EVALUATING ASSET SAFEGUARDING AND DATA INTEGRITY Nama : Mersa Novanty NIM : 1115131005
PENGENALAN Saat auditors mengevaluasi seberapa baik asset yang dijaga secara aman, mereka berusaha untuk menentukan apakah asset bisa digunakan atau telah digunkan untuk tujuan yang tidak berwenang dan kerugian yang dapat terjadi atau telah terjadi sebagai hasilnya. Saat auditor mengevaluasi berapa baik data integrity di pelihara, mereka berusaha untuk menentukan apakah material yang timbul dapat terjadi atau telah terjadi di data dan ukuran dari kesalahan dan subsekuen kerugian yang dapat muncul atau telah terjadi sebagai hasilnya. MEASURES OF ASSET SAFEGUARDING AND DATA INTEGRITY Untuk mengevaluasi seberapa baik asset dijaga secara aman dan data integritas dipelihara, auditor membutuhkan beberapa skala pengukuran. Penjagaan asset dan pemeliharaan data integrity adalah bukan atau tidak ada kepentingan apaapun. Asset dijaga secara aman dan sistem memelihara data integrity sampai beberapa tingkatan. Auditor harus bisa mengevaluasi kedalam batas dimana asset telah dijaga secara aman dan data integrity dipelihara. Pengukuran dari penjagaan asset secara mana yang auditor dapat gunkan adalah kerugian yang telah diperkirakan akan timbul jika asset dihancurkan, dicuri, atau digunakan untuk tujuan yang tidak memiliki wewenang. Auditor bisa menugaskan beberapa kemungkinan pada kerugian yang berbeda yang dapat terjadi, jika ada keragu-raguaan meli[uti ukuran dari kerugian dollar yang mengakibatkan jika asset tidak dijaga, kerugian dapat didiskripsikan via distribusi kemungkinan. Auditor bisa mengkalkulasi kerugian yang diperkirakan jika asset tidak dijaga secara aman.
NATURE OF THE GLOBAL EVALUATION DECISION
Ketika auditor membuat keputisan evaluasi global, mereka mencari untuk menentukan keseluruhan dampak dari kekuatan kontrol individual dan kelemahan di seberapa baik asset dijaga dan seberpaa baik data integrity di pelihara. External auditor fokus secara utama pada hal (1) apakah kerugian material sudah telah terjadi karena asset telah belum dijaga dan (2) apakah kesalahan material eksis di pernyataan finansial karena data integrity belum dipertahankan. Karena external auditor akan mempertahanan juga tentang menyediakan nasihat kepada management untuk membantu mereka untuk pemberhentian tanggung jawab mereka, mereka akan mempertimbangkan juga tentang potensial untuk kerugian dari kesalahan untuk menjaga asset dan memelihara data integrity. Ketetapan nasehat ini, walau bagaimnapun, bukan tanggung jawab utama mereka. Di samping itu, internal auditor akan memberikan equal emphasis untuk kerugian yang telah terjadi dan kerugian yang akan terjadi sebagai hasil dari kesalahan untuk menjaga asset dan memelihara data integrity. Tanggung jawab mereka akan menjadi lebihluas, karena itu, daripada external auditor. Saat auditor melaksanakan tes kontrol, mereka akan meneruskan untuk membuat penilaian evaluasi global. Saat mereka mengevaluasi ha yag dapat dipercaya dari masing-masing kontrol, mereka akan mempertimbankan dampaknya dalam menjaga asset dan data integrity dengan manajemen atau subsistem aplikasi atau sistem yang ereka fokuskan, sampai batas bahwa auditor percaya kerugian material atau akun yangmembuat pernyataan salah dapat telah terjadi. Selama tes kontorl dilaksanakan dan test sustantif, harus dicatat bahwa auditor biasanya membuat penilaian evaluasi global pada subsistem atau sistem level. Contohya, mereka mungkin akan berkesimpulan bahwa perencanaan subsistem dengan kepala kantor divisi sistem informasi adalah tidak sempurna atau subsistem input di dalam sistem entry order cacat. Auditor membuat penilaian global dari dampak dari kecacatan dari sistem manajemen secara khusu atau sistem aplikasi yang mereka evaluasi. External audiotr, walau bagaimanapun, harus membawa penilaian evaluasi global indobidual bersama-sama. Mereka harus mempertimbangkan kerugian atau pernyataan akun yang salah yang mereka perhitungkan telah terjadi dengan sistem aplikasi individual, proses kumpulan, mereka harus mempertimbangkan cara dimana kerugian atau pernyataan akun yang salah di dalam sistem atau level cycle bisa tergabung dan terkompensasi. Pengumpulan final ialah basis untuk opini yang mereka sumbangkan pada pernyataan finansial.
DETERMINANTS OF JUDGEMENT PERFORMANCE Semenjak pertengahan 1970, jumlah substansi penelitian telah diambil untuk mencoba mengidentifikasi dan mengerti dampak dari beberapa faktor yang dampak kualitas dari penilaian auditor . pada saat hasil didapatkan dari penelitian ini, Libby and Luft (1993) berargumen bahwa penentu dari performa penlialian bisa dikelompokan kedalam empat kategori: (1) kemampuan pembuat keputusan, (2) pengetahuan pembuat keputusan, (3) lingkungan dimana pembuat keputusan harus membuat penilaiannya sendiri, dan (4) level motivasi pembuat keputusan. AUDITOR’S ABILITY Saat kita mencari untuk membuat penilaian tentang penjagaan level asset atau pemeliharaan data integrity, kita harus menyadari bahwa sebagai manusia kita mempunyai beberapa kekuatan kognitif dan memiliki batasan. Kemampuan kognitif kita akan menimbulkan ualitas dari penilaian yang kita buat. Contohnya, satu dati kekuatan kognitif yang kita miliki sebagai manusia adalah kemampuan kita untuk mengidentifikasi hubungan dan pola yang datang pada perhatian kita. bayangkan, contohnya, cara luar biasa dimana banyak orang bisa “melihat bahasa tubuh”yang dipancarkan oleh orang lainnya pada mereka yang berinteraksi. Kemampuan ini bagaimanapun juga mengasimilasikan isyarat berbeda dan untuk mengidentifikasi kompleks dan pola yang sulit dipahami membantu kita saat kita harus memeriksa bukti kontrol internal untuk meraih penilaian seberapa baik keamanaan sistem asset dan memelihara data integrity. Sayangnya, penelitian juga menunjukan bahwa kita menggunkan heuristik yang kadangkadang tidak menuju penilaian kualitas tinggi. Di lain sisi, heuristik ini memainkan peran berguna dalam mengurangi harga yang terasosiasi dengan pembuat kemputusan yang meragukan kualitas penilaian audit kita. Dalam kasus ini, Tversky dan Kahneman (1974)
telah mengidentifikasi tiga heuristik yang kita biasa atasi untuk mengatasi tugas kognitif kompleks tapi dimana, dalam waktu yang sama, dapat menurunkan kualitas dari penilaian kita. Yang pertama adalah representatif heuristik, dimana kita cenderung untuk menilai peluang bahwa satu hal adalah representatif heuristik dari hal lainnya dari tingkatan dimana hal pertama menyerupai hal kedua. Dalam contohnya, mengasumsikan bahwa kita mempercayai keamanaan tingkat tinggi eksis di hubungan pada fasilitas komputer kita evaluasi. Untuk pertama, kepercayaan ini mungkin atau mungkin tidak akan ditemui secara baik. Meskipun begitu, kita harus mengkoleksi beberapa bukti dari hal yang dapat dipercya dari kontrol keamanaan yang di asosiasikan dengan fasilitas. Setelah memeriksa hanya beberapa kontrol, kita menemukan mereka ialah representatif dari kontrol keamanaan yang dapat diandalkan. Sebagai manusia, kita kemudian akan memihak kepada termasul bahwa keseluruhan sistem kontrol akan dapat diandalkan, walaupun teori sample mungkin mengindikasikan bahwa kita tidak bisa menyimpulkan keputusan dari jumlah kecil kontrol yang telah diperiksa. Yang kedua adalah penjangkaran dan heuristik penyesuaian, dimana kita cenderung untuk memulai dari dasar inisial dan menyesuaikan bahwa dasar untuk mencapai penilaian terakhir kita. Contohnya,selama evaluasi awal dari sistem kontrol internal, kita mungkin menyimpulkan bahwa kontrol yang kita periksa dapat dipercya. When kita megkoleksi bukti lebih lanjut dari kontrol yang dapat dipercaya, bagaimanapun, kita mungkin menemukan beberapa instan hasil tes yang membentuk kontrol yang tidak dapat dipercaya. Signal ini, pada nyatanya, mungkin akan jelas bahwa sistem kontrol tidak dapt dipercya, tetapi sebagai manusia kita akan seringkali cenderung menaring penilaian dasar kita bahwa sistem tersebut dapat dipercya dan dibawah penilaian pada saat kita menerima tambahan infromasi. Yang kedua adalah heuristik ketersediaan, dimana kita cenderung untuk menilai kelas frekuensi atau kemungkinan dari berbagai cara dimana kita bisa mengingat secara instan kelas atau kejadian. Contohnya, kita mungkin mengevaluasi resiko dari beberapa tipe paparan keamanaan di dalam sebuah organisasidi dalam batas dimana kita dapat mengingat pertemuan yang paparan yang sama di organisasi lain yang kita telah audit. Sayangnya, ingatan kita terhadap frekuensi dengan dimana paparan timbul di organisasi lain mungkin adalah basis yang merugikan untuk menilai resiko dari paparan di dalam organisasi saat ini yang kita audit.
AUDITOR’S KNOWLEDGE Pengetahuan auditor datang dari dua dasar sumber: pertama, edukasi dan pelatihan yang diterima; dan kedua, pengetahuan diakumulasikan di dalam kerja aduit. Meskipun pengetahuan didapatkan dari kedua sumber melengkapi pada beberapa batas, perbedaan penting juga muncul. Contohnya, setelah anda mempelajari buku ini, anda harus mempunya level pengetahuan yang beralasan, bisa dibilang, kesalahan yang natural dapat terjadi di dalam data input dan kontrol dapat digunakan untuk mengurangi kerugian dari kesalahan ini. Anda akan mendapatkan pandangan substansial, walau bagaimanapun, tentang sumber daya resiko pewarisan yang menyinggung institusi finansial yang mengambil transaksi kompleks pada pergantian stock. Anda mungkin membutuhkan beberapa pengetahuan ini jika adna mempelajari tentan buku stok market. Mungkin, walau bagaimanapun, anda harus mempunyai pengalaman langsung pada institusi ini untuk memiliki pengetahuan pengembangan yang baik dari resiko pewarisan yang terasosiasi dengan mereka. Edukasi dan pelatihan dan pengalaman menerima juga bisa umum atau spesifik. Di contoh sebelumnya, anda mungkin mengunjungi pelatihan yang di desain sespesifik pada alamat resiko pewarisan yang diasosiasikan dengan tipe institusi finansial yang anda audit. Anda juga telah mendapat jumlah besar audit dari tipe institusi finansial ini. Secara alternatif, kebanyakan dari pelatihan mungkin terhubung dengan prosedur audit secara umum, dan kebanyakan pengalaman anda mungkin akan berbeda dari jumlah banyak dari beberapa tipe organisasi.
Figure 21-4 sumber pengetahuan audit
AUDIT ENVIRONMENT
Lingkungan audit mendeskribsikan konteks dimana auditor harus membuat penilaian evaluasi. Secara potensial, banyak karateristik dari linkungan akan memikul proses penilaian auditor. Libby and Luft (1993) mengidentifikasi empat karateristik, wlau bagaimanapun, yang akan sepertinya menjadi penting. Yang pertama ialah teknologi audit yang auditor gunakan untuk mengarahkan dan mendukung penilaian audit mereka. Kamu menggunakan istilah di sini dalam pengertian yang luas. Termasuk element seperti kuesioner kontrol internal digunakan untuk menstrukturi evaluasi kontrol internal, standar audit dan peraturan digunakan untuk mengarahkan pelakasanaan audit, ahli sistem biasanya menggunakan bantuan evaluasi, cara kami menstruktur tim audit untuk mencoba meningkatkan kualitas audit, dan cara kami mendokumentasikan penemuan kami untuk mencoba memfasilitasi penilaian akhit kami. Auditor menggunakan teknolohi ini untuk mencoba mengatasi beberapa kekurangan di proses penilaian dan menambah kemampuan kognitif. Karateristik lingkungan yang kedua ialah proses grup. Salahsatu dari fitur menarik dari profesi audit ialah menggunakan grup secara ekstensif selama pelaksanaan audit; tidak bergantung dari individual perseorangan untuk memuat penilaian. Sayangnya, penelitian di audi hanya awal untuk menyediakan dengn beberapa pengertian mengapa proses grup di audit akan berguna dan mengapa, oleh karena itu, auditor akan memiliki proses grup yang tidak berkerjasama dalam pekerjaannya. Contohnya, interaksi dengan grup mungkin akan membuat anggota grup memanggil kebali bukti aduit yang telah didapatkan dan untuk mengevaluasi lebih baik pentingnya bukti ini. Proses grup, seperti audit review, juga mengurangi kesalahan dan kelalaian dalam pelaksanaan audit. Meskipun demikian, dalam beberapa kasus, grup bisa merendahkan kualitas penilaian yang telah dibuat. Contohnya, fenomena yang disebut group think telah diidentifikasi dimana proses individual di grup membuat lebih banyak resiko karena mereka memandang mereka akan kurang bertanggungjwab pada keputusan mereka. Karateristik utama ialah pelibatan diri lebih dulu di audit. Di lain sisi, pelibatan lebih dahuludengan audit (bisa dikatakan, tahun sebelumnya) mungkin akan menaikan pengetahuan bahwa auditor membawa penilaian evaluasi. Di dalam kasus ini, mungkin akan meningkatkan kualitas dari penilaian mereka. Di lain sisi pelibatan sebelumnya mungkin akan menyebabkan auditor menjadi kurang kritikal pada kerja audit yang mereka periksa yang juga mempresentasikan beberapa pekerjaan mereka. Oleh karena itu, pelibatan dulu mungkin akan merendahakan kualitas dari penilaian mereka. Lagi, penelitian audit hanya bagian awal untuk menyediakan kita dengan pandangan dari efek pelibatan terlebih dulu dari kualitas penilaian.
Kareteristik lingkungan yang ke empat ialah pertanggungjawaban. Auditor bertanggungjawab pada pekerjaaan mereka di hal yang berbeda. Contohnya, mereka bertanggungn jawab pada supervisor mereka dan klien mereka, dan mereka juga akan memegang tanggung jawan untuk
tugas mereka di bawah hukum. Aspek positif dari pertanggungjawaban ialah seharusnya dpat memotivasi auditor utuk mencoba membuat penilaian yang memiliki kualitas lebih saat mereka mengebaluasi menjaga asset dan data integrity. Kerugian di satu sisi, walau bagaimanapun, ialah auditor mungkin akan menjadi terlalu memperhatikan dengan pertanggungjawaban dengan kelelahan dan mencurahkan perhatian yang tidak cukup pada proses kognitif mereka butuh latihan untuk membuat keputusan yang berkualitas. Auditor harus berhati-hati, oleh karena itu, bagaimana berbagai karakteristik dari lingkungab audit bisa menfasilitasi atau menghalangi oenilaian mereka pada seberapa baik penjagaan sistem asset dan pemeliharaan data integrity. Auditor harus mencoba untuk menggunakan teknologi audit untuk meningkatkan proses pembuatan keputusan. Mereka juga harus mencoba memakai proses grup pada point yang tepat pada penilaian proses untuk meningkatkan kualitas pembuatan keputusan. Pada batas mereka telah mempunyai keterlibatan lebih dahulu dengan udit, auditor harus menyadari bahwa keterlibatan ini bisa mempunyai positif dan negatuf efek. Berdasarkan, mereka harus secara aktif mengurangi efek negatif dari keterlibatan pendahulu. Dengan cara yang sama, auditor harus menyadari perbedaan cara dimana mereka memegang tanggungjawab pada pekerjaan mereka untuk mempunyai positif dan negatif efek pada kualitas proses mereka. Seperti keterlibatan terdahulu, auditor harus mencari secara aktif untuk meredakan efek negatif dari pertanggungjawaban yang dibutuhkan.
AUDIT TECHNOLOGY TO ASSIST THE EVALUATION DECISION Di seksi ini, kita mempelajari beberapa teknologi yang telah dikembangkan untuk membantu auditor membuat keputusan evaluasi global pada seberapa baik penjagaan asset dan
perlindungan data integrity. Dengan teknologi, yang telah disebutkan dari diskusi sebelumnya bahwa kita menginterpretasikan istilah ini dalam arti luas. Tidak hanya berisi teknologi komputer, juga dimplementasikan ke beberapa alat, struktur, peraturan, atau perkembangan pencapaian untuk memfasilitasi pembawaan audit. Kompleksitas yang diberikan ole penilaian evaluasi auditor harus membuat, teknologi ini bisa membantu menstrukturi dan mungkin di dalam bagian mengautomasi keputusan evaluasi. Ini juga menyediakan auditro dengan pandangan yang membantu mereka untuk mengerti evaluasi keputusan lebih baik. CONTROL MATRICES Salah satu dari teknologi terdahlu yang dikembangkan untuk membantu dengan keputusan evaluasi adalah matrix kontrol. Matrix kontrol bisa dipersiapkan pada berbagai hal. Tabel berikut menunjukan beberapa pendekatan, walau bagaimanapun, menggunakan contoh dari aktivitas data tangkapan diasosiasikan dengan subsitem input yang dimiki pada sistem aplikasi.
Table 21-1 Subsistem input evaluasi untuk kelas pemesanan kustomer transaksi
Perlu dicatat bahwa matriks kontrol yang dilihat pada tabel 21-1. Kolum dari matriks memperlihatkan akibat dari kerugian di dalam kasus ini, perputaran dapat disebabkan kerugian untuk mucul jika mereka timbul selama saat data telah ditangkap dari proses aplikai
sistem. Baris dari matriks adalah latihan kontrol dari penyebab kerugian untuk mengurangi kerugian yang telah diperhitungkan dari penyebab. Elemen dari matriks mungkin akan menjadi rating efektifitas dari masing-masing kontrol dengan tanggung jawab dari masingmasing kontrol pada saat kontrol tes dilaksanakan, atau manfaat marginal dan harga dari pelatihan kontrol. Di tabel 21-1, elemen menunjukan rating yang sederhaana baik kontrol memiliki tinggi, medium, atau low ketergantungan dalam mengurangi kerugian dari beberapa pembukaan. Untuk menjalankan keputusan evaluasi menggunakan kontrol matriks, secara konseptual kita pertama-tama harus memeriksa masing-masing kolum dari matriks dan menanyakan pertanyaan berikut: untuk pemberian sebab kerugian, apakah kontrol dari penyebab mengurangi kerugian yang diharapkan dari penyebab level yang dapat diterima? Dari masing-masing sebab kerugian, kita harus menaikan efek dari berbagai kontrol dan menentukan apakah pembukaan yang tetap di level yang bisa diterima. Kita harus memikirkan kolum di total untuk menentukan apakah kerugian material akan tetap naik. Matriks kontrol bisa disiapkan di berbagai level dari pengumpulan di keputusan evaluasi kita. Di tabel 21-1, kita melihat hal tersebut digunakan di subsistem aplikasi level. Itu juga dapat digunakan, walau bagaimanapun, di sistem level, siklus level, dan level akun secara keseluruhan. Secara basic, ini adalah cara untuk membawa bersama-sama beberapa auditor faktor yang penting harus dipertimbangkan saat membuat keputusan evaluasi.
DETERMINE MODEL Model yang telah ditentukan bisa berguna saat mengevaluasi bagian dari sistem kontrol internal atau mendapatkan perkiraan pertama dari seberapa baik penjagaan sistem komputer
asset dan pemeliharaan data integrity. Contohnya, memperhatikan mekanisme kontrol akses di sistem operasi. Diasumsikan kita menemukan keslahan integitas di dalam sistem yang memngizinkan hackers, dibawah kondisi tertentu, untuk merusak privasi file data. Dengan kata lain, kesalahan bisa di eksploitasi sehingga file data (asset) tidak akan dijaga lebih lama melawan penggunaaan yang tidak sah. Untuk menentukan kesalahan konsekuensi, kita mungkin mengakses log sistem untuk menentukan berapa kali kesalahan telah dieksploitasi, diasumsikan, tentu, bahwa integritas dari log telah dipertahankan. Mengkalkulasi kerugian yang telah dihasilkan karena keslahan melibatkan perkiraan kerugian dari setiap kejadian bahwa kesalahan telah dieksploitasi dan menjumlahkan kerugian. Oleh itu, model yang digunakan pada contoh ini adalah penentuan, menyediakan tidak ada keraguan tnentang kerugian yang terlibat. Dipertimbangkan, juga, sistem komputer batch, setiap kesalahan yang kita identifikasi di dalam program dengan penentuan sistem. Pada lain kata, jika kita menemukan bahwa item data proses tidak benar, ia akan terus memproses data item secara tidak benar. Kami harus menentukan frekuensi dengan dimana software audit untuk mendapatkan kembali semua instant data item dari jejak audit sehingga total keslahan untuk data item bisa ditentukan. Cara untuk menentukan dimana perbedaan kesalahan tercampur dan dikompensasi, walau bagaimanapun, masih harus dipertimbangkan. Bahkan jika sistem harus dievaluasi berisi elemen stochastic )contohnya, beberapa kesalhan digunakan oleh pegawai data input mungkin tidak akan diteksi oleh program validasi input), auditor mungkin masih ingin menemukan model penentuan yang berguna saat mereka membuat keputusan evaluasi. Contohnya, mereka bisa membangun penentuan nilai mean model dengan menggantikan setiap elemen probabilistik dengan nilai paling rendah dan nilai paliing tinggi. Penentuan model adalah sangat mudah untuk dibangun. Auditor mungkin menggunakan nya untuk melakukan pensil dan kertas analisis seberapa baik penjagaan sistem asset dan pemeliharaan data integruty. Model menyediakan hanya informasi terbatas, walau bagaimanapun, tentang bentuk dari kesempatan distribusi dari kesalahan yang bisa diproduksi saat sistem berisi elemen stochastic. Di dalam keadaan ini, auditor harus melatih perhatian saat mereka mengintrpretasikan hasil yang mereka dapatkan saat digunakan.
SOFTWARE RELIABILITY MODELS Model tahan uji software mengunakan teknik statistik untuk menghitung seperti kemungkinan daripada kesalahan akan muncul selama beberapa waktu period pada basis pola
dari kesalahan terdahulu yang telah ditemukan di dalam sistem. Model ini diasumsikan bahwa jumlah kesalahan yang ditemukan selama waktu eningkatkan pada rating penurunan (figure 21-5). Asumsi ini terlihat beralasan. Saat sistem ini pertama kali diuji, kesalahan ditemukan relatif cepat. Proses testing, wlaau bagaimanapun, setiap tambahan kesalahan akan sulit untuk ditemui. Disediakan rekaman yang dsimpan untuk penemuan kesalahan proses, bentuk dari fungsi yang berhubungan dengan kemungkinan bahwa kesalhan akan muncul pada usia dari sistem bisa diperhitungkan dan prediksi yang dibuat tentang kemungkinan masa depan kesalahan akan muncul. Perlu dicatat bahwa masa dari sistem mungkin membutuhkan pengukutan di istilah jumlah berpa kali telah di eksekusi daripada waktu yang dilalui. Waktu subsansi yang dilalui mungkin telah terjadi, tetapi sistem mungkin akan dieksekusi dengan jarang dan setelah variabel ibterval selama periode ini. Sebagai hasilnya, kesalahan mungkin akan timbul hanya karena beberapa eksekui jalan melalui sistem yang telah dilatih. Software tahan uji model yang telah dikembangkan terbagi menjadi tiga kelas utama: Model Kelas Model kesalahan antara waktu
Model menghitung kesalahan
Model penyemaian kesalahan
Model Alam Model ini berdasarkan asumsi bahwa waktu antara kesalahan sistem akan mendapat lebih lama dengan kesalahan dihilangkan dari sistem. Waktu antara kesalahan diprediksikan mengikuti distribusi dimana parameter bergantung jumlah kesalhan yang tetap di dalam sistem selama interval antara kesalahan Model ini berusaha untuk memprediksi jumlah kesalhan yang akan muncul selama interval tes dibenarkan, dengan kesalahan dengan sistem dibenarkan, model diprediksi jumlah kesalahan yang fitemukan selama interval waktu berikutnya akan lebih sedikit. Di model ini, kesalahan diperkenalkan ke sistam yang tidak diketahui jumlahnya kesalahan asli. Sistem kemudian dites, dan penyemaian dan kesalhan asli yang ditemukan dihitung. Dari basis proposi penyemaian dan keslahan asli ditemukan, diperhitungka bisa dibuat dari total jumlah kesalhan asli di dalam sistem.
Software tahan uji model secara potensial adalah alat yang powerful yang auditor dapat gunakan saat mereka harus menilai seberapa baik penjagaan sistem dan pemeliharaan data
integrity. Model ini membutuhkan minimum data untuk membuat prediksi tentang kemungkinan kesalahan yang masih ada di dalam sistem-sering kali hanya lebar sistem eksekusi interval yang muncul diantara penemuan kesalahan yang sukses dan klasifikasi dari keslahan yang ditemukan seperti material mereka dan kelemahan dari kontrol internal individual dengan sistem tersebut, kecuali sebagai basis untukk mengklasifikasi meaterial kesalhan yang ditemukan. Model ini juga bisa dnegan mudah diimplementasikan via program komputer. Pada kasus ini, auditor bisa menggunakan model ini dalam dua hal. Pertama, jika mereka menggunakan percaya diri yang cukup di dalam kekuatan prediktif dari model, mereka bisa membuat penialaian evaluasi tanpa harus bergantung hanya pada tugas yang sulit dari mengasimilisasi potongan bukti dari kekuatan dan kelemahan dari kontrol internal individual di sistem. Yang kedua, mereka mungkin menggunakan model sebagai alat review analitikal. Jika prediksi model yang kemungkinan kesalahan lebih lanjut muncul di sistem tinggi, auditor mungkin memutuskan untuk mengadopsi tes substantif pendekatan untuk mengevaluasi sistem. Jika model prediksi yang kemungkinan lebih lanjut kesalahan muncul did alam sistem rendah, wlaau bagaimanapun, auditor mungkin memproses dengan kontrol es untuk mengevaluasi sistem dengan harapan bahwa mereka bisa mengambil kesimpulan bahwa mereka bisa menggantungkan kontrol dan mengurangi batas te sustantif daripada sistem.
ENGINEERING RELIABILITY MODELS
Model keandalan rekayasa mengizinkan aduitor untuk memperhitungkan secara keseluruhan keandalan dari sitem sebagai fungsi dari keandalan komponen individu dan kontrol internal individual yang memperbaiki sistem. Dalam hal ini mereka mencerminkan pendekatan tradisional auditor untuk menilai keseluruhan kenadalahan sisten berdasarkan bukti yang dikumpulksn tentang keandalan kontrol internal individual dengan sistem. Di beberapa cara asumsi yang mendasari model adalah bersifat membatasi. Bahkan, kegunaan praktikal mereka masuh dipertanyakan. Namun, model ini menyediakan wawasan penting kr bagaimana mengkontrol kekuatan dan kelemahan yang bisa mengkompensasi dan mencampurkan bagaimana untuk membuat efek keandalan secara keseluruhan dari sistem. Dengan demikian, mereka menolong auditor untuk mengerti bagaimana keseluruhan evaluasi dari internal kontorol yang harus dibuat. Ide fundamental dibalik menggunakan teori keandalan rekayasa untuk sistem kontrol internal model diperkenalkan untuk literatur akuntansi oleh Cushing(1974). Untuk penggambaran pendekatannya, perlu dipertimbangkan, pertama, sistem simpel dimana ada satu proses, kontorl single, dan perbaikan kesalahan single prosedur (figure 21-6a). Secara diasumsikan, juga, hanya satu tipe kesalahan atau ketidakaturan yang muncul dengan sistem. Keandalan sistem-ialah, kemungkinan sistem tidak akan memiliki keslahan atau ketidakaturan setelah eksekusi selesai- dikalkulasikan sebagai berikut: R= p + (1 - p) P(e) P(c) Dimana: R= keandalan sistem P= kemungkinan proses dieksekusi secara benar P(e)= kemungkinan kontrol mendeteksi kesalahan atau ketidakaturan saat muncul P(c)=kemungkinan kesalahan atau ketidakaturan dibenarkan saat kontrol mendeteksi keslahan atau kemunculan dan kemunculan. Dengan kata lain, keandalan dari sistem sama (1) kemungkinan proses di eksekusi secara benar (2) kemungkinan proses dieksekusi
(a)
(b) Figure 21-6 (a). Sistem dengan satu proses dan satu kontrol. (b) sistem dengan satu proses dan dua kontrol
BAYESIAN MODELS Bayesian model menyediakan auditor dengan metode formal merevisi perkiraan awal dari keandalan sistem kontrol internal di dalam basis informasi baru yang didapat dari aktivitas perkumpulan bukti yang mereka ambil selama pelajaran audit. Secara konseptual, kita bisa mempertimbangkan keputusan evaluasi sebagai proses sekuensial dimana kita memulai dengan perkiraan awal apakah sistem kontrol internal bisa diandalkan dan merevisi perkiraan ini secar aprogresif sebagai bukti baru yang datang. Di beberapa tahap, auditor harus berhenti mengumpulkan bukti dan meraih keputusan dari keseluruhan keandalan sistem. Model bayesian telah diadvokasikan untuk beberapa waktu yang artinya untuk membantu auditor untuk membuat keputusan evaluasi. Peneliti auditing telah dimotivasi untuk memeriksa model ini karena mereka sadar akan hasil jangka panjang penelitian yang didapatkan dimanapunyang menunjukan manusia berperforma buruk saat mereka harus merevisi perkiraaan awal dari kemungkinan di saat informasi baru diterima ( lihat Slovic dan Lichtenstein 1971). Oleh karena itu, mereka mencari ara untuk meningkatkan proses penilaian. Model yang telah diformulasikan diaplikasikan dengan baik di manual atau lingkungan yang terkomputerisasi. Untuk mengilustrasikan sifat pendekatan Bayesian, pertimbangkan Figure 21-7, dimana menunjukan evaluasi kesuluruhan keputusan yang auditor hadapi. Sistem kontrol internal antara bisa diandalkan atau tidak bisa diandalkan, dan kita meraih keputusan apakah akan menerima sisten seperti diandalkan atau untuk menolak nya sebagai tidak dapat diandalkan. Seara jelas, kita ingin meraih keputusan penerimaan saat sistem bisa diandalkan dan menolak keputusan saat sistem tidak bisa diandalkan.
Figure 21-7 Keputusan masalah yang dihadapi auditor
SIMULATION MODELS Dimanapun saat memungkinkan, auditor harus menggunakan model analisis untuk membantu mereka membuat penilaian evaluasi. Dengan analisis model, biasanya auditor bisa mengevaluasi nilai dari variabel mandiri yang marik mereka pada harga rendah dari skala luas dari beberapa bariasi di variabel mandiri dan struktur model. Model yang menentukan dan model probabilistik diperiksa sebelumnya, contohnya, sering bisa dikembangkan dan dipecahkan dengan cepat dan secara murah. Kadang-kadang, walau bagaimanapun, analisis model tidak sesuai untuk digunakan saat auditor membuat penilaian evaluasi global. Untuk permulaan, mereka mungkin berkesimpulan bahwa asumsi mendasari model terlalu membatasi dan tidak mencerminkan realita secara penuh dengan baik. Tambahannya, analisis model mungkin penaat secara matematik karena ekuasi yang sesuai digunakan untuk memodelkan sistem tidak nyata atau ekuasi muncul menjadi tidak bisa dipecahkan. Di dalam kasus ini, auditor mungkin mempertimbangkan menggunakan model simulasi untuk menggunakan pembuatan penilaian evaluasi global. Saat auditor menggunakan model simulasi, mereka bisa mengevaluasi cara berperilaku sistem dari waktu ke waktu. Contohnya, pertimbangkan bagaimana kita mungkin menggunakan model simulasi untuk mengevaluasi penjagaan asset. Kita mungkin mengevaluasi sistem keamanaan dimana ada kemungkinan penjagaan akan gagal untuk mendeteksi penyusup, beberapa kemungkinan bahwa sistempengawasan juga gagal untuk mendeteksi penyusup, beberapa kemungkinan penyusup meng crack sistem password, dan seterusnya, dan pada akhirnya penyusup mendapatkan akses untuk dan mencuri data file yang sensitif.
EXPERT SYSTEMS Seperti yang disebutkan di chapter 16 bahwa kita memerikasa sifat alami dan menggunakan sistem expert sebagai alat bahwa auditor bisa diturunkan untuk membantu pengambilan bukti dan evaluasi. Kita endefinisikan sistem expert sebagai program yang mengenkapsulasi pengetahuan yang manusia ahli miliki tentang domain terntentu dan bisa memproduksi kembali pengetahuan ini saat dipresentasikan dengan masalah tertentu. Diberikan kompleksitas bahwa auditor mungkin hadapai saat membuat penilaian evaluasi global, sistem ecpert bisa terutama berguna jika mereka telah dikembangkan untuk domain dimana penilaian harus dibuat. Auditor mungkin menemukan mereka berguna dalam dua cara. Pertama, mereka bisa menyediakan auditor dengan wawasan pada berbagai kekuatan kontrol dan kumpulan kelemahan dan kompensasi dengan yang lainnya. Disediakan sistem ecpert bahwa auditor menggunakan kemampuan penjelasan, mereka bisa menanyakan antrian yang memberikan mereka timbal balik tentang bagaimana meraih kesimpulan berdasarkan konfigurasi tertentu dari kontrol kekuatan dan kelemahan yang mereka presentasikan. Timbal balik ini harus membantu auditor untuk pengertian lebih baik dari keseluruhan keandalan dari sistem. Kedua, auditor bisa menggunakan hasil dari sistem expert sebagai ‘kaki yang beralasan’ untuk penilaian evaluasi global mereka sendiri. Jika keluaran sistem expert berbeda secara substansial dari penilaian mereka sendiri, walau bagaimanapun, auditor mungkin butuh mempertimbangkan lebih hati-hati dasarnya dimana mereka harus mencapai penilaian. Ungkin isu auditor yang paling penting butuh dipertimbangkan saat menggunakan sistem expert untuk membantu dengan penilaian evaluasi global dengan domain tertentu dimana harus dikembangkan. Performa dari sistem expert adalah brittle setelah mereka digunakan diluar dengan spesialisasi domain untuk dimana mereka telah dikembangkan. Dengan kata lain, kualitas nasehat yang mereka sediakan menyusut dengan cepat seperti waktu domain dimana mereka mengaplikasikan berbeda yang telah mereka kembangkan. Di dalam kerangka luar, oleh karena itu, auditor harus merawat untuk meyakinkan bahwa sistem expert adalah bagus untuk dicocokan pada dimain dimana mereka buat penilaian evaluasi.
COST EFFETIVENESS CONSIDERATIONS Secara jauh diskusi kita diproses tanpa kita mempertimbangkan harga penjagaan asset atau memelihara data integrity. Sistem yang handal bisa diperoleh, wlaau bagaimanapun, hanya dengan harga. Saat kita menginvestasikan dalam membuat sistem lebih andal, kita harus mempertimbangkan apakah manfaat yang kita harapkan untuk mendapatkan harga yang lebih yang kita harapkan akan muncul.
Dalam subseksi berikut ini, kita akan memeriksa secara singkat beberapa aspek dari peniaian auditor harus membuat apakah kontrol di tempat efektif harga. Kita menangani dengan keputusan ini dengan level intuitif yang beralasan. Beberapa dari pendekatan yang telah dikembangkan utuk membantu kita membuat keputusan, walau bagaimanapun, hal tersebut kompleks. Kita akan menyerahkan pendekatan ini untuk pembelajaran lebih lanjut (lihat, Cushing 1974). COSTS AND BENEFITS OF CONTROLS Implementasikan dan kontrol operasi di dalam sistem melibatkan lima harga: 1) membuat harga setup harus terjadi dan kontrol implementasi. Contohnya, spesialis keamanaan mungkin harus diperkerjakan tugas mendesain rutin validasi untuk program inut. Saat tugas desain ini terpenuhi, harga akan terjadi, contohnya, untuk menginstal kartu magnetic kunci pintu dan untuk menulis program. 2) harga terasosiasikan dengan kontrol eksekusi akan terjadi. Contohnya, gaji dari petugas keamanaan harus dibayarkan, dan harga yang diasosiasikan dengan menggunakan prosesot untuk mengeksekusi rutin validasi input harus bertemu. 3) Saat sinyal kontrol yang beberapa tipe error atau ketidakaturan telah terjadi, harga akan terjadi untuk mencari kesalahan atau ketidakaturan, untuk menentukan apakah satu eksis (itulah, kontrol telah teroperasi dengan dapat dipercaya di signal kesalahan atau ketidakaturan), dan untuk membernarkan atau ketidakaturan yang ditemukan. 4) harga muncul karena kontrol tidak mendeteksi beberapa kesalhan atau ketidakaturan (kontrol mungkin malfungsi atau tidak di desain untuk mendeteksi kesalahan atau ketidakaturan yang telah terjadi), dan harga muncul karena sistem kontrol gagal untuk membenarkan kesalahan dan ketidakaturan secara benar saat hal tersebut ditemukan. Hal yang tida terdeteksi atau kesalahan yang tidak diperbaiki emudian menyebabakan kerugian. Contohnya, keslaahan yang tidak diperbaiki atau ketidakaturan bisa menyebabkan penggelapan uang muncul. 5) harga pemeliharaan muncul untuk memastikan kontrol tetap benar sesuai aturan kerja. Contohnya, secara periodik penjaga harus di latih kembali, dan rutin validasi input harus ditulis kembali sperti format perubahan data input.
Harga pertama yang dideskripsikan disini adalah pengeluaran untuk kontrol sistem. Empat harga yang tersiksa adalah harga operasional yang berjalan pada sistem kontrol. Manfaat yang terjadi dari mempunyai kontrol sistem berhubungan pada pengurangan pada kesalahan insiden atau ketidakaturan dan kerugian yang terasosiasikan dengan kesalahan ini atau ketidakaturan. Dalam beberapa kasus, kesalahan atau ketidakaturan akan muncul secara rutin tanpa kontrol. Contohnya, kesalahan transposisi kemungkinan besar dilakukan oleh petugas yang bertanggungjawab untuk input data, dan kesalahan ini akan tetap tidak terdeteksi sampai pengecekan digit dilakukan. Dalam kasus lain, perbuatan kontrol sebagai penghindaran. Contohnya, alaram pencurian mungkin menakut nakuti penyusup dari usaha pemasukan yang tidak berwenang pada senter komputer. Manfaat sistem kontrol adalah mengkalkulasikan dengan menentukan pengurangan kerugian yang diharapkan yang akan muncul dari kesalahan dan ketidakaturan dengan kebaikan eksistensi sistem kontrol. Untuk mennetukan apakah kontrol tersebut ialah efektif harga, oleh karenanya, auditor harus membandingkan pengurangan di kerugian yang diharapkan yang akan muncul dengan kebaikan memiliki kontrol dengan harga desain, implementasi, operasi, dan memelihara kontrol. Sayangnya, menentukan ukutuan dari parameter ini tidak terusterang. Contohnya, kontrol mungkin mengurangi kerugian yang diharapkan muncul dari beberapa tipe kesalahan dan ketidakaturan. Luas dari pengurangan kerugian, wlaau bagaimanapun, mungkin tergantung dari kontrol apa yang sudah diletakan dan seberapa handal kontrol tersebut beroperasi. Secara sama, harga yang terasosiasi dengan desain, implementasi, operasi, dan pemeliharaan kontrol mungkin bergantung pada kontrol apa yang sudah diletakan. Ekonolik skala mungkin muncul, contohnya, pada relasi pada harga operasi dan memelihara tipe kontrol yang mirip.
Figure 21-9 Mengevaluasi keefektifan harga dari kontrol
RINGKASAN Saat mengevaluasi penjagaan aset dan data integrity, auditor berusaha untuk menentukan apakah aset bisa dihancurkan, dibahayakan, atau digunakan untuk tujuan yang tak berwenang, dan seberapa baik penyelesaian akhir, penyuaraan, kemurnian, dan kejujuran data dipelihara. Proses evaluasi melibatkan auditor membuat penilaian global kompleks menggunakan sedikit demi sedikit bukti yang diambil di kekuatan dan kelemahan dari sistem kontrol internal. Untuk mengevaluasi seberapa baik sistem kontrol internal menjaga asset fan memelihara data integrity, mengukur penjagaan asset dan data integrity ialah dibutuhkan. Pengukuran biasa adalah kerugian dollar yang diharapkan dari penjagaan asset dan kesalahan dollar, kesalahan kuantitas, dan jumlah kesalahan sistem bisa produksi untuk data integrity. Saat auditor membuat penilaian evaluasi global, mereka mencari untuk menentukan pengaruh yang kuat dari kekuatan kontrol individual dan kelemahan dari keseluruhan keandalan sistem. Mereka membuat penilaian ini pada kesimpulan evaluasi awal mereka dari sistem kontrol internal dan setelah mereka menyelesaikan tes kontrol mereka dan tes substantif. Faktor utama yang muncul untuk mempengaruhi kualitas auditor penilaian evaluasi global adalah kemampuan kognitif mereka, pengetahuan mereka, faktor lingkungan mereka seperti teknologi audit yang mereka peroleh tersedia untuk membantu mereka, dan motivasi level mereka untuk membuat penilaian dengan baik. Di chapter ini, kita telah fokus ada teknologi audit yang auditor bisa gunakan untuk membantu mereka membuat keputusan evaluasi global. Teknologi ini mengambil bentuk matriks kontrol, model penentuan, model keandalan software, model keandalan mesin, model Bayesian, model simulasi, dan sistem ahli. Evaluasi dari kontrol internal harus dipertimbangkan dengan kerangkan keefektifan harga. Auditor harus memperkirakan aliran manfaat dan asosiasi harga dengan desain, implementasi, operasi, dan pemeliharaan sistem kontrol internal. Mereka harus memeperkirakan rating discount yang mereka akan gunakan untuk aliran manfaat dan harga ini. Auditor kemudian bisa mengkalkulasikan nilai saat ini dari sistem untuk menentukan apakah investasi yang bermanfaat.