem
dan prosedur
·
Ulasan otorisasi sistem dan kebijakan
persetujuan dan prosedur
·
Ulasan dari standar evaluasi program
·
Ulasan standar dokumentasi program dan sistem
·
Ulasan spesifikasi tes, data uji, dan hasil tes
·
Ulasan kebijakan persetujuan uji dan prosedur
·
Ulasan akuisisi kebijakan perjanjian lisensi hak
cipta dan prosedur
·
Diskusi dengan manajemen, pengguna, dan personel
sistem informasi mengenai prosedur pembangunan
Audit Prosedur: Tes Kontrol
·
Wawancara pengguna tentang akuisisi mereka
pengembangan sistem/dan keterlibatan pelaksanaan
·
Ulasan menit dari pertemuan tim pengembangan
untuk bukti keterlibatan
·
Verifikasi manajemen dan pengguna sign-off
persetujuan pada titik tonggak perkembangan
·
Ulasan dot spesifikasi, data uji, dan sistem
hasil tes
·
Perjanjian lisensi perangkat lunak Ulasan
Kompensasi Kontrol
·
Kontrol pengolahan kuat
·
Independen pengolahan data tes oleh auditor
Untuk menguji
kontrol pengembangan sistem, auditor harus mewawancarai manajer dan pengguna
sistem, memeriksa persetujuan pembangunan, dan menit tinjauan tim pengembangan
pertemuan. Auditor harus meninjau semua dokumentasi yang berkaitan dengan
proses pengujian untuk memastikan semua perubahan program diuji. Auditor harus
memeriksa spesifikasi tes dan data pengujian dan mengevaluasi hasil tes.
Auditor harus memastikan bagaimana masalah tak terduga tes hasil diselesaikan.
Kontrol proses
yang kuat dapat mengimbangi kontrol pembangunan yang tidak memadai jika auditor
memperoleh bukti persuasif sesuai dengan pengolahan kontrol, menggunakan teknik
seperti pengolahan data uji independen. Jika bukti ini tidak diperoleh, auditor
mungkin harus menyimpulkan bahwa kelemahan pengendalian internal yang ada
materi dan bahwa risiko ancaman yang signifikan dalam program aplikasi yang
sangat tinggi.
Tujuan 3: Modifikasi Program
Tabel 11-3
menyajikan suatu kerangka kerja untuk perubahan audit program aplikasi dan
perangkat lunak sistem. Ancaman yang sama yang terjadi selama pengembangan
program terjadi selama modifikasi program. Sebagai contoh, seorang programmer
ditugaskan untuk memodifikasi sistem penggajian perusahaannya memasukkan
perintah untuk menghapus semua file perusahaan jika ia dihentikan. Ketika ia
dipecat, sistem jatuh dan menghapus file kunci.
Tabel
11-3 Kerangka Audit Modifikasi Program
Jenis Kesalahan dan Penipuan
·
Sengaja kesalahan pemrograman atau kode program
yang tidak sah
Kontrol Prosedur
·
komponen program Daftar untuk dimodifikasi
·
Manajemen otorisasi dan persetujuan modifikasi
program
·
Pengguna persetujuan perubahan spesifikasi
program yang
·
Menyeluruh Uji perubahan program, termasuk tes
penerimaan pengguna
·
Program Lengkap perubahan dokumentasi, termasuk
persetujuan
·
Pengembangan terpisah, pengujian, dan produksi
versi program
·
Perubahan dilaksanakan oleh personel independen
dari pengguna dan programmer
·
Kontrol akses logis
Audit Prosedur: Sistem Ulasan
·
Ulasan kebijakan modifikasi program, standar,
dan prosedur
·
Standar dokumentasi Ulasan untuk program
modifikasi
·
Ulasan dokumentasi akhir dari modifikasi program
·
Ulasan program modifikasi pengujian dan prosedur
tes persetujuan
·
Tinjau spesifikasi tes, data uji, dan hasil tes
·
Ulasan kebijakan persetujuan uji dan prosedur
·
Standar pemrograman evaluasi Ulasan
·
Diskusikan kebijakan modifikasi dan prosedur
dengan manajemen, pengguna, dan personel sistem
·
Ulasan kebijakan pengendalian akses logis dan
prosedur
Audit Prosedur: Tes Kontrol
·
Verifikasi pengguna dan persetujuan manajemen
signoff untuk perubahan program
·
Pastikan bahwa program komponen yang akan diubah
diidentifikasi dan terdaftar
·
Pastikan bahwa program prosedur dot perubahan
dan dokumentasi sesuai dengan standar
·
Pastikan bahwa kontrol akses logis yang berlaku
untuk perubahan program
·
Amati pelaksanaan program perubahan
·
Pastikan bahwa perkembangan terpisah, pengujian,
dan produksi versi dipertahankan
·
Pastikan bahwa perubahan tidak dilaksanakan oleh
personel pengguna atau pemrograman
·
Test untuk perubahan program yang tidak sah atau
salah menggunakan program kode sumber perbandingan, pengolahan, dan simulasi
paralel
Kompensasi Kontrol
·
Tes Audit Independen untuk perubahan program
yang tidak sah atau salah
·
Kontrol pengolahan kuat
Ketika perubahan
program diajukan untuk disetujui, daftar semua pembaruan yang diperlukan harus
disusun dan disetujui oleh manajemen pengguna dan program. Semua perubahan
program harus diuji dan didokumentasikan. Selama proses perubahan, program
pembangunan harus dipisahkan dari versi produksi. Setelah program yang
dimodifikasi disetujui, versi produksi menggantikan versi perkembangan.
Selama peninjauan sistem, auditor harus mendiskusikan proses perubahan
dengan personil manajemen dan pengguna. Kebijakan, prosedur, dan standar untuk
menyetujui, memodifikasi, pengujian, dan mendokumentasikan perubahan harus
diperiksa. Semua bahan dokumentasi akhir untuk perubahan program, termasuk
prosedur tes dan hasil, harus ditinjau ulang. Prosedur yang digunakan untuk
membatasi akses logis untuk program pembangunan harus ditinjau.
Auditor harus menguji program secara mengejutkan untuk menjaga terhadap
seorang karyawan memasukkan perubahan program yang tidak sah setelah audit
selesai dan menghapus mereka sebelum audit berikutnya. Ada tiga cara tes
auditor untuk perubahan program yang tidak sah:
1.
Setelah menguji program baru, auditor menyimpan
salinan kode sumbernya. Auditor menggunakan program kode sumber perbandingan
untuk membandingkan versi saat ini dari program dengan kode sumber. Jika tidak
ada perubahan yang berwenang, dua versi harus identik, perbedaan harus
diselidiki. Jika perbedaan adalah perubahan resmi, auditor memeriksa
spesifikasi program perubahan untuk memastikan bahwa perubahan telah disetujui
dan benar dimasukkan.
2.
Dalam teknik pengolahan, auditor memproses ulang
data menggunakan kode sumber dan bandingkan hasilnya dengan output perusahaan.
Perbedaan dalam output diselidiki.
3.
Dalam simulasi paralel, auditor menulis program
daripada menggunakan kode sumber, membandingkan output, dan menyelidiki
perbedaan. Simulasi paralel dapat digunakan untuk menguji program selama proses
implementasi. Misalnya, Jason menggunakan teknik ini untuk menguji sebagian
dari sistem departemen baru SPP penjualan penggajian.
Untuk setiap perubahan program utama, auditor mengamati pengujian dan
otorisasi pelaksanaan review, dan dokumen, dan melakukan tes independen. Jika
langkah ini akan dilewati dan perubahan Program kontrol kemudian terbukti tidak
memadai, tidak mungkin untuk mengandalkan hasil program.
Tujuan 4: Komputer Pengolahan
Tabel 11-4 menyediakan
kerangka kerja untuk audit pengolahan transaksi, file, dan catatan komputer
terkait untuk memperbarui file dan database dan menghasilkan laporan.
Selama
pemrosesan komputer, sistem mungkin gagal untuk mendeteksi masukan yang salah,
kesalahan input benar, masukan proses yang salah, atau tidak benar
mendistribusikan atau mengungkapkan output. Tabel 11-4 menunjukkan prosedur
pengendalian untuk mendeteksi dan mencegah ancaman dan review sistem dan tes
kontrol yang digunakan untuk memahami kontrol, evaluasi kecukupan mereka, dan
uji. Apakah mereka berfungsi dengan baik.
Auditor secara
berkala mengevaluasi kembali kontrol pengolahan untuk memastikan keandalan
lanjutan mereka. Jika mereka tidak memuaskan, pengguna dan sumber data kontrol
mungkin cukup kuat untuk mengimbangi. Jika tidak, kelemahan materi ada, dan
langkah-langkah harus diambil untuk menghilangkan kekurangan kontrol.
Teknik khusus
Beberapa digunakan untuk menguji kontrol pengolahan, yang masing-masing
memiliki kelebihan dan kekurangan. Teknik Tidak efektif untuk semua situasi,
semua lebih tepat dalam beberapa situasi dan kurang begitu pada orang lain.
Auditor tidak harus mengungkapkan teknik yang mereka gunakan, karena hal itu
dapat mengurangi efektivitas mereka. Masing-masing prosedur sekarang
dijelaskan.
Tabel 11-4
Kerangka Audit Kontrol Pengolahan Komputer
Jenis Kesalahan
dan Penipuan
·
Kegagalan untuk mendeteksi benar, input data
tidak lengkap, atau tidak sah
·
Kegagalan untuk benar kesalahan kopi ditandai
oleh prosedur editing data yang
·
Pengenalan kesalahan ke file atau database
selama memperbarui
·
Tidak Layak distribusi atau pengungkapan output
komputer
·
Disengaja atau tidak disengaja ketidakakuratan
pelaporan
Kontrol Prosedur
·
Data editing rutinitas
·
Proper penggunaan label file internal dan eksternal
·
Rekonsiliasi total bets
·
Kesalahan prosedur koreksi Efektif
·
Dokumentasi operasi dimengerti dan manual
menjalankan
·
Kompeten pengawasan operasi komputer
·
Efektif penanganan data input dan output oleh
personil data kontrol
·
Persiapan daftar perubahan file dan ringkasan
untuk pengguna departemen tinjauan
·
Pemeliharaan kondisi lingkungan yang tepat dalam
fasilitas komputer
Audit Prosedur:
Sistem Ulasan
·
Ulasan dokumentasi administrasi untuk memproses
standar kontrol
·
Review sistem dokumentasi untuk mengedit data
dan kontrol pengolahan lainnya
·
Ulasan operasi dokumentasi untuk kelengkapan dan
kejelasan
·
Ulasan salinan daftar kesalahan, laporan
sekumpulan total, dan daftar file perubahan
·
Amati operasi komputer dan fungsi data kontrol
·
Diskusikan kontrol pengolahan dan output dengan
operator dan pengawas sistem informasi
Audit Prosedur:
Tes Kontrol
·
Mengevaluasi kecukupan standar pengendalian
proses dan prosedur
·
Mengevaluasi kecukupan dan kelengkapan data
kontrol editing
·
Verifikasi kepatuhan terhadap prosedur
pengendalian pengolahan dengan mengamati operasi komputer dan data kontrol
·
Pastikan bahwa aplikasi keluaran sistem
terdistribusi dengan
·
Rekonsiliasi sampel total batch: menindaklanjuti
perbedaan
·
Jejak sampel data rutinitas kesalahan edit untuk
memastikan penanganan yang tepat
·
Verifikasi proses akurasi transaksi sensitif
·
Verifikasi akurasi pemrosesan komputer yang
dihasilkan transaksi
·
Cari kode yang salah atau tidak sah melalui
analisis logika program
·
Periksa keakuratan dan kelengkapan kontrol
pengolahan menggunakan data uji
·
Memantau sistem pengolahan online menggunakan
teknik audit bersamaan
·
Ulang memilih laporan untuk menguji keakuratan
dan kelengkapan
Kompensasi
Kontrol
·
Kontrol pengguna yang kuat dan kontrol yang
efektif dari sumber data
Pengolahan Data
Uji. Salah satu cara untuk agar program adalah untuk memproses set hipotesis
transaksi yang valid dan tidak valid. Program ini harus memproses semua
transaksi yang valid benar dan menolak semua yang tidak valid. Semua jalur
logika harus diperiksa oleh satu atau lebih transaksi uji. Data yang tidak
valid termasuk catatan dengan hilang, bidang data yang mengandung sejumlah
besar tidak masuk akal, nomor rekening tidak valid atau kode pengolahan, data
nonnumeric di bidang numerik, dan catatan keluar dari urutan.
Sumberdaya
berikut ini whets membantu mempersiapkan data uji:
·
Sebuah daftar transaksi yang sebenarnya
·
Transaksi Tes perusahaan yang digunakan untuk
menguji program
·
Sebuah data uji generator, yang mempersiapkan
data uji berdasarkan spesifikasi program
Dalam sistem
batch processing, program perusahaan dan salinan file yang relevan digunakan
untuk memproses data uji. Hasil dibandingkan dengan output yang benar yang
telah ditentukan, perbedaan mengindikasikan kesalahan pengolahan atau
kekurangan kontrol untuk diselidiki.
Dalam sistem
online, auditor memasukkan data uji dan kemudian mengamati dan log respon
sistem. Jika sistem menerima transaksi pengujian yang salah, auditor
membalikkan efek dari transaksi, menyelidiki masalah, dan merekomendasikan
bahwa kekurangan diperbaiki.
Pengolahan
transaksi uji memiliki dua kelemahan. Pertama, auditor harus menghabiskan waktu
yang cukup memahami sistem dan mempersiapkan transaksi uji. Kedua, auditor
harus memastikan bahwa data uji tidak mempengaruhi file perusahaan dan database.
Auditor dapat membalikkan efek dari transaksi uji atau memproses transaksi
dalam jangka terpisah menggunakan salinan dari file atau database. Namun,
menjalankan terpisah menghilangkan beberapa keaslian diperoleh dari pengolahan
data tes dengan transaksi biasa. Karena prosedur pembalikan dapat mengungkapkan
keberadaan dan sifat dari tes auditor untuk personil kunci, bisa kurang efektif
daripada tes tersembunyi.
Concurrent Audit
Teknik. Karena transaksi dapat diproses dalam sistem online tanpa meninggalkan
jejak audit, bukti yang dikumpulkan setelah data diolah tidak cukup untuk
tujuan audit. Selain itu, karena banyak sistem online proses transaksi terus
menerus, sulit untuk menghentikan sistem untuk melakukan tes audit. Dengan
demikian, auditor menggunakan teknik audit bersamaan untuk terus memonitor
sistem dan mengumpulkan bukti audit sementara data hidup diproses selama jam
operasi rutin. Teknik audit bersamaan menggunakan modul audit yang tertanam,
yang merupakan segmen kode program yang melakukan fungsi audit, hasil laporan
pengujian, dan menyimpan bukti yang dikumpulkan untuk diperiksa auditor. Teknik
audit bersamaan yang memakan waktu dan sulit untuk digunakan, tetapi kurang
sehingga jika dimasukkan ketika program dikembangkan.
Auditor biasanya
menggunakan lima teknik audit bersamaan.
1.
Sebuah Fasilitas Uji Terintegrasi (FUT)
menyisipkan catatan fiktif yang mewakili sebuah divisi fiktif, departemen,
pelanggan, atau pemasok di file induk perusahaan. Pengolahan transaksi tes
untuk memperbarui mereka tidak akan mempengaruhi catatan sebenarnya. Karena
catatan fiktif dan yang sebenarnya diproses bersama-sama, karyawan perusahaan
tidak menyadari pengujian. Sistem ini membedakan catatan FUT dari catatan yang
sebenarnya, mengumpulkan informasi mengenai transaksi uji, dan melaporkan
hasilnya. Auditor membandingkan data yang diolah dengan hasil yang diharapkan
untuk memverifikasi bahwa sistem dan kontrol yang beroperasi dengan benar.
Dalam sistem batch processing, FUT menghilangkan memperhatikan membalikkan
transaksi uji. FUT efektif menguji sistem pengolahan online, karena transaksi
uji dapat disampaikan sering, diproses dengan transaksi yang sebenarnya, dan
ditelusuri melalui setiap tahap pengolahan tanpa mengganggu operasi pengolahan
rutin. Auditor harus berhati-hati untuk tidak menggabungkan catatan dummy dan
sebenarnya selama proses pelaporan.
2.
Dalam teknik snapshot, transaksi dipilih
ditandai dengan kode khusus. Modul Audit mencatat transaksi ini dan mereka
menguasai catatan file sebelum dan sesudah pengolahan dan Menyimpan data dalam
file khusus. Auditor mengkaji data untuk memverifikasi bahwa semua langkah
proses yang benar dieksekusi.
3.
Sistem kontrol audit pengkajian file (SCARF)
menggunakan tertanam modul audit untuk terus memantau aktivitas transaksi,
mengumpulkan data tentang transaksi dengan signifikansi audit khusus, dan
Menyimpannya dalam file SCARF atau log audit. Transaksi tercatat termasuk yang
melebihi batas dolar tertentu, yang melibatkan rekening yang tidak aktif,
menyimpang dari kebijakan perusahaan, atau mengandung write-downs dari nilai
aset. Secara berkala, auditor memeriksa log audit untuk mengidentifikasi dan
menyelidiki transaksi dipertanyakan.
4.
Kait Audit adalah pemeriksaan rutin yang
memberitahukan auditor transaksi dipertanyakan, sering terjadi. Penggunaan
State Farm terhadap kait audit, termasuk bagaimana perusahaan mendeteksi
kecurangan besar, dijelaskan dalam Focus 11-1.
5.
Continuous and Intermittent Simulation (CIS)
menanamkan modul audit DataBase Management System (DBMS) yang meneliti semua transaksi
yang update database menggunakan kriteria yang sama dengan SCARF. Jika
transaksi memiliki signifikansi audit khusus, modul CIS mandiri memproses data
(dalam cara yang mirip dengan simulasi paralel), mencatat hasil, dan
membandingkannya dengan yang diperoleh oleh DBMS. Ketika perbedaan yang ada,
mereka disimpan dalam log audit untuk penyelidikan selanjutnya. Jika perbedaan
serius, CIS dapat mencegah DBMS dari melaksanakan pembaruan.
Analisis Program
Logic. Jika auditor menduga bahwa program berisi kode yang tidak sah atau
kesalahan yang serius, analisis rinci dari logika program mungkin diperlukan.
Ini adalah kapur memakan dan membutuhkan kemahiran dalam bahasa pemrograman
yang sesuai, sehingga harus digunakan sebagai upaya terakhir. Auditor menganalisis
pengembangan, operasi, dan dokumentasi program serta printout dari source code.
Mereka juga menggunakan paket perangkat lunak berikut:
·
Program flowcharting Otomatis menafsirkan kode
sumber dan menghasilkan sebuah diagram alur program.
·
Program keputusan Otomatis meja menafsirkan kode
sumber dan menghasilkan tabel keputusan.
·
Pemindaian rutinitas mencari program untuk semua
kejadian dari item tertentu.
·
Program Pemetaan mengidentifikasi kode program
yang tidak dijalankan. Perangkat lunak ini bisa menemukan kode program yang
programmer bermoral dimasukkan untuk menghapus semua file komputer ketika ia
dihentikan.
·
Program tracing berurutan mencetak semua program
langkah dieksekusi ketika program berjalan, bercampur dengan output teratur
sehingga urutan peristiwa eksekusi program dapat diamati. Program tracing
membantu mendeteksi instruksi program yang tidak sah, jalur logika yang salah,
dan kode program yang tidak dijalankan.
Fokus:
Menggunakan Hooks Audit di Perusahaan Asuransi Jiwa State Farm
Pertanian
Negara. Perusahaan Asuransi Jiwa sistem komputer memiliki komputer host di
Bloomington, Illinois, dan komputer kecil di kantor regional. Sistem proses
lebih dari 30 juta transaksi per tahun selama lebih dari 4 juta kebijakan
individu senilai lebih dari $ 7 miliar.
Ini, online
update real-time sistem file dan database sebagai transaksi terjadi. Kertas
audit telah hampir lenyap, dan dokumen pendukung perubahan pada catatan polis
telah dieliminasi atau diadakan hanya dalam waktu singkat sebelum disposisi.
Karena siapapun
yang memiliki akses dan pengetahuan kerja sistem dapat melakukan penipuan, staf
audit internal diminta untuk mengidentifikasi semua cara penipuan adalah
mungkin. Mereka menyerbu otak-cara untuk menipu sistem dan mewawancarai
pengguna sistem, yang memberikan wawasan yang sangat berharga.
Tujuan 5: Sumber Data
Sebuah masukan
kontrol matriks digunakan untuk mendokumentasikan penelaahan kontrol sumber
data. Matriks pada Gambar 11-3 menunjukkan prosedur pengendalian yang
diterapkan untuk masing-masing bidang record input.
Fungsi kontrol data harus independen dari fungsi lainnya, mempertahankan
tog data kontrol, menangani error, dan menjamin efisiensi keseluruhan operasi.
Hal ini biasanya tidak layak secara ekonomis untuk usaha kecil untuk memiliki data
fungsi kontrol independen. Untuk kompensasi, pengguna kontrol departemen harus
ia kuat sehubungan dengan persiapan data, total kontrol batch, mengedit
program, pembatasan akses fisik dan logis, dan kesalahan-penanganan prosedur.
Prosedur ini harus menjadi fokus kajian sistem auditor dan tes kontrol ketika
tidak ada data fungsi kontrol independen.
Jika sumber data kontrol tidak memadai, pengguna departemen dan kontrol
pengolahan data dapat kompensasi. Jika tidak, auditor harus merekomendasikan
bahwa sumber data kekurangan kontrol dikoreksi.
Tabel 11-5
menunjukkan pengendalian internal yang mencegah, mendeteksi, dan memperbaiki
sumber data yang tidak akurat atau tidak sah. Hal ini juga menunjukkan system
review dan tes pengendalian auditor menggunakan prosedur. Dalam sistem online,
sumber data fungsi masuk dan pengolahan satu operasi. Oleh karena itu, sumber
data kontrol yang terintegrasi dengan pengolahan kontrol pada Tabel 11-4.
Gambar 11-3
Kontrol masukan
Matrix
Tujuan 6: Data
File
Tujuan keenam
menyangkut akurasi, integritas, dan keamanan data yang tersimpan pada
mesin-dibaca file. Tabel 11-6 merangkum kesalahan, kontrol, dan prosedur audit
untuk tujuan ini. Jika kontrol file yang serius kekurangan, terutama berkenaan
dengan akses fisik atau logis atau prosedur backup dan pemulihan, auditor harus
merekomendasikan mereka diperbaiki.
Tabel 11-5
Kerangka Audit Kontrol Sumber Data
Jenis Kesalahan
dan Penipuan
·
Sumber data tidak akurat atau tidak sah
Kontrol Prosedur
·
Efektif penanganan masukan sumber data oleh
personil data kontrol
·
Pengguna otorisasi di 'masukan sumber data
·
Persiapan dan rekonsiliasi total kontrol batch
·
Membukukan penerimaan, gerakan, dan disposisi
dari masukan sumber data
·
Periksa Verifikasi digit
·
Kunci Verifikasi
·
Penggunaan dokumen turnaround (perbaikan)
·
Data editing rutinitas
·
Pengguna departemen review daftar perubahan file
dan ringkasan
·
Efektif prosedur untuk memperbaiki dan
mengirimkan kembali data yang salah
Audit Prosedur:
Sistem Ulasan
·
Ulasan dokumentasi tentang tanggung jawab fungsi
kontrol Data
·
Dokumentasi Ulasan administrasi untuk sumber
data kontrol standar
·
Meninjau metode otorisasi dan memeriksa tanda
tangan otorisasi
·
Tinjau dokumentasi untuk mengidentifikasi
langkah-langkah pengolahan dan sumber konten data dan kontrol
·
Data Dokumen sumber kontrol menggunakan matriks
kontrol masukan
·
Diskusikan sumber data kontrol dengan personil
kontrol data, pengguna sistem, dan manajer
Tabel 11-5
Lanjutan
Audit Prosedur:
Tes Kontrol
·
Amati dan mengevaluasi operasi data departemen
pengendalian dan prosedur pengendalian
·
Verifikasi perawatan yang tepat dan penggunaan
log data kontrol
·
Mengevaluasi bagaimana kesalahan item log
ditangani dengan
·
Periksa sumber data untuk otorisasi yang tepat
·
Rekonsiliasi total batch dan ikuti pada
perbedaan
·
Jejak disposisi kesalahan ditandai oleh data
sunting rutinitas
Kompensasi
Kontrol
·
Kuat pengguna dan kontrol pengolahan data
Tabel 11-6
Kerangka Audit Kontrol Data File
Jenis Kesalahan
dan Penipuan
·
Penghancuran data yang disimpan karena
kesalahan, perangkat keras atau perangkat lunak malfungsi, dan tindakan sengaja
sabotase atau vandalisme
·
Modifikasi yang tidak berwenang atau
pengungkapan data yang tersimpan
Kontrol Prosedur
·
Penyimpanan data di perpustakaan file aman dan
pembatasan akses fisik ke file data
·
Kontrol akses logis dan matriks kontrol akses
·
Proper penggunaan label file dan
menulis-mekanisme perlindungan
·
Kontrol pembaruan concurrent (yang terjadi
bersama-sama)
·
Enkripsi data untuk data rahasia
·
Virus software perlindungan
·
Off-situs cadangan dari semua file data
·
Checkpoint dan rollback prosedur untuk
memfasilitasi pemulihan sistem
Audit Prosedur:
Sistem Ulasan
·
Ulasan dokumentasi untuk operasi file library
·
Ulasan kebijakan akses logis dan prosedur
·
Ulasan standar untuk perlindungan virus,
off-situs penyimpanan data, dan prosedur pemulihan sistem
·
Ulasan kontrol untuk update Concurrent, enkripsi
data, konversi file, dan rekonsiliasi dari total master file dengan total
kontrol independen
·
Periksa rencana pemulihan bencana
·
Diskusikan prosedur file kontrol dengan manajer
dan operator
Audit Prosedur:
Tes Kontrol
·
Amati dan mengevaluasi operasi file library
·
Ulasan catatan tugas sandi dan modifikasi
·
Amati dan mengevaluasi file-prosedur penanganan
oleh personil operasi
·
Amati persiapan dan off-situs penyimpanan file
backup
·
Pastikan penggunaan yang efektif dari prosedur
perlindungan virus
·
Pastikan penggunaan kontrol pembaruan bersamaan
dan enkripsi data
·
Verifikasi kelengkapan, mata uang, dan pengujian
rencana pemulihan bencana
·
Rekonsiliasi total file master dengan total
kontrol secara terpisah dipertahankan
·
Amati prosedur yang digunakan untuk
mengendalikan konversi file
Kompensasi
Kontrol
·
Kuat pengguna dan kontrol pengolahan data
·
Kontrol komputer yang efektif keamanan
Pendekatan audit
dengan tujuan adalah sarana yang komprehensif, sistematis, dan efektif
mengevaluasi pengendalian internal. Hal ini dapat diimplementasikan menggunakan
daftar periksa audit prosedur untuk masing-masing tujuan. Checklist membantu
auditor mencapai kesimpulan yang terpisah untuk masing-masing tujuan dan
menunjukkan kontrol kompensasi yang sesuai. Masing-masing dari enam daftar
periksa harus diselesaikan untuk setiap aplikasi yang signifikan.
Audit
Software
Teknik audit berbantuan komputer (CAATS) mengacu mengaudit software,
sering disebut audit software umum (GAS), yang menggunakan auditor yang
disediakan spesifikasi untuk menghasilkan sebuah program yang melakukan fungsi
audit, sehingga mengotomatisasi atau menyederhanakan proses audit. Dua dari
paket perangkat lunak yang paling populer adalah Audit Control Language (ACL)
dan interaktif Ekstraksi Data dan Analisis (IDEA). CAATS cocok untuk memeriksa
file besar data untuk mengidentifikasi catatan yang membutuhkan pengawasan
audit lebih lanjut.
Berikut ini
adalah beberapa kegunaan yang lebih penting dari CAATS:
·
Query file data untuk mengambil catatan memenuhi
kriteria tertentu
·
Menciptakan, memperbarui, membandingkan,
download, dan penggabungan file
·
Meringkas, menyortir, dan penyaringan data yang
·
Mengakses data dalam format yang berbeda dan
mengkonversi data ke dalam format yang umum
·
Meneliti catatan untuk kualitas, kelengkapan,
konsistensi, dan kebenaran
·
Stratifikasi catatan, memilih dan menganalisis
sampel statistik
·
Pengujian untuk risiko spesifik dan
mengidentifikasi cara untuk mengendalikan risiko yang
·
Melakukan perhitungan, analisis statistik, dan
operasi matematika lainnya
·
Melakukan tes analitis, seperti rasio dan
analisis kecenderungan, mencari pola data tak terduga atau tidak dapat
dijelaskan yang dapat mengindikasikan penipuan
·
Mengidentifikasi kebocoran keuangan,
ketidakpatuhan kebijakan, dan kesalahan pengolahan data
·
Menyesuaikan jumlah fisik yang dihitung,
pengujian akurasi ulama ekstensi and balances, pengujian untuk item duplikat
·
Memformat dan mencetak laporan dan dokumen
·
Membuat kertas kerja elektronik
Operasional
Audit SIA
Teknik-teknik dan prosedur yang digunakan dalam audit operasional serupa
dengan audit sistem informasi dan laporan keuangan. Perbedaan mendasar adalah
ruang lingkup audit. Sebuah sistem informasi audit terbatas pada kontrol
internal dan audit keuangan untuk output sistem, sedangkan audit operasional
meliputi semua aspek manajemen sistem. Selain itu, tujuan dari audit
operasional meliputi efektivitas mengevaluasi, efisiensi, dan pencapaian
tujuan.
Langkah pertama dalam audit operasional adalah audit perencanaan, di mana
ruang lingkup dan tujuan audit ditetapkan, system review awal dilakukan, dan
program audit tentatif disiapkan. Langkah selanjutnya, pengumpulan bukti,
meliputi kegiatan:
·
Meninjau kebijakan operasional dan dokumentasi
·
Mengkonfirmasi prosedur dengan personil
manajemen dan operasi
·
Mengamati fungsi operasi dan kegiatan
·
Meneliti rencana keuangan dan operasi dan
laporan
·
Pengujian keakuratan informasi operasi
·
Pengujian kontrol
Pada tahap evaluasi bukti, auditor mengukur sistem terhadap salah satu
yang mengikuti sistem terbaik prinsip-prinsip manajemen. Salah satu
pertimbangan penting adalah bahwa hasil dari kebijakan dan praktek yang lebih
signifikan daripada kebijakan dan praktik sendiri. Artinya, jika hasil yang baik
dicapai melalui kebijakan dan praktek-praktek yang secara teoritis kekurangan,
maka auditor harus hati-hati mempertimbangkan apakah rekomendasi perbaikan
secara substansial akan meningkatkan hasil. Auditor mendokumentasikan temuan
mereka dan kesimpulan dan berkomunikasi mereka kepada manajemen.
Auditor operasional ideal memiliki pelatihan audit dan pengalaman serta
pengalaman beberapa tahun 'dalam posisi manajerial. Auditor dengan latar
belakang audit yang kuat namun pengalaman manajemen yang lemah seringkali tidak
memiliki perspektif yang diperlukan untuk memahami proses manajemen.
sumber : Buku Sistem Informasi Akuntansi, Marshall B. Romney, Paul John Steinbart
