EDP Auditing Oleh: Yanuar E. Restianto
[email protected] [email protected]
Prasyarat
• Auditing • Accounting Information System • Management Information System • Windows, MsExcel • Accounting Application • Analysis & Design System • DBMS
Silabus • EDP Auditing/IS Audit – Overview • Konsep dasar kerja komputer • Konsep pengolahan data • Resiko dalam lingk. bisnis terkomputerisasi • Pengendalian dalam lingkungan EDP • Teknik audit berbantuan komputer (TABK) • Proses audit EDP • Evaluasi record hasil sistem EDP • Teknik audit modern • Audit dan pengendalian kejahatan komputer • Studi kasus (praktikum menggunakan audit software)
IS Audit Overview • Perkembangan ICT (information & comm tech) dalam dunia bisnis khususnya accounting computerized berdampak pada perubahan proses audit • Metode pengendalian pengolahan data juga berubah • Tiga keahlian auditor dalam sistem EDP: 1) konsep komputer dan desain sistem, 2) kemampuan identifikasi resiko dan pengendalian efektif untuk kurangi resiko, 3) kemampuan menggunakan komputer untuk audit
Auditing Keuangan VS Auditing EDP
• Karakteristik sistem manual adalah inkonsistensi manusia yg mengolah data, shg audit sistem manual concern pd evaluasi bukti pendukung • Karakteristik sistem EDP adalah konsistensi pengolahan dan ketergantungan terhadap bukti pendukung elektronik (yg rentan manipulasi), shg audit EDP concern pd kelayakan pengendalian sistemnya (control)
Konsep dasar kerja komputer • Apa itu komputer? – Komputer berasal dari bahasa latin computare yang mengandung arti menghitung. Karena luasnya bidang garapan ilmu komputer, para pakar dan peneliti sedikit berbeda dalam mendefinisikan termininologi komputer, seperti: • komputer adalah mesin penghitung elektronik yang cepat dan dapat menerima informasi input digital, kemudian memprosesnya sesuai dengan program yang tersimpan di memorinya, dan menghasilkan output berupa informasi • komputer adalah suatu pemroses data yang dapat melakukan perhitungan besar secara cepat, termasuk perhitungan aritmetika dan operasi logika, tanpa campur tangan dari manusia
• Aspek dasar sistem komputer – – – –
Hardware Software Brainware Procedure
Klasifikasi komputer •
Berdasarkan data yg diolah – Komputer analog – Komputer digital – Komputer hybrid
•
Berdasarkan penggunaannya – Special purpose computer – General purpose computer
•
Berdasarkan kapasitas dan ukuran – – – – – –
•
Micro computer Mini computer Small computer Medium computer Large computer Super computer
Berdasarkan generasi – – – – –
Generasi I (1945 – 1959) Generasi II (1959 – 1964) Generasi III (1964 – 1979) Generasi IV (1979 – 1990) Generasi V (1990 – skrg)
Hardware • Komputer apapun jenisnya, selalu memiliki peralatan-peralatan: – Input device – Central Processing Unit (CPU) – Output Device dan – External memory/storage
CPU Input Device keyboard mouse light pen
intrnl mem ALU ctrl unit
harddisk
Output Device monitor
disket printer
scanner
flashdisk
touch screen
card mem
microphone
CD
speaker
dll
tape
dll
Ext memory
plotter
Software
• Operating System • Application software • Bahasa pemrograman • Compilers, Assembling dan interpreters • Utilities/Tools
Konsep pengolahan data Tahapan pengolahan data: • Recording • Clasifying • Sorting • Calculating • Summarizing/ Reporting • Storing • Retrieving • Reproducing • Communicating
Perkembangan pengolahan data 1
Manual System (Kertas, Pencil, Typewriter)
3
2
Bookkeeping System (Cash Register)
4
Electronic Data Processing System (Komputer) Unit Record Equipt. (Punched-card, Sorter Machine)
Pemrosesan Data
•
Batch Input and Processing –
•
On Line Input With Batch Processing –
•
Dokumen dikumpulkan dan diproses ke dalam media yang dapat dibaca komputer dan masih merupakan transaction file Transaksi tidak dikumpulkan terlebih dahulu. Setiap transaksi langsung dimasukkan ke terminal, disimpan secara on-line dan diproses dalam master file secara periodik
On Line Input With a Real Time Processing –
transaksi dimasukkan secara sendiri-sendiri ke terminal dan master file langsung berubah pada saat transaksi itu dimasukkan
Perbedaan audit dgn komputer dan manual SEGI
SISTEM KOMPUTER
SISTEM MANUAL
1. Visibility
(a) Dokumen tidak dapat dilihat. (b) Proses langsung masuk komputer dan otomatis mempengaruhi laporan (c) Secara serentak memenuhi beberapa tujuan.
(a) Dapat dilihat (b) Dicatat dan tidak otomatis mempengaruhi laporan keuangan. (c) Tidak secara serentak
2. Sarana dan Fasilitas
Lebih banyak dan lebih cepat.
Sedikit dan lebih lama
3. Personalia
Ahli bidang komputer
tidak diperlukan
4. Pemisahan Tugas
Pengumpulan dan memroses data.
tidak dipisahkan
Resiko dlm lingk. bisnis terkomputerisasi • Resiko (risk) atau exposure adalah kondisi yg dpt mengakibatkan kerugian bagi organisasi • Untuk mengurangi resiko diperlukan pengendalian (control) • Auditor perlu melakukan risk analysis untuk mengevaluasi resiko, ancaman, pengendalian dan kerawanan dalam suatu lingkungan bisnis yg terkomputerisasi • Dua hal yg harus diketahui mengenai resiko: 1) identifikasi resiko, 2) menetapkan besarnya resiko • Resiko fisik: kebakaran, banjir, gempa, dll • Human risk: kesalahan, kelalaian, kecurangan, penyimpangan, dll • Suatu damaging event adalah materialisasi resiko atas aktiva organisasi
Resiko yg timbul karena ICT - #1 •
•
• • •
•
Penggunaan teknologi secara tdk layak contoh: analis sistem/programmer tdk cukup ahli menggunakan teknologi, user terlalu dini atas hardware/ software baru Pengulangan kesalahan (kesalahan pemrograman, hardware, dsb) Kondisi ini terjadi karena tidak cukupnya test program, tidak dimonitoringnya hasil pemrosesan Kesalahan berantai Pemrosesan tdk logis, terjadi karena tidak dicermatinya dokumen output hasil proses Kesalahan menterjemahkan user requirement Terjadi karena user tidak memiliki pemahaman EDP yg baik, analis sistem/programer tdk paham kebutuhan user secara rinci Ketidakmampuan mengendalian teknologi (banyak pengendalian yg diabaikan demi efisiensi operasional, prosedur2 yg tdk memadai)
Resiko yg timbul karena ICT - #2 • Input data tidak benar • Ketidakmampuan bereaksi secara cepat • Ketidakmampuan mendukung pemrosesan • Konsentrasi data • Konsentrasi tanggungjawab • Akses sistem tidak terkendali • Security sistem yg tidak baik • Kesalahan prosedural pemakaian fasilitas EDP • Kesalahan program (bug) • Kerusakan sistem komunikasi
Penetapan besarnya risk • Perkiraan Kerugian Tahunan (PKT) = Kerugian x Frekuensi Kejadian • Contoh: • Setiap 1 minggu terjadi kesahalan pemasukan data sebanyak 100 kali, dimana sekali terjadi kesalahan, perusahaan rugi sebesar Rp. 1.000,• Berarti dalam seminggu perusahaan rugi Rp 100.000 • Berarti biaya maksimal yg dikeluarkan perusahaan untuk menerapkan pengendalian agar resiko tersebut tidak terjadi adalah Rp 100.000 per minggu atau Rp 5.200.000 per tahun.
Hal-hal yg dapat ditempuh utk mengurangi resiko
• Mengubah lingkungan yang ada • Membangun sistem pengamanan • Memperbaiki prosedur • Deteksi dini • Rencana strategis untuk mengantisipasi kerugian
Pengendalian dlm lingk EDP
• • • • •
Pengendalian dalam sistem PDE meliputi halhal sebagai berikut : Rencana struktur dan pengoperasian sistem PDE. Prosedur pendokumentasian, audit, pengujian dan persyaratan atau sistem perubahannya. Pengendalian yang tercakup dan melekat dalam komputer tersebut (hardware control). Pengendalian pada manusia yang mengerjakan dan mengakses pada komputer dan arsip. Prosedur pengendalian lainnya yang berkaitan dengan operasi PDE
Contoh Questioner Pengendalian NO. 1.
AUDIT PROGRAM OPERATIONAL CONTROL Apakah terhadap seluruh operasi komputer telah dilakukan penjadwalan sehingga dapat diselesaikan tepat waktu dan efisien Apakah telah ditetapkan staf yang bertanggungjawab untuk mengelola media penyimpanan dalam komputer Apakah ada prosedur pengelolaan media penyimpanan dalam rangka melindungi data dari penyalahgunaan atau kerusakan Apakah terdapat standar penggunaan identifikasi (eksternal dan internal label) terhadap seluruh media penyimpanan yang digunakan
2.
PHYSICAL, LOGICAL ACCESS DAN PHYSICAL SECURITY Apakah telah ditetapkan staf yang bertanggungjawab mengenai masalah physical dan logical access Apakah lokasi ruang pusat komputer telah terpisah dari bagian lain serta keberadaannya tidak mencolok Apakah terhadap setiap pegawai yang berkepentingan dalam sistem telah diberikan User ID yang unik, serta telah dialokasikan access previllege sesuai dengan tugas dan tanggungjawabnya Apakah terdapat prosedur yang secara periodik mengharuskan dilakukan evaluasi dalam rangka mengidentifikasi dan mengatasi adanya aktivitas yang tidak diotorisasi
3.
ENVIRONMENTAL CONTROL Apakah ruang komputer telah dilengkapi dengan alat pendeteksi dan pencegah kebakaran Apakah telah terdapat pelatihan dalam rangka menghadapi bahaya kebakaran Apakah ruang komputer telah dilengkapi dengan alat pendingin udara serta alat pengatur kelembaban Apakah terhadap komputer utama/server telah dipasang UPS
4.
TROUBLESHOOTING Apakah terdapat prosedur backup yang memadai terhadap data/aplikasi kritis Apakah terdapat cadangan perangkat keras (replacement backup) yang memadai untuk menjalankan aplikasi kritis apabila perangkat yang ada tidak dapat dipergunakan Apakah telah tersedia office storage untuk menyimpan backup data/aplikasi/ dokumendokumen sistem Apakah telah tersedia backup data/aplikasi diluar organisasi
5.
SYSTEM DEVELOPMENT AND MAINTENANCE Apakah terdapat prosedur tertulis yang baku yang dipakai dalam melakukan pengembangan dan pemeliharaan sistem Apakah terdapat keterlibatan user dalam pengembangan sistem Apakah terdapat dokumentasi yang cukup untuk setiap aplikasi/sistem yang ada Apakah satuan pengawas intern dilibatkan dalam setiap pengembangan sistem
6.
HARDWARE AND O.S. CONTROL Apakah hardware yang digunakan telah memiliki pengendalian yang memadai untuk mendeteksi kerusakan hardware Apakah operating system yang dipakai telah memiliki pengendalian yang memadai untuk mendeteksi ketidakwajaran yang timbul dalam penggunaan resources (hardware, software, network) Apakah terdapat jaminan dari vendor atas hardware dan software yang dibeli
Apakah terdapat asuransi terharap hardware yang memiliki resiko tinggi atas kerusakan 7.
APPLICATION CONTROL – INPUT Apakah terdapat prosedur penyiapan data yang harus ditaati oleh user, termasuk perubahan data yang permanen, semi permanen maupun koreksi data untuk menjamin seluruh transaksi telah terekam Apakah terdapat prosedur untuk menjamin bahwa seluruh transaksi yang masuk dan terekam dalam komputer adalah hanya transaksi yang telah terotorisasi secara sah Apakah terdapat prosedur yang menjamin bahwa serluruh transaksi yang telah diotorisasi telah direkam secara akurat ke dalam komputer Apakah terhadap tampilan input dilakukan evaluasi agar sesuai dengan standar Human Computer Interaction
8.
APPLICATION CONTROL – PROCESS Apakah terdapat prosedur yang dapat menjamin bahwa seluruh transaksi yang telah terotorisasi telah diproses Apakah terdapat prosedur yang dapat menjamin bahwa seluruh transaksi yang telah terotorisasi telah diproses secara akurat Apakah source dokumen asli telah tersimpan untuk jangka waktu tertentu sehingga memungkinkan untuk dilakukan rekonstruksi data Apakah terhadap proses dilakukan evaluasi tentang akurasi dan kecepatannya
9.
APPLICATION CONTROL – OUTPUT Apakah terdapat prosedur yang dapat menjamin bahwa output dari sistem informasi selalu direview oleh user manajemen untuk menentukan kelengkapan, akurasi dan konsistensinya Apakah terdapat suatu metode dalam meyakinkan bahwa prosedur pengendalian kelengkapan, akurasi dan keabsahan selalu dijalankan Apakah terdapat kebijakan dan prosedur yang mengatur lamanya suatu data/dokumen harus disimpan sebelum dihapus/dimusnahkan Apakah terdapat prosedur yang menjamin bahwa output dihasilkan dari data dan proses yang benar
Karakteristik Organisasi PDE
• Pemusatan fungsi dan pengetahuan • Pemusatan program dan data
Sifat PDE •
•
•
Tidak adanya dokumen masukan Dalam sistem transaksi on line, bukti tertulis untuk setiap otorisasi entri data individual (misalnya pengesahan entri order dalam on line sistem) dapat digantikan dengan prosedur lain, seperti pengendalian otorisasi dalam program komputer (contohnya adalah pengesahan batas kredit). Tidak adanya jejak transaksi (transaction trial). Data tertentu hanya disimpan dalam file komputer. Dalam sistem manual, umumnya terdapat kemungkinan untuk mengikuti suatu transaksi melalui sistem dengan memeriksa dokumen sumber, buku pembantu , catatan, file, dan laporan. Namun dalam lingkungan PDE, jejak transaksi dapat sebagian berbentuk file yang hanya dapat dibaca oleh mesin. Disamping itu, file tersebut hanya untuk jangka waktu yang terbatas. Tidak adanya keluaran yang dapat dilihat dengan mata. Data dan program komputer dapat diakses dan diubah dalam komputer
General Control • Tujuan General Control adalah untuk membuat rerangka pengendalian menyeluruh atas aktivitas PDE, dan untuk memberikan tingkat keyakinan memadai bahwa tujuan pengendalian intern secara keseluruhan dapat tercapai. • Pengendalian Umum meliputi: – Pengendalian organisasi dan manajemen – Pengendalian terhadap pengembangan dan pemeliharaan sistem aplikasi – Pengendalian terhadap operasi sistem – Pengendalian terhadap perangkat lunak sistem – Pengendalian terhadap entri data dan program
Application Control Tujuan Application Control adalah untuk menetapkan prosedur pengendalian khusus atas aplikasi akuntansi dan untuk memberikan keyakinan yang memadai bahwa semua transaksi telah diotorisasi dan dicatat serta diolah seluruhnya dengan cermat dan tepat waktu • Application control meliputi: – Pengendalian sistem aplikasi – Pengendalian terhadap operasi komputer – Pengendalian pada sistem software – Pengendalian terhadap program dan input data – Pengendalian Proses – Pengendalian Sistem On-Line •
TABK/Computer Assisted Audit Techniques (CAATs)
• Audit arround the computer • Audit through the computer (internal control audit) • Audit with the computer (subtantive audit)
Audit arround the computer Yang dapat dilakukan: • Menelaah SPI • Pengujian transaksi • Verifikasi saldo • Tidak melakukan pengujian thd sistem EDP • Pengujian sebatas kualitas input dan output Teknik ini cocok untuk kondisi: 1. Dokumen sumber tersedia dlm bentuk fisik 2. Dokumen mudah ditemukan 3. Output mudah ditelusur dok sumbernya atau sebaliknya 4. Sistem komputer yg ada masih sederhana 5. Software aplikasi yang digunakan adalah software yg umum dipakai dan telah teruji
Audit arround the computer Keunggulan: • Sederhana • Auditor tidak harus memiliki pengetahuan tentang komputer secara luas Kelemahan: 1. Perubahan lingkungan sistem sangat berpengaruh, sehingga relatif sulit untuk menilai sistem dengan baik
Audit through the computer Fokus pengujian pada operasi pemrosesan dalam sistem komputer Teknik ini cocok untuk kondisi: 1. Sistem aplikasi menerima input yg relatif besar dan menghasilkan output yg besar pula 2. Sebagian besar SPI ada dalam sistem komputer 3. Sistem logika komputer sangat kompleks dan banyak fasilitas 4. Terlalu sulit jika audit secara manual dengan pertimbangan biaya manfaat •
Audit through the computer Keunggulan: 1. Auditor punya kemampuan besar dan efektif dalam menguji sistem komputer 2. Tingkat keyakinan auditor tinggi thd hasil kerjanya 3. Auditor dapat menilai kemampuan sistem komputer dalam menghadapi perubahan lingkungan Kelemahan: 1. Biaya audit relatif besar 2. Lingkup pemeriksaan lebih kompleks 3. Kemampuan auditor dalam bidang komputer harus tinggi
Teknik Audit - Data Test (Data uji) Pelaks. prosedur audit dgn cara masukan data ke komputer klien, bandingkan hasilnya dgn hasil yg telah ditentukan. Penggunaan data test: • Uji pengendalian sistem komputer (online password, data access, dll) • Uji karakteristik pengolahan data Perhatikan! 1. Data uji mencakup kondisi data sah dan tidak sah 2. Program yg diuji adalah yg dipakai klien dlm periode yg diaudit 3. Data uji dihapus dari komp klien setelah selesai 4. Amati pemrosesan transaksi oleh operator •
Teknik Audit - Data Test (Data uji) Kelemahan: 1. Biaya relatif mahal 2. Waktu pengujian relatif lama 3. Program pengujian sering berubah 4. Bagi auditor pemula, sulit mendeteksi fraud 5. Bersifat statis karena fokus pada waktu ttt 6. Fokus pada aplikasi individual shg pengujian tdk komprehensif thd seluruh pemrosesan transaksi 7. Relatif sulit diterapkan dalam sistem online krn data akan terkontaminasi
Teknik Audit – Integrated Test Facility (ITF) Pengembangan dari teknik data uji, pemasukan data secara terpadu/ bersama transaksi sesungguhnya. Hasil pemrosesan disimpan dalam fasilitas pengujian yg akan memisahkan data uji dgn data sesungguhnya. Keunggulan: 1. Simulasi lebih dekat dgn transaksi sesungguhnya 2. Cocok untuk sistem online 3. Data sesungguhnya tidak terkontaminasi 4. Memungkinkan pengujian secara komprehensif 5. Hasil evaluasi sistem lebih baik Kelemahan: 1. Biaya perencanaan relatif tinggi 2. Kode program dapat disalahgunakan oleh karyawan programmer •
Audit file • Audit Software
- Verfikasi perhitungan - Memeriksa kelengkapan, konsistensi dan kebenaran data - Membandingkan data antar file - Summary, Sorting - Comparing data - Audit sampling - Cetak konfirmasi • Paralel Simulation Auditor membuat sendiri program yg sama dgn program komputer klien. - Cocok untuk pengujian substatif dan complain test - Auditor harus bisa buat program, biaya relatif mahal, waktu lebih lama
Audit file • Modul audit terpasang (Embedded Audit Modul)
Menggunakan modul program yg dipasang pada sistem komputer klien, untuk menghimpun data audit. Cara kerja: Modul terpasang akan bekerja bersamaan dgn aplikasi yg ada, mengecek setiap transaksi, jika memenuhi kriteria akan disimpan dalam log audit. Metode ini sering dikenal dengan SCARF (system control audit review file)
Audit with the computer Metode: 1.
SCARF (system control audit review file)
2. Snapshot Penggolongan software audit: • Generalized Audit Software (GAS) • Specialized Audit Software (SAS) • Utility Programs
Generalized Audit Software Fungsi: 1. Membuka data dari klien utk masuk ke file audit 2. Calculating, Comparing data, Summarizing, Analisys, Sorting, Merge, Statistical sampling 3. Analitical review Kelemahan: • Pemakaiannya relatif sulit • Harga relatif mahal • Jangkauan terbatas • Hanya dapat baca file secara serentak • Sulit membaca data over network
Specialized Audit Software (SAS) Alasan digunakannya SAS: • Tidak ada software lain • Keterbatasan kemampuan software yg ada • Efisiensi • Tingkatkan pemahaman sistem • Mempermudah persiapan • Tingkatkan idependensi auditor
Utility Programs • Untuk kumpulkan bukti, sortir data, merge file,
copy files, delete files, file convert, restructure file Jenis utility programs: • Prog. utk bantu pahami sistem aplikasi • Prog. utk kumpulkan bukti ttg kualitas data • Prog. utk kumpulkan bukti pd program lain • Prog. utk kembangkan dan terapkan SAS • Prog. utk kumpulkan bukti efisiensi dan produktivitas sistem
TAHAP-TAHAP AUDIT EDP 1. 2. 3. 4. 5.
Pemeriksaan Pendahuluan Pemeriksaan Rinci Pengujian Kesesuaian Pengujian Kebenaran Bukti Penilaian Umum atas Hasil Pengujian
TAHAP-TAHAP AUDIT EDP Pemeriksaan Pendahuluan Audit terhadap susunan, struktur, prosedur dan cara kerja sistem komputer yang ada dalam perusahaan/organisasi. Auditor dapat memutuskan apakah audit akan diteruskan atau tidak. Pemeriksaan Rinci Memahami stuktur pengendalian yang diterapkan. Auditor harus mendapatkan pengetahuan tentang sistem akuntansi untuk memperoleh pemahaman atas lingkungan pengendalian secara menyeluruh dan aliran transaksi. Auditor harus dapat menilai apakah pengendalian yang diterapkan memadai atau tidak.
TAHAP-TAHAP AUDIT EDP Pengujian Kesesuaian Menguji apakah struktur pengendalian dijalankan sebagaimana mestinya atau tidak. Pengujian dapat dilakukan dengan COMPUTER ASSITED EVIDANCE COLLECTION TECHNIQUES’ (CAECTs) . Pengujian Kebenaran Bukti (substantive test) Mendapatkan bukti yang cukup kompeten, sehingga auditor dapat memutuskan apakah resiko yang material dapat terjadi atau tidak selama pemrosesan data di komputer. Tahapan pengujian: •Mengidentifikasi kesalahan dalam pemrosesan data •Menilai kualitas data •Mengidentifikasi ketidakkonsistenan data •Membandingkan data dengan perhitungan fisik •Konfirmasi data dengan sumber-sumber dari luar perusahaan
TAHAP-TAHAP AUDIT EDP Penilaian Umum atas Hasil Pengujian Auditor diharapkan telah dapat memberikan penilaian apakah bukti yang diperoleh dapat atau tidak mendukung informasi yang diaudit. Hasil penilaian tersebut akan menjadi dasar bagi auditor untuk menyiapkan pendapatnya dalam laporan auditan.
Dokumentasi Audit • • •
Kertas kerja teknis yang berkaitan dgn TABK sebaiknya dipisahkan dari kertas kerja audit yg lain. Kertas kerja untuk TABK harus konsisten dengan kertas kerja untuk audit secara keseluruhan. Kertas kerja harus berisi dokumentasi memadai, seperti: 1. Perencanaan, yang meliputi: - Tujuan TABK - Pengendalian yang dilaksanakan - Staf yang terlibat - Saat penerapan, dan - Biaya
Dokumentasi Audit 2. Pelaksanaan audit, yang meliputi: - Prosedur persiapan, pengujian serta pengendalian TABK - Rincian pengujian yang dilaksanakan dengan TABK - Rincian masukan, pengolahan, dan keluaran - Informasi teknis yang relevan ttg sistem akuntansi, seperti: file layout atau file description atau record definition - Informasi mengenai sistem operasi yang digunakan - Informasi mengenai jenis, ukuran, media storage - Informasi mengenai sistem penggandaan file. 3. Bukti Audit, yang meliputi: - Keluaran yang tersedia - Penjelasan pekerjaan audit yang dilaksanakan thd keluaran - Kesimpulan audit 4. Rekomendasi kepada manajemen perusahaan (klien)
Teknik Audit Modern Karakteristik: • Telekomunikasi (online, realtime) • Integrasi data • Transaksi secara otomatis • Jejak audit sementara Jenis teknik audit modern: 1. Teknik perencanaan dan manajemen audit 2. Teknik test pengendalian aplikasi 3. Teknik pemilihan dan pemantauan transaksi 4. Teknik verifikasi 5. Teknik analisis program aplikasi 6. Teknik audit pusat komputer 7. Teknik pengembangan sistem aplikasi
Audit dan Pengendalian Kejahatan Komputer Metode kejahatan dgn komputer: 1. Penipuan data 2. “Kuda Troya”, penempatan instruksi tersembunyi dalam program 3. Teknik “Salami”, pengambilan sebagian kecil tanpa terlihat secara keseluruhan 4. Superzapping, program dgn akses universal 5. Pintu jebakan, ruang untuk customize program selama fase debugging 6. Bom logika, program komputer yg dijalankan pd waktu tertentu 7. Serangan asinkron, memanfaatkan asinkronisasi sistem komputer 8. Scavenging, pencarian temporary data 9. Kebocoran data 10. Piggybacking dan peniruan, menduplikasi identitas pemakai sistem 11. Pembajakan jalur komunikasi 12. Simulasi dan pemodelan
Keahlian Auditor EDP Keahlian minimum seorang auditor EDP adalah sbb: 1. Pengetahuan dasar-dasar komputer dan fungsi komputer secara umum 2. Pengetahuan dasar sistem operasi (operating system) dan perangkat lunak 3. Pemahaman tentang teknik pengolahan file dan struktur data 4. Kemampuan bekerja dengan perangkat lunak audit 5. Kemampuan mereview sistem dokumentasi 6. Pengetahuan dasar tentang pengendalian PDE 7. Pengetahuan yang memadai ttg perancangan audit dan supervisi pelaksanaan audit dalam lingkungan PDE 8. Pemahaman dinamika perkembangan dan perubahan sistem dan program dalam suatu perusahaan
www.informationactive.com ActiveData for Excel ActiveData for Office
•Additional Info
What is data?
• Data is Information. • It Takes many forms : – Oral – Visual – And today - Electronic
Problems with data
• Data needs to be understood. • Data is represented in many ways – Languages – Gestures – Formats
• We often need translation
Electronic Data Formats
• Binary • All characters/symbols represented by a series of 1’s or 0’s. 4=100 • Hexadecimal • All characters/symbols represented through range 0-9,A-F 4=4, 15=F
The Flow of Data Payroll
Vote 1
General Ledger
All Transactions
Vote 2 NON PAY
Cumulative file
Data Transfer and manipulation Data can be transferred by : • copying • modem • downloading from tape • Restoring from floppy/tape
Data storage / Transfer Magnetic Tape
Network
Cassette
PC to PC Link
Modem Floppy Disk
More Transfer Methods
• From PC to PC
• Across a Network
Data transfer in a windows environment
• With the advent of Windows data can be easily transferred/accessed : – OLE – ODBC – Cut and Paste – Extensive data Import/Export options
ODBC ODBC - On line Database Connectivity Windows Application ODBC Drivers ODBC Data Sources Interrogation Software
Data Manipulation • Why Manipulate Data ? – Block padding remains after downloading – Downloaded file is a VME file – Data is not fixed length – Data is a print file. Page breaks and headings need to be removed – Additional information needs to be added to rebuild data relationships that existed on clients system. • How is data manipulated – – – –
Editing Conversion program during download Conversion program written in-house Off the shelf manipulation package
Editing
• Not recommended with audit data i.e. amount fields or text. • Used to remove page break characters or commas from small files • Any DOS editor or word-processor will serve • Small character replacement utilities are also used
Conversion During Download
• Quite a common feature with magnetic tape reading utilities – Depot – Tapeutl
• Usually converts ASCII to EBCDIC and vice versa
In-house conversion programs
Used to : • Create fixed length records • Unblock VME files • Remove headings from print files • Restructure print files from column to row format • Write different record types to separate files
Off-the-shelf software
Used to : • Manipulate print files – Auto-import – Monarch
• Import files and export to different formats – Smart – Idea – Software Bridge
FILE ORGANISATION • Sequential – Tape file, Records in no particular order .
• Index – Records have a key to determine order – This is a disk file.
• Random – A hash total of the key determines the record’s location on the file (for fast access)