CHAPTER 1 AUDITING, ASSURANCE, ASSURANCE, DAN INTERNAL CONTROL BERBAGAI JENIS AUDIT Defnisi Audit: pros proses es sist sistem emat atis is dari dari memp memper erol oleh eh dan dan mengevaluasi u!ti se"ara o#e!ti$ pern%ataa pern%ataan n %ang tegas tegas mengenai mengenai tinda!an tinda!an dan !e#adian e!onomi untu! memasti!an dera#at huungan antara per pern%a n%ataa taan ters terse eut ut dan dan mema emang ngun un !riteria& dan meng!omuni meng!omuni!asi !asi!an !an hasiln%a hasiln%a !epada !epada piha! %ang er!epentingan
•
•
•
•
•
•
•
Audit Internal: 'ungsi ungsi penila penilaian ian indepe independe nden n dalam dalam suatu suatu organisasi untu! memeri!sa dan mengev mengevalu aluasi asi a!tivi a!tivita tas s seaga seagaii suatu suatu #asa #asa agi organisasi Auditor internal mela!u!an eragai a!tivitas sepert sepertii pemeri pemeri!sa !saan an !euan !euangan gan&& !etaa !etaatan tan a!tivitas operasi dengan !ei#a!an perusahaan perusahaan&& evaluasi evaluasi efsiensi efsiensi operasiona operasional& l& mendete!si serta men"ari !e"urangan dalam organisas organisasi& i& dan mela!u!an mela!u!an audit te!nologi te!nologi in$ormasi (TI) Dapat pula dila!u!an dar dari piha! ha! luar organisasi Auditor iasan%a ertanggung#a*a !epada !omite audit Sertif!asi auditor: +ISA (Certifed Ino Inorm rmat atio ion n Syst System em Au Audi dito tor r ) atau +IA (Certifed Internal Auditor ) Standar& petun#u!& dan sertif!asi diatur oleh Institute o Internal Auditor (IIA IIA) dan dan Ino Inorm rmat atio ion n Syst System em Au Audi ditt and and Cont Conttr trol ol Association (ISA+A) Association (ISA+A)
•
•
untu untu! ! mend mendu! u!un ung g atau atau meno menola la! ! tind tinda! a! !e"urangan Audi Au dito torr lei leih h sepe sepert rtii dete dete!t !ti$ i$&& tida tida! ! ada ada materialitas& tu#uann%a adalah !epas epasti tian an1h 1hu! u!um uman an #i!a #i!a ada ada u!t u!tii %ang %ang "u!up dari !e"urangan Sert Sertif if! !asi asi audit udito or: +'E +'E ( Certif Certifed ed Fraud Fraud Examiner ) Standar& petun#u!& dan sertif!asi diatur oleh Association o Certifed Fraud Examiners (A+'E)
Audit E!sternal: Tu#uann%a Tu#uann%a adalah ah*a pada semua hal %ang %ang mate materi rial al&& /apo /apora ran n 2euan euanga gan n (/2) (/2) disa#i dis a#i!a !an n se"ar se"ara a *a#ar *a#ar dari dari transa transa!si !si dan "atatan perusahaan1 organisasi SE+3s role& S-A& 'ASB& .+A-B Sert Sertif if! !asi asi audi audito tor: r: +.A +.A ( Certif Certifed ed Public Public Accountant ) Standar& petun#u!& dan sertif!asi diatur oleh American Institute o Certifed Public Accountants (AI+.A) Accountants (AI+.A)
•
• •
•
.eredaan Audit E!sternal dan Internal No4
•
5
•
6
•
7
•
Audit TI: ,en%edia!an #asa audit dimana proses atau data atau !eduan%a mele!at dalam eragai entu! te!nologi Su#e!: !ode eti!& S-.& dan standar pro$esi (#i!a tersertif!asi) Standar& petun#u!& dan sertif!asi diatur oleh Ino Inorm rmat atio ion n Syst System em Au Audi ditt and and Cont Conttr trol ol Association (ISA+A) Association (ISA+A) Tergaung Tergaung dengan internal& e!sternal& dan raud audit raud audit /ing /ing! !up audi auditt TI sema sema!i !in n er! er!em ema ang ng&& dengan "iri diguna!ann%a +omputer Assisted Audit Tools and Te"hni0ues (+AATTs) IT Gove Govern rnan ance ce meru merupa pa!a !an n agi agian an dari dari Corporate Governance
8
•
9
•
•
•
Audit E!sternal Independent auditor (+.A) Independensi diterap!an oleh SE+3s& S-A& AI+.A Di*a#i!an ol oleh SE SE+ untu! perusahaan perdagangan puli" ,erupa!an audit !euangan
,e*a!ili !epenting ingan piha! luar1puli"(misal: stockolders) stockolders) Standar& pe petun#u!& sertif!asi oleh AI+.A& 'ASB& .+A-B (didelegasi!an oleh SE+)
Audit Internal Auditor (+IA1+ISA) Independensi diterap!an dari priadi masing6 -psional sesuai !eutuhan mana#emen /eih luas dari se!edar audit !euangan (operasional dll) ,e*a!ili !epentingan organisasi (intern) Standar& petun#u!& sertif!asi oleh IIA dan ISA+A
•
•
AUDIT 2EUANGAN Defnisi Audit 2euangan: 2euangan: Atestasi independen oleh auditor (+.A) %ang menggamar!an opini ter!ait pen%a#ian /2 .rodu! $ormal erupa opini ini tentang reliailitas asersi dalam /2 dan !esesuaiann%a !esesuaiann%a dengan GAA. .ern%ataan opini auditor merupa!an pun"a! dari dari pros proses es audit udit %an %ang sis sistem tematis tis dan
•
•
Fraud Audit ,en%edia!an #asa investigasi dimana diduga terdap terdapat at anomal anomali& i& mengem mengeman ang!a g!an n u!ti u!ti
•
•
Diana Setia*ati1 ;A Reguler1 5< =Resume =Resume Audit Sistem In$ormasi>James ?all ?all @
5
meliat!an 7 tahapan !onseptual& %aitu pengendalian terhadap organisasi isnis& evaluasi dan pengu#ian internal control& dan menilai reliailitas data !euangan ?uungan antara Assurance Service dan Attest Service!
Attest Service Defnisi: per#an#ian dimana seorang pra!tisi %ang di!ontra! untu! mengeluar!an atau telah mengeluar!an seuah !omuni!asi tertulis %ang men%ata!an suatu !esimpulan mengenai !eandalan seuah penilaian tertulis %ang merupa!an tanggung #a*a piha! lainn%a .ers%aratan %ang erla!u untu! #asa atestasi: adan%a pern%ataan tertulis dan laporan tertulis dari pra!tisi ter!ait& pen%usunan $ormal !riteria pengu!uran atau des!ripsi dalam pen%a#iann%a& dan teratas pada pemeri!saan& reviu& penerapan prosedur %ang disepa!ati seelumn%a
•
•
Assurance Jasa pro$essional %ang diran"ang untu! mengemang!an !ualitas in$ormasi& ai! fnansial maupun non fnansial& diguna!an oleh para pengamil !eputusan Unit organisasional %ang ertanggung #a*a untu! mela!u!an audit TI iasan%a diseut seagai IT "isk #ana$ement% IS "isk #ana$ement% &perational System "isk #ana$ement% Tecnolo$y and Security "isk Service& dan iasan%a merupa!an divisi dari #asa assurance
•
•
Standard Auditin$ Disusun oleh AI+.A Terdiri dari: 5< Generally Accepted Auditin$ Standards (GAAS) %ang di!elompo!!an dalam 7 !ategori: Standard Umum& Standard o Field 'ork & dan Standard .elaporan .ern%ataan standard auditing (SAS3s Statements on Auditin$ Standards) disusun seagai interpretasi legal atas GAAS
• •
Asersi mana#emen: 54 E!sistensi (existence or occurance) 64 2eleng!apan (completeness) 74 ha! dan !e*a#ian (ri$ts and obli$ations) 84 penilaian1alo!asi (valuation or allocation) 94 pen%a#ian dan pengung!apan ( presentation and disclosure) RISI2- AUDIT Audit "isk (A"): !emung!inan auditor memeri!an opini *a#ar atas /2& dimana pada !en%ataann%a /2 erisi !esalahan material dalam pen%a#ian %ang tida! ditemu!an auditor 7 !omponen Audit Ris!: 54 Inerent "isk (I"): risi!o audit %ang merupa!an !arateristi! unit a*aaan dari isnis atau industri dari !lien itu sendiri (ada #uga %ang ilang risi!o level a!un seelum memperhati!an e$e!tiftas pengendalian intern) 64 Control "isk (C"): disisi lain adalah adan%a "a"at pada !etiadaan atau !etida!"u!upan sistem pengendalian intern dalam men"egah error 74 *etection "isk (*"): risi!o %ang dapat diterima auditor ah*a error %ang gagal di"egah oleh pengendalian gagal #uga didete!si auditor4 Sutanti$ tes a!an sema!in esar1dalam dila!u!an !eti!a DR leih !e"il& auditor leih !onservati$1leih hati>hati4 Audit "isk #odel& AR IR +R DR
•
•
•
•
.ERAN 2-,ITE AUDIT Dipilih dari de*an dire!si Biasan%a terdiri dari tiga anggota -utsiders (S-C se!arang memerlu!an itu) Tanggung #a*a fdusia !epada pemegang saham ,ela!u!an ceck and balance %ang independen Berintera!si dengan auditor internal Berintera!si dengan auditor e!sternal
• • • •
•
• •
Diana Setia*ati1 ;A Reguler1 5< =Resume Audit Sistem In$ormasi>James ?all @
6
•
.en%elesaian !oni! dari GAA. auditor e!sternal dan mana#emen
antara
• • •
AUDIT TI Ber$o!us pada eragai aspe! erasis "omputer dalam s%stem in$ormasi perusahaan ,eliputi penilaian implementasi& operasi& dan pengendalian eragai sumer da%a "omputer %ang tepat
•
•
•
/ing!ungan TI Selalu ada !eutuhan untu! sistem pengendalian internal %ang e$e!ti$ Desain dan penga*asan dari sistem terseut iasan%a men#adi tanggung #a*a a!untan /ing!ungan TI mempersulit desain pengendalian internal %ang e$e!ti$ untu! sistem erasis !omputer #i!a dianding!an dengan sistem manual& %aitu: 54 Adan%a !onsentrasi data 64 .erluasan a!ses dan huungan 74 .ening!atan !egiatan eraha%a di sistem vs manual 84 .eluang %ang dapat men%ea!an penipuan mana#emen (%aitu& override) Stru!tur Audit TI: 54 .eren"anaan 64 .engu#ian pengendalian 74 .engu#ian sustantive •
•
•
SE+ A"ts Tahun 577 dan 578 +op%right /a* Tahun 5F 'oreign +orrupt .ra"ti"es A"t ('+.A) Tahun 5FF +ommittee o$ Sponsoring -rganiations (+-S-) Tahun 56 Saranes>-le% A"t Tahun 6<<6
•
Asumsi .en#elas: Tanggung #a*a piha! mana#emen& pementu!an dan pemeliharaan S.I merupa!an tanggung#a*a mana#emen& ah!an !e*a#ian hu!um Jaminan %ang *a#ar (Reasonale Assuran"e)& !eempat tu#uan umum pengendalian internal terpenuhi4 2e*a#aran artin%a tida! ada S.I %ang sempurna& dan ia%a untu! men"apain%a tida! leih dari man$aatn%a ,etode pemrosesan data& apapun metoden%a (manual& erasis "omputer atau erasis *e) harus me*u#ud!an !eempat tu#uan pengendalian internal4 2eteratasan& dalam hal e$e!tivitas meliputi: 54 2emung!inan ter#adin%a errors& No per$e"t s%stem 64 +ir"umvention& misal 22N personil 74 ,ana#emen mengaai!an "ontrol 84 2ondisi dinamis (eruah>uah) dalam industr%
•
•
•
•
Eposure dan Risi!o Eposure: !elemahan pengendalian Risi!o: potensi an"aman %ang dapat memaha%a!an penggunaan atau nilai eragai asset perusahaan
• •
The .D+ ,odel: .reventive +ontrols merupa!an !ontrol pasi$ di design mengurangi $re!uensi !e#adian tida! diingin!an4 +ontoh: pematasan !ara!ter entr% Dete"tive +ontrols merupa!an alat atau te!ni! dan prosedur %ang didesain untu! mengidentif!asi dan menge!spos peristi*a %ang tida! diingin!an %ang lolos dari preventive "ontrol4 +ore"tive +ontrols %aitu memali!!an pengaruh negative dari !esalahan %ang telah didete!si (memperai!i masalahn%a)4 -tomatisasi perai!an& isa men%ea!an masalah aru4 +ontoh pada ,H-B& !eti!a entr% a!un unalan"e& dia otomatis memperai!i sesuai standardn%a sendiri4
•
•
INTERNA/ +-NTR-/ SE+ men%ata!an ah*a pementu!an dan pemeliharaan sistem pengendalian internal adalah !e*a#ian piha! mana#emen %ang penting Sistem pengendalian internal (S.I) terdiri atas !ei#a!an& pra!ti!& dan prosedur& %ang diguna!an oleh perusahaan untu! men"apai 8 tu#uan umum: 54 ,en#aga aset perusahaan 64 ,emasti!an a!urasi dan reliailitas "atatan dan in$ormasi a!untansi 74 ,empra!arsai efsiensi operasi perusahaan 84 ,engu!ur !epatuhan terhadap !ei#a!an dan prosedur %ang telah ditetap!an oleh piha! mana#emen
•
•
Se#arah .engendalian Internal:
•
Statement on Auditing Standards (SAS) No4F; Sesuai dengan re!omendasi +-S-& .engendalian internal terdiri dari 9 !omponen: 54 /ing!ungan .engendalian& merupa!an pondasi dari empat unsur lainn%a4 Elemenn%a: integritas dan eti!a piha! mana#emen& stru!tur organisasi& partisipasi •
Diana Setia*ati1 ;A Reguler1 5< =Resume Audit Sistem In$ormasi>James ?all @
7
64
74 84 94
De*an 2omisaris dan 2omite Audit (#i!a ada)& flosof mana#emen dan ga%a operasi& prosedur mendelegasi!an tanggung #a*a dan *e*enang& metode piha! mana#emen untu! menilai !iner#a& pengaruh e!sternal (missal pemeri!saan oleh lemaga %ang er*enang)& serta !ei#a!an dan pra!ti! perusahaan untu! mengelola SD, n%a4 .enilaian Resi!o& untu! mengidentif!asi& menganalisis dan mengelola resi!o %ang relevan dengan pelaporan !euangan4 Beerapa hal %ang dapat men#adi resi!o: peruahan dalam isnis& personel aru& sistem aru& te!nologi aru& lini aru& restru!turisasi organisasi& adopsi standar aru dll4 In$ormasi dan 2omuni!asi: !ualitas SI,& .roses susun /12 ,onitoring: Assesment S.I& Spe"ial modul di IT& /aporan ,ana#erial A!tivitas .engendalian adalah !ei#a!an dan prosedur %ang diguna!an untu! memasti!an ah*a tinda!an %ang tepat diamil untu! menghadapi risi!o organisasi %ang dapat diidentif!asi4
2lasif!asi a!tivitas pengendalian 54 .egendalian 2omputer a4 .engendalian Umum& pengendalian %ang si$atn%a mematasi a!ses dan mengaman!an apli!asi dari %ang tida! erha! menga!ses& misal erentu! !un"i& pass*ord termasu! "ontrols over IT governan"e& IT in$rastru"ture& se"urit% and a""ess !epada sistem operasi dan DB& appli"ation a"0uisition and development and prosedur peruahan program dll4 4 .engendalian Apli!asi& pengendalian intern %ang memasti!an apli!asi spesif! dapat mela!u!an $ungsin%a dengan ai! dan mengurangi terpaparn%a apli!asi dari resi!o potensial4 .engendalian%a erupa "e! digit& $ormat %ang memasti!an validitas& !eleng!apan dan a!urasi transa!si entu!n%a isa "e! digit& e"ho "he"!& limit "e! %ang ertu#uan untu! memasti!an validitas& !eleng!apan dan a!urasi transas!i dalam /124 64 .engendalian 'isi! Berhuungan dengan s%stem a!untansi tradisional %ang mengguna!an prosedur manual !ategori a!tivitas pengendalian tradisional: a4 -torisasi transa!si 4 .emisahan tugas "4 Supervisi d4 +atatan a!untansi e4 .engendalian a!ses $4 erif!asi independen •
•
CHAPTER 2 AUDITING IT GOVERNANCE CONTROLS IN'-R,ATI-N TE+?N-/-GH G-ERNAN+E Tu#uan utama dari tata !elola TI: mengurangi risi!o memasti!an ah*a investasi dalam sumer da%a TI menamah nilai agi perusahaan IT Governan"e +ontrols 7 isu tata !elola IT erdasar!an S-C dan +-S-: 54 -rganiational stru"ture o$ the IT $un"tion 64 +omputer "enter operations 74 Disaster re"over% planning STRU+TURE -' T?E IN'-R,ATI-N TE+?N-/-GH +entralied Data .ro"essing : semua pemrosesan data dila!u!an oleh satu atau leih !omputer %ang leih esar ertempat di situs pusat %ang mela%ani pengguna di seluruh organisasi4 DBA: +entral /o"ation& Shared4 DBA dan timn%a responsile pada !eamanan dan integritas dataase4 .emrosesan Data mengelola SDIT terdiri dari: 54 2onversi Data: ?ard+op% to So$t+op% (inputale to "omputer) 64 -perasi 2omputer: memproses hasil !onversi melalui suatu apli!asi 74 Data /irar%: Storage oine data>K Real Time data .ro"esing dan dire"t a""es mengurangi peran D/ S%s Dev and ,aintenis: Analisis !eutuhan& partisipasi dalam desain sistem aru (.ro$esional& End Users dan Sta!eholder)4 ,en#aga sistem eroperasi sesuai !eutuhan& ;<>
•
•
•
•
•
Segregation of Incomati!"e IT #$nction%
Diana Setia*ati1 ;A Reguler1 5< =Resume Audit Sistem In$ormasi>James ?all @
8
Audit Proce($re%: +entralied Tin#au do!umentasi %ang relevan& untu! menentu!an apa!ah individu atau !elompo! %ang mela!u!an $ungsi>$ungsi %ang tida! !ompatiel4 Revie* "atatan pemeliharaan&verif!asi ah*a programmer pemeliharaan tertentu tida!merang!ap programer desain4 .asti!an ah*a operator !omputer tida! memili!i a!ses !e logi" sistem do!umentasi& seperti sistem diagram alur& logi!a diagram alur& dan da$tar !ode program4 Revie* a!ses programer untu! alasan selain !egagalan sistem Distriuted Tin#au agan organisasi saat ini & pern%ataan misi & dan uraian tugas in"ompatile duties 4 O .asti!an ah*a desain sistem &do!umentasi&hard*are dan perang!at luna! hasil a!uisisi diterit!an dan dieri!an to unit TI4 O .asti!an !ontrol !ompensasi >Ksupervisi monitoring O Do!umentasi sistem apli!asi & prosedur & dan dataasesare diran"ang dan er$ungsi sesuai dengan standar perusahaan 4 Dalam sistem terdistriusi pemrosesan dan pengamanan data disear !e eragai titi!& pengamanan men#adi di an%a! pintu namun tersear& resi!on%a tida! seluruh titi! memili!i pengamanan %ang sama4 Dalam topologi STAR leih aman !arena !alo satu mati %g lain relati$ tida! terganggu sedang pada Topologi BUS #i!a satu titi! mati a!an menggangu %ang lain mes!ipun se"ara umum !eunggulan%a dia leih "epat dan murah4 Sa%angn%a sistem Bus a!an rentan tara!an data (leih leng!ap di appendi) $o!us auditor adalah !epada seringn%a sistem do*n atau !erusa!an #aringan maupun so$t*are %ang menga!iat!an gangguan !omuni!asi dan pada dataase& resi!o ini ereda6 dalam masing6 topologi #aringan4 •
•
.emisahan antara suatu $ungsi tertentu demi men#aga I+ %ang ai!: S%s Dev pisah!an dengan -perasional DBA fsah!an dari unit lain S%s Dev pisah!an dengan ,aintanan"e (merupa!an superior stru"ture) !arena adan%a resi!o: Inade0uate Do"umentation: .rogrammer leih su!a mengemang!an sistem aru daripada mendo!umentasi!an !iner#a sistem lama& #uga soal #o se"urit% perlu diperhati!an !arena dpat men%usun program %ang tida! sempurna iar ada !er#aan terus4 'raud: unauthoried "hange .rogram !arena programer $aham selu! elu! operasi normal4 a4 The Distriuted ,odel Small& po*er$ul& and inepensive s%stems4 DisData.ro" (DD.) meliat!an reorganisasi $ungsi IT pusat !e IT unit !e"il %ang ditempat!an di a*ah !endali pengguna a!hir (End Users)4 Unit IT dapat didistriusi!an menurut $ungsi isnis& lo!asi geografs& atau !eduan%a4 Resi!on%a mngguna!an model DD.: tida! efsienn%a penggunaan sumer da%a& perusa!an #e#a! audit& pemisahan tugas !urang memadai& mening!at!an potensi !esalahan pemrograman dan !egagalan sistem serta !urangn%a standarisasi4 2euntungann%a termasu! pengurangan ia%a& pening!atan !ontrol ia%a& mening!at!an !epuasan pengguna& dan adan%a e!siilitas dalam a"!up sistem4 4 +ontrolling the DD. Environment +entral Testing o$ +ommer"ial So$t*are and ?ard*are diu#i dipusat User Servi"es>K ada +hat room& 'A& Intranet support dll Standard>Setting Bod% >K untu! improve !eseragaman prog and do" .ersonnel Revie*>K ada assesment4 •
•
•
•
•
•
Audit O!&ecti'e: Tu#uan auditor adalah untu! memasti!an ah*a stru!tur $ungsi TI adalah sedemi!ian rupa sehingga individu di daerah %ang tida! !ompatiel dipisah!an sesuai dengan ting!at potensi risi!o dan dengan suatu "ara %ang mempromosi!an ling!ungan !er#a %ang !ondusi$4
•
•
•
T)e Com$ter Center a4 .h%si"al /o"ation : Antisipasi en"ana alam maupun manusia "ari lo!asi %ang aman4 4 +onstru"tion : !ontru!si $asilitas IT>K tunggal& a""es teratas dan fltrasi agus4 "4 A""ess : /I,ITED d4 Air +onditioning : Ade0uate untu! men#aga dataase e4 'ire Suppression : Automati" Alarm& .emadam Api& Eit Door $4 'ault Toleran"e : Toleransi !esalahan adalah !emampuan sistem untu! melan#ut!an operasi !eti!a agian dari sistem gagal (masih isa running !alau ada sesuatu
Diana Setia*ati1 ;A Reguler1 5< =Resume Audit Sistem In$ormasi>James ?all @
9
gangguan) !arena !egagalan hard*are& error program apli!asi& atau !esalahan operator4 Redundant arra%s o$ independent dis!s (RAID)>Kdata U.S>K/istri! g4 Audit O!&ecti'e% Tu#uan auditor adalah untu! mengevaluasi !ontrol %ang mengatur !eamanan pusat !omputer 4 Se"ara !husus & auditor harus memasti!an ah*a : !ontrol !eamanan fsi! %ang memadai untu! "u!up melindungi organisasi dari e!sposur fsi! DAN "a!upan asuransi pada peralatan memadai untu! meng!ompensasi !erusa!an pusat !omputern%a h4 Audit Proce($re% Tests o$ .h%si"al +onstru"tion4 'isi! angunan server& lo!asi dan !eamanan terhadap ?APARD EENT4 Tests o$ the 'ire Dete"tion S%stem4 Tests o$ A""ess +ontrol4 Tests o$ Raid& BU ?D Tests o$ the Uninterruptile .o*er Suppl%4 Tests $or Insuran"e +overage4 •
•
•
• • • • •
Di%a%ter Reco'er* P"anning Dengan peren"anaan !ontin#ensi %ang hati>hati& dampa! dari en"ana dapat diredam dan organisasi dapat pulih dengan "epat4 Untu! ertahan hidup dari peristi*a darurat seperti itu& perusahaan harus mengemang!an prosedur pemulihan dan meresmi!an mere!a !e dalam suatu ren"ana pemulihan en"ana (DR.)& suatu s!ema dalam menghadapi !eadaan darurat4.rosesn%a adalah s: a4 Identi$% +riti"al Appli"ations>KBuat da$tar apli!asi %ang paling penting 4 +reating a Disaster Re"over% Team >Kuat Tim44langgar I+ oleh "4 .roviding Se"ond> Site Ba"!up uat lo!asi data "adangan (dupli!asi) mutual aid pa"t>Kdua atau leih& #oin SD IT pas en"ana empt% shell or cold siteQ >Kse*a tempat pada pen%edia a"!up re"over% operations "enter or ot siteQ >Kse*a $ull e0uipped a"!up internall% provided a"!up>Kuat sendiri (mirroring di tmpt lain) Audit -#e"tive: The auditor should veri$% that management3s disaster re"over% plan is a(e+$ate and fea%i!"e $or dealing *ith a "atastrophe that "ould deprive the organiation o$ its "omputing resour"es4 Audit .ro"edures memasti!an hal6 dia*ah ini er$ungsi dengan ai! Site Ba"!uplo!asi ?M IT dll Da$tar Apli!asi penting o!e So$t*are Ba"!up4 Data dan Do!umentasi Ba"!up4 Ba"!up Supplies dan Sour"e Do"uments4 •
•
•
•
•
•
Disaster Re"over% Team di test
O$t%o$rcing t)e IT #$nction -utsour"ing IT !adang!ala mening!at!an !iner#a isnis inti& mening!at!an 2iner#a IT (!arena !eahlian vendor)& dan mengurangi ia%a TI4 /ogi!a %ang mendasari outsour"ing TI dari teori ometen%i inti& %ang erpendapat ah*a organisasi harus $o!us se"ara e!s!lusi$ pada !ompetensi isnis intin%a sa#a& sementara outsour"ing vendor memung!in!an untu! se"ara efsien mengelola daerah non>inti seperti $ungsi TI (IT dianggap supporting)4 .remis ini& agaimanapun& mengaai!an peredaan penting antara !omoditas dan aset TI %ang spesif!4 Commo(it* IT a%%et% are not uni0ue to a parti"ular organiation and are thus easil% a"0uired in the mar!etpla"e sementara Seci-c IT a%%et% dapat merupa!an !eunggulan strategis perusahaan4 Tran%action Co%t Economic% .TCE/ theor% is in "oni"t *ith the "ore "ompeten"% s"hool % suggesting that frms should retain "ertain spe"if" non "ore IT assets inhouse4 Jadi disaran!an oleh outsour"e pada SumerDa%a IT %ang isa diganti!an (SM1?M) atau tida! terlalu !riti!al44SD IT %ang penting dan unggulan agi organisasi #angan4 a4 Ris!s Inherent to IT -utsour"ing 'ailure to .er$orm endor Eploitation -utsour"ing +osts E"eed Beneft Redu"ed Se"urit% /oss o$ Strategi" Advantage 4 Audit Impli"ations o$ IT -utsour"ing ,ana#emen oleh sa#a mengalihda%a!an $ungsi ITn%a namun tida! dapat mengalih!an tanggung#a*a mana#emen pada pen%ediaan .engendalian Intern %ang memadai4 SAS F< merupa!an standar %ang mendefnisi!an perlun%a auditor mengetahui !ontrol #i!a IT dila!sana!an oleh vendor piha! !etiga4 endorn%a sendiri tentu diaudit oleh auditorn%a sehingga IT revie* dila!sana!an satu !ali sa#a supa%a pra!tis dan murah4 • • • • •
CHAPTER0 SECURIT PART I AUDITING OPERATING SSTE3S AND NET4OR5S A$(iting Oerating S*%tem% -S adalah program pengendali !omputer& -S memung!in!an user dan apli!asi eragi dan menga!ses sumerda%a %ang sama seperti prosesor& memori& printer dan dataase4 Sema!in esar entitas ma!a sumer da%a %ang perlu dia!ses ma!in esar dan -S men#adi sema!in penting4
• • •
Oerating S*%tem O!&ecti'e% -S memili!i tiga $ungsi %a!ni:
•
Diana Setia*ati1 ;A Reguler1 5< =Resume Audit Sistem In$ormasi> James ?all @
•
•
•
,enter#emah!an ahasa ting!at tinggi +-B-/ + dll& mengguna!an translatorn%a >K %a!ni +ompiler dan Interpreters +h 9 lh leng!apn%a ,engalo!asi!an SD !epada user& grup maupun apli!asi ,engelola pe!er#aan dan an%a! program> KUser1Jos menga!ses !omputer melalui 7 "ara: Dire"tl%& Jo ues dan /in!s
maupun S,UR' (tiga piha! ada perantara) dan Distriuted Denial o$ Servi"e Atta"! pa!e orang lain seagai omien%a4 Hang perlu diperhati!an adalah #uga motivasi orang men%erang44isa iseng44dendam atau mengu#i !eandalan sistem4 Selain itu resi!o #uga er!aitan dengan egaga"an era"atan dalam er!omuni!asi ai! /INE& ?M dan SM4 "4 +ontrolling Net*or!s +ontrolling Ris!s $rom Suversive Threats ,engguna!an 'ire*all (umum) .asang I.S dan Deep .a"!et Inspe"tion "egah serangan DD-S .a!e En!ripsi1sandi dlam pengiriman data TTD Digital dan Sertif!at Digital .a!e ,essage Se0uen"e Numer dan Transa"tion /og serta pun%a +all Ba"! Devi"es Audit -#e"tiven%a adalah memasti!an ah*a !ontrol #aringan dapat men"egah dan mendete!si a!ses illegal& mengurangi data %ang tida! terpa!ai dan memadai untu! mempertahan!an integritas data +ontrolling Ris!s $rom E0uipment 'ailure "e! a#a alatn%a ai!6 sa#a44pa!e e"ho "e!& parit% "e! dst •
a4 -perating S%stem Se"urit% 2ei#a!an& prosedur dan pengendalian %ang menentu!an siapa %ang dapat menga!ses -S dan SD IT dan apa sa#a %ang isa dila!u!ann%a4 .rosedur /og>-N pertahanan pertama& salah rp lo!ir misaln%a4 To!en A!ses >K mengandung 2e%In$o:user ID& pass&previledge A""es +ontrol /ist (da$tar !esa!tian user) Dis"retionar% A""es .reviledge>KSuper Admin (?ighl% Supervised) 4 Threats to -perating S%stem Integrit% .revildeged personel men%alahguna!an otoritasn%a Individual di dalam dan di luar entitas %ang men"ari "elah sistem Individual senga#a atau tida! memasu!an virus1entu! program lain %g merusa! "4 -perating S%stem +ontrols and Audit Tests Area>area %ang perlu diperi!sa adalah a""es personil %ang mendapat previledge& !ontrol pass*ord (pass*ord se!ali pa!ai dan erulang!ali)& !ontrol virus dan apli!asi eraha%a dan !ontrol pada #e#a! audit4 S%stem audit trails (se!umpulan log %ang mere!am a!tivitas sistem& apli!asi& user)>K Detailed Individual /ogs dan Event oriented /ogs Audit prosedurn%a: .asti!an ftur audit trails dia!ti$!an& +ari a!ses tanpa otorisasi& periode non a!ti$ user& a!tiftas user& *a!tu log in dan out /og on %ang gagal (indi!asi salah a""es1"oa6) .antau A""es !e fle tertentu %ang penting dan reporting pelanggaran ,onitoring !eamanan IT •
•
• •
•
•
•
A$(iting Net6or% a4 Intranet Ris!s Terdiri dari /ANs dan MANs %ang terdiri dari ratusan individual node4 Ada eerapa re%io ter!ait Intranet misaln%a .esan dapat diintersepsi1disadap1di"egat& adan%a resi!o a!ses !epada DB entitas& personel %ang memili!i previleged& mantan !ar%a*an dll 4 Internet Ris!s Re%io %ang ter!ait dengan internet adalah adan%a IP Soo-ng (n%amar pa!e I. orang1palsu)& DD-S atta"! %ang meman#iri server sehingga lumpuh ai! melalui SHN 'lood
•
•
A$(iting E"ectronic Data Interc)ange .EDI/ EDI merupa!an suatu sistem %ang memung!in!an me!anisme pertu!aran data dan in$ormasi isnis antar !omputer antar entitas dapat diproses oleh !omputer se"ara mandiri dalam suatu entu! !omuni!asi dengan $ormat standar4 Re$er !e "erita ameri"an hospital atau EDI DJB+4 a4 EDI Standards ANSI& EDI'A+T dll 4 Benefts o$ EDI Data 2e%ing& mengurangi entr% data erulang Error Redu"tion& ga dole ngeti!6& tapi !alo salah satu tapi di a*al isa salah semua sampai a!hir4 ,engurangi !ertas ,engurangi ia%a !irim do!umen .rosedur terotomasi44mana#er mi!irin %g lain sa#a (,BE"p) .engurangan ia%a Inventor% melalui E-1JIT "4 'inan"ial EDI .a!e trans$er ele!troni! dalam !irim uang d4 EDI +ontrols (alidasi dan -torisasi) 2arena er!urang%a peran manusia ma!a ada pengendalian %ang uni! dan ereda dengan sistem manual utaman%a adalah soal otori%a%i dan 'a"i(a%i transa!si4 Sehingga auditor harus memperhati!an: ID dan .ass*ord serta valid fle dalam DB uat pemanding +e! validasi lagi seelum pesan di!irim #alan tida! Apli!asi "e! !e fle re$erensi seelum di proses •
•
• • •
•
Diana Setia*ati1 ;A Reguler1 5< =Resume Audit Sistem In$ormasi> James ?all @
F
e4 A""ess +ontrol Agar er#alan ai! sa%ang%a dalam sistem EDI perusahaan harus memeri!an se#umlah a!ses !epada partnern%a untu! menga!ses DB perusahaan4 Sehingga sangat penting untu! memili!i fle valid vendor maupun valid "ustomers& #uga isa diatasi read onl% sa#a tida! isa meruah data4 2arena sudah paperless satu6n%a a$(it trai"% isa #adi +uma fle /-G sa#a44!eep it sa$e4 Audit -#e!ti$: Semua transas!i EDI telah diotorisasi dan divalidasi& tida! ada transa!si tanpa otorisasi %ang running& a""es han%a !epada data %ang diper!enan!an dan !ontrol %ang "u!up dalam pengamanan /og fle4 A$(iting PC78a%e( Acco$nting S*%tem% Apli!asi so$t*are a!untansi>K*ide range>K lo* "ost produ"t>K!adang modular namun terintegrasi>K erasis .+ a4 .+ S%stems Ris!s and +ontrols Ada resi!o uni! ter!ait A""ounting so$t*are: Sistem -perasi dianding 2elemahan ,ain$rame ,odel& .+ !eamanann%a minimal untu! data dan program& memang a*aan .+ %ang dituntut portael A!ses 2ontrol /emah program tertentu isa run tanpa a!ses ?D (oot $rom +D) .emisahan $ungsi !urang& satu orang isa memili!i an%a! a!ses ,ultivel pass*ord "ontrol !asih user pass eda6 Resi!o 2emalingan44small& handheld eas% to the$t4 .rosedur Ba"!up /emah Resi!o terpapar virus leih esar Audit o# dan pro" men%esuai!an dengan !elemahan6 terseut4
sehingga mengurangi !esalahan %ang masu! sistem4 Jenis pengendalian input: 54 .engendalian do!umen sumer 64 .engendalian peng!odean data 74 .engendalian at"h 84 .engendalian validasi 94 .erai!an !esalahan input 4 GDIS (Generalied Data Input S%stem) .engendalian do!umen sumer: ,engguna!an do!umen sumer %ang dieri nomor terleih dahulu ,engguna!an do!umen sumer se"ara erurutan ,engaudit do!umen sumer se"ara er!ala
•
•
•
•
.engendalian peng!odean data: 7 #enis !esalahan %ang dapat merusa! data: 54 2esalahan trans!ripsi: a4 2esalahan penamahan 4 2esalahan pengurangan "4 2esalahan sutitusi 64 2esalahan transposisi tunggal 74 2esalahan transposisi #ama! Ang!a pemeri!sa
•
•
.engendalian at"h: Tu#uan: mere!onsiliasi output %ang dihasil!an oleh sistem dengan input %ang dimasu!!an !e dalam sistem ter!ait Tida! e$e!ti$ dalam mengelola volume data transa!si %ang esar dalam s%stem ,emeri!an !epastian ah*a semua re"ord dalam at"h diproses& tida! ada re"ord %ang diproses leih dari se!ali& dan adan%a #e#a! audit transa!si mulai dari tahap input& pemrosesan sampai output4 ?ash total
•
•
•
•
CHAPTER 9 CO3PUTER7ASSISTED AUDIT TOOLS AND TECHNI:UES .CAATT%/ .ENGENDA/IAN A./I2ASI prosedur terprogram %ang didesain untu! apli!asi tertentu seperti payroll% purcases% cas disbursement system+ Terdiri dari pengendalian input& pengendalian proses& dan pengendalian output
•
•
.ENGENDA/IAN IN.UT Untu! me%a!in!an ah*a transa!si valid& a!urat& dan leng!ap4 Source document input : ada "ampur tangan manusia& an%a! clerical errors& eerapa error tida! isa terdete!si dan di!ore!si dalam tahap input data sehingga harus di!onfrmasi !e piha! !etiga4 *irect input : mengguna!an te!ni! editing real,time untu! mengidentif!asi dan mengore!si !esalahan sesegera mung!in&
•
•
•
.engendalian validasi: Tu#uan: mendete!si eragai !esalahan dalam data transa!si seelum data terseut diproses 7 level pengendalian validasi input: 54 'ield interrogation a4 .emeri!saan data%ang hilang 4 .emeri!saan data numeri">al$aetis "4 .emeri!saan nilai nol d4 .emeri!saan atas e4 .emeri!saan !isaran $4 .emeri!saan validasi 64 Re"ord interrogation a4 .emeri!saan !e*a#aran 4 .emeri!saan tanda "4 .emeri!saan urutan 74 'ile iterogation a4 .emeri!saan lael internal 4 .emeri!saan versi "4 .emeri!saan tanggal !adalu*arsa
•
•
.erai!an !esalahan input:
Diana Setia*ati1 ;A Reguler1 5< =Resume Audit Sistem In$ormasi>James ?all @
;
•
inventor% men%entuh titi! a*ah& s%stem a!an otomatis memuat pur"hase order)4 "4 /isting o$ Automati" Transa"tions: untu! pengendalian atas transa!si otomatis oleh s%stem& user harus menerima da$tarn%a4 d4 Uni0ue Transa"tion Identifers: setiap transa!si %ang diproses harus diidentif!asi se"ara uni! dengan nomor transa!si4 e4 Error /isting: da$tar re"ord %ang salah harus diserah!an !epada user %ang erha! untu! !ore!si error4
Te!ni! umum untu! memperai!i !esalahan: 54 ,emperai!i segera 64 ,emuat fle !esalahan 74 ,enola! !eseluruhan at"h
GDIS: ,eliputi eragai prosedur terpusat %ang mengelola input data untu! semua s%stem pemrosesan transa!si di perusahaan 2eleihan: 54 ,emperai!i pengendalian dengan memuat seuah s%stem %ang sama untu! mela!u!an semua validasi data 64 ,emasti!an ah*a tiap apli!asi SIA mengguna!an standar se"ara !onsisten untu! validasi data 74 ,emperai!i efsiensi pengemangan sistem 9 2omponen utama GDIS: 54 Generalied alidation ,odule (G,) 64 alidated data fle 74 Error fle 84 Error report 94 Transa"tion log
•
•
•
.ENGENDA/IAN .R-SES 54 .engendalian Run>to>RunV Untu! me%a!in!an ah*a perpindahan at"h dari satu program !e program lainn%a dila!u!an dengan enar dan leng!ap4 2egunaan: Re"al"ulate +ontrol Totals& Transa"tion +odes& Se0uen"e +he"!s .enggunaan se"ara spesif! meliputi: a4 .erhitungan ulang total pengendali 4 2ode transa!si "4 .emeri!saan urutan 64 .engendalian intervensi operator ,emasu!!an total pengendali& memasu!!an nilai parameter Sistem %ang mematasi intervensi operator leih sedi!it !emung!inan menimul!an !esalahan pemrosesan 74 .engendalian Audit Trails Dalam sistem a!untansi& setiap transa!si harus ias ditelusuri dari sumer hingga laporan !euangan4 +ontoh te!ni! %ang diguna!an untu! mempertahan!an audit trail: a4 Transa"tion /ogs: setiap transa!si %ang diproses disimpan dalam transa"tion log %ang disa#i!an dalam JURNA/4 Alasan diuat: trans" log adalah permanent re"ord dari transa!si& dan tida! semua re"ord %ang divalidasi erhasil diproses4 4 /og o$ Automati" Transa"tions: eerapa transa!si diproses se"ara internal oleh s%stem (E: !eti!a •
•
•
•
•
•
•
.ENGENDA/IAN -UT.UT Untu! me%a!in!an ah*a output dari sistem tida! hilang& misdire"ted& rusa!& atau privasi terganggu Ji!a hal ts ter#adi& a!an menga!iat!an gangguan dalam operasi dan !erugian fnansial agi perusahaan4 ,etode pengendalian output: a4 ,engendali!an -utput Sistem Bat"h 4 ,engendali!an -utput Sistem Real Time
•
•
•
,engendali!an output sistem at"h -utput Spooling .rogram pen"eta!an .emilahan Sampah .engendali data Distriusi laporan .engendalian pengguna a!hir
• • • • • • •
,ENGUJI BERBAGAI .ENGENDA/IAN A./I2ASI 2-,.UTER 54 .ende!atan Bla"! Bo (2ota! ?itam) Audit di se!itar !omputer 64 .ende!atan Mhite Bo (2ota! .utih) Audit melalui "omputer Jenis pengendalian %ang umumn%a ditentu!an: a4 U#i autenti!asi 4 U#i a!urasi "4 U#i !eleng!apan d4 U#i redundansi e4 U#i a!ses $4 U#i audit trails g4 U#i !esalahan pemulatan (Rounding error test) •
• •
+AATT UNTU2 ,ENGUJI .ENGENDA/IAN 54 Test Data ,ethod 64 Base +ase S%stem Evaluation (B+SE) 74 Tra"ing 84 Iintegrated Test 'a"ilit% (IT') 94 .aralel Simulation
Diana Setia*ati1 ;A Reguler1 5< =Resume Audit Sistem In$ormasi> James ?all @