TEKNIK AUDITBERBANTUAN KOMPUTER

Teknik

Dr. Imam Subaweh, SE., Ak., MM

Teknik audit adalah cara-cara yang ditempuhauditor untuk memperoleh pembuktian dalammembandingkan keadaan yang sebenarnyadengan keadaan yang seharusnya.

Teknik audit erat hubungannya dengan proseduraudit, dimana teknik-teknik audit digunakandalam suatu prosedur audit untuk mencapaitujuan audit.

Ada beberapa prosedur audit terhadappengendalian yang harus dilakukan langsungoleh auditor (secara manual), dan beberapaprosedur yang dapat menggunakan dukungankomputer seperti tabel berikut ini:

Pengendalian Internal dan Prosedur Audit

No Bidang Pengendalian yg DiauditProsedur

AuditBukti Audit

1. Perencanaan Organisasi, IT Plan,

dan Operasi

Manual Dokumen planning, risalah

rapat direksi

2. Prosedur pengembangan aplikasi,

sistem dokumentasi, review, testing,

dan operating system dan

perubahan

Manual Hasil observasi, cek

dokumentasi, hasil

wawancara

3. Pengendalian hardware/systems

software

Komputer Produk pabrikan komputer/

software house sdh

dilengkapi pengendalian

4. Pengendalian acces equipment dan

data/file

Manual/

komputer

Hasil interview mendalam

dgn teknisi atau cek dgn

software.

5. Pengendalian menyeluruh terkait

dgn data dan prosedur yg mungkin

berdampak dgn keseluruhan operasi

komputer

Manual Observasi, bukti

dokumentasi, SOP tertulis,

wawancara, dll

Data Uji

IntegratedTest Facility (ITF)

Simulasi Paralel

TEKNIKAUDIT

Pada BatchProcessing

Environment

Pada On-LineReal Time

Environment

Process Tracing Software/Snapshot

Pemetaan(Mapping)

Embedded Audit Modules

Job Accounting Data Analysis

Perangkat Lunak Audit

SKEMA TEKNIK AUDIT BERBANTUAN KOMPUTER

1. Teknik Untuk Menguji Pengendalian Program Aplikasi Komputer Pada Batch Processing Environment

a. Metode Data Tes (Test Deck) - Auditor’s Data, Client’s Software

Pengujian yang dilakukan dengan data uji ialahuntuk mengetahui apakah program komputersudah bekerja dengan baik. Biasanya data tesdibuat untuk menguji apakah program sudah:

Perform validity checks

Perform limit and reasonableness checks

Attempt to process an improperly authorizedtransaction

Perforrn numeric, alphabetic, and special characterchecks.

1. Teknik Untuk Menguji Pengendalian Program Aplikasi Komputer Pada Batch Processing Environment

Tahapan Pengujian Test Deck

Auditor membuat data tes berupa elemen-elemen data simulasi (berupa dummy data).

Auditor memasukkan data tes tersebut pada model input atau model proses yang dipilih untuk diuji.

Auditor menetapkan hasil yang seharusnya sesuai dengan kaidah pengendalian intern yang baik

Auditor membandingkan HASIL YANG SEHARUSNYA dengan HASIL PENGUJIAN.

Dari hasil perbandingan dapat diketahui keandalan pengendalian sistem tersebut.

Data uji yang dibuat auditor harus mencakup seluruhkemungkinan transaksi yang tidak sah atau salah agardapat ditentukan apakah program komputer yang diujibereaksi dengan tepat terhadap berbagai kesalahandengan cara memeriksa daftar kesalahan danperincian keluaran yang dihasilkan dari data pengujian.

Jika ternyata hasil yang diharapkan ternyata tidakterjadi, berarti ada sesuatu yang salah pada programaplikasi. Misalnya, kode pelanggan sengaja dibuatsalah, atau sengaja pesanan melewati limit kredit, atautanggal 31 Februari; jika ternyata komputer tidakmendeteksi kesalahan-kesalahan itu, berartipengendalian aplikasinya masih lemah.

Test

Transaction

Updated

Master

File

Error Report

Transaction

Report

Predetermined

ResultsCompare

Fictitious

Master

File Client's Application Program

Test deck - Auditor’s data,client’s software

Tes data buatan (dummy test data) lebih baik dari pada kalau memakai data (live real data) yang sebenarnya, karena:

Dengan dummy test data dapat dibuat data yang lebih sedikit tetapi memenuhi seluruh kriteria yang diperlukan untuk dapat melakukan test dengan baik.

Dengan dummy data akan lebih mudah dibuat perkiraan keluaran (designeble expected result), kalau data masukannya sudah direncanakan dengan matang akan menghasilkan tipe-tipe kesalahan yang seharusnya dideteksi program.

Kemungkinan kesalahan yang dapat dibuat pada dummy data akan lebih kompherensif, memenuhi semua kemungkinan yang dapat diperkirakan oleh evaluator.

Hal-hal yang perlu diperhatikan dalam menggunakan data uji:

Data uji harus mencakup seluruh kondisi yang diinginkan oleh auditor, baik data yang sah maupun tidak sah (error).

Program yang diuji dengan data uji auditor harus sama seperti yang dipergunakan untuk operasional sepanjang tahun oleh klien (bukan program “palsu”).

Data uji harus segera dihapus dari file klien segera setelah tes selesai, dengan maksud agar file sistem tidak terkontaminasi oleh data uji (bukan data transaksi sebenarnya).

Hal-hal yang perlu diperhatikan dalam menggunakan data uji:

Pelaksanaan data uji harus menjamin bahwa data uji tidak mempengaruhi file data sungguhan, akan ironis jika suatu prosedur audit yang dirancang untuk mendeteksi kekeliruan justru membawa kekeliruan. Ini membutuhkan koordinasi antara auditor dan karyawan komputer.

Auditor harus menjalankan pengendalian yang ketat. Dia harus mengamati pemosesan yang dilakukan oleh operator komputer. Jika pengujian selesai auditor harus segera mendapatkan output tercetak

Keuntungan Sistem Data Uji

Teknik test data dapat menguji proses yangterjadi di komputer dengan perkiraan outputberdasarkan input yang dipersiapkan, relatifsimple, cepat, serta relatif murah.

Teknik test data hanya memerlukan sedikitkeahlian teknis komputer dari auditor, tetapisering dapat menghasilkan temuan yangbagus (mengenai kelemahan kontrol dalamprogram), dan dengan sedikit modifikasi,data masih dapat digunakan pada audit yangakan datang.

Kelemahan Sistem Data Uji Limited by the auditor’s imagination, maksudnya,

keberhasilan tes tersebut sangat bergantung dari

kemampuan auditor dalam memahami potensi error

yang mungkin dapat terjadi dan bagaimana ia

membuat dummy data untuk menilai apakah software

yang diuji telah dilengkapi validasi (kemampuan

mendeteksi).

Sulit untuk establish that the program being tested is

the one the client regularly uses, karena bisa saja

klien nempunat software ganda, artinya jika diuji klien

memberi software yang benar, tetapi sesungguhnya

dalam operasi sehari-hari klien memakai software

yang lain (yang salah atau yang menguntungkan

perusahaannya).

Kelemahan Sistem Data Uji Dalam menggunakan tehnik data uji harus dijaga agar

dummy data yang dibuat tidak “mengotori” data yang

sebenarnya (make sure that the test data doesn’t

effect client’s real data).

Data uji bisa sangat mahal, pengembangannyabanyak perlu waktu, dan program yang diuji ternyatamungkin diganti/dirubah/bukan yang sebenarnya, sehingga hasil yang diperoleh cepat usang atau tidaktepat sasaran.

Bagi auditor pemula mungkin sulit untuk mendeteksikecurangan yang dilakukan oleh operator komputeryang ahli menukar program.

Teknik tesebut sifatnya statis, karena berfokus padatitik waktu tertentu dan tidak memeberikan hasil yang berkesinambungan

. Teknik ini berfokus pada program individual (program tertentu yang diuji saja), dancenderung tidak menguji secara komprehensifatas keseluruhan rangkaian sistem pemrosesantransaksi.

Sulit untuk membuat data uji yang dapat meliputiseluruh kemungkinan. Auditor tidak dapatmengetahui apakah program yang dipakai uji-coba benar-benar program yang on- production.

Test data juga masih banyak mengandungkelemahan dalam arti belum tentu dapatmenentukan apakah program betul-betul sudaherror-free.

b. Simulasi Paralel (Parallel Simulation) -

auditor's Software, Client's Data

Dalam teknik ini pelaksanaan pemeriksaandilakukan terhadap data sesungguhnya (dataauditee yang di-copy) dan diproses dengansoftware atau bahkan komputernya auditor.

Laporan yang dihasilkan dari simulasidibandingkan oleh auditor dengan laporan yangdihasilkan oleh pemrosesan rutin perusahaan

Jika terjadi perbedaan, asumsinya perbedaantersebut menunjukan bahwa softwareperusahaan tidak memproses data sesuai denganspesifikasi yang ada (atau programnya auditoryang salah).

Auditor's Results

Compare

Client's Data

Client's Results

Client's Computer Program Auditor's Simulated Program

Parallel Simulation - Auditor's software,client's data

Software yang dipakai dapat berupa:

Copy dari Software auditee, tetapi prosescopy harus diawasi oleh auditor,

Software audit tertentu yang dibuatauditor,

Generalized audit program.

Pada dasarnya sistem Paralel Test Facility (PIF) ini dapat dibedakan dalam dua cara, yaitu:

a. Parallel simulationDalam parallel simulation, auditor akan meminjam(mencopy data atau contoh data, misalnya data satu bulan) dan diproses pada komputer auditor, tetapi dengan sistem simulasi (sistem yang dibuatsendiri oleh auditor dengan spesifikasi yang samadengan aslinya/ yang ada di auditee).

b. Parallel processingDalam parallel processing, auditor akan meminjam(mencopy data atau contoh data, misalnya data satu bulan) dan diproses pada komputer auditor dengan sistem aplikasi yang juga di copy darikomputernya auditee.

Keunggulannya metoda ini adalah:

Teknik ini memeriksa akurasi pemrosesan dariprogram aplikasi.

Memungkinkan pensahihan output sesungguhnya.

Cocok untuk pengujian substantif maupununtuk complaince test.

Audit dilakukan pada komputernyaauditor/komputer lain/bukanyang sedangdiaudit, sehingga diperoleh keyakinan akanstatus sistem komputerisasi tersebut denganlebih akurat.

Keunggulannya metoda ini adalah:

Auditor dapat memperoleh keyakinan lebih tinggikarena dengan sistem simulasi kalau ada hal-hal yang tidak dapat terdeteksi dengan uji coba saja, makaakan diketahui karena dicoba dengan sistem yang lain.

Tidak terjadi kontaminasi file klien (does not contaminate client fiIes)

Proses dapat dilakukan dengan komputer pihak ketigaindependen (can be run at a service bureau independently of client).

Auditor menggunakan data klien sebenarnya (data real).

Memungkinkan auditor bekerja secara terpisah daripersonil (teknisi) klien, sehingga pelaksanaan audit lebih fleksibel

Kelemahannya adalah: Auditor harus mempunyai keahlian komputer yang

cukup kompeten untuk dapat menelusuri kembaliperbedaan antara dua hasil (output) program tersebut.

Perlu waktu untuk pengembangan sistem aplikasi untukparalelnya.

Apabila perusahaan mengupdate program pada saatdiperiksa tidak segera diketahui, dan atau auditor jugaharus segera mengupdate programnya.

Diperlukan komputer lain untuk pemeriksaan

Pada parallel simulation, auditor harus membuat sistemsimulasinya.

Pengecekan hanya terbatas pada data.

2. Teknik Untuk Menguji Pengendalian Program

Aplikasi Komputer Pada On-line Real Time Envenonment

a. Integrated Test Facilities (lTF)ITF digunakan untuk menguji sistem aplikasi dengan data tes pada saat komputer dioperasikan dalam kegiatan rutin pada perusahaan yang diaudit (auditan/auditee). Pada ITF pemeriksaan atau tes sistem komputerisasi dilaksanakan secara kontinyu dan simultan antara pelaksanaan tes dan real processing run. Dalam ITF Auditor harus membuat dummy data dan diproses bersamaan dengan real data yang mamang saat itu sedang diolah.

Persiapan dan pelaksanaan test harus sedemikian rupa sehingga operator tidak mengetahui bahwa pada saat ini sedang dilakukan audit, atau data yang sedang direkamnya ternyata adalah data dummy. Sistem ITF ini sering dilakukan pada bidang aplikasi: order entry, purchasing, payroll, accounts receivable, dan sebagainya, dalam teknologi on-line dan real-time (OLRT).

Auditor membuat entitas simulasi, misalnya suatu transaksi baru, pelanggan baru, pegawai baru, dan sebagainya. Entitas simulasi ini lalu dimasukkan ke dalam operasi yang berjalan seolah-olah merupakan entitas yang sah. Hasil dari pemrosesan transaksi itu harus dipisahkan dari transaksi yang sah. Sistem yang baik akan memberikan respon terhadap adanya transaksi/entitas yang tidak sah. Sebagaimana data tes, metode ini sasarannya adalah pada pengujian ketaatan (compliance test).

Integrated Test Facilities (ITF) - (mini-company approach)

Integrated Test Facility Integrated Test Facility

ITF File

Normal Reports

Predetermined Results

Compare

Normal Files

Processing System Normal Data Input

Auditor Submitted

Transactions

ITF Reports

Keunggulannya:

• ITF hanya memerlukan sedikit keahlian teknis komputer• biayanya relatif rendah, karena bersamaan proses

reguler,• Dapat dilakukan mendadak, sehingga dapat mencegah

upaya curang• Auditor dapat memeriksa sistem aplikasi yang

sebenarnya digunakan.• Test dilakukan langsung secara operasional bersama

real processing run, sehingga tidak usah memberhentikan proses.

• Dapat sekaligus merupakan simulasi yang tidak diketahui oleh operator

Kelemahannya adalah:• Auditor dan timnya harus sangat hati-hati, karena

sistem dan data yang digunakan adalah live system & actual data.

• Auditing ini dapat menyebabkan errors pada data auditee, khususnya jika audit dilakukan juga dalam proses penghitungan/penjumlahan.

• Karena sistem ITF pada dasarnya masih juga menggunakan data test, maka kelemahan-kelemahan yang ada pada metoda test data tetap ditemui pada sistem ITF. Hanya saja dalam hal ini kita yakin bahwa sistem yang kita test memang sistem apliksasi komputer yang dipakai secara operasional (sistem yang sesungguhnya).

b. Process Tracing Software

Process Tracing Software dapat menjadi suatu cara untuk identifikasi program modules fraud yang tidak tertangkap dengan metoda tes uji data. Tagging Transactions ini juga dikenal dengan istilah “Snapshot approach”.

Overview of Snapshot Approach Overview of Snapshot Approach

Reports

Updated Data

Snapshot of Selected Data

Data Entry

Client's Computer Program

Processing Step 1

Processing

Step 2

Processing

Step n

Dengan teknik snapshot ini komputer kliendiprogram untuk dimonitor kegiatantransaksinya.

Transaksi dapat dipilih bergantung padakriteria yg ditentukan auditor atau secaraacak.

Pada saat transaksi terpilih diproses auditor dapat melihat bagaimana pemrosesanransaksi tersebut.

Auditor selanjutnya dapat me-review, analisis dan mengetes transaksi.

Jadi metoda tagging & tracing ini dilaksanakandengan menambahkan kode atau elemen datatertentu pada data yang ada, kemudiandiamati, dianalisa dan ditentukan apakahmekanisme sistem komputerisasi sudahberjalan baik.

Tagging & tracing sebagai sistem pengujianketaatan dan sekaligus juga pengujiansubstantif. Karena didalam pengujian ini padadasarnya langsung mengamati data yangsebenarnya (secara sampling), dan jugamekanisme sistemnya.

Teknik embedded audit modules atausering juga disebut dengan istilah audithooks adalah teknik audit denganmenggunakan modul terprogram yangdisisipkan atau “dilekatkan” ke dalamprogram aplikasi, dengan tujuan untukmemantau dan menghimpun data untuktujuan pemeriksaan.

Pada saat transaksi memasuki komputer,transaksi ini diedit dan diproses olehprogram aplikasi.

c. Embedded Audit Modules

Pada saat yang sama transaksi dicekoleh modul audit yang terpasang didalam program.

Jika transaksi itu benar, makatransaksi itu dipilih oleh modulbersangkutan dan disalin pada logaudit (sering disebut SCARF/ SystemControl Audit Review File). Secaraperiodik, isi log itu dicetak untukditeliti oleh auditor.

c. Embedded Audit Modules

Keunggulan teknik audit Embedded Audit Modules adalah:

memungkinkan semua pemrosesan dipantauwalaupun tidak berkaitan langsung dengantransaksi individual,

dapat mendeteksi dan mencatat kemungkinanpenyalahgunaan wewenang mengakses file induk, untuk memasukan data transaksi yang palsu, atau untuk membatalkan parameter pemosesan (misalnya, harga dalam program penagihan).

Kelemahan teknik Embedded Audit Modules adalah:

memerlukan tambahan waktu untuk memprosestransaksi, karena semua instruksi program dalam modulharus dilaksanakan untuk setiap transaksi,

perancangan dan implementasi modul biasanya mahal, khususnya jika rnodul tersebut ditambahkan setelahprogram aplikasi sudah ada,

memerlukan pengamanan yang lebih ketat, karenamodul audit dan log audit harus diamankan terhadapakses oleh pegawai perusahaan, dan

auditor harus menentukan kriteria pemilihan transaksisecara seksarna. Jika terlalu ketat, maka jurnlahtransaksi yang dipilih mungkin sulit digunakan.

Mapping adalah teknik audit berbantuan komputer yang dilakukan dengan cara seolah-olah membuat pemetaan terhadap suatu program yang sedang dijalankan sehingga dapat diketahui bagian-bagian mana yang berfungsi sesuai dengan spesifikasinya dan bagian mana yang mungkin merupakan sisipan karena tidak sesuai dengan spesifikasinya.

d. Mapping

Keunggulan metoda ini antara lain:

auditor atau evaluator terhadap suatu program dapat memberikan rekomendasi atau usulperbaikan, yaitu mengurangi bagian-bagianprogram yang ternyata tidak bermanfaat.

Dengan demikian jika perbaikan tersebut dapatdilaksanakan dengan baik, maka berartikomputer akan dapat dioperasikan dengan lebihefisien.

Kelemahan metoda ini ialah antara lain:

Biaya pengadaan software yang relatif mahal dan perluwaktu pelatihan serta kemahiran tertentu untuk dapatmemanfaatkannya.

e. Job Accounting Data Analysis

Pada instalasi komputer induk (mainframe) lazimnya layanannya digunakan secara patungan (sharing) oleh berbagai unit dan berbagai sistem aplikasi yang diimplementasikan pada organisasi tersebut. Pada instalasi ini hanya terdapat satu central processing unit tetapi users atau pemakainya mungkin puluhan, bahkan bisa mencapai ratusan orang (terminal) pada saat yang bersamaan. Sementara itu pada jenis mesin tersebut computer-time cost relatif tinggi karena harga investasi serta biaya operasional atau konsumsi sumber-daya (khususnya listrik, infrastruktur) sangat mahal.

Dalam rangka analisis pembebanan biaya ataupun untuk kepentingan statistik perusahaan, pada umumnya jenis mesin tersebut juga dilengkapi dengan software yang bisa membantu manajemen untuk memperoleh data CPU utilization, computer-time per user, dan sebagainya.

Data itu sangat penting untuk mengevaluasi sistem aplikasi mana atau user mana yang pemakaian computer time-nya relatif tinggi, atau dalam service terhadap unit pemakai dikenakan charge maka data ini dipakai sebagai dasar billing kepada pelanggan. oleh karena itu pada jenis mesin mainframe biasanya juga dilengkapi dengan software yang dapat dipakai untuk keperluan tersebut, yang pada umumnya disebut Job Accounting Data Analysis.

Bagi auditor, tersedianya fasilitas itu sangatbermanfaat karena dapat dipakai sebagai buktiaudit untuk pendukung evaluasi mengenai:

Sebagai metoda pendukung untuk mengevaluasibeberapa jenis pengendalian, misalnya apakah aksesterhadap file-file tertentu atau kewenangan run program memang sudah dilaksanakan orang-orang(users) tertentu sesuai dengan yang seharusnya.

Untuk dapat mengevaluasi apakah telah terjadi aksesdengan remote terminal, yaitu akses denganmenggunakan terminal jarak jauh oleh pihak pihakyang tidak berhak.

Untuk mengevaluai apakah pekerjaan-pekerjaan sistemaplikasi telah dioperasikan menggunakan sumber dayainformasi yang benar.

f. Perangkat Lunak Audit

Perangkat lunak audit terdiri dari software (program-program komputer) yang digunakan oleh auditor sebagai bagian atau dukungan teknis pengumpulan bahan bukti audit dalam prosedur auditnya.

Software audit mencakup program-program komputer yang memungkinkan komputer digunakan sebagai alat audit untuk mengumpulkan dan mengolah data audit yang signifikan dari sistem informasi perusahaan.

Sebelum meggunakan program untuk tujuan auditnya, auditor harus meyakini validitas program yang akan ia gunakan.

Komputer diprogram untuk dapat membaca, memilih, mengekstrak, dan memsostir data dari file-file komputer.

Terdapat banyak jenis perangkat lunak audit yang dapat digunakan dalam berbagai tingkatan (mainframe maupun komputer mikro).

Auditor dapat menggungkan perangkat lunak konvensional seperti program-program utilitas sistem, program aplikasi yang didesain untuk audit, paket perangkat lunak audit yang dirancang secara khusus, yang dikenal sebagai perangkat lunak audit umum - Generalized Audit Software (GAS) dan paket-paket perangkat lunak komputer mikro.

f. Perangkat Lunak Audit