Mengelola Proyek Audit

Komputer dapat memberikan sumber daya tambahan untuk meningkatkan efisiensi dan efektivitas proses audit. Pertamisa, komputer dapat menyediakan langkah-langkah audit sesuai prioritasnya untuk memastikan bahwa langkah-langkah yang penting dilakukan terlebih dahulu dan langkah-langkah yang tidak penting dilakukan paling akhir. Komputer dapat memastikan bahwa masalah tingkat kepentingan dibuat oleh manajemen audit, bukan oleh auditor lapangan yang mungkin memiliki prioritas yang berbeda. Pihak manajemen dapat memberi kode langkah-langkah tersebut dengan tingkat prioritas tertentu dan sistem tersebut akan menawarkan semua bagian dengan prioritas tertinggi sebelum langkah tingkat prioritas kedua masuk, dan seterusnya.

Sistem tersebut juga dapat menyediakan daftar kegiatan berjalan untuk membantu auditor memproyeksikan waktu yang dibutuhkan. Jika program audit standart digunakan, sistem tersebut dapat melakukan sesi konsultasi untuk setiap langkah agar dapat membantu auditor mengolah waktu. Sistemt tersebut juga memungkinkan auditor untuk memasukan waktu yang digunakan dalam setiap langkah agar dapat membuat data untuk penganggaran waktu bagi audit di masa mendatang.

Beberapa kantor membuat para auditornya untuk secara elektronik mentrasmisikan kertas kerja mereka kembali secara teratur. Hal ini memungkinkan supervisor untuk menjawab pertanyaan atau menelaah kemajuan yang dibuat, secara teratur. Beberapa menggunakan peranti lnunak pembaruan untuk memastikan bahwa hanya versi yang paling baru yang disimpan.

Sumber : Buku Sawyer's Internal Auditing

Integritas Program Audit

Integritas program audit adalah perhatian yang lebih utama dalam lingkungan electronik daripada lingkungan manual. Dalam lingkungan manual, program digambar dan disetujui oleh manejer audit. Jika sebuah program standar digunakan, masternya akan disalin. Jika auditor lapangan memutuskan untuk mengeluarkan sebuah langkah, pemindahan tersebut harus ditandatangani atau sebagian dari halaman yang dicetak harus dipotong. Perubahan semacam ini cenderung agak jelas.

Terdapat beberapa alat yang tersedia untuk melihat bahwa program yang disetujui berjalan penuh atau kegiatan yang tidak lengkap diidentifikasi. Salah satu metodenya adalah penggunaan sistem basis data dengan pasword keamanan untuk mengelola program tersebut. Program audit tersebut dimasukan ke dalam basis data yang didesain untuk tujuan ini sementara fungsi load dan delete berada di bawah password keamanan. Hal ini mencegah auditor lapangan atau orang lain menghapus atau memodifikasi langkah manapun.

Metode kedua adalah dengan menempatkan program audit dalam arsip read-only. Auditor lapangan dapat membaca arsip-arsip tersebut tetapi tidak dapat mengubah atau menghapus. Hal ini kurang disukai karena kemampuan untuk memasukan referensi kertas kerja ke program audit akan hilang. Efisiensi hilang dengan adanya keamanan, karena varians harus diselesaikan melalui kegiatan yang dilakukan setelah kegiatan di lapangan.

Sumber : Buku Sawyer's Internal Auditing

Kombinasi Maninframe dan Komputer Pribadi

Sumber daya utama dalam audit adalah koneksi mainframe atau j

komputer jaringan atau minikomputer ke PC yang memungkinkan auditor mengekstraksi data dari mainframe dan bekerja dengan data tersebut melalui komputer milik auditor tersebut. Beberapa auditor telah terbiasa menggunakan peranti lunak umum (generalized audit sofware-GAS) untuk mendapatkan data dalam bentuk laporan tercetak. Hal tersebut adalah langkah maju yang besar bagi auditor. Perpindahan banyak data dari mainframe ke PC adalah langkah maju yang besar bagi auditor. Perpindahan banyak data dari mainframe ke PC adalah kemajuan yang menyaingi atau melebihi GAS sebagai kemajuan dalam efisiensi serta efektivitas audit.

Metode download dalam jumlah besar tidak mencoba untuk menggunakan mainframe agar dapat mengklasifikasikan, mempelajari, atau menganalisis data. Ekstraksi dari mainframe adalah bagian yang paling banyak memakan waktu dari proses tersebut. Oleh sebab itu, para auditor menggunakan GAS mereka untuk menentukan semua field yang dapat ditemukan dalam catatan data. Kemudian field yang dibutuhkan dapat diekstraksi serta proses pembuangan massal download data dilakukan ke PC. Semua pengurutan, klasifikasi, dan analisis dilakukan dalam PC auditor. Hal ini biasanya dilakukan dalam peranti lunak spreadsheet, basis data, atau analisis. Di dalam kasus lainnya, auditor menggunakan kelebihan mainframe untuk mengekstraksi catatan untuk analisis melalui sistem milik auditor.

Sumber : Sawyer's Internal Auditing

Peranti Lunak Pemindai dan Optical Character

Salah satu mimpi buruk auditor adalah mengetik informasi yang didapat selama audit. Dahulu jawabannya adalah pergi ke tempat fotokopi terdekat yang berakibat semakin bertumpuknya arsip kertas. Auditor yang sensitif dengan lingkungan akan menganggap hal ini sebagai "pemborosan." Jika departemen audit harus berubah ke arah operasi audit tanpa kertas, departemen tersebut harus menemukan cara yang efisien untuk menangkap informasi dari luar ke dalam komputer auditor.

Para auditor membutuhkan buku petunjuk mengenai kebijakan dan prosedur dalam arsip komputer mereka agar dapat dirujuk dengan mudah. Mereka juga membutuhkan bahan rujukan dari GAAP dan ketentuan hukum, yang bisa diakses dengan mudah. Dalam beberapa kasus, seperti untuk buku petunjuk kebijakan, arsip-arsipnya mungkin berada dalam komputer perusahaan karena dibuat dalam aplikasi word processing oleh departemen lainnya. Auditor dapat meminta salinan dari arsip-arsip ini untuk dapat digunakan oleh auditor tersebut.

Dalam banyak kejadian, auditor tidak memiliki akses ke arsip word processing atau spreadsheet yang asli dan alternatifnya adalah pekerjaan melelahkan untuk mengetik informasi itu ke dalam komputer. Teknologi modern telah mengatasi masalah tersebut. Pemindai (scanner) tersedia untuk "membaca" berbagai dokumen dan memasukannya ke dalam komputer sebagai ganti mengetik. Para auditor menggunakan teknologi ini setiap hari untuk menggantikan mesin fotokopi tradisional.

Terdapat dua jenis pemindai. Pertama adalah pemindai datar (flatbed). Pemindai ini tampak seperti versi mini mesin fotokopi. Dokumen yang akan dikopi dimasukan ke dalam plat kaca datar dan sebuah sumber cahaya akan berjalan ke depan dan ke belakang di dalamnya. Ketika cahaya lewat, gambar elektronik diambil dan dimasukan ke komputer sebagai dokumen "gambar." Gambar tersebut dapat disimpan atau di-scan ke dalam komputer dengan peranti lunak optical character recognition-OCR (pengenal karakter optik).

Sumber : Buku Sawyer's Internal Auditing

Peranti Lunak Manajemen Proyek Audit

Setiap auditor yang pernah bertanggung jawab dalam proyek audit bertindak sebagai manajer proyek. Proyek audit yang umum terdiri atas beberapa atau semua kegiatan berikut ini:

• Menelaah laporan audit dan kertas sebelumnya tentang subjek audit ini.
• Menetapkan sumber daya staf yang dibutuhkan untuk audit ini
• Membuat program kegiatan audit.
• Membuat penugasan personel.
• Melakukan kesepakatan awal dengan klien
• Membuat rencana perjalanan dan menginap
• Mengawasi kegiatan di lapangan
• Menelaah kertas kerja dan membuat catatan telaah
• Membuat draft laporan (secara terus-menerus)
• Menindaklanjuti untuk melihat bahwa catatan penelaahan telah diproses.
• Mendiskusikan draf laporan dengan pihak manajemen klien.
• Menyelesaikan laporan.
• Mengirim laporan ke klien
• Mengadakan pertemuan dengan klien
• Menyimpan dalam arsip kertas kerja.

Semua kegiatan ini harus dilakukan dalam urutan yang benar jika menginginkan proyek tersebut efektif dan efisien. Pengaturan perjalanan tidak dapat dilakukan sampai penetapan staf atas setiap kegiatan diketahui dengan pasti. Kesepakatan awal tidak dapat dilakukan dengan klien sampai tanggalnya ditentukan. Tanggal tidak dapat ditentukan sampai staf dan ketersediaan mereka telah dipastikan.

Proses mengurutkan kegiatan ini adalah hal yang sangat penting. Kegiatan-kegiatan yang harus dilakukan terlebih dahulu-disebut sebagai pendahulu (predecessor)-harus dilengkapi sebelum kegiatan selanjutnya-disebut sebagai penerus (successor)-dapat dilakukan. Didalam manajemen proyek klasik, hubungan antartugas ini dipetakan dalam diagram proyek.

Manajer proyek yang berpengalaman tahu bahwa urutan bukanlah satu-satunya masalah. waktu juga merupakan masalah dan biasanya merupakan masalah terbesar. Proyek pada umumnya memiliki dua batasan waktu :

1. Waktu sumber daya adalah jumlah total semua waktu personal yang ditugaskan dalam proyek tersebut
2. Waktu yang lewat adalah waktu kalender dari awal proyek hingga akhir proyek.

Sumber : Buku Sawyer's Internal Auditing

Menggunakan Komputer Pribadi dalam Audit

Cepatnya perubahan teknologi telah berpengaruh pada praktik audit dan aspek lain dari perusahaan. Penggunaan PC, laptop, peralatan genggam, dan perlengkapan Internet lainnya tampaknya makin banyak dari hari kehari. Bukanlah hal yang dibuat-buat untuk mengatakan bahwa PC dan peranti lunak yang digunakan dalam berbagai perlengkapan tersebut membentuk salah satu perubahan yang paling signifikan dalam pelaksanaan kegiatan audit rutin di sejarah profesi tersebut. Peralatan ini menawarkan peluang untuk menyatukan teori dan praktik melalui alat yang efisien dan efektif.

PC digunakan untuk pembelajaran, pengujian audit, dokumentasi, manajemen proyek audit, akses ke informasi, penulisan, presentasi dan sejumlah aplikasi lainnya. Hal yang paling penting adalah, PC membawa pengetahuan para ahli ke dalam lapangan, sehingga kegiatan lapangan auditor dapat disatukan dengan pengetahuan ahli. 

Jenis-jenis komputer pribadi

Salah satu dari isu utama yang coba untuk ditangani oleh para auditor adalah jenis PC yang seharusnya mereka gunakan. Hal ini sering kali mengarah ke pembahasan nama merek, identifikasei prosesor, serta kecepatan kerja. Kadang hal tersebut menjadi lomba tentang siapa yang memiliki PC paling "cangguh." Pengguna lainnya akan berkata bahwa mereka sedang menunggu kemajuan teknologi selanjutnya; mereka mengkhawatirkan keusangannya.Terdapat sejumlah hal yang tidak dapat dipungkiri apa yang harus di ingat oleh auditor.

Lingkungan Operasi 

Lingkungan operasi komputer auditor lebih penting daripada kecepatannya. Lingkungan operasi akan menentukan seberapa cepat auditor memproses hasil, dan kecepatan hasil lebih penting daripada kecepatan komputer itu sendiri. Lingkungan operasi merupakan faktor yang mudah digunakan. PC menjadi semakin canggih dalam hal kemampuannya untuk merespons kebutuhan para pengguna kondisi ini umumnya disebut sebagai memudahkan pengguna (user friendly). Tiga karakter yang telah menggerakan peningkatan produktivitas pengguna adalah, multitugas, interaksi aplikasi, dan gruphic user interface (GUI)

Sumber : Buku Sawyer's Internal Auditing

Peningkatan Penggunaan Prosedur Analitis dan Sistem Ahli di Seluruh Perusahaan dan Sistem Real-time

Dengan adanya sistem perusahaan secara menyeluruh dan sistem real-time lainnya yang secara ketat saling berhubungan, auditor internal dan/atau manajemen harus semakin banyak menggunakan prosedur analitis berdasarkan real-time. Risiko kesalahan material atau ketidakberaturan yang dapat terjadi dalam kerangka waktu penyusunan harus dievaluasi secara hati-hati, misalnya, bisakah seorang staf memasukan penjualan fiktif untuk membeli barang dari pemasok dan pengirimannya kembali serta mengkredit ke akun khusus? Ini dapat terjadi dalam waktu yang singkat, dalam hitungan jam atau hari, dan staf tersebut sudah jauh melarikan diri sebelum seseorang mengetahuinya.

Survei yang baru-baru ini dilakukan oleh Manufacturers Alliance MAPI menunjukan bahwa dari 106 perusahaan, 76 persen sedang meng-install minimal satu modul sistem seluruh perusahaan. Dari perusahaan yang menyatakan sedang atau telah meng-install peranti lunak, 84 persen menyatakan bahwa audit internal tidak dilibatkan dalam memilih vendor peranti lunak. Lebih dari 30 persen dari 69 yang memberikan respons, menyatakan kurang puas dengan lingkungan kontrolnya. 

Selain itu, perlu ada pengawasan berkala untuk aktivitas yang tidak normal. Misalnya, penggunaan sistem secara ekstensif setelah jam kerja 'normal' dapat menjadi indikasi masalah potensial. Sama halnya, penjualan yang dicatat oleh personel penjualan di pantai timur pada malam hari dapat menjadi indikasi adanya seseorang yang mencatat penjualan fiktif. Prosedur analitis lainnya dapat melibatkan perbandingan penjualan seorang tenaga penjual untuk waktu tertentu. Meskipun prosedur analitis seperti ini dapat  dilakukan oleh perusahaan sebelum menghadopsi sistem real-time secara ketat, namun setelah adopsi sistem harus dijalankan secara reguler dalam periode waktu yang singkat untuk mengidentifikasi isu-isu/masalah-masalah potensial tepat waktunya.

Sistem ahli (expert system) adalah aplikasi komputer yang terdiri atas berbagai peraturan yang menginterpretasikan data input dengan cara yang sama dengan seorang ahli mengiterpretasi data jika ahli tersebut ada di tempat audit. Sistem ahli memastikan interprestasi data secara konsisten.

Sumber : Sawyer's Internal Auditing

Kertas Kerja yang Dihasilkan oleh Mainframe

Penggalian informasi dari arsip melalui peranti lunak audit umum atau peranti lunak khusus telah dibahas sebelumnya. Peraturan yang diterapkan untuk kertas kerja yang dihasilkan secara manual, juga berlaku kertas kerja yang dihasilkan oleh komputer.Bentuk kertas harus diatur berdasarkan semua peraturan yang disebutkan dalam bab-bab sebelumnya. Keamanan dan pelestarian kertas fisik sama penting.

Kekhawatiran baru muncul ketika kertas kerja berbentuk elektronik. Bentuk kertas dapat disesuaikan dengan konvensi profesional apakah kertas dibuat dalam bentuk cetakan atau hanya terletak di komputer. Keamanan kertas kerja dapat dikendalikan lebih baik di komputer jika sistem pengamanan komputer digunakan dengan tepat. Sebaliknya, kegagalan untuk mempertahankan keamanan yang tepat pada kertas kerja elektronik dapat menimbulkan masalah yang serius. Jika kertas kerja auditor dapat diakses dan diubah oleh orang lain, maka perubahan dapat dibuat tanpa ada jejak karena perubahan data komputer tidak meninggalkan bekas tanda penghapus atau bekas "cairan penghapus.

Sumber : Buku Sawyer's Internal Auditing

Manajemen Basis Data

Sistem manajemen basis data telah banyak berubah dalam beberapa tahun terakhir ini. Hingga baru-baru ini, sistem manajemen basis data memerlukan keterampilan pemrograman yang tinggi untuk dapat digunakan secara efektif. Ini perlu ada banyak pelatihan dan latihan untuk memperoleh dan mempertahankan keterampilan tersebut. Baru-baru ini, basis data nonprosedural telah diperkenalkan ke pasar. Sistem ini tidak memerlukan keterampilan pemrograman seperti sistem basis data sebelumnya. Kemajuan ini memungkinkan pengguna akhir untuk menciptakan solusi yang praktis bagi kebutuhan bisnis mereka tanpa harus mempelajari konvensi dan bahasa pemrograman basis data yang rumit. Contoh-contoh akan disajikan dengan menggunakan situasi audit dan kemudian diperluas ke sistem-sistem lainnya.

Auditor menggunakan sistem basis data untuk berbagai tujuan. Beberapa penggunaan akan berupa "basis data datar" (flat database). Base data datar dapat divisualisasi sebagai spreadsheet (lembar kerja) di mana setiap catatan (baris) memiliki elemen data (kolom) yang sama. Ini sebelumnya ditunjukkan dengan contoh direktori telepon di mana semua data adalah basis data tunggal dan tidak ada sumber data eksternal yang dibutuhkan. Akan tetapi, ini tidak selalu praktis karena dapat mengarah pada basis data yang besar dan data yang berlebih ketika data yang sama dibutuhkan dalam beberapa basis data.

Basis data relasional, seperti yang ditunjukan dibawah ini, memungkinkan saling berbagai data antara dua atau lebih basis data. Bayangkan suatu basis data pelatihan staf audit.

Sumber : Buku Sawyer's Internal Auditing

Kontrol Yang Diperluas dalam Lingkungan Internet

Banyak entitas yang menggunakan internet untuk menyajikan informasi ke pengguna internal. Istilah internet mengacu pada kenyataan bahwa Web (atau aplikasi Internet lainnya) dijalankan secara penuh di jaringan pribadi tanpa dihubungkan dengan internet. Internet, atau Web eksternal menyediakan cara bagi perusahaan untuk berkomunikasi dengan pihak lain.

Dengan semakin meningkatnya penggunaan Internet, auditor perlu menyadari potensi entri yang tidak memiliki otorisasi ke dalam sistem informasi. Entri, yang dapat memiliki dampak yang signifikan terhadap perusahaan, mencakup pemerolehan informasi kepemilikan yang penting, perusakan peranti lunak penting oleh virus, dan perusakan bisnis perusahaan melalui perubahan informasi situs yang kritis.

Perusahaan harus membuat prosedur pengamanan berdasarkan penentuan risiko di mana entri yang tidak memiliki otorisasi dapat terjadi. Secara tradisional, salah satu pertahanan utama adalah firewall. Firewall adalah komputer yang : (1) semua lalu lintas yang harus dilewati dari dalam keluar dan dari luar kedalam, dan (2) hanya mengizinkan lalu lintas yang memiliki otorisasi untuk melewatinya. Auditor perlu secara hati-hati mengevaluasi kebijakan pengamanan yang digunakan di dalam firewall. Komputer hanya perlu berisi sistem operasional dan peranti lunak perlindungan.

Saat ini ada tiga jenis firewall. Firewall penyaring paket menguji alamat sumber dan alamat tujuan semua informasi. Berdasarkan peraturan yang ditetapkan, peranti lunak menolak atau mengizinkan informasi untuk mengalir. Firewall gateway menyaring lalu lintas berdasarkan aplikasi yang mereka pilih. Misalnya peraturan yang ditetapkan untuk menghalangi akses aplikasi seperti Telenet dan FTP. Proxy server adalah firewall yang melakukan komunikasi berdasarkan jaringan pribadi.

Sumber : Sawyer's Internal Auditing

Memperoleh Informasi dari Web

Dengan adanya kebutuhan informasi tambahan untuk prosedur analisis dalam lingkungan real-time, auditor memerlukan data terbaru. Misalnya, auditor mungkin ingin mengembangkan model regresi untuk penjualan suatu area berdasarkan data ekonomi makro untuk area tersebut. Informasi seperti ini akan sulit diperoleh dan memerlukan banyak waktu untuk mendapatkannya. Akan tetapi dengan adanya internet, perusahaan membuat informasi tersedia lebih cepat. Misalnya, arsip-arsip SEC dapat ditemukan di Web hanya dalam sehari.

Dengan semakin meluasnya penggunaan Web sebagai sumber data, auditor harus dapat mencari data yang sesuai. Saat ini ada empat jenis utama dari mesin pencari. Indeks secara hierarkis, seperti Yahoo, didasari oleh kategorisasi yang dibuat oleh para profesional, seperti pustakawan dan pembuat indeks. 

Jenis mesin pencari lainnya, yang disebut oleh banyak orang sebagai "mesin pencari standar" (standard search engine) mencari berdasarkan pemunculan kata kunci. Jenis ini mencakup AltaVista, Excite, dan Go Network. Mesin pencari ini umumnya melaporkan seberapa relevan halaman-halaman tersebut berdasarkan faktor-faktor seperti frekuensi kata kunci dan penempatan kata kunci.

Mesin pencari Meta mencari mesin-mesin pencari lainnya. Jenis ini mencakup Dogpile dan MetaCrawler. Masalah dengan jenis pencari seperti ini adalah ketidakmampuannya untuk melakukan pencarian Boolean  (variabel biner). Jenis mesin pencari yang terakhir meliputi berbagai alternatif dan saat ini disebut sebagai "mesin pencari alternatif" (alternative search engine). Kategori ini mencakup berbagai kelompok yang tidak termasuk dalam ketiga kategori di atas. Misalnya, Norhern Lights termasuk dalam kelompok ini. Northern Lights melakukan pencarian seperti mesin pencari standar namun menggabungkan hasilnya ke dalam beberapa kelompok yang mirip. Ask Jeeves didasari oleh pertanyaan yang ditanyakan. Mesin pencari ini memiliki basis data pertanyaan dan kutipan jawaban. Jelas, dengan semakin dewasanya Web, maka mesin pencari pun semakin dewasa.

Sumber : Sawyer's Internal Auditing

Teknik Data Pengujian

Data pengujian adalah data input yang didesain oleh auditor yang memasukan berbagai transaksi ke sistem untuk diproses melalui peranti lunak aplikasi. Kadang-kadang auditor menggunakan istilah "dek pengujian" (test deck) untuk data pengujian. Biasanya, auditor menyiapkan data yang baik (yang harus diterima) dan data yang buruk (yang harus ditolak) untuk pemrosesan melalui sistem. Untuk mengurangi dampak potensial dari pembaruan catatan dan data aktual, data dimasukkan dalam mode pengujian dan output diperiksa untuk melihat apakah hasil-hasil yang diharapkan telah tercapai. Pengecualian dari hasil yang diharapkan telah tercapai. Pengecualian dari hasil yang diharapkan akan ditelaah lebih lanjut.

Teknik data pengujian bergantung pada konsep  "hasil yang diharapkan" untuk transaksi yang akan menghasilkan komputasi (misalnya, aplikasi pembayaran pinjaman dan bunga jangka pendek), hasil transaksi dikomputasi lebih dulu, biasanya dengan menggunakan tangan, dan dibandingkan dengan hasil pengujian. Untuk data yang tidak valid (misalnya, transaksi untuk membayar seseorang tidak terdaftar dalam arsip utama penggajian), maka transaksi akan ditolak dan muncul dalam laporan pengecualian.

Untuk sistem yang rumit, implementasi teknik data pengujian merupakan usaha yang signifikan. Ada berbagai kombinasi input, dan jumlah total transaksi dapat dengan cepat meningkat hingga ribuan. Untuk tujuan praktis, hanya transaksi yang paling kritis yang biasanya dimasukkan. Auditor internal perlu memastikan bahwa tidak ada arsip 'hidup' yang diperbarui. 

Generator data pengujian, yang tersedia dalam beberapa paket peranti lunak audit umum, sering digunakan untuk secara acak memasukkan data yang valid dan yang tidak valid ke dalam sistem. Meskipun hal ini tidak seefektif tabel hasil yang diharapkan, namun merupakan jalan yang cepat untuk melakukan penelaahan kembali kemampuan edit dasar dari aplikasi. Generator data pengujian dapat juga digunakan untuk menguji volume sistem (yaitu, melihat apakah sistem tersebut berfungsi secara tepat dengan catatan input yang sangat besar). Volume transaksi digunakan untuk memberi beban yang berlebihan kepada sistem untuk menentukan apakah akan terjadi "kerusakan" atau memerlukan waktu yang sangat lama untuk memproses.

Sumber : Buku Sawyer's Internal Auditin

Tujuan Audit Berbantuan Komputer

Ketika menggunakan sistem sebagai alat audit, pengujian data dapat langsung menggunakan teknik matematika seperti label akhir dan label silang, atau perhitungan ulang akrual dan komputasi lainnya. Arsip penggajian dapat diuji dengan menghitung ulang jumlah pembayaran bersih berdasarkan jumlah jam kerja, tingkat gaji, nilai pengurangan, dan lain-lain.

Pengujian yang lain dapat bersifat analitis. Piutang yang sudah jatuh tempu atau analisis perputaran persediaan dapat dilakukan oleh sistem dengan sangat cepat jika dibandingkan dengan studi manual. Setelah peranti lunak dibuat dan divalidasi, penggunaan untuk audit selanjutnya akan lebih efisien lagi.

Auditor dapat juga melekatkan pekerjaan audit dalam peranti lunak produksi untuk menangkap transaksi yang eksplisit atau data mengenai kondisi khusus ke dalam arsip khusus untuk pemeriksaan oleh auditor. Jika saldo akun kredit pelanggan baru naik hingga melebihi batas kredit yang diizinkan dalam waktu yang singkat, maka peranti lunak audit akan mengarsir akun tersebut untuk diperiksa secara khusus. Jika pembeli di bagian pembelian melakukan banyak pesanan pada sejumlah kecil pemasok tertentu saja, maka peranti lunak audit akan mengarsir akun tersebut untuk diperiksa secara khusus. Jika pembeli di bagian pembelian melakukan banyak pesanan pada sejumlah kecil pemasok tertentu saja, maka peranti lunak audit akan melaporkan hal ini agar auditor dapat menentukan apakah perlu diadakan penelaahan ulang atau tidak. Monitor otomatis ini dapat dilekatkan pada peranti lunak pemrosesan regular setiap auditor pasca-transaksi yang tidak pernah tidur dan tidak pernah mengabaikan tugasnya.

Dalam kasus-kasus ini, auditor perlu mempertanyakan mengapa pemeriksaan kontrol ini dibuat untuk pengujian audit. Jika ini adalah kondisi yang valid untuk permintaan audit, maka wajar untuk menyarankan perlunya pembuatan pengujian standar untuk sistem agar dapat ditelaah ulang oleh manajemen. Oleh sebab itu, auditor perlu membuat struktur pengujian kontrol melekat untuk tujuan audit. namun auditor perlu berhati-hati dalam menentukan apakah penggunaan output secara terus-menerus dalam tugas ini merupakan tugas audit atau tugas kontrol. Peran auditor adalah menguji kontrol, bukan menjadi kontrol.

Sumber : Buku Sawyer's Internal Auditing

Peranti Lunak Audit Khusus

Kadang-kadang auditor EDP tidak dapat menggunakan peranti lunak audit umum. Mungkin ada batasan dari peranti keras (hardware), konfigurasi sistem, atau kerumitan pemrosesan atau persyaratan output. Dalam situasi ini, auditor dapat menggunakan solusi peranti lunak khusus. Ini dapat dikembangkan oleh sumber daya pemrograman di dalam perusahaan, atau meminta ahli dari luar untuk membuat peranti lunak khusus untuk memeriksa, menyusun, dan menggali informasi. Laporan System Auditability and Control (SAC) mendeskripsikan sistem peranti lunak yang dibuat oleh lembaga pemerintah Amerika Serikat untuk menggali data dari catatan pelanggaran yang terkait dengan pengedaran obat terlarang dan alkohol, dan arsip laporan medis administrasi penerbangan federal untuk mengetahui apakah anggota angkatan bersenjata memiliki catatan penggunaan alkohol dan obat terlarang. 

Usaha ini mencakup sistem peranti keras komputer, dengan struktur arsip yang dibuat untuk berbagai tujuan. Arsip-arsip ini berisi elemen-elemen data yang dapat dicocokan secara langsung atau dalam cakupan nilai yang dapat diprediksi (tanggal lahir, nomor keamanan sosial, alamat sekarang dan alamat sebelumnya, nomor transfer elektronik bank, dan lain-lain). Peranti lunak yang canggih ini harus dikembangkan dalam lingkungan yang sangat khusus dan terkontrol agar dapat memenuhi tujuannya dan untuk memastikan keakuratan dan integritasnya.

Sumber : Buku Sawyer's Internal Auditing

Sistem Mainframe dalam Audit

Penggunaan mainframe sebagai alat audit bukanlah hal yang baru. Pada tahun 1960-an. ketika pengguna teknologi komputer diterima secara luas, auditor internal dan para akuntan publik menyadari bahwa jika data yang diaudit disimpan dalam komputer, maka auditor perlu mengujinya. Pada tahap-tahap awal, auditor cenderung mengaudit di luar komputer. Jadi, mereka mengamati data yang masuk ke dalam komputer dan menentukan bagaimana bentuk data tersebut jika diproses secara manual. Kemudian, mereka melihat output dari proses ini dan menguji data tersebut untuk melihat apakah data itu memenuhi ekspektasi manualnya. Hal ini disebut mengaudit di sekitar atau di seputar komputer.

Auditor dengan cepat belajar bahwa proses itu tidaklah sederhana meskipun dulu pemprosesan tidak terlalu rumit. Komputer menciptakan data baru melalui sistensis data yang dimasukan. Beberapa keputusan yang paling penting yang mempengaruhi profitabilitas dan keberlangsungan organisasi sangat bergantung pada keakuratan informasi ini. Sebagai contoh, komputer bank dapat menghitung suku bunga sertifikat deposito dengan menggunakan rumus sederhana suku bunga  (interest--1) = jumlah uang (principal--P) x tingkat suku bunga (rate--R) x waktu (time--T) (I = PRT). Akan tetapi, manajer keuangan menginginkan lebih banyak informasi. Mereka menginginkan biaya rata-rata dana bergulir untuk menentukan cara terbaik menginvestasikan uang di tabungan. Jadi, data diakumulasi dan berbagai program ditulis untuk membuat arsip baru mengenai;

• Sumber dana yang diterima (sertifikat deposito, rekening tabungan).
• Tingkat suku bunga untuk bunga tersebut
• Jadwal jatuh tempo berbagai jenis tabungan.

Serangkaian keterampilan audit yang baru dan jenis auditor yang baru pun muncul, yaitu auditor EDP Mereka bertanggung jawab, di antaranya, untuk:

• Mengaudit kejadian, transaksi, dan catatan di dalam sistem komputer perusahaan.
• Mengaudit aktivitas pemrograman yang menyediakan instruksi pemrosesan ke komputer
• Mengaudit sistem keamanan yang membatasi akses dan tindakan terhadap aktiva data perusahaan
• Mengaudit operasi fisik di ruang komputer dan aktivitas yang terkait.
• Mengaudit perencanaan dalam menghadapi bencana, pemulihan, pemeliharaan catatan, dan aktivitas penyediaan data cadangan.
• Mengaudit perencanaan dalam menghadapi bencana, pemulihan, pemeliharaan catatan, dan aktivitas penyediaan data cadangan.
• Menyediakan nasihat dan petunjuk untuk kontrol internal bagi pemrogram dan pihak lain yang terlibat dalam pembuatan sistem baru dan modifikasi sistem yang ada.
• Menyediakan informasi kepada staf audit lainnya yang diekstrasi dari sistem komputer untuk pengujian operasi dan arsip nonkomputer.

Sumber : Buku Sawyer's Internal Auditing

Efisiensi dalam Sistem Informasi

Semakin banyak uang yang dihabiskan dalam aktivitas, semakin besar tingkat pengembaliannya jika efisiensi dan ekonomi ditingkatkan secara propesional. Jumlah besar yang diinvestasikan dalam SI membuatnya merupakan sumber berharga untuk penghematan yang berasal dari manajemen yang penuh ke hati-hatian. Berdasarkan alasan ini, pihak manajemen harus memastikan bahwa studi kelayakan dilakukan secara objektif dan mendalam, bahwa pernyataan tujuan dan kebutuhan dikembangkan secara jelas untuk setiap sistem dan aplikasi, bahwa analisis biaya-manfaat dipelajari tanpa bias dalam hal biaya yang harus dikeluarkan dan manfaat yang akan didapat, bahwa perusahaan pengguna SI menggunakan sumber dayanya secara efektif, serta bahwa prosedur administrasi yang baik dikembangkan dan dipatuhi.

Studi kelayakan untuk SI harus memperhitungkan konsep ini. Operasi akan menjadi efisien dan ekonomis jika sistem dan aplikasi tersebut membantu pihak manajemen mengarahkan perusahaan menuju tujuan dan sasaran yang telah ditetapkan, tanpa membuang waktu, energi, dan uang. Oleh karena itu, studi kelayakan harus melihat jauh dari ruang komputer. Laporan yang tidak diringkas tidaklah berguna bagi para manajer operasional. Pendesain sistem dan aplikasi harus menyadari bahwa data dan informasi tidaklah sama. Data adalah petak bunga. Informasi adalah madu yang telah disaring. Manajemen prusahaan membutuhkan informasi, bukan data.

Aktivitas SI membutuhkan sistem akuntansi biaya yang memadai. Aktivitas ini harus menetapkan proyek kegiatan tertentu yang dibutuhkan untuk memenuhi tujuan pihak manajemen. Aktivitas tersebut harus menetapkan metode dan pusat biaya terperinci untuk menelusuri dan mengontrol kemajuan dari proyek atau kegiatan. Aktivitas tersebut harus mengakumulasi data untuk mengukur biaya, memutuskan bagaimana cara membuat tarif tagihan, dan membebankan biaya ke pengguna. Sistem biaya harus memenuhi tiga kebutuhan beberapa berikut ini:

• Bagi para manajer SI, untuk mengukur efektivitas dan efisiensi biaya mereka sendiri, untuk merencanakan beban kerja di masa mendatang, untuk membenarkan sumber daya yang ditugaskan, dan untuk mentransfer biaya ke unit-unit pengguna.
• Bagi para manajer senior, untuk mengetahui biaya sistem informasi dan untuk mengetahui apakah hasilnya membantu dalam memenuhi tujuan perusahaan.
• Bagi para pengguna, untuk memberi mereka informasi mengenai biaya layanan SI, untuk membantu mereka memutuskan apakah mereka dapat membayar layanan tersebut, untuk menetapkan bagaimana layanan ini berhubungan dengan aktivitas mereka sendiri, dan untuk memperlihatkan pada mereka bagaimana mereka di dalam posisi mengontrol biaya tersebut.

Efisien dapat ditingkatkan dengan membebankan departemen pengguna atas waktu SI yang digunakan, akan tetapi biaya tersebut dibebankan hanya sejumlah waktu yang memang digunakan departemen tersebut.

Sumber : Buku Sawyer's Internal Auditing

Pemrosesan Terdistribusi

Teknologi informasi telah berubah secara mendasar dalam 30 tahun belakangan ini. Pada awal-awal masa pemrosesan data, kebanyakan perusahaan memproses semua transaksi dalam mainframe pusat dan melakukan pemrosesan yang tidak penting dalam komputer-komputer kecil (terdistribusi). Akan tetapi, mulai era tahun 1970an, minikomputer mulai bergerak dari lantai pabrik ke dalam lingkungan kantor administratif. Mesin-mesin lama ini digunakan untuk memperluas atau, dalam beberapa kasus, menggantikan komputar pusat. Sejalan dengan bertumbuhnya jaringan, tekanan atas komputer pusat makin nyata. Para pengguna mengalami respon online ke terminal yang makin lambat dan berbagai aplikasi (yang hanya memerlukan operasi di sebagian kecil dari porsi CPU) makin lama diproses. Minikomputer, dengan penyimpangan disk berkapasitas gigabyte (1.000 megabyte) dan dengan memori utama yang makin besar, mampu untuk mengontrol hingga beberapa ratus terminal, hingga dapat mengurangi overhead di komputer pusat.

Pemprosesan yang saat ini terdistribusi terdapat dalam banyak bentuk. Berikut ini adalah contoh konfigurasi dan aplikasi DP (distributed processing)--yang juga komprehensif:

• Terminal-terminal online dihubungkan ke minikomputer yang bertanggung jawab untuk mengedit entri data dan menyimpan transaksi untuk transmisi selanjutnya (secara batch) ke mainframe pusat tempat basis data perusahaan diperbarui.
• Minikomputer digunakan untuk memproses data secara keseluruhan (termasuk memasukan ke berbagai akun). Informasi ringkasan ditransmisikan ke komputer pusat untuk laporan konsolidasi dan kontrol.
• PC yang memiliki kemampuan terprogram elit dihubungkan ke mainframe (biasanya melalui sebuah kotak dengan kabel tipis coaxial (Ethernet), serat optik atau melalui dua kabel yang disatukan, tetapi kadang kala juga melalui modem berkecepatan tinggi).
• Printer jarak jauh digunakan untuk mencetak cek atau informasi lainnya yang sangat tergantung pada waktu.
• Beberapa PC dihubungkan menjadi satu dalam jarak dekat (biasanya kurang dari satu mil) ke dalam jaringan terintegrasi, atau disebut sebagai jaringan area lokal (local-area network-LAN).

Sumber :  Buku Sawyer's Internal Auditing

Peranti Lunak untuk Keseluruhan Perusahaan

Peranti lunak untuk keseluruhan perusahaan  (enterprise-wide softwere) adalah salah satu jenis peranti lunak pasokan vendor yang telah menarik perhatian selama ini di berbagai perusahaan raksasa dan makin menarik perhatian banyak perusahaan besar hingga perusahaan menengah. Sistem ini biasanya menyediakan entri tunggal ke dalam sistem dan meniadakan mentalitas "stovepipe." Oleh karena itu, entri penjualan akan memperbarui data kredit, pembelian, dan jadwal produksi yang dibutuhkan, dalam lingkungan real-time. Auditor internal perlu dilibatkan secara dekat dalam aplikasi semacam itu karena keluasaan dari perekayasaan ulang yang dilibatkan dan biaya untuk implementasi.

Perekayasaan ulang biasanya dibutuhkan terutama untuk mengurangi semua kontrol tradisional yang biasanya menjadi tempat bergantung auditor internal. Jadi, auditor harus memonitor penyesuaian peranti lunak demi kepentingan dirinya. Walaupun penyesuaian semacam itu awalnya tampak tepat, penyesuaian tersebut dapat menyebabkan masalah substansial dalam peningkatan peranti lunak di masa mendatang. Sementara itu, jika vendor biasanya mendukung semua versi peranti lunak mereka, di masa mendatang mereka bisa saja tidak mekakukannya lagi. Semakin banyak penyesuaian, maka akan semakin sedikit realisasi manfaat yang bisa didapatkan perusahaan dari peningkatan peranti lunak yang relatif mudah.

Penggunaan peranti lunak keseluruhan perusahaan masyarakat entitas tersebut untuk dengan hati-hati mempertimbangkan siklus hidup pengembangan sistem. Hal ini terutama penting karena adanya kebutuhan untuk mendedikasikan personel tetap dari area fungsional ke proyek tersebut. Aplikasi semacam itu biasanya melibatkan penggunaan konsultan yang ekstensif dan internal auditor harus melakukan peran aktif dalam mengevaluasi kelayakan dan kemampuan dari tim yang diusulkan. 

Sumber : Sawyer's Internal Auditing

Dampak E-Business

Perbedaan utama antara bisnis tradisional dan e-business adalah bahwa pelanggan tidak secarika fisik hadir atau sedang dalam proses komunikasi dengan seorang wakil perusahaan ketika transaksi terjadi. Transaksi tersebut terjadi melalui internet. E-business dianggap oleh banyak orang sebagai perubahan yang paling berarti dalam bisnis abad ini. Sementara tiap orang dapat mendefinisikan istilah ini dengan cara yang berbeda, sudah jelas bahwa e-business berakar dari EDI. Beberapa orang menganggap e-business hanya sebagai transaksi business-to-business (B2C) dan e-commerce hanyalah transaksi business-to-consumer (B2C)

Entitas dapat menggunakan e-commerce untuk menjual kepada, memberikan informasi kepada, dan/atau berkomunikasi dengan para pelanggan. Agar dapat melakukan hal ini, perusahaan harus mempertimbangkan biaya yang dilibatkan, kontrol yang ada untuk memastikan validasi transaksi, serta keamanan perlindungan data. Dalam menangani e-business, perusahaan harus mempertimbangkan masalah yang sama dan juga jumlah data yang akan diizinkan untuk diakses oleh para 'mitranya' dan portal yang akan digunakan. Contohnya, ketika tawar menawar barang dan permintaan informasi penjadwalan menjadi semakin umum, pihak manajemen dan auditor internal harus menyadari resiko bahwa para pesaing dan pihak lainnya akan bisa mendapatkan akses ke informasi ini. Hal ini sangat penting ketika perusahaan melakukan bisnis dalam skala internasional. Dalam beberapa budaya, diharapkan perusahaan melakukan bisnis dalam skala internasional. Dalam beberapa budaya, diharapkan perusahaan memiliki karyawan yang mencoba untuk 'menjebol' ke dalam sistem pesaing dan mendapatkan informasi rahasia.

Sumber : Buku Sawyer's Auditing Internal

Jejak Audit

Transaksi harus dapat ditelusuri dari awal mulainya, di sepanjang langkah selanjutnya, hingga kepelaporan final dan pengarsipan. Kemampuan ini memungkinkan verifikasi transaksi serta perbaikan kesalahan. Pada masa-masa ketika masih menggunakan sistem manual, jejak tersebut nyata dan terus ada. Kini, sistem informasi telah membuat jejak tersebut menjadi tidak tampak. Tidak ada hubungan langsung antara entri transaksi dengan penutupan transaksi. 

Para auditor yang mengaudit di sekitar komputer berada dalam posisi yang lemah. Mereka bergantung pada integritas jejak audit selama proses itu. Orang tersebut mungkin tidak mengetahui apakah transaksi tersebut telah di selesaikan atau belum. Ketiadaan jejak transaksi dapat mencegah dilakukannya perbaikan atau penguatan bukti atas hasil.

Jejak audit dan kontrol ada tidak hanya untuk kenyamanan auditor, buka n juga harus menjadi alat untuk manajemen. fungsi jejak audit dan kontrol adalah untuk menelusuri dan memperbaiki pengecualian. Jejak tersebut membantu para personil memperbaiki kesalahan dan mengontrol kualitas transaksi.

Pada saat yang hampir bersamaan, telaaah atas semua transaksi yang diproses melalui sistem informasi sangat menambah beban dan mahal. Oleh karena itu, beberapa bentuk jaminan keberlanjutan dari input ke output, dibutuhkan bahkan merupakan suatu keharusan. Jaminan ini dibutuhkan untuk membantu transaksi yang berkaitan dengan pajak. 

Sumber : Buku Sawyer's Internal Auditing