TEKNIK AUDIT BERBANTUAN KOMPUTER Dr. Imam Subaweh, SE., Ak., MM Teknik
Teknik audit adalah cara-cara yang ditempuh auditor untuk memperoleh pembuktian dalam membandingkan keadaan yang sebenarnya dengan keadaan yang seharusnya. Teknik audit erat hubungannya dengan prosedur audit, dimana teknik-teknik audit digunakan dalam suatu prosedur audit untuk mencapai tujuan audit. Ada beberapa prosedur audit terhadap pengendalian yang harus dilakukan langsung oleh auditor (secara manual), dan beberapa prosedur yang dapat menggunakan dukungan komputer seperti tabel berikut ini:
Pengendalian Internal dan Prosedur Audit No Bidang Pengendalian yg Diaudit Prosedur Audit Bukti Audit 1. Perencanaan Organisasi, IT Plan, dan Operasi 2. Prosedur pengembangan aplikasi, sistem dokumentasi, review, testing, dan operating system dan perubahan 3. Pengendalian hardware/systems software 4. Pengendalian acces equipment dan data/file 5. Pengendalian menyeluruh terkait dgn data dan prosedur yg mungkin berdampak dgn keseluruhan operasi komputer Manual Manual Komputer Manual/ komputer Manual Dokumen planning, risalah rapat direksi Hasil observasi, cek dokumentasi, hasil wawancara Produk pabrikan komputer/ software house sdh dilengkapi pengendalian Hasil interview mendalam dgn teknisi atau cek dgn software. Observasi, bukti dokumentasi, SOP tertulis, wawancara, dll
SKEMA TEKNIK AUDIT BERBANTUAN KOMPUTER Integrated Test Facility (ITF) Data Uji Process Tracing Software/Snapshot Pada Batch Processing Environment TEKNIK AUDIT Pada On-Line Real Time Environment Embedded Audit Modules Pemetaan (Mapping) Simulasi Paralel Job Accounting Data Analysis Perangkat Lunak Audit
1. Teknik Untuk Menguji Pengendalian Program Aplikasi Komputer Pada Batch Processing Environment a. Metode Data Tes (Test Deck) - Auditor s Data, Client s Software Pengujian yang dilakukan dengan data uji ialah untuk mengetahui apakah program komputer sudah bekerja dengan baik. Biasanya data tes dibuat untuk menguji apakah program sudah: Perform validity checks Perform limit and reasonableness checks Attempt to process an improperly authorized transaction Perforrn numeric, alphabetic, and special character checks.
1. Teknik Untuk Menguji Pengendalian Program Aplikasi Komputer Pada Batch Processing Environment Tahapan Pengujian Test Deck Auditor membuat data tes berupa elemen-elemen data simulasi (berupa dummy data). Auditor memasukkan data tes tersebut pada model input atau model proses yang dipilih untuk diuji. Auditor menetapkan hasil yang seharusnya sesuai dengan kaidah pengendalian intern yang baik Auditor membandingkan HASIL YANG SEHARUSNYA dengan HASIL PENGUJIAN. Dari hasil perbandingan dapat diketahui keandalan pengendalian sistem tersebut.
Data uji yang dibuat auditor harus mencakup seluruh kemungkinan transaksi yang tidak sah atau salah agar dapat ditentukan apakah program komputer yang diuji bereaksi dengan tepat terhadap berbagai kesalahan dengan cara memeriksa daftar kesalahan dan perincian keluaran yang dihasilkan dari data pengujian. Jika ternyata hasil yang diharapkan ternyata tidak terjadi, berarti ada sesuatu yang salah pada program aplikasi. Misalnya, kode pelanggan sengaja dibuat salah, atau sengaja pesanan melewati limit kredit, atau tanggal 31 Februari; jika ternyata komputer tidak mendeteksi kesalahan-kesalahan itu, berarti pengendalian aplikasinya masih lemah.
Test deck - Auditor s data, client s software Fictitious Master File Client's Application Program Updated Master File Error Report Test Transaction Transaction Report Predetermined Results Compare
Tes data buatan (dummy test data) lebih baik dari pada kalau memakai data (live real data) yang sebenarnya, karena: Dengan dummy test data dapat dibuat data yang lebih sedikit tetapi memenuhi seluruh kriteria yang diperlukan untuk dapat melakukan test dengan baik. Dengan dummy data akan lebih mudah dibuat perkiraan keluaran (designeble expected result), kalau data masukannya sudah direncanakan dengan matang akan menghasilkan tipe-tipe kesalahan yang seharusnya dideteksi program. Kemungkinan kesalahan yang dapat dibuat pada dummy data akan lebih kompherensif, memenuhi semua kemungkinan yang dapat diperkirakan oleh evaluator.
Hal-hal yang perlu diperhatikan dalam menggunakan data uji: Data uji harus mencakup seluruh kondisi yang diinginkan oleh auditor, baik data yang sah maupun tidak sah (error). Program yang diuji dengan data uji auditor harus sama seperti yang dipergunakan untuk operasional sepanjang tahun oleh klien (bukan program palsu ). Data uji harus segera dihapus dari file klien segera setelah tes selesai, dengan maksud agar file sistem tidak terkontaminasi oleh data uji (bukan data transaksi sebenarnya).
Hal-hal yang perlu diperhatikan dalam menggunakan data uji: Pelaksanaan data uji harus menjamin bahwa data uji tidak mempengaruhi file data sungguhan, akan ironis jika suatu prosedur audit yang dirancang untuk mendeteksi kekeliruan justru membawa kekeliruan. Ini membutuhkan koordinasi antara auditor dan karyawan komputer. Auditor harus menjalankan pengendalian yang ketat. Dia harus mengamati pemosesan yang dilakukan oleh operator komputer. Jika pengujian selesai auditor harus segera mendapatkan output tercetak
Keuntungan Sistem Data Uji Teknik test data dapat menguji proses yang terjadi di komputer dengan perkiraan output berdasarkan input yang dipersiapkan, relatif simple, cepat, serta relatif murah. Teknik test data hanya memerlukan sedikit keahlian teknis komputer dari auditor, tetapi sering dapat menghasilkan temuan yang bagus (mengenai kelemahan kontrol dalam program), dan dengan sedikit modifikasi, data masih dapat digunakan pada audit yang akan datang.
Kelemahan Sistem Data Uji Limited by the auditor s imagination, maksudnya, keberhasilan tes tersebut sangat bergantung dari kemampuan auditor dalam memahami potensi error yang mungkin dapat terjadi dan bagaimana ia membuat dummy data untuk menilai apakah software yang diuji telah dilengkapi validasi (kemampuan mendeteksi). Sulit untuk establish that the program being tested is the one the client regularly uses, karena bisa saja klien nempunat software ganda, artinya jika diuji klien memberi software yang benar, tetapi sesungguhnya dalam operasi sehari-hari klien memakai software yang lain (yang salah atau yang menguntungkan perusahaannya).
Kelemahan Sistem Data Uji Dalam menggunakan tehnik data uji harus dijaga agar dummy data yang dibuat tidak mengotori data yang sebenarnya (make sure that the test data doesn t effect client s real data). Data uji bisa sangat mahal, pengembangannya banyak perlu waktu, dan program yang diuji ternyata mungkin diganti/dirubah/bukan yang sebenarnya, sehingga hasil yang diperoleh cepat usang atau tidak tepat sasaran. Bagi auditor pemula mungkin sulit untuk mendeteksi kecurangan yang dilakukan oleh operator komputer yang ahli menukar program. Teknik tesebut sifatnya statis, karena berfokus pada titik waktu tertentu dan tidak memeberikan hasil yang berkesinambungan
. Teknik ini berfokus pada program individual (program tertentu yang diuji saja), dan cenderung tidak menguji secara komprehensif atas keseluruhan rangkaian sistem pemrosesan transaksi. Sulit untuk membuat data uji yang dapat meliputi seluruh kemungkinan. Auditor tidak dapat mengetahui apakah program yang dipakai ujicoba benar-benar program yang on- production. Test data juga masih banyak mengandung kelemahan dalam arti belum tentu dapat menentukan apakah program betul-betul sudah error-free.
b. Simulasi Paralel (Parallel Simulation) - auditor's Software, Client's Data Dalam teknik ini pelaksanaan pemeriksaan dilakukan terhadap data sesungguhnya (data auditee yang di-copy) dan diproses dengan software atau bahkan komputernya auditor. Laporan yang dihasilkan dari simulasi dibandingkan oleh auditor dengan laporan yang dihasilkan oleh pemrosesan rutin perusahaan Jika terjadi perbedaan, asumsinya perbedaan tersebut menunjukan bahwa software perusahaan tidak memproses data sesuai dengan spesifikasi yang ada (atau programnya auditor yang salah).
Parallel Simulation - Auditor's software, client's data Client's Computer Program Client's Data Auditor's Simulated Program Client's Results Compare Auditor's Results
Software yang dipakai dapat berupa: Copy dari Software auditee, tetapi proses copy harus diawasi oleh auditor, Software audit tertentu yang dibuat auditor, Generalized audit program.
Pada dasarnya sistem Paralel Test Facility (PIF) ini dapat dibedakan dalam dua cara, yaitu: a. Parallel simulation Dalam parallel simulation, auditor akan meminjam (mencopy data atau contoh data, misalnya data satu bulan) dan diproses pada komputer auditor, tetapi dengan sistem simulasi (sistem yang dibuat sendiri oleh auditor dengan spesifikasi yang sama dengan aslinya/ yang ada di auditee). b. Parallel processing Dalam parallel processing, auditor akan meminjam (mencopy data atau contoh data, misalnya data satu bulan) dan diproses pada komputer auditor dengan sistem aplikasi yang juga di copy dari komputernya auditee.
Keunggulannya metoda ini adalah: Teknik ini memeriksa akurasi pemrosesan dari program aplikasi. Memungkinkan pensahihan output sesungguhnya. Cocok untuk pengujian substantif maupun untuk complaince test. Audit dilakukan pada komputernya auditor/komputer lain/bukanyang sedang diaudit, sehingga diperoleh keyakinan akan status sistem komputerisasi tersebut dengan lebih akurat.
Keunggulannya metoda ini adalah: Auditor dapat memperoleh keyakinan lebih tinggi karena dengan sistem simulasi kalau ada hal-hal yang tidak dapat terdeteksi dengan uji coba saja, maka akan diketahui karena dicoba dengan sistem yang lain. Tidak terjadi kontaminasi file klien (does not contaminate client fiies) Proses dapat dilakukan dengan komputer pihak ketiga independen (can be run at a service bureau independently of client). Auditor menggunakan data klien sebenarnya (data real). Memungkinkan auditor bekerja secara terpisah dari personil (teknisi) klien, sehingga pelaksanaan audit lebih fleksibel
Kelemahannya adalah: Auditor harus mempunyai keahlian komputer yang cukup kompeten untuk dapat menelusuri kembali perbedaan antara dua hasil (output) program tersebut. Perlu waktu untuk pengembangan sistem aplikasi untuk paralelnya. Apabila perusahaan mengupdate program pada saat diperiksa tidak segera diketahui, dan atau auditor juga harus segera mengupdate programnya. Diperlukan komputer lain untuk pemeriksaan Pada parallel simulation, auditor harus membuat sistem simulasinya. Pengecekan hanya terbatas pada data.
2. Teknik Untuk Menguji Pengendalian Program Aplikasi Komputer Pada On-line Real Time Envenonment a. Integrated Test Facilities (ltf) ITF digunakan untuk menguji sistem aplikasi dengan data tes pada saat komputer dioperasikan dalam kegiatan rutin pada perusahaan yang diaudit (auditan/auditee). Pada ITF pemeriksaan atau tes sistem komputerisasi dilaksanakan secara kontinyu dan simultan antara pelaksanaan tes dan real processing run. Dalam ITF Auditor harus membuat dummy data dan diproses bersamaan dengan real data yang mamang saat itu sedang diolah.
Persiapan dan pelaksanaan test harus sedemikian rupa sehingga operator tidak mengetahui bahwa pada saat ini sedang dilakukan audit, atau data yang sedang direkamnya ternyata adalah data dummy. Sistem ITF ini sering dilakukan pada bidang aplikasi: order entry, purchasing, payroll, accounts receivable, dan sebagainya, dalam teknologi on-line dan real-time (OLRT). Auditor membuat entitas simulasi, misalnya suatu transaksi baru, pelanggan baru, pegawai baru, dan sebagainya. Entitas simulasi ini lalu dimasukkan ke dalam operasi yang berjalan seolah-olah merupakan entitas yang sah. Hasil dari pemrosesan transaksi itu harus dipisahkan dari transaksi yang sah. Sistem yang baik akan memberikan respon terhadap adanya transaksi/entitas yang tidak sah. Sebagaimana data tes, metode ini sasarannya adalah pada pengujian ketaatan (compliance test).
Integrated Test Facilities (ITF) - (minicompany approach) Integrated Test Facility Normal Data Input Processing System Normal Files ITF File Auditor Submitted Transactions Normal Reports Predetermined Results Compare ITF Reports
Keunggulannya: ITF hanya memerlukan sedikit keahlian teknis komputer biayanya relatif rendah, karena bersamaan proses reguler, Dapat dilakukan mendadak, sehingga dapat mencegah upaya curang Auditor dapat memeriksa sistem aplikasi yang sebenarnya digunakan. Test dilakukan langsung secara operasional bersama real processing run, sehingga tidak usah memberhentikan proses. Dapat sekaligus merupakan simulasi yang tidak diketahui oleh operator
Kelemahannya adalah: Auditor dan timnya harus sangat hati-hati, karena sistem dan data yang digunakan adalah live system & actual data. Auditing ini dapat menyebabkan errors pada data auditee, khususnya jika audit dilakukan juga dalam proses penghitungan/penjumlahan. Karena sistem ITF pada dasarnya masih juga menggunakan data test, maka kelemahankelemahan yang ada pada metoda test data tetap ditemui pada sistem ITF. Hanya saja dalam hal ini kita yakin bahwa sistem yang kita test memang sistem apliksasi komputer yang dipakai secara operasional (sistem yang sesungguhnya).
b. Process Tracing Software Process Tracing Software dapat menjadi suatu cara untuk identifikasi program modules fraud yang tidak tertangkap dengan metoda tes uji data. Tagging Transactions ini juga dikenal dengan istilah Snapshot approach.
Overview of Snapshot Approach Client's Computer Program Data Entry Processing Step 1 Processing Step 2 Processing Step n Reports Updated Data Snapshot of Selected Data
Dengan teknik snapshot ini komputer klien diprogram untuk dimonitor kegiatan transaksinya. Transaksi dapat dipilih bergantung pada kriteria yg ditentukan auditor atau secara acak. Pada saat transaksi terpilih diproses auditor dapat melihat bagaimana pemrosesan ransaksi tersebut. Auditor selanjutnya dapat me-review, analisis dan mengetes transaksi.
Jadi metoda tagging & tracing ini dilaksanakan dengan menambahkan kode atau elemen data tertentu pada data yang ada, kemudian diamati, dianalisa dan ditentukan apakah mekanisme sistem komputerisasi sudah berjalan baik. Tagging & tracing sebagai sistem pengujian ketaatan dan sekaligus juga pengujian substantif. Karena didalam pengujian ini pada dasarnya langsung mengamati data yang sebenarnya (secara sampling), dan juga mekanisme sistemnya.
c. Embedded Audit Modules Teknik embedded audit modules atau sering juga disebut dengan istilah audit hooks adalah teknik audit dengan menggunakan modul terprogram yang disisipkan atau dilekatkan ke dalam program aplikasi, dengan tujuan untuk memantau dan menghimpun data untuk tujuan pemeriksaan. Pada saat transaksi memasuki komputer, transaksi ini diedit dan diproses oleh program aplikasi.
c. Embedded Audit Modules Pada saat yang sama transaksi dicek oleh modul audit yang terpasang di dalam program. Jika transaksi itu benar, maka transaksi itu dipilih oleh modul bersangkutan dan disalin pada log audit (sering disebut SCARF/ System Control Audit Review File). Secara periodik, isi log itu dicetak untuk diteliti oleh auditor.
Keunggulan teknik audit Embedded Audit Modules adalah: memungkinkan semua pemrosesan dipantau walaupun tidak berkaitan langsung dengan transaksi individual, dapat mendeteksi dan mencatat kemungkinan penyalahgunaan wewenang mengakses file induk, untuk memasukan data transaksi yang palsu, atau untuk membatalkan parameter pemosesan (misalnya, harga dalam program penagihan).
Kelemahan teknik Embedded Audit Modules adalah: memerlukan tambahan waktu untuk memproses transaksi, karena semua instruksi program dalam modul harus dilaksanakan untuk setiap transaksi, perancangan dan implementasi modul biasanya mahal, khususnya jika rnodul tersebut ditambahkan setelah program aplikasi sudah ada, memerlukan pengamanan yang lebih ketat, karena modul audit dan log audit harus diamankan terhadap akses oleh pegawai perusahaan, dan auditor harus menentukan kriteria pemilihan transaksi secara seksarna. Jika terlalu ketat, maka jurnlah transaksi yang dipilih mungkin sulit digunakan.
d. Mapping Mapping adalah teknik audit berbantuan komputer yang dilakukan dengan cara seolaholah membuat pemetaan terhadap suatu program yang sedang dijalankan sehingga dapat diketahui bagian-bagian mana yang berfungsi sesuai dengan spesifikasinya dan bagian mana yang mungkin merupakan sisipan karena tidak sesuai dengan spesifikasinya.
Keunggulan metoda ini antara lain: auditor atau evaluator terhadap suatu program dapat memberikan rekomendasi atau usul perbaikan, yaitu mengurangi bagian-bagian program yang ternyata tidak bermanfaat. Dengan demikian jika perbaikan tersebut dapat dilaksanakan dengan baik, maka berarti komputer akan dapat dioperasikan dengan lebih efisien.
Kelemahan metoda ini ialah antara lain: Biaya pengadaan software yang relatif mahal dan perlu waktu pelatihan serta kemahiran tertentu untuk dapat memanfaatkannya.
e. Job Accounting Data Analysis Pada instalasi komputer induk (mainframe) lazimnya layanannya digunakan secara patungan (sharing) oleh berbagai unit dan berbagai sistem aplikasi yang diimplementasikan pada organisasi tersebut. Pada instalasi ini hanya terdapat satu central processing unit tetapi users atau pemakainya mungkin puluhan, bahkan bisa mencapai ratusan orang (terminal) pada saat yang bersamaan. Sementara itu pada jenis mesin tersebut computer-time cost relatif tinggi karena harga investasi serta biaya operasional atau konsumsi sumber-daya (khususnya listrik, infrastruktur) sangat mahal.
Dalam rangka analisis pembebanan biaya ataupun untuk kepentingan statistik perusahaan, pada umumnya jenis mesin tersebut juga dilengkapi dengan software yang bisa membantu manajemen untuk memperoleh data CPU utilization, computer-time per user, dan sebagainya. Data itu sangat penting untuk mengevaluasi sistem aplikasi mana atau user mana yang pemakaian computer time-nya relatif tinggi, atau dalam service terhadap unit pemakai dikenakan charge maka data ini dipakai sebagai dasar billing kepada pelanggan. oleh karena itu pada jenis mesin mainframe biasanya juga dilengkapi dengan software yang dapat dipakai untuk keperluan tersebut, yang pada umumnya disebut Job Accounting Data Analysis.
Bagi auditor, tersedianya fasilitas itu sangat bermanfaat karena dapat dipakai sebagai bukti audit untuk pendukung evaluasi mengenai: Sebagai metoda pendukung untuk mengevaluasi beberapa jenis pengendalian, misalnya apakah akses terhadap file-file tertentu atau kewenangan run program memang sudah dilaksanakan orang-orang (users) tertentu sesuai dengan yang seharusnya. Untuk dapat mengevaluasi apakah telah terjadi akses dengan remote terminal, yaitu akses dengan menggunakan terminal jarak jauh oleh pihak pihak yang tidak berhak. Untuk mengevaluai apakah pekerjaan-pekerjaan sistem aplikasi telah dioperasikan menggunakan sumber daya informasi yang benar.
f. Perangkat Lunak Audit Perangkat lunak audit terdiri dari software (program-program komputer) yang digunakan oleh auditor sebagai bagian atau dukungan teknis pengumpulan bahan bukti audit dalam prosedur auditnya. Software audit mencakup program-program komputer yang memungkinkan komputer digunakan sebagai alat audit untuk mengumpulkan dan mengolah data audit yang signifikan dari sistem informasi perusahaan. Sebelum meggunakan program untuk tujuan auditnya, auditor harus meyakini validitas program yang akan ia gunakan.
f. Perangkat Lunak Audit Komputer diprogram untuk dapat membaca, memilih, mengekstrak, dan memsostir data dari filefile komputer. Terdapat banyak jenis perangkat lunak audit yang dapat digunakan dalam berbagai tingkatan (mainframe maupun komputer mikro). Auditor dapat menggungkan perangkat lunak konvensional seperti program-program utilitas sistem, program aplikasi yang didesain untuk audit, paket perangkat lunak audit yang dirancang secara khusus, yang dikenal sebagai perangkat lunak audit umum - Generalized Audit Software (GAS) dan paket-paket perangkat lunak komputer mikro.