EDP Auditing

O l e h : Ya n u a r E . R e s t i a n t o yan_restianto@yahoo.com

Prasyarat
Auditing Accounting Information System Management Information System Windows, MsExcel Accounting Application Analysis & Design System DBMS

Silabus
EDP Auditing/IS Audit Overview Konsep dasar kerja komputer Konsep pengolahan data Resiko dalam lingk. bisnis terkomputerisasi Pengendalian dalam lingkungan EDP Teknik audit berbantuan komputer (TABK) Proses audit EDP Evaluasi record hasil sistem EDP Teknik audit modern Audit dan pengendalian kejahatan komputer Studi kasus (praktikum menggunakan audit software)

IS Audit Overview
Perkembangan ICT (information & comm tech)

dalam dunia bisnis khususnya accounting computerized berdampak pada perubahan proses audit Metode pengendalian pengolahan data juga berubah Tiga keahlian auditor dalam sistem EDP: 1) konsep komputer dan desain sistem, 2) kemampuan identifikasi resiko dan pengendalian efektif untuk kurangi resiko, 3) kemampuan menggunakan komputer untuk audit

Auditing Keuangan VS Auditing EDP

Karakteristik sistem manual adalah inkonsistensi

manusia yg mengolah data, shg audit sistem manual concern pd evaluasi bukti pendukung Karakteristik sistem EDP adalah konsistensi pengolahan dan ketergantungan terhadap bukti pendukung elektronik (yg rentan manipulasi), shg audit EDP concern pd kelayakan pengendalian sistemnya (control)

Konsep dasar kerja komputer

Apa itu komputer? Komputer berasal dari bahasa latin computare yang mengandung arti menghitung. Karena luasnya bidang garapan ilmu komputer, para pakar dan peneliti sedikit berbeda dalam mendefinisikan termininologi komputer, seperti:
komputer adalah mesin penghitung elektronik yang cepat dan dapat menerima informasi input digital, kemudian memprosesnya sesuai dengan program yang tersimpan di memorinya, dan menghasilkan output berupa informasi komputer adalah suatu pemroses data yang dapat melakukan perhitungan besar secara cepat, termasuk perhitungan aritmetika dan operasi logika, tanpa campur tangan dari manusia

Aspek dasar sistem komputer Hardware Software Brainware Procedure

Klasifikasi komputer

Berdasarkan data yg diolah

Komputer analog Komputer digital Komputer hybrid Special purpose computer General purpose computer Micro computer Mini computer Small computer Medium computer Large computer Super computer Generasi I (1945 1959) Generasi II (1959 1964) Generasi III (1964 1979) Generasi IV (1979 1990) Generasi V (1990 skrg)

Berdasarkan penggunaannya

Berdasarkan kapasitas dan ukuran

Berdasarkan generasi

Hardware
Komputer apapun jenisnya, selalu memiliki peralatan-

peralatan:

Input device Central Processing Unit (CPU) Output Device dan External memory/storage

CPU Input Device

keyboard mouse light pen scanner touch screen microphone dll intrnl mem ALU ctrl unit harddisk

Output Device monitor printer plotter speaker dll

disket
flashdisk

card mem
CD

tape
Ext memory

Software
Operating System Application software Bahasa pemrograman Compilers, Assembling dan interpreters Utilities/Tools

Konsep pengolahan data

Tahapan pengolahan data: Recording Clasifying Sorting Calculating Summarizing/ Reporting Storing Retrieving Reproducing Communicating

Perkembangan pengolahan data

1 2

Manual System (Kertas, Pencil, Typewriter)

Bookkeeping System (Cash Register)

4
Electronic Data Processing System (Komputer)

Unit Record Equipt. (Punched-card, Sorter Machine)

Pemrosesan Data

Batch Input and Processing

Dokumen dikumpulkan dan diproses ke dalam media yang dapat dibaca komputer dan masih merupakan transaction file

On Line Input With Batch Processing

Transaksi tidak dikumpulkan terlebih dahulu. Setiap transaksi langsung dimasukkan ke terminal, disimpan secara on-line dan diproses dalam master file secara periodik transaksi dimasukkan secara sendiri-sendiri ke terminal dan master file langsung berubah pada saat transaksi itu dimasukkan

On Line Input With a Real Time Processing

Perbedaan audit dgn komputer dan manual

SEGI SISTEM KOMPUTER SISTEM MANUAL

1. Visibility

(a) Dokumen tidak dapat dilihat. (b) Proses langsung masuk komputer dan otomatis mempengaruhi laporan (c) Secara serentak memenuhi beberapa tujuan.
Lebih banyak dan lebih cepat. Ahli bidang komputer Pengumpulan dan memroses data.

(a) Dapat dilihat (b) Dicatat dan tidak otomatis mempengaruhi laporan keuangan. (c) Tidak secara serentak

2. Sarana dan Fasilitas 3. Personalia 4. Pemisahan Tugas

Sedikit dan lebih lama tidak diperlukan tidak dipisahkan

Resiko dlm lingk. bisnis terkomputerisasi

Resiko (risk) atau exposure adalah kondisi yg dpt

mengakibatkan kerugian bagi organisasi Untuk mengurangi resiko diperlukan pengendalian (control) Auditor perlu melakukan risk analysis untuk mengevaluasi resiko, ancaman, pengendalian dan kerawanan dalam suatu lingkungan bisnis yg terkomputerisasi Dua hal yg harus diketahui mengenai resiko: 1) identifikasi resiko, 2) menetapkan besarnya resiko Resiko fisik: kebakaran, banjir, gempa, dll Human risk: kesalahan, kelalaian, kecurangan, penyimpangan, dll Suatu damaging event adalah materialisasi resiko atas aktiva organisasi

Resiko yg timbul karena ICT - #1

Penggunaan teknologi secara tdk layak

contoh: analis sistem/programmer tdk cukup ahli menggunakan teknologi, user terlalu dini atas hardware/ software baru Pengulangan kesalahan (kesalahan pemrograman, hardware, dsb) Kondisi ini terjadi karena tidak cukupnya test program, tidak dimonitoringnya hasil pemrosesan Kesalahan berantai Pemrosesan tdk logis, terjadi karena tidak dicermatinya dokumen output hasil proses Kesalahan menterjemahkan user requirement Terjadi karena user tidak memiliki pemahaman EDP yg baik, analis sistem/programer tdk paham kebutuhan user secara rinci Ketidakmampuan mengendalian teknologi (banyak pengendalian yg diabaikan demi efisiensi operasional, prosedur2 yg tdk memadai)

Resiko yg timbul karena ICT - #2

Input data tidak benar Ketidakmampuan bereaksi secara cepat Ketidakmampuan mendukung pemrosesan Konsentrasi data Konsentrasi tanggungjawab Akses sistem tidak terkendali Security sistem yg tidak baik Kesalahan prosedural pemakaian fasilitas EDP Kesalahan program (bug) Kerusakan sistem komunikasi

Penetapan besarnya risk

Perkiraan Kerugian Tahunan (PKT) = Kerugian x Frekuensi

Kejadian Contoh: Setiap 1 minggu terjadi kesahalan pemasukan data sebanyak 100 kali, dimana sekali terjadi kesalahan, perusahaan rugi sebesar Rp. 1.000,Berarti dalam seminggu perusahaan rugi Rp 100.000 Berarti biaya maksimal yg dikeluarkan perusahaan untuk menerapkan pengendalian agar resiko tersebut tidak terjadi adalah Rp 100.000 per minggu atau Rp 5.200.000 per tahun.

Hal-hal yg dapat ditempuh utk mengurangi resiko

Mengubah lingkungan yang ada Membangun sistem pengamanan

Memperbaiki prosedur
Deteksi dini Rencana strategis untuk mengantisipasi kerugian

Pengendalian dlm lingk EDP

Pengendalian dalam sistem PDE meliputi hal-hal sebagai berikut : Rencana struktur dan pengoperasian sistem PDE. Prosedur pendokumentasian, audit, pengujian dan persyaratan atau sistem perubahannya. Pengendalian yang tercakup dan melekat dalam komputer tersebut (hardware control). Pengendalian pada manusia yang mengerjakan dan mengakses pada komputer dan arsip. Prosedur pengendalian lainnya yang berkaitan dengan operasi PDE

Contoh Questioner Pengendalian

NO. 1. OPERATIONAL CONTROL AUDIT PROGRAM

Apakah terhadap seluruh operasi komputer telah dilakukan penjadwalan sehingga dapat diselesaikan tepat waktu dan efisien
Apakah telah ditetapkan staf yang bertanggungjawab untuk mengelola media penyimpanan dalam komputer Apakah ada prosedur pengelolaan media penyimpanan dalam rangka melindungi data dari penyalahgunaan atau kerusakan Apakah terdapat standar penggunaan identifikasi (eksternal dan internal label) terhadap seluruh media penyimpanan yang digunakan 2. PHYSICAL, LOGICAL ACCESS DAN PHYSICAL SECURITY Apakah telah ditetapkan staf yang bertanggungjawab mengenai masalah physical dan logical access

Apakah lokasi ruang pusat komputer telah terpisah dari bagian lain serta keberadaannya tidak mencolok
Apakah terhadap setiap pegawai yang berkepentingan dalam sistem telah diberikan User ID yang unik, serta telah dialokasikan access previllege sesuai dengan tugas dan tanggungjawabnya Apakah terdapat prosedur yang secara periodik mengharuskan dilakukan evaluasi dalam rangka mengidentifikasi dan mengatasi adanya aktivitas yang tidak diotorisasi

3.

ENVIRONMENTAL CONTROL Apakah ruang komputer telah dilengkapi dengan alat pendeteksi dan pencegah kebakaran Apakah telah terdapat pelatihan dalam rangka menghadapi bahaya kebakaran Apakah ruang komputer telah dilengkapi dengan alat pendingin udara serta alat pengatur kelembaban Apakah terhadap komputer utama/server telah dipasang UPS

4.

TROUBLESHOOTING Apakah terdapat prosedur backup yang memadai terhadap data/aplikasi kritis Apakah terdapat cadangan perangkat keras (replacement backup) yang memadai untuk menjalankan aplikasi kritis apabila perangkat yang ada tidak dapat dipergunakan Apakah telah tersedia office storage untuk menyimpan backup data/aplikasi/ dokumendokumen sistem Apakah telah tersedia backup data/aplikasi diluar organisasi

5.

SYSTEM DEVELOPMENT AND MAINTENANCE Apakah terdapat prosedur tertulis yang baku yang dipakai dalam melakukan pengembangan dan pemeliharaan sistem Apakah terdapat keterlibatan user dalam pengembangan sistem Apakah terdapat dokumentasi yang cukup untuk setiap aplikasi/sistem yang ada Apakah satuan pengawas intern dilibatkan dalam setiap pengembangan sistem

6.

HARDWARE AND O.S. CONTROL Apakah hardware yang digunakan telah memiliki pengendalian yang memadai untuk mendeteksi kerusakan hardware Apakah operating system yang dipakai telah memiliki pengendalian yang memadai untuk mendeteksi ketidakwajaran yang timbul dalam penggunaan resources (hardware, software, network) Apakah terdapat jaminan dari vendor atas hardware dan software yang dibeli

Apakah terdapat asuransi terharap hardware yang memiliki resiko tinggi atas kerusakan
7. APPLICATION CONTROL INPUT Apakah terdapat prosedur penyiapan data yang harus ditaati oleh user, termasuk perubahan data yang permanen, semi permanen maupun koreksi data untuk menjamin seluruh transaksi telah terekam Apakah terdapat prosedur untuk menjamin bahwa seluruh transaksi yang masuk dan terekam dalam komputer adalah hanya transaksi yang telah terotorisasi secara sah Apakah terdapat prosedur yang menjamin bahwa serluruh transaksi yang telah diotorisasi telah direkam secara akurat ke dalam komputer Apakah terhadap tampilan input dilakukan evaluasi agar sesuai dengan standar Human Computer Interaction

8.

APPLICATION CONTROL PROCESS

Apakah terdapat prosedur yang dapat menjamin bahwa seluruh transaksi yang telah terotorisasi telah diproses
Apakah terdapat prosedur yang dapat menjamin bahwa seluruh transaksi yang telah terotorisasi telah diproses secara akurat Apakah source dokumen asli telah tersimpan untuk jangka waktu tertentu sehingga memungkinkan untuk dilakukan rekonstruksi data Apakah terhadap proses dilakukan evaluasi tentang akurasi dan kecepatannya 9. APPLICATION CONTROL OUTPUT Apakah terdapat prosedur yang dapat menjamin bahwa output dari sistem informasi selalu direview oleh user manajemen untuk menentukan kelengkapan, akurasi dan konsistensinya

Apakah terdapat suatu metode dalam meyakinkan bahwa prosedur pengendalian kelengkapan, akurasi dan keabsahan selalu dijalankan Apakah terdapat kebijakan dan prosedur yang mengatur lamanya suatu data/dokumen harus disimpan sebelum dihapus/dimusnahkan
Apakah terdapat prosedur yang menjamin bahwa output dihasilkan dari data dan proses yang benar

Karakteristik Organisasi PDE

Pemusatan fungsi dan pengetahuan Pemusatan program dan data

Sifat PDE

Tidak adanya dokumen masukan Dalam sistem transaksi on line, bukti tertulis untuk setiap otorisasi entri data individual (misalnya pengesahan entri order dalam on line sistem) dapat digantikan dengan prosedur lain, seperti pengendalian otorisasi dalam program komputer (contohnya adalah pengesahan batas kredit). Tidak adanya jejak transaksi (transaction trial). Data tertentu hanya disimpan dalam file komputer. Dalam sistem manual, umumnya terdapat kemungkinan untuk mengikuti suatu transaksi melalui sistem dengan memeriksa dokumen sumber, buku pembantu , catatan, file, dan laporan. Namun dalam lingkungan PDE, jejak transaksi dapat sebagian berbentuk file yang hanya dapat dibaca oleh mesin. Disamping itu, file tersebut hanya untuk jangka waktu yang terbatas. Tidak adanya keluaran yang dapat dilihat dengan mata. Data dan program komputer dapat diakses dan diubah dalam komputer

General Control
Tujuan General Control adalah untuk membuat

rerangka pengendalian menyeluruh atas aktivitas PDE, dan untuk memberikan tingkat keyakinan memadai bahwa tujuan pengendalian intern secara keseluruhan dapat tercapai. Pengendalian Umum meliputi: Pengendalian organisasi dan manajemen Pengendalian terhadap pengembangan dan pemeliharaan sistem aplikasi Pengendalian terhadap operasi sistem Pengendalian terhadap perangkat lunak sistem Pengendalian terhadap entri data dan program

Application Control

Tujuan Application Control adalah untuk menetapkan prosedur pengendalian khusus atas aplikasi akuntansi dan untuk memberikan keyakinan yang memadai bahwa semua transaksi telah diotorisasi dan dicatat serta diolah seluruhnya dengan cermat dan tepat waktu Application control meliputi:

Pengendalian sistem aplikasi Pengendalian terhadap operasi komputer Pengendalian pada sistem software Pengendalian terhadap program dan input data Pengendalian Proses Pengendalian Sistem On-Line

TABK/Computer Assisted Audit Techniques (CAATs)

Audit arround the computer

Audit through the computer (internal

control audit) Audit with the computer (subtantive audit)

Audit arround the computer

Yang dapat dilakukan: Menelaah SPI Pengujian transaksi Verifikasi saldo Tidak melakukan pengujian thd sistem EDP Pengujian sebatas kualitas input dan output Teknik ini cocok untuk kondisi: 1. Dokumen sumber tersedia dlm bentuk fisik 2. Dokumen mudah ditemukan 3. Output mudah ditelusur dok sumbernya atau sebaliknya 4. Sistem komputer yg ada masih sederhana 5. Software aplikasi yang digunakan adalah software yg umum dipakai dan telah teruji

Audit arround the computer

Keunggulan: Sederhana Auditor tidak harus memiliki pengetahuan tentang komputer secara luas

Kelemahan: 1. Perubahan lingkungan sistem sangat berpengaruh, sehingga relatif sulit untuk menilai sistem dengan baik

Audit through the computer

Fokus pengujian pada operasi pemrosesan dalam sistem komputer Teknik ini cocok untuk kondisi: 1. Sistem aplikasi menerima input yg relatif besar dan menghasilkan output yg besar pula 2. Sebagian besar SPI ada dalam sistem komputer 3. Sistem logika komputer sangat kompleks dan banyak fasilitas 4. Terlalu sulit jika audit secara manual dengan pertimbangan biaya manfaat

Audit through the computer

Keunggulan: 1. Auditor punya kemampuan besar dan efektif dalam menguji sistem komputer 2. Tingkat keyakinan auditor tinggi thd hasil kerjanya 3. Auditor dapat menilai kemampuan sistem komputer dalam menghadapi perubahan lingkungan Kelemahan: 1. Biaya audit relatif besar 2. Lingkup pemeriksaan lebih kompleks 3. Kemampuan auditor dalam bidang komputer harus tinggi

Teknik Audit - Data Test (Data uji)

Pelaks. prosedur audit dgn cara masukan data ke komputer klien, bandingkan hasilnya dgn hasil yg telah ditentukan. Penggunaan data test: Uji pengendalian sistem komputer (online password, data access, dll) Uji karakteristik pengolahan data Perhatikan! 1. Data uji mencakup kondisi data sah dan tidak sah 2. Program yg diuji adalah yg dipakai klien dlm periode yg diaudit 3. Data uji dihapus dari komp klien setelah selesai 4. Amati pemrosesan transaksi oleh operator

Teknik Audit - Data Test (Data uji)

Kelemahan: 1. Biaya relatif mahal 2. Waktu pengujian relatif lama 3. Program pengujian sering berubah 4. Bagi auditor pemula, sulit mendeteksi fraud 5. Bersifat statis karena fokus pada waktu ttt 6. Fokus pada aplikasi individual shg pengujian tdk komprehensif thd seluruh pemrosesan transaksi 7. Relatif sulit diterapkan dalam sistem online krn data akan terkontaminasi

Teknik Audit Integrated Test Facility (ITF)

Pengembangan dari teknik data uji, pemasukan data secara terpadu/ bersama transaksi sesungguhnya. Hasil pemrosesan disimpan dalam fasilitas pengujian yg akan memisahkan data uji dgn data sesungguhnya. Keunggulan: 1. Simulasi lebih dekat dgn transaksi sesungguhnya 2. Cocok untuk sistem online 3. Data sesungguhnya tidak terkontaminasi 4. Memungkinkan pengujian secara komprehensif 5. Hasil evaluasi sistem lebih baik Kelemahan: 1. Biaya perencanaan relatif tinggi 2. Kode program dapat disalahgunakan oleh karyawan programmer

Audit file
Audit Software

- Verfikasi perhitungan - Memeriksa kelengkapan, konsistensi dan kebenaran data - Membandingkan data antar file - Summary, Sorting - Comparing data - Audit sampling - Cetak konfirmasi Paralel Simulation Auditor membuat sendiri program yg sama dgn program komputer klien. - Cocok untuk pengujian substatif dan complain test - Auditor harus bisa buat program, biaya relatif mahal, waktu lebih lama

Audit file

Modul audit terpasang (Embedded Audit Modul)

Menggunakan modul program yg dipasang pada sistem komputer klien, untuk menghimpun data audit. Cara kerja: Modul terpasang akan bekerja bersamaan dgn aplikasi yg ada, mengecek setiap transaksi, jika memenuhi kriteria akan disimpan dalam log audit. Metode ini sering dikenal dengan SCARF (system control audit review file)

Audit with the computer

Metode:
1.

SCARF (system control audit review file)

Snapshot Penggolongan software audit: Generalized Audit Software (GAS) Specialized Audit Software (SAS) Utility Programs
2.

Generalized Audit Software

Fungsi: 1. Membuka data dari klien utk masuk ke file audit 2. Calculating, Comparing data, Summarizing, Analisys, Sorting, Merge, Statistical sampling 3. Analitical review Kelemahan: Pemakaiannya relatif sulit Harga relatif mahal Jangkauan terbatas Hanya dapat baca file secara serentak Sulit membaca data over network

Specialized Audit Software (SAS)

Alasan digunakannya SAS: Tidak ada software lain Keterbatasan kemampuan software yg ada Efisiensi Tingkatkan pemahaman sistem Mempermudah persiapan Tingkatkan idependensi auditor

Utility Programs
Untuk kumpulkan bukti, sortir data, merge file,

copy files, delete files, file convert, restructure file Jenis utility programs: Prog. utk bantu pahami sistem aplikasi Prog. utk kumpulkan bukti ttg kualitas data Prog. utk kumpulkan bukti pd program lain Prog. utk kembangkan dan terapkan SAS Prog. utk kumpulkan bukti efisiensi dan produktivitas sistem

TAHAP-TAHAP AUDIT EDP

1. 2. 3. 4. 5.

Pemeriksaan Pendahuluan Pemeriksaan Rinci Pengujian Kesesuaian Pengujian Kebenaran Bukti Penilaian Umum atas Hasil Pengujian

TAHAP-TAHAP AUDIT EDP

Pemeriksaan Pendahuluan Audit terhadap susunan, struktur, prosedur dan cara kerja sistem komputer yang ada dalam perusahaan/organisasi. Auditor dapat memutuskan apakah audit akan diteruskan atau tidak. Pemeriksaan Rinci Memahami stuktur pengendalian yang diterapkan. Auditor harus mendapatkan pengetahuan tentang sistem akuntansi untuk memperoleh pemahaman atas lingkungan pengendalian secara menyeluruh dan aliran transaksi. Auditor harus dapat menilai apakah pengendalian yang diterapkan memadai atau tidak.

TAHAP-TAHAP AUDIT EDP

Pengujian Kesesuaian Menguji apakah struktur pengendalian dijalankan sebagaimana mestinya atau tidak. Pengujian dapat dilakukan dengan COMPUTER ASSITED EVIDANCE COLLECTION TECHNIQUES (CAECTs). Pengujian Kebenaran Bukti (substantive test) Mendapatkan bukti yang cukup kompeten, sehingga auditor dapat memutuskan apakah resiko yang material dapat terjadi atau tidak selama pemrosesan data di komputer. Tahapan pengujian: Mengidentifikasi kesalahan dalam pemrosesan data Menilai kualitas data Mengidentifikasi ketidakkonsistenan data Membandingkan data dengan perhitungan fisik Konfirmasi data dengan sumber-sumber dari luar perusahaan

TAHAP-TAHAP AUDIT EDP

Penilaian Umum atas Hasil Pengujian Auditor diharapkan telah dapat memberikan penilaian apakah bukti yang diperoleh dapat atau tidak mendukung informasi yang diaudit. Hasil penilaian tersebut akan menjadi dasar bagi auditor untuk menyiapkan pendapatnya dalam laporan auditan.

Dokumentasi Audit
Kertas kerja teknis yang berkaitan dgn TABK sebaiknya dipisahkan dari

kertas kerja audit yg lain. Kertas kerja untuk TABK harus konsisten dengan kertas kerja untuk audit secara keseluruhan. Kertas kerja harus berisi dokumentasi memadai, seperti: 1. Perencanaan, yang meliputi: - Tujuan TABK - Pengendalian yang dilaksanakan - Staf yang terlibat - Saat penerapan, dan - Biaya

Dokumentasi Audit
2. Pelaksanaan audit, yang meliputi: - Prosedur persiapan, pengujian serta pengendalian TABK - Rincian pengujian yang dilaksanakan dengan TABK - Rincian masukan, pengolahan, dan keluaran - Informasi teknis yang relevan ttg sistem akuntansi, seperti: file layout atau file description atau record definition - Informasi mengenai sistem operasi yang digunakan - Informasi mengenai jenis, ukuran, media storage - Informasi mengenai sistem penggandaan file. 3. Bukti Audit, yang meliputi: - Keluaran yang tersedia - Penjelasan pekerjaan audit yang dilaksanakan thd keluaran - Kesimpulan audit 4. Rekomendasi kepada manajemen perusahaan (klien)

Teknik Audit Modern

Karakteristik: Telekomunikasi (online, realtime) Integrasi data Transaksi secara otomatis Jejak audit sementara Jenis teknik audit modern: 1. Teknik perencanaan dan manajemen audit 2. Teknik test pengendalian aplikasi 3. Teknik pemilihan dan pemantauan transaksi 4. Teknik verifikasi 5. Teknik analisis program aplikasi 6. Teknik audit pusat komputer 7. Teknik pengembangan sistem aplikasi

Audit dan Pengendalian Kejahatan Komputer

Metode kejahatan dgn komputer: 1. Penipuan data 2. Kuda Troya, penempatan instruksi tersembunyi dalam program 3. Teknik Salami, pengambilan sebagian kecil tanpa terlihat secara keseluruhan 4. Superzapping, program dgn akses universal 5. Pintu jebakan, ruang untuk customize program selama fase debugging 6. Bom logika, program komputer yg dijalankan pd waktu tertentu 7. Serangan asinkron, memanfaatkan asinkronisasi sistem komputer 8. Scavenging, pencarian temporary data 9. Kebocoran data 10. Piggybacking dan peniruan, menduplikasi identitas pemakai sistem 11. Pembajakan jalur komunikasi 12. Simulasi dan pemodelan

Keahlian Auditor EDP

Keahlian minimum seorang auditor EDP adalah sbb: 1. Pengetahuan dasar-dasar komputer dan fungsi komputer secara umum 2. Pengetahuan dasar sistem operasi (operating system) dan perangkat lunak 3. Pemahaman tentang teknik pengolahan file dan struktur data 4. Kemampuan bekerja dengan perangkat lunak audit 5. Kemampuan mereview sistem dokumentasi 6. Pengetahuan dasar tentang pengendalian PDE 7. Pengetahuan yang memadai ttg perancangan audit dan supervisi pelaksanaan audit dalam lingkungan PDE 8. Pemahaman dinamika perkembangan dan perubahan sistem dan program dalam suatu perusahaan

www.informationactive.com ActiveData for Excel ActiveData for Office

Additional Info

What is data?

Data is Information. It Takes many forms : Oral

Visual And today - Electronic

Problems with data

Data needs to be understood. Data is represented in many ways Languages Gestures Formats

We often need translation

Electronic Data Formats

Binary All characters/symbols represented by a series

of 1s or 0s. 4=100 Hexadecimal All characters/symbols represented through range 0-9,A-F 4=4, 15=F

The Flow of Data

Payroll Vote 1 General Ledger

All Transactions

Vote 2
NON PAY

Cumulative file

Data Transfer and manipulation

Data can be transferred by : copying
modem downloading from tape

Restoring from floppy/tape

Data storage / Transfer

Magnetic Tape Network

Cassette

PC to PC Link
Modem

Floppy Disk

More Transfer Methods

From PC to PC

Across a Network

Data transfer in a windows environment

With the advent of Windows data can be easily

transferred/accessed :

OLE ODBC Cut and Paste Extensive data Import/Export options

ODBC (On line Database Connectivity)

Windows Application ODBC Drivers

ODBC
Data Sources Interrogation Software

Data Manipulation
Why Manipulate Data ?

Block padding remains after downloading Downloaded file is a VME file Data is not fixed length Data is a print file. Page breaks and headings need to be removed Additional information needs to be added to rebuild data relationships that existed on clients system. How is data manipulated Editing Conversion program during download Conversion program written in-house Off the shelf manipulation package

Editing
Not recommended with audit data i.e. amount fields

or text. Used to remove page break characters or commas from small files Any DOS editor or word-processor will serve Small character replacement utilities are also used

Conversion During Download

Quite a common feature with magnetic tape reading

utilities

Depot Tapeutl

Usually converts ASCII to EBCDIC and vice versa

In-house conversion programs

Used to : Create fixed length records Unblock VME files Remove headings from print files Restructure print files from column to row format Write different record types to separate files

Off-the-shelf software
Used to : Manipulate print files

Auto-import Monarch

Import files and export

to different formats

Smart Idea Software Bridge

FILE ORGANISATION
Sequential Tape file, Records in no particular order .

Index Records have a key to determine order This is a disk file. Random A hash total of the key determines the records location on the file (for fast access)

Database management systems

Flat file A series of data records with no relationship to any other file. Relational A series of data files (tables), each of which shares a relationship with the other. Amending one can amend them all. Hierarchical Records in varying levels e.g.. Account , Sub Account, Sub Sub Account......with each level feeding into the next.