Thursday, November 11, 2010

Computer Assisted Audit Technique Tools (CAATT) session 3

makalah ini disusun oleh :

Silfi Sulfiyah, Nariya K. Ayu, Yohana Nofiyanti, Yolanda, dan Arya Adi Seto.

makalah ini dibuat untuk memenuhi tugas Pemeriksaan Akuntansi Lanjut 4EB01.

Pengendalian proses (Processing Control)

Setelah menyelesaikan proses input, transaksi akan masuk dalam tahap pemrosesan. Pengendalian proses terbagi menjadi 3 kategori yaitu:

1. Run to run controls

Run to run control memakai bentuk batch untuk melihat bagaimana tiap fungsi bergerak dari suatu prosedur pemrograman ke prosedur yang lain. Run to run controls ini untuk memastikan bahwa tiap langkah pada sistem pemrosesan bagian secara benar dan lengkap. Beberapa alat pemrosesan dapat tersiri dari pemisahan pengendalian record yang dibuat pada saat input data.

Pengunaan spesifik dari run to run controls adalah sebagai berikut:

1) Recalculate control totals

Setelah beberapa operasi utama dalam proses dan setelah setiap bagian berjalan, sejumlah nilai uang dihitung totalnya dan setiap record perhitungan diakumulasikan dan dibandingkan untuk mencocokkan nilai yang disimpan pada pengendalian control. Jika record pada bagian batch tersebut hilang, tidak terproses atau pemrosesan lebih dari satu kali maka akan diketahui dengan adanya ketidaksesuaian antara beberapa bagian tersebut.

2) Transaction codes

Kode transaksi dari tiap record pada bagian batch dibandingkan dengan kode transaksi yang terdapat pada record pengendalian. Hal ini memastikan hanya tipe file yang sesuai dari transaksi yang akan diproses.

3) Sequence check

Pada sistem yang menggunakan beberapa file master, urutan record transaksi pada bagian batch tidak selamanya benar dan dapat diproses dengan lengkap. Ketika dokumen ini diproses maka harus diurutkan pada urutan dari file master yang digunakan pada tiap langkah. Pengendalian beberapa rekening ini (sequence check) membandingkan beberapa record pada bagian batch dengan record sebelumnya untuk memastikan bahwa pengurutan data berjalan tepat.

2. Pengendalian Keterlibatan Operator(Operator invention controls)

Suatu sistem terkontrol membutuhkan campur tangan operator untuk menginisiasikan beberapa tindakan seperti melekukan pengawasan total untuk batch dari record, melengkapi parameter nilai untuk operasi logikadan mengaaktifka program dari poin yang berbeda ketika terjadi Keterlibatan operator dapat meningkatkan potensi kesalahan manusia.

Pembatasan campur tangan operator melalui pengendalian campur tangan operator dapat meminimalkan kesalahan pemrosesan. Walaupun tidak mungkin untuk menghapus keterlibatan operator seluruhnya, tetapi nilai parameter dan program awal yang diperlukan kemungkinan luas dapat diambil dan dilengkapi dari sistem dengan malihat tabel.

3. Pengendalian Jejak Audit (Audit trail controls)

Penjagaan jejak audit sangat penting dalam pengendalian proses. Dal am sistem akuntansi, setiap transaksi harus tercatat pada setiap langkah proses dari sumber ekonomi untuk dipresentasikan dalam sebuah laporan keuangan. Pada lingkungan CBIS, jejak audit dapat menjadi terpisah-pisah dan sulit untuk dilacak. Hal ini mengkhawatirkan karena operasi utama menggunakan transaksi-transaksi tersebut untuk didokumentasikan.

Dibawah ini adalah beberapa teknik yang digunakan untuk menjaga jejak audit di CBIS.

a. Transaction log (catatan transaksi/jurnal)

Setiap transaksi yang berhasil diproses sistem sudah pasti tercatat dalam transaction log, yang disajikan dalam sebuah jurnal. Ada dua alasan untuk membuat jurnal. Pertama, jurnal adalah data permanen dari sebuah transaksi. Pengesahan file transaksi dibuat pada saat input data yang biasanya dalam bentuk file sementara. Pemrosesan pertama, record pada file ini dihapus untuk tempat data transaksi berikutnya.

Kedua, tidak semua record pada proses validasi transaksi berhasil diproses. Beberapa record dapat saja gagal pada pengujian proses berikutnya. Sebuah catatan transaksi hanya berisi transaksi yang sukses, hal tersebut dapat merubah keseimbangan rekening. Transaksi yang gagal diletakkan pada error file. Catatan transaksi dan file yang error dikombinasikan untuk semua transaksi dalam dokumen yang terkait.

b. Log of automatic transaction

Beberapa transaksi dijalankan secara internal oleh sistem. Sebagai contoh ketika persediaan sudah dibawah batas normal maka secara otomatis sistem akan memproses order pembelian. Untuk menjaga jejak audit tersebut, semua transaksi yang dihasilkan secara internal harus diletakkan pada transaction log.

c. Listing of automatic transaction

Untuk mengurus pengawasan terhadap proses transaksi otomatis oleh sistem, pengguna yang bertanggung jawab seharusnya menerima daftar detail dari setiap transaksi internal yang dihasilkan.

d. Unique transaction identifiers

Setiap transaksi yang diproses dengan sistem harus diidentifikasi secara khusus dengan nomor transaksi. Ini satu-satunya cara pencarian bagian transaksi pada database yang berisi ribuan bahkan jutaan record. Pada sistem yang memakai sumber dokumen fisik, nomor khusus dicetak pada dokumen dapat ditulis selama input data dan digunakan untuk tujuan ini. Pada sistem real-time yang tidak memakai sumber dokumen, sistem sebaiknya menandai setiap transaksi dengan nomor yang unik.

e. Error listing

Data dari semua record yang error sebaiknya untuk pengguna yang tepat agar dapat melakukan perbaikan dan untuk menjaga kepatuhan.

B. Pengendalian Output (Output Controls)

Pengendalian output memastikan bahwa output sistem tidak hilang, tidak teratur, tidak rusak, dan kerahasiaannya tidak terganggu. Eksposur dari kemungkinan-kemungkinan tersebut dapat menyebabkan gangguan serius pada kineja perusahaan dan dapat menyebabkan kerugian financial pada perusahaan. Sebagai contoh, sebuah rekening dihasilkan dari pengeluaran kas perusahaan hilang, tidak teratur ataupun dirusak. Karena hal tersebut akun perdagangan dan tagihan lainnya dapat tidak terbayar. Hal ini dapat merusak citra perusahaan, dan hasilnya kehilangan kepercayaan, kehilangan bunga, bahkan tuntutan hukuman.

Jika kerahasiaan dari beberapa output terganggu, perusahaan dapat mengkompromikan tujuan bisnis dengan bagian perusahaan ataupun melakukan pembongkaran secara legal. Contoh dari terbukanya kerahasiaan perusahaan diantaranya penyingkapan rahasia perdagangan, lamanya mendapatkan hak paten dan hasil riset pasar ataupun terbukanya data kesehatan pasien pada sebuah rumah sakit.

Secara umum sistem batch rentan untuk dibongkar dan membutuhkan pengendalian yang lebih efektif dibandingkan dengan sistem real-time. Pada bagian ini kita akan memeriksa eksposur output dan pengendalian untuk kedua metode tersebut.

1. Controlling Batch System Output

Sistem batch biasanya menghasilkan output pada form hardcopy, yang membutuhkan keterlibatan secara tipikal dari perantara dalam produksi dan distribusinya.

Output dicetak dari printer oleh operator computer, dipisahkan ke dalam lembaran-lembaran dan dipisahkan dari laporan lain, dilihat kembali kebenarannya oleh pegawai control. Dan kemudian data dikirim melalui ke bagian-bagian kantor untuk pengguna terakhir.

Setiap tahapan dalam proses ini merupakan poin eksposur yang potensial dimana output tersebut dapat dilihat, dicuri, dijiplak, dan tidak menggambarkan keadaaan sebenarnya. Sebuah tambahan eksposur ada ketika pemrosesan atau pencetakan mengalami kesalahan dan menghasilkan output yang tidak dapat diterima oleh pengguna terakhir.

Berikut ini adalah teknik-teknik untuk mengendalikan setiap fase dalam proses output. Perlu diingat bahwa tidak semua teknik ini perlu untuk diterapkan pada setiap bagian dari hasil output oleh sistem. Yang selalu diperhatikan adalah bahwa pengendalian dilakukan pada basis cost-benefit yang ditentukan oleh sensitifitas data pada laporan.

a. Output Spooling

Pada operasi pemrosesan data berskala besar, alat output seperti printer dapat tertimbun oleh banyak program secara bersamaan yang menuntut kemampuan printer yang terdapat. Timbunan ini dapat menyebabkan kemacetan yang dapat menimbulkan kerugian pada sistem. Aplikasi yang menunggu untuk diprint pada akhirnya mengambil alih memori dari computer dan menghalangi aplikasi-aplikasi lain dari aliran proses input lain. Untuk mengurangi kesulitan ini, aplikasi biasanya disesuaikan untuk mengatur outputnya ke dalam dalam disc magnetic file daripada ke printer. Cara ini disebut dengan output spooling. Kemudian, jika printer telah siap, maka output file dapat di print melalui printer.

Ciptaan dari sebuah file output sebagai langkah lanjutan dalam proses printing memberikan sebuah tambahan eksposur. Computer penjahat dapat menggunakan kesempatan ini untuk melakukan beberapa tindakan yang illegal, seperti :

1) Mengakses file output dan mengganti nilai data yang rawan seperti nilai dollar pada cek. Program printer selanjutnya akan mencetak output yang telah dirusak tersebut seakan-akan itu dihasilkan dari tindakan output sistem. Dengan menggunakan teknik ini, penjahat dapat secara efektif menghindari desain pengendalian control dalam aplikasi.

2) Mengakses file dan mengganti jumlah salinan dari output untuk dicetak. Hasil salinan tersebut dapat dipindahkan tanpa pemberitahuan selama proses printing.

3) Membuat salinan file output untuk menghasilkan laporan yang illegal.

4) Merusak output file sebelum proses printing dilakukan.

Auditor harus mengetahui potensi-potensi eksposur diatas dan memastikan tindakan yang tepat serta melakukan backup prosedur untuk menjaga file-file output.

b. Print Programs

Ketika printer telah siap, program print menghasilkan output hardcopy dari program file. Program print ini merupakan system yang kompleks, sehingga memerlukan campur tangan operator. Hal yang biasa operator lakukan pada program print adalah sebagai berikut :

1) menghentrkan sementara program print untuk membuat tipe yang benar dari dokumen output.

2) mengontrol berapa banyak salinan yang ingin di print.

3) memulai kembali tindakan print setelah pengecekan ketika printer mengalami kesalahan fungsi.

4) memindahkan output yang telah di print untuk dilihat dan di distribusikan.

Pengendalian program print didesain untuk mencegah adanya eksposur yaitu penyalinan ilegal dari output, kedua pencarian pegawai dari data yang sensitif. Operator juga harus dijaga agar tidak melihat output yang sensitif, salah satunya adalah dengan penggunaan banyak kertas yang spesial, bagian atas salinan diberi warna hitam agar hasil printer tidak dapat dibaca.

c. Bursting

Ketika laporan output dipindahkan dari printer, maka akan dilakukan tahap pembukaan laporan untuk memisahkan tiap jenis halaman. Yang menjadi perhatian di sini adalah kemungkinan pegawai bursting membuat salinan yang ilegal dari laporan tersebut, memindahkan halaman dari laporan, atau membaca data yang sensitif. Pengendalian yang utama eksposur ini adalah melakukan pengawasan. Untuk laporan yang sangat sensitif, bursting dapat dilakukan oleh pengguna terakhir.

d. Waste

Output komputer yang tidak terpakai dan menjadi sampah dapat menjadi eksposur yang potensial. Dalam hal ini sangat penting untuk membuang laporan tersebut besserta salinan karbon dari multipart paper pada waktu bursting. Hal ini karena komputer kriminal dapat mengetahui dan mencari laporan tersebut jika output tersebut diperlakukan secara sembrono. Jika penjahat dapat mengambil output tersebut ia bisa saja mengetahui hasil riset pasar, rating kredit pelanggan, ataupun rahasia perdagangan lainnya. Selanjutnya mereka dapat menjualnya kepada perusahaan pesaing. Komputer waste juga merupakan sumber dari data teknikal seperti password dan tabel penting lainnya, jika dapat diakses penjahat maka mereka dapat merusak data yang sensitif.

e. Data control

Pada beberapa perusahaan, kelompok kontrol data bertanggung jawab untuk memastikan keakuratan dari hasil output sebelum didistribusikan ke pengguna. Otomatis, petugas kontrol data akan melihat semua bagian pengendalian batch untuk memeriksa keseimbangan, memeriksa bagian dari laporan untuk memstikan tidak rusak,tidak terbaca,atau ada data yang hilang. Tapi untuk data yang sangat sensitif maka dapat dilakukan oleh end user.

f. Report distribution

Resiko utama ketika pendistribusian laporan mencakup hilangnya laporan, dirusak, atau kesalahan pengaturan ketika berpindah ke pengguna. Untuk mencegah ini pemberian nomor atau nama penerima pada laporan dapat dilakukan. Untuk distribusi data yang sensitif teknik yang dapat digunakan adalah :

1) laporan dapat diletakan di kotak suran yang aman dan hanya pengguna yang tahu kuncinya.

2) pengguna perlu juga untuk menghadap ke pusat distribusi dan menandai laporan.

3) petugas keamanan atau kurir khusus dapat mengirim report/ laporan ke pengguna.

g. End User Controls

Yang pertama kali harus dilakukan pada laporan ketika sampai ke tangan pengguna adalah diperiksa kembali beberapa kesalahan yang tidak diperiksa oleh petugas kontrol data. Pengguna merupakan posisi terbaik untuk menidentifikasi kesalahan yang fatal pada laporan yang ditutup okarena pengontrolan total yang tidak seimbang. Deteksi kesalahan oleh pengguna harus dilaporkan pada bagian manajemen servis yang tepat. Kesalahan tersebut dapat berupa kesalahan desain sistem, prosedur yang salah, kesalahan karena kecelakaan selama perbaikan sistem,atau akses ilegal ke file data atau program.

Faktor-faktor yang menyebabkan lamanya waktu hardcopy report ditahan diantaranya :

1) syarat perundang-undangan oleh bagian pemerintah, seperti IRS.

2) adanya jumlah salinan laporan. Ketika ada salinan yang banyak, beberapa salinan tersebut dapat ditandai untuk arsip tetap, sementara sisanya dapat dihancurkan setelah digunakan.

3) keberadaan gambar-gambar optik dari laporan dapat berperan sebagai backup permanen.

Ketika tanggal penyimpanan telah berlalu, laporan sebaiknya dihancurkan secara konsisten sesuai dengan sensitivitas isi-isinya

2. Controlling Real-Time System Output

Sistem real-time mengatur outputnya ke layar komputer pengguna, terminal, atau printer. Metode pendistribusian ini mengeliminasi macam-macam parantara dalam perjalanan dari komputer pusat ke pengguna dan mengurangi mengurangi macam-macam eksposur. Ancaman utama dari output real-time yaitu output tersebut dapat ditahan, diganggu, dirusak, atau dihilangkan selama melewati link komunikasi. Ancaman ini berasal dari dua tipe eksposur yang pertama eksposur dari gangguan peralatan dan yang kedua dari aktifitas gerakan-gerakannya. Hal ini menyebabkan komputer penjahat dapat menangkap pesan output antara pengirim dan penerima.

No comments:

Post a Comment