I.
makalah ini disusun oleh :
Silfi Sulfiyah, Nariya K. Ayu, Yohana Nofiyanti, Yolanda, dan Arya Adi Seto.
makalah ini dibuat untuk memenuhi tugas Pemeriksaan Akuntansi Lanjut 4EB01Testing Computer Aplication Controls
Bagian ini membahas beberapa teknik untuk audit aplikasi komputer. Teknik-teknik pengujian pengendalian menyediakan informasi mengenai akurasi dan kelengkapan proses aplikasi. Dalam pengujian ini terdapat dua pendekatan umum yaitu pendekatan black-box (around-computer) dan white-box (melalui pendekatan komputer).
A. Pendekatan Black Box (Black-Box Approach)
Auditor melakukan pengujian dengan black-box tidak bergantung pada satu pengetahuan yang terperinci dari logika internal aplikasi. Sebaliknya, mereka berusaha untuk memahami karakteristik fungsional aplikasi dengan menganalisis diagram alur dan mewawancarai personil yang berpengetahuan dalam organisasi klien. Dengan pemahaman tentang fungsi aplikasi, auditor menguji aplikasi dengan melakukan rekonsiliasi transaksi input produksi yang diproses oleh aplikasi dengan hasil output. Hasil output dianalisis untuk memverifikasi kepatuhan aplikasi dengan persyaratan fungsionalnya.
Keuntungan dari pendekatan black-box adalah bahwa aplikasi tidak perlu dihapus dari layanan dan dapat diuji secara langsung. Pendekatan ini layak untuk pengujian aplikasi yang relatif sederhana. Namun, untuk aplikasi kompleks yang melakukan berbagai operasi dan menghasilkan output multi memerlukan pendekatan pengujian lebih fokus untuk memberikan auditor dengan bukti integritas aplikasi.
B. Pendekatan White-Box (white-box approach )
Pendekatan White-Box bergantung pada pemahaman mendalam tentang logika internal aplikasi yang sedang diuji. Pendekatan ini mencakup beberapa teknik untuk pengujian logika aplikasi langsung. Teknik ini menggunakan nomor kecil transaksi pengujian yang khusus diciptakan untuk memverifikasi aspek khusus dari logika aplikasi dan kontrol.Dengan cara ini, auditor dapat melakukan pengujian yang tepat, dengan mengetahui variabel, dan mendapatkan hasil yang dapat dibandingkan secara objektif. Beberapa jenis yang lebih umum dari pengujian pengendalian meliputi:
1) Uji Keaslian (authenticity test), memverifikasi bahwa individu, prosedur pemrograman, atau pesan (seperti transmisi EDI) untuk mengakses sistem telah otentik. Pengujian Keaslian mencakup ID pengguna, sandi, kode vendor yang valid, dan tabel otoritas.
2) Uji Akurasi (accuracy test), menjamin sistem melakukan proses hanya data yang nilainya sesuai dengan toleransi tertentu. Contohnya termasuk berbagai tes,seperti field test dan tes batas.
3) Uji Kelengkapan (completeness test), mengidentifikasi data yang hilang dalam satu catatan data dan seluruh catatan yang hilang dari batch. Jenis-jenis pengujian yang dilakukan adalah uji lapangan, uji urutan catatan, total hash, dan total kontrol.
4) Uji Redundansi (redundancy test), memastikan bahwa proses setiap record hanya dilakukan sekali. kontrol Redundancy mencakup rekonsiliasi total batch, jumlah catatan, total hash, dan total kontrol.
5) Uji Akses (Access test),menjamin bahwa aplikasi yang berwenang mencegah pengguna dari akses yang tidak sah ke data. Akses kontrol termasuk password, tabel otoritas, prosedur yang ditetapkan pengguna, enkripsi data, dan kontrol kesimpulan.
6) Uji Jejak Audit (audit trail test), menjamin bahwa aplikasi menciptakan jejak audit yang memadai. Hal ini mencakup bukti bahwa record aplikasi semua transaksi berada pada catatan transaksi, posting nilai data ke rekening yang sesuai, menghasilkan daftar transaksi yang lengkap, dan menghasilkan file error dan laporan untuk semua pengecualian.
7) Uji Kesalahan Pembulatan (rounding error test), memverifikasi kebenaran prosedur pembulatan. Kesalahan pembulatan terjadi dalam informasi akuntansi ketika tingkat ketepatan yang digunakan dalam perhitungan lebih besar daripada yang digunakan dalam pelaporan. Sebagai contoh, perhitungan bunga pada saldo rekening bank mungkin memiliki ketepatan hingga lima angka dibelakang koma, sementara dalam laporan saldo hanya dibutuhkan dua angka dibelakang koma. Jika tiga angka sisanya di belakang koma dibuang begitu saja, maka nilai bunga total yang dihitung untuk saldo total akun terkait tidak akan sama dengan jumlah perhitungannya secara individual. Program pembulatan sangat rentan terhadap penipuan salami. Sepuluh penipuan Salami tidak hanya mempengaruhi sejumlah besar korban, tetapi juga kerugian bagi setiap material. Kasus “salami” ini bisanya terjadi dalam dunia perbankan, dimana sang programmer menambahkan program khusus dalam sistem yang ada untuk melakukan transfer atas pencurian bunga nasabah senilai 0.1%. Kita bisa bayangkan, jika nasabah berjumlah 1 juta nasabah.
8) Sistem operasi audit trail dan perangkat lunak audit dapat mendeteksi aktivitas berkas yang berlebihan. Dalam kasus penipuan salami, akan ada ribuan entri ke rekening pribadi kriminal komputer yang dapat terdeteksi dengan cara ini. Seorang pemrogram mungkin pandai menyamar kegiatan ini dengan menyalurkan entri ini melalui beberapa rekening sementara menengah, yang kemudian dikirim ke sejumlah kecil rekening menengah dan akhirnya ke rekening pribadi programmer. Dengan menggunakan banyak tingkat akun pada cara ini, kegiatan ke rekening tunggal berkurang dan mungkin tidak terdeteksi oleh perangkat lunak audit. Akan ada jejak, tetapi dapat menjadi rumit. Seorang auditor terampil juga dapat menggunakan perangkat lunak audit untuk mendeteksi keberadaan rekening antara tidak sah digunakan sedemikian penipuan.
II. Computer-Aided Audit Tools dan Teknik untuk Pengujian Pengendalian
Untuk menggambarkan bagaimana pengendalian aplikasi diuji, bagian ini menggambarkan lima pendekatan CAATT yaitu:
A. Test Data Method
Uji metode data digunakan untuk membangun integritas aplikasi dengan pengolahan set khusus yang disiapkan melalui aplikasi produksi yang sedang diperiksa. Hasil uji masing-masing dibandingkan dengan harapan yang telah ditentukan untuk mendapatkan evaluasi obyektif dari logika aplikasi dan efektivitas kontrol. Untuk melakukan teknik uji data, auditor harus memperoleh salinan dari versi aplikasi saat ini. Selain itu, tes transaksi file dan file uji master harus diciptakan.
Transaksi dapat masuk ke dalam sistem dari tape magnetik, disk, atau melalui terminal input. Hasil dari uji coba akan berada dalam bentuk laporan output rutin, daftar transaksi, dan laporan kesalahan. Selain itu, auditor harus meninjau file update master untuk menentukan bahwa saldo account telah benar diperbarui. Hasil uji kemudian dibandingkan dengan hasil yang diharapkan auditor untuk menentukan apakah aplikasi berfungsi dengan benar. Perbandingan ini dapat dilakukan secara manual atau melalui perangkat lunak komputer khusus.
Ketika membuat data pengujian, auditor harus menyiapkan kelengkapan dari transaksi yang valid dan tidak valid. Jika data uji tidak lengkap, auditor mungkin gagal untuk memeriksa logika aplikasi dan rutinitas pengecekan error. Uji transaksi harus menguji setiap kemungkinan kesalahan input, proses logis, dan ketidak aturan.
Pengetahuan tentang logika internal aplikasi yang cukup untuk membuat data uji membutuhkan investasi waktu yang besar. Namun, efisiensi dari hal ini dapat ditingkatkan melalui perencanaan yang hati-hati selama pengembangan sistem. Auditor harus menyimpan data uji yang digunakan untuk menguji modul program selama tahap pelaksanaan SDLC untuk penggunaan di waktu yang akan datang. Jika aplikasi telah mengalami pemeliharaan tidak sejak awal pelaksanaan, hasil audit saat uji seharusnya sama dengan hasil tes yang diperoleh pada implementasi. Namun, jika aplikasi telah dimodifikasi, auditor dapat membuat data pengujian tambahan yang berfokus pada bidang perubahan program.
B. Base Case System Evaluation
Ada beberapa varian dari teknik data uji. Ketika set data uji yang digunakan adalah komprehensif, teknik ini disebut evaluasi sistem dasar (BCSE). BCSE tes dilakukan dengan satu set jenis transaksi uji. Ini diproses melalui iterasi berulang selama pengujian sistem pembangunan sampai hasil yang konsisten dan berlaku diperoleh.Hasil ini adalah base case. Ketika perubahan dari perubahan aplikasi untuk aplikasi terjadi selama perawatan, pengaruh tersebut dievaluasi dengan membandingkan hasil saat ini dengan hasil base case.
C. Tracing
Tipe lain dari teknik pengujian data yang disebut dengan tracing adalah pelacakan data melalui logika internal aplikasi. Prosedur tracing ini melibatkan tiga langkah:
1) Aplikasi yang dilaporkan harus menjalani kompilasi khusus untuk mengaktifkan opsi jejak.
2) Transaksi spesifik atau jenis transaksi diciptakan sebagai data uji.
3) Transaksi data uji ini adalah ditelusuri melalui semua tahapan proses program, dan daftar yang dihasilkan dari semua instruksi yang diprogram yang dieksekusi selama pengujian.
Penerapan ini memerlukan pemahaman rinci logika internal aplikasi.
Keuntungan dari Teknik Pengujian Data
Ada 3 keuntungan utama dari teknik pengujian data. Pertama, pengujian dengan computer, kemudian memberikan auditor bukti-bukti yang jelas mengenai fungsi-fungsi aplikasi.Kedua, jika perencanaan tepat, langkah pengujian data dapat dikerjakan dengan sedikit gangguan pada operasi organisasi. Ketiga, hanya memerlukan sedikit keahlian computer dalam mengaudit.
Kerugian dari Teknik Pengujian Data
Kerugian dari semua teknik pengujian data adalah pertama, auditor harus mengandalkan pegawai servis computer untuk memperoleh sebuah salinan aplikasi untuk pengujian. Hal ini membawa risiko bahwa pelayanan computer mungkin disengaja atau tidak disengaja memberikan auditor aplikasi dengan versi yang salah dan mungkin mengurangi bukti audit yang terpercaya.
Kekurangan yang kedua adalah menyediakan grafik integritas aplikasi hanya pada satu waktu. Mereka tidak menyediakan sebuah cara yang sesuai dari bukti-bukti tentang fungsional aplikasi yang terus-menerus. Tidak ada bukti bahwa audit telah dilakukan.
Sedangkan kekurangan yang ketiga adalah relative tingginya harga implementasi. Biaya tersebut tidak efisien karena hasilnya masuh dalam proses audit. Seorang auditor bahkan mungkin banyak menghabiskan waktu untuk memahami program logika dan untuk membuat pengujian data.
D. The Integrated Test Facility (ITF)
Pendekatan ini adalah teknik otomatis yang memungkinkan auditor untuk menguji sebuah aplikasi dan mengendalikannya selama proses operasi normal. ITF merupakan satu atau lebih modul audit yang didesain ke dalam aplikasi selama proses pengembangan sistem.
Pada penambahannya, database ITF “dummy” atau pengujian record file master dengan file yang logis. Beberapa perusahaan membuat dummy untuk pengujian transaksi yang dipusatkan. Selama operasi normal, pengujian transaksi digabungkan ke dalam aliran input dalam transaksi regular dan diproses pada file dari dummy perusahaan.
Modul audit ITF didesain untuk membedakan transaksi ITF dan produksi data sehari-hari. Salah satu penggunaan paling sederhana dan yang paling biasa digunakan adalah untuk meletakan susunan unik dari nilai kunci secara eksklusif untuk transaksi ITF. Sebagai contoh, pada sistem pemrosesan pesanan penjualan, nomor akun antara 2000 dan 2100 dapat dipesan untuk transaksi ITF dan tidak akan ditandai untuk akun pelanggan actual.
Kelebihan Integrated Test Facility
Teknik ITF mempunyai dua kelebihan utama. Yang pertama, ITF mendukung pengawasan yang sedang berjalan dari pengendalian yang dibutuhkan oleh SAS 78. Kedua, aplikasi dengan ITF dapat menjadikan pengujian lebih ekonomis tanpa memnggangu operasi pengguna dan tanpa campur tangan pegawai servis computer. Jadi ITF meningkatkan efisiensi dari audit dan menambah tingkat kepercayaan dari bukti audit yang dikumpulkan.
Kelemahan Integrated Test Facility
Kelemahan utama dari ITF yaitu adanya kesempatan potensial untuk menghilangkan file data organisasi dengan uji data. Sebuah langkah harus dilakukan untuk memastikan uji transaksi ITF tidak mempengaruhi laporan keuangan dari jumlah transaksi yang tidak sesuai dengan transaksi yang sah. Masalah ini dapat diperbaiki dengan dua cara. Pertama, mengatur catatan yang diproses untuk menghapus pengaruh ITF dari keseimbangan akun jurnal umum. Kedua, file data dapat ditinjau oleh software khusus yang dapat menghapus transaksi ITF.
E. Parallel Simulation
Pendekatan ini mengharuskan auditor untuk membuat suatu program yang menyimulasikan fungsi utama tertentu dari aplikasi yang sedang diuji. Program simulasi dapat ditulis dalam berbagai bahasa pemrograman. Langkah-langkah untuk pembuatan pengujian simulasi parallel adalah sebagai berikut :
1) Auditor harus benar-benar memahami aplikasi untuk melakukan review dokumentasi yang tepat dan lengkap dari aplikasi yang dibutuhkan untuk membangun sebuah simulasi yang akurat.
2) Auditor selanjutnya harus mengidentifikasi proses dan pengendalian pada aplikasi yang rawan untuk diaudit. Ini adalah proses disimulasikan.
3) Auditor membuat aplikasi melalui 4GL atau Generalized audit Software (GAS)
4) Auditor menjalankan program simulasi menggunakan transaksi yang dipilih dan fle master untuk menghasilkan sekumpulan hasil.
5) Terakhir, auditor mengevaluasi dan menggabungkan hasil uji dengan hasil yang dihasilkan pada proses sebelumnya.
Auditor harus berhati-hati untuk mengevaluasi dan menggabungkan hasil uji dengan hasil produksi. Jika ada perbadaan maka perbedaan output tersebut dapat disebabkan oleh dua hal yaitu, pertama, program simulasi yang mentah dan kedua, kecurangan yang sesungguhnya terjadi dalam proses ataupun pengendalian aplikasi.yang dapat terlihat oleh program simulasi.
0 komentar:
Post a Comment