BAB 11 : PENGAUDITAN SISTEM INFORMASI BERBASIS KOMPUTERr
PENDAHULUAN
Audit adalah proses sistematis untuk memperoleh dan mengevaluasi bukti mengenai pernyataan tentang tindakan dan peristiwa ekonomi untuk menentukan seberapa baik mereka sesuai dengan kriteria yang ditetapkan. Audit intenal adalah kegiatan assurance dan konsultasi independen, obyektif yang dirancang untuk menambah nilai dan meningkatkan efektivitas dan efisiensi organisasi, termasuk membantu dalam perancangan dan implementasi SIA. Audit internal membantu organisasi mencapai tujuannya dengan membawa pendekatan yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata kelola.
Ada beberapa jenis audit internal yang berbeda:
Perencanaan Audit
Perencanaan audit menentukan mengapa, bagaimana, kapan, dan oleh siapa audit akan dilakukan. Langkah pertama adalah menetapkan ruang lingkup dan tujuan audit. Sebagai contoh, audit dari perusahaan yang dipegang publik menentukan apakah laporan keuangannya disajikan secara adil. Sebaliknya, audit internal dapat memeriksa departemen tertentu atau aplikasi komputer. Ini mungkin fokus pada pengendalia intemal, informasi keuangan, kinerja operasi, atau beberapa kombinasi dari ketiganya.
Audit direncanakan, sehingga jumlah pekerjaan audit terbesar berfokus pada area dengan faktor risiko tertinggi. Ada tiga jenis risiko audit:
Sebagian besar upaya audit dihabiskan untuk mengumpulkan bukti. Karena banyak tes audit tidak dapat dilakukan pada semua item yang ditinjau, mereka sering dilakukan pada sampel dasar. Berikut ini adalah cara paling umum untuk mengumpulkan bukti audit:
Auditor mengevaluasi bukti yang dikumpulkan dan memutuskan apakah itu mendukung kesimpulan yang menguntungkan atau tidak menguntungkan. Jika tidak disimpulkan, auditor melakukan prosedur tambahan yang cukup untuk mencapai kesimpulan yang pasti. Auditor mencari jaminan keyakinan bahwa tidak ada kesalahan material dalam informasi atau proses yang diaudit. Karena sangat mahal untuk mencari jaminan lengkap, auditor memiliki beberapa risiko bahwa kesimpulan audit tidak tepat. Ketika inheren atau pengendalian risiko tinggi, auditor harus mendapatkan jaminan yang lebih besar untuk mengimbangi ketidakpastian dan risiko yang lebih besar.
Komunikasi Hasil Audit
Auditor menyampaikan laporan tertulis yang merangkum temuan audit dan rekomendasi kepada manajemen, komite audit, dewan direksi, dan pihak lain yang sesuai. Setelah itu, auditor sering melakukan studi lanjutan untuk memastikan apakah rekomendasi telah dilaksanakan.
Pendekatan Audit Berbasis Risiko
Pendekatan evaluasi pengendalian internal berikut, yang disebut menyediakan kerangka kerja untuk melakukan audit sistem informasi:
tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi kontrol internal yang melindungi sistem. ketika melakukan audit sistem informasi, auditor harus memastikan bahwa tujuan enam tujuan berikut terpenuhi:
Mengendalikan prosedur untuk meminimalkan ancaman ini termasuk mengembangkan rencana keamanan / perlindungan informasi, membatasi akses fisik dan logis, mengenkripsi data, melindungi virus lagi, menghipnotis firewall, melembagakan kontrol transmisi data, dan mencegah serta memulihkan dari kegagalan sistem atau bencana.
Tujuan 2: Pengembangan Program dan Akuisisi
Peran auditor dalam pengembangan sistem harus dibatasi pada peninjauan independen atas tindakan pengembangan sistem. Untuk menjaga objektivitas, auditor seharusnya tidak membantu mengembangkan sistem. Dua hal yang bisa salah dalam pengembangan program: (1) kesalahan pemrograman imdvertent karena kesalahpahaman spesifikasi sistem atau pemrograman ceroboh dan (2) instruksi yang tidak sah sengaja dimasukkan ke dalam program
Tujuan 3: Modifikasi Program
Ketika perubahan program diajukan untuk disetujui, daftar semua pembaruan yang diperlukan harus dikompilasi dan disetujui oleh manajemen dan pengguna program. Semua perubahan program harus diuji dan didokumentasikan. Selama proses perubahan, program pengembangan harus tetap terpisah dari versi produksi. Setelah program yang dimodifikasi disetujui, versi produksi menggantikan versi pengembangan. Ada tiga cara pengujian auditor untuk perubahan program yang tidak sah, yaitu:
Selama pemrosesan komputer, sistem mungkin gagal mendeteksi input yang salah. kesalahan input yang tidak benar, memproses input yang salah, atau mendistribusikan atau mengungkapkan output dengan tidak semestinya.
Pengolahan Data Pengujian
Salah satu cara untuk menguji suatu program adalah dengan memproses satu set hipotetis dari transaksi yalid dan tidak valid. Program harus memproses semua transaksi yang valid dengan benar dan menolak semua yang tidak valid. Jalur logika Al1 harus diperiksa oleh satu atau beberapa tansaksi pengujian. Data yang tidak valid mencakup rekaman dengan data yang hilang, bidang yang berisi jumlah besar yang tidak wajar, nomor akun tidak valid atau kode pemrosesan, data nonnumerik dalam bidang angka, dan rekaman di luar urutan. Sumber daya berikut bermanfaat saat menyiapkan data uji:
Karena transaksi dapat diproses dalam sistem online tanpa meninggalkan jejak audit, bukti yang dikumpulkan setelah data diproses tidak memadai untuk keperluan audit. Selain itu, karena banyak sistem online memproses transaksi secara terus menerus, sulit untuk menghentikan sistem untuk melakukan tes audit.Auditor biasanya menggunakan lima teknik audit bersamaan:
Matriks pengendalian input digunakan untuk mendokumentasikan peninjauan kontrol data sumber. Fungsi kontrol data harus independen dari fungsi lain, memelihara log pengendalian data, menangani kesalahan, dan memastikan efisiensi operasi yang berlebihan.
Tujuan 6: File Data
Keenam tujuan ini menyimpulkan akurasi, integritas, dan keamanan data yang tersimpan pada file yang dapat dibaca mesin. Pendekatan auditing-by-obiectives adalah cara yang komprehensif 'sistematis' dan efektif untuk mengevaluasi kontrol internal.
PERANGKAT LUNAK AUDIT
Teknik audit yang dibantu komputer (CAATS) mengacu pada perangkat lunak audit, sering disebut perangkat lunak audit umum (General Government Software - GAS), yang meng-gunakan spesifikasi yang disediakan auditor untuk menghasilkan program yang membentuk fungsi audit, sehingga mengotomatisasi atau menyederhanakan proses audit. Dua paket perangkat lunak yang paling populer adalah Audit Control Language (ACL) dan Ekstraksi Data Interaktif dan analisis (IDEA). CAATS sangat cocok untuk memeriksa file data besar untuk mengidentifikasi catatan yang membutuhkan pemeriksaan audit lebih lanjut. Berikut adalah beberapa dari penggunaan CAATS yang lebih penting:
Teknik dan prosedur yang digunakan dalam audit operasional mirip dengan audit sistem informasi dan laporan keuangan. Perbedaan mendasar adalah ruang lingkup audit. Audit sistem informasi terbatas pada pengendalian internal dan audit keuangan terhadap output sistem, sedangkan audit operasional mencakup semua aspek manajemen sistem.
Audit adalah proses sistematis untuk memperoleh dan mengevaluasi bukti mengenai pernyataan tentang tindakan dan peristiwa ekonomi untuk menentukan seberapa baik mereka sesuai dengan kriteria yang ditetapkan. Audit intenal adalah kegiatan assurance dan konsultasi independen, obyektif yang dirancang untuk menambah nilai dan meningkatkan efektivitas dan efisiensi organisasi, termasuk membantu dalam perancangan dan implementasi SIA. Audit internal membantu organisasi mencapai tujuannya dengan membawa pendekatan yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata kelola.
Ada beberapa jenis audit internal yang berbeda:
- Audit keuangan, memeriksa keandalan dan integritas transaksi keuangan, catatan akuntansi, dan laporan keuangan.
- Suatu sistem informasi, atau pengendalian internal, audit meninjau kontrol dari SIA untuk menilai kepatuhannya terhadap kebijakan dan prosedur pengendalian internal dan keefektifannya dalam menjaga aset.
- Audit operasional dikonsepsikan dengan penggunaan sumber daya secara ekonomis dan efisien serta pencapaian tujuan dan sasaran yang ditetapkan
- Audit kepatuhan menentukan apakah entitas mematuhi undang-undang, peraturan, kebijakan, dan prosedur yang berlaku. Audit ini sering menghasilkan rekomendasi untuk meningkatkan proses dan kontrol yang digunakan untuk memastikan kepatuhan terhadap peraturan.
- Audfi investigatif memeriksa insiden kemungkinan penipuan, penyalahgunaan aset, pemborosan dan penyalahgunaan, atau kegiatan pemerintah yang tidak tepat.
Perencanaan Audit
Perencanaan audit menentukan mengapa, bagaimana, kapan, dan oleh siapa audit akan dilakukan. Langkah pertama adalah menetapkan ruang lingkup dan tujuan audit. Sebagai contoh, audit dari perusahaan yang dipegang publik menentukan apakah laporan keuangannya disajikan secara adil. Sebaliknya, audit internal dapat memeriksa departemen tertentu atau aplikasi komputer. Ini mungkin fokus pada pengendalia intemal, informasi keuangan, kinerja operasi, atau beberapa kombinasi dari ketiganya.
Audit direncanakan, sehingga jumlah pekerjaan audit terbesar berfokus pada area dengan faktor risiko tertinggi. Ada tiga jenis risiko audit:
- Risiko inheren adalah kerentanan terhadap risiko material tanpa adanya pengendalian.
- Pengendalian risiko adalah risiko bahwa salah saji material akan melewati struktur pengendalian internal dan ke dalam laporan keuangan. Sebuah perusahaan dengan pengendalian internal yang lemah memiliki risiko pengendalian yang lebih tinggi dibandingkan dengan pengendalian yang kuat.
- Risiko deteksi adalah risiko bahwa auditor dan prosedur audit akan gagal mendeteksi kesalahan material atau salah saji.
Sebagian besar upaya audit dihabiskan untuk mengumpulkan bukti. Karena banyak tes audit tidak dapat dilakukan pada semua item yang ditinjau, mereka sering dilakukan pada sampel dasar. Berikut ini adalah cara paling umum untuk mengumpulkan bukti audit:
- Observasi dari kegiatan yang diaudit
- Review dokumentasi untuk memahami bagaimana proses tertentu atau sistem pengendalian internal seharusnya berfungsi
- Diskusi dengan karyawan tentang pekerjaan mereka dan tentang bagaimana mereka melakukan prosedur tertentu
- Kuesioner yang mengumpulkan data
- Pemeriksaan fisik kuantitas dan / atau kondisi aset berwujud, seperti peralatan dan inventaris
- Konstruktor dari akurasi infolmasi, seperti saldo akun pelanggan, melalui komunikasi dengan pihak ketiga yang independen
- Reperformance perhitungan untuk memverifikasi informasi kuantitati
- Menyetujui validitas penggabungan dengan memeriksa dokumen pendukung, seperti pesanan pembelian, menerima laporan, dan faktur vendor yang mendukung transaksi hutang
- Tinjauan analitis hubungan dan tren di antara informasi untuk mendeteksi item yang harus diselidiki lebih lanjut.
Auditor mengevaluasi bukti yang dikumpulkan dan memutuskan apakah itu mendukung kesimpulan yang menguntungkan atau tidak menguntungkan. Jika tidak disimpulkan, auditor melakukan prosedur tambahan yang cukup untuk mencapai kesimpulan yang pasti. Auditor mencari jaminan keyakinan bahwa tidak ada kesalahan material dalam informasi atau proses yang diaudit. Karena sangat mahal untuk mencari jaminan lengkap, auditor memiliki beberapa risiko bahwa kesimpulan audit tidak tepat. Ketika inheren atau pengendalian risiko tinggi, auditor harus mendapatkan jaminan yang lebih besar untuk mengimbangi ketidakpastian dan risiko yang lebih besar.
Komunikasi Hasil Audit
Auditor menyampaikan laporan tertulis yang merangkum temuan audit dan rekomendasi kepada manajemen, komite audit, dewan direksi, dan pihak lain yang sesuai. Setelah itu, auditor sering melakukan studi lanjutan untuk memastikan apakah rekomendasi telah dilaksanakan.
Pendekatan Audit Berbasis Risiko
Pendekatan evaluasi pengendalian internal berikut, yang disebut menyediakan kerangka kerja untuk melakukan audit sistem informasi:
- Menentukan ancaman (penipuan dan kesalahan) yang dihadapi perusahaan
- Identifikasi prosedur pengendalian yang dikehendaki, deteksi, atau memperbaiki ancaman
- Evaluasi prosedur pengendalian
- Mengevaluasi kelemahan pengendalian untuk menentukan pengaruhnya terhadap sifat, waktu, atau tingkat prosedur audit.
tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi kontrol internal yang melindungi sistem. ketika melakukan audit sistem informasi, auditor harus memastikan bahwa tujuan enam tujuan berikut terpenuhi:
- ketentuan keamanan melindungi peralatan komputer, program, komunikasi dan data dari akses yang tidak sah, modifikasi, atau perusakan.
- pengembangan dan akuisisi program dilakukan sesuai dengan otorisasi umum dan khusus manajemen
- Modifikasi program memiliki otorisasi dan persetujuan manajemen '
- Menginisiasi transaksi, file, laporan, dan catatan komputer lainnya adalah akurat dan lengkap
- Sumber data yang tidak akurat atau tidak sah diidentifikasikan dan ditangani sesuai dengan kebijakan manajerial yang ditentukan.
- File data komputer ditampung, lengkap, dan rahasia.
Mengendalikan prosedur untuk meminimalkan ancaman ini termasuk mengembangkan rencana keamanan / perlindungan informasi, membatasi akses fisik dan logis, mengenkripsi data, melindungi virus lagi, menghipnotis firewall, melembagakan kontrol transmisi data, dan mencegah serta memulihkan dari kegagalan sistem atau bencana.
Tujuan 2: Pengembangan Program dan Akuisisi
Peran auditor dalam pengembangan sistem harus dibatasi pada peninjauan independen atas tindakan pengembangan sistem. Untuk menjaga objektivitas, auditor seharusnya tidak membantu mengembangkan sistem. Dua hal yang bisa salah dalam pengembangan program: (1) kesalahan pemrograman imdvertent karena kesalahpahaman spesifikasi sistem atau pemrograman ceroboh dan (2) instruksi yang tidak sah sengaja dimasukkan ke dalam program
Tujuan 3: Modifikasi Program
Ketika perubahan program diajukan untuk disetujui, daftar semua pembaruan yang diperlukan harus dikompilasi dan disetujui oleh manajemen dan pengguna program. Semua perubahan program harus diuji dan didokumentasikan. Selama proses perubahan, program pengembangan harus tetap terpisah dari versi produksi. Setelah program yang dimodifikasi disetujui, versi produksi menggantikan versi pengembangan. Ada tiga cara pengujian auditor untuk perubahan program yang tidak sah, yaitu:
- Setelah menguji program baru, auditor menyimpan salinan kode sumbernya. Auditor menggunakan program perbandingan kode sumber untuk membandingkan versi saat ini dari program dengan kode sumber. Jika tidak ada perubahan yang diotorisasi, kedua versi harus identik; setiap kesimpulan harus diselidiki. Jika perbedaannya adalah perubahan yang sah, auditor memeriksa spesifikasi perubahan program untuk memastikan bahwa perubahan tersebut diotorisasi dan digabungkan dengan benar.
- Pada teknik pengolahan ulang, auditor memproses ulang data menggunakan kode sumber dan membandingkan output dengan output perusahaan. Perbedaan dalam output diselidiki.
- Dalam simulasi paralel. auditor menulis program alih-alih menggunakan kode sumber, membandingkan hasilnya, dan menyelidiki perbedaan apa pun. Simulasi parllel dapat digunakan untuk menguji suatu program selama proses implementasi.
Selama pemrosesan komputer, sistem mungkin gagal mendeteksi input yang salah. kesalahan input yang tidak benar, memproses input yang salah, atau mendistribusikan atau mengungkapkan output dengan tidak semestinya.
Pengolahan Data Pengujian
Salah satu cara untuk menguji suatu program adalah dengan memproses satu set hipotetis dari transaksi yalid dan tidak valid. Program harus memproses semua transaksi yang valid dengan benar dan menolak semua yang tidak valid. Jalur logika Al1 harus diperiksa oleh satu atau beberapa tansaksi pengujian. Data yang tidak valid mencakup rekaman dengan data yang hilang, bidang yang berisi jumlah besar yang tidak wajar, nomor akun tidak valid atau kode pemrosesan, data nonnumerik dalam bidang angka, dan rekaman di luar urutan. Sumber daya berikut bermanfaat saat menyiapkan data uji:
- Daftar transaksi yang sebenarnya
- Tes hansactions yang digunakan perusahaan untuk menguji program
- Sebuah generator data uji, yang menyiapkan data uji berdasarkan spesifikasi program
Karena transaksi dapat diproses dalam sistem online tanpa meninggalkan jejak audit, bukti yang dikumpulkan setelah data diproses tidak memadai untuk keperluan audit. Selain itu, karena banyak sistem online memproses transaksi secara terus menerus, sulit untuk menghentikan sistem untuk melakukan tes audit.Auditor biasanya menggunakan lima teknik audit bersamaan:
- Pada fasilitas tes terpadu (ITF) menyisipkan catatan fiktif tlat mewakili divisi fiktif, departemen, pelanggan, atau pemasok dalam file induk perusahaan
- Teknik snapshot, transaksi yang dipilih ditandai dengan kode khusus
- File tinjauan audit sistem pengendalian (SCARF) menggunakan modul audit tertanam untuk terus memantau aktivitas transaksi.
- Audit hooks adalah rutinitas audit yang memberi tahu auditor tentang transaksi yang dipertanyakan, sering kali terjadi. Penggunaan audit hooks pada State Farm, termasuk mendeteksi bagaimana perusahaan penipuan besar.
- Continuous and intermittent simulation (ClS) menyematkan modul audit dalam sistem manajemen basis data (DBMS) yang memeriksa semua transaksi yang memperbarui database menggunakan kriteria yang mirip dengan SCARF.
Matriks pengendalian input digunakan untuk mendokumentasikan peninjauan kontrol data sumber. Fungsi kontrol data harus independen dari fungsi lain, memelihara log pengendalian data, menangani kesalahan, dan memastikan efisiensi operasi yang berlebihan.
Tujuan 6: File Data
Keenam tujuan ini menyimpulkan akurasi, integritas, dan keamanan data yang tersimpan pada file yang dapat dibaca mesin. Pendekatan auditing-by-obiectives adalah cara yang komprehensif 'sistematis' dan efektif untuk mengevaluasi kontrol internal.
PERANGKAT LUNAK AUDIT
Teknik audit yang dibantu komputer (CAATS) mengacu pada perangkat lunak audit, sering disebut perangkat lunak audit umum (General Government Software - GAS), yang meng-gunakan spesifikasi yang disediakan auditor untuk menghasilkan program yang membentuk fungsi audit, sehingga mengotomatisasi atau menyederhanakan proses audit. Dua paket perangkat lunak yang paling populer adalah Audit Control Language (ACL) dan Ekstraksi Data Interaktif dan analisis (IDEA). CAATS sangat cocok untuk memeriksa file data besar untuk mengidentifikasi catatan yang membutuhkan pemeriksaan audit lebih lanjut. Berikut adalah beberapa dari penggunaan CAATS yang lebih penting:
- Permintaan file data untuk mengambil catatan yang memenuhi kriteria yang ditentukan
- Menciptakan, memperbarui, membandingkan, mengunduh, dan menggabungkan file
- Meringkas, menyortir, dan flltering data
- Mengakses data dalam format yang berbeda dan mengkonversi data ke dalam format umum.
- dll
Teknik dan prosedur yang digunakan dalam audit operasional mirip dengan audit sistem informasi dan laporan keuangan. Perbedaan mendasar adalah ruang lingkup audit. Audit sistem informasi terbatas pada pengendalian internal dan audit keuangan terhadap output sistem, sedangkan audit operasional mencakup semua aspek manajemen sistem.
Langkah
pertama dalam audit operasional adalah perencanaan audit, di mana lingkup dan
tujuan audit ditetapkan, tinjauan sistem awal dilakukan, dan program auiit
sementara disiapkan.
Langkah
selanjutnya, koleksi mata-mata, termasuk kegiatan berikut:
- Mereview kebijakan dan dokumentasi operasi
- Mengkonfirmasikan prosedur dengan manajemen dan personel operasi
- Mengamati fungsi-fungsi operasi danaktivitas
- Meneliti laporan rencana keuangan dan rencana operasi
- Menguji akurasi informasi operasi
- Menguji pengendalian
Komentar
Posting Komentar