b.
INTRO
Attes Attestt Servi* Servi*e e versu versus s Advis Advisory ory Serv Servi*e i*es s ela elaka kang ngan an mun* mun*ul ul suat suatu u jasa jasa yang yang
bukti informasi informasi yang dapat diukur diukur mengena mengenaii suatu suatu entitas entitas yang yang
dila dilak kukan ukan
seor seoran ang g
yang yang
komp kompet eten en
dan dan
•
,asa attestasi attestasi memerlukan memerlukan beberapa persyaratan persyaratan sbb sbb : Adanya asersi tertulis "=9!' dan praktisi menulis laporan "=P' Adanya kriteria pengukuran yang formal atau deskripsi dalam
•
penyajiannya Terbatas Terbatas pada pemeriksaan) pemeriksaan) revie& dan aplikasi yang telah
•
independen untuk dapat menentukan dan melaporkan derajat keses kesesuai uaian an inform informas asii
denga dengan n
kriter kriteriaia-kri kriter teria ia yang yang
audi audito torr
eksterna eksternall kepada kepada perusaha perusahaan an yakni advisory advisory servi*e. servi*e.
Audit adalah suatu proses pengumpulan dan pengevaluasian ekon ekonom omii
dibe diberik rikan an
telah telah
disetujui prosedurnya
ditetapkan ditetapkan serta mengkomunikasikan mengkomunikasikan hasilnya kepada para pemakai yang berkepentingan. Perbe erbeda daan an
anta antara ra
Audi Auditt
Tradi radisi sion onal al
deng dengan an
Audi Auditt
SI
diantaranya sbb: Teknik Teknik
audit -> menggunaka menggunakan n program khusus khusus atau TA! TA! Audit Audit -> Tida Tidak k sekuen sekuensia siall "#->$ "#->$odu odul% l% Soft&a Soft&are re
Proses s Prose
Sementara Advisory Servi*e adalah jasa profesional oleh !AP
Akuntansi' Pemahaman man I() audit audit IT menekank menekankan an kepada kepada appli*at appli*ation ion Pemaha
untuk untuk menin meningk gkatk atkan an efekti efektit tas as dan dan esie esiensi nsi operas operasion ional al perus perusaha ahaan an klien. klien. ,asa ,asa terseb tersebut ut melip meliputi uti misaln misalnya ya saran saran
*ontrol !eahlian !eahlian
tentang auditing auditing dan akuntansi akuntansi + keahlian keahlian tentang
aktuaria) saran bisnis) jasa penyelidikan ke*urangan) design
*omputer ,ika berbi*ara mengenai Audit IT (ASI) maka ada dua sudut sudut pandang yaitu: Audit Audit
• •
Pada
masa
seb sebelom lom
S/? S/?
jasa
penge pengenda ndalia lian n sema*am
ini
"kesesuaian dengan SA!' -> yakni berkaitan dengan Teknik*.
hukum. "
Audit erbantuan erbantuan !omputer !omputer
3ungsi 3ungsi penilaian penilaian independ independen en dalam dalam suato suato organisas organisasii untuk untuk
dala dalam m
mema memaha hami mi
dalam menilai menilai pengendalian pengendalian ene enera rall
dan dan
khus khusus usny nya a
memeriks memeriksa a dan mengeval mengevaluasi uasi aktivitas aktivitas sebagai sebagai suatu suatu jasa
Aplli*ation (ontrol) serta pengujian subtantif dalam ranah IT
bagi organisasi. Auditor internal melakukan berbagai aktivitas seperti pemerikasaan =! pemeriksaaan pemeriksaaan kesesuaian aktivitas
dengan database sistem akuntansi. most important important *omputer assisted assisted audit te*hniues te*hniues are: are: Test Test data) Integrated test fa*ility) Parallel simulation) and /n-line audit monitor.
dengan kebijakan perusahaan) evaluasi esiensi operasional dan mendeteksi serta men*ari ke*urangan dalam perusahaan. Audit internal dapat pula dilakukan dari pihak luar organisasi. Auditor Auditor biasanya biasanya bertanggu bertanggungja& ngja&ab ab kepada kepada komite komite audit. audit.
Simulasi sejajar (parallel simulation) adalah suatu teknik audit yang membandingkan pengolahan data yang dilakukan oleh dua program program dengan dengan tujuan tujuan untuk untuk mempero memperoleh leh keyakin keyakinan an
elarnya (ISA9(IA d. 78ternal versus versus Internal Auditors Perbe erbeda daan an utam utaman anya ya adal adalah ah
bah&a kedua program tersebut menghasilkan keluaran yang
bertanggungja&ab)
sama sama
"merepr "merepresen esentasi tasikan kan''
"ide "ident ntik ik'. '.
dilaks dilaksana anaka kan n
Tekni eknik k
denga dengan n
pemr pemros oses esan an
0*lie 0*lient1 nt1s s
se*a se*ara ra
para parale lell
auditor pihak pihak
kepad epada a
siap siapa a
eksternal
eksterna eksternall
perusaha perusahaan an
audit uditor or me&akili sedang sedang
interna internall auditor auditor me&akili me&akili kepent kepentinga ingan n perusaha perusahaan. an. #alam #alam
data) data) audito auditor1s r1s soft&a soft&are re.2 .2 dilak dilakuka ukan n
pelaksana pelaksanaany anya a dapat dapat bekerja bekerjasama sama)) misal misal tes pengenda pengendalian lian
terhadap data sesungguhnya "data audit yang di-*opy' dan
intern dilakukan oleh internl auditor disupervisi oleh auditor
diproses dengan soft&are atau bahkan komputernya auditor.
ekst ekster erna nal. l.
$aksud $aksudnya nya
adala adalah h
pelaks pelaksana anaan an
pemer pemeriks iksaa aan n
•
Tra*e-3or& Tra*e-3or&ard ard from Sour*e #o*ument to 4e*ords-untuk 4e*ords-untuk *ek
•
asersi 5(ompleteness5 5(ompleteness5 6ou*h -a*k&a -a*k&ard rd "3rom "3rom 4e*ord 4e*ords s to Sour*e Sour*e #o*ument #o*ument''- *ek
#ala #alam m
hal hal
audi audito torr
inte intern rnal al
tida tidak k
memi memili liki ki
independensi kerjasama audit tidak diperkenankan standar. e. 3raud 3raud Audits Audits !e*ur e*uran anga gan n saya sayang ngny nya a meni mening ngk kat karen arena a peri perila lak ku
assersi 578isten*e5
manajemen manajemen dan karya&an. Audit sema*am ini dilakukan dilakukan guna men*ari men*ari bukti-but bukti-butii yang dapat dapat mengara mengarah h kepada kepada tuntutan tuntutan hukum. hukum. #apat #apat dilakukan dilakukan atas atas permint permintaan aan perusaha perusahaan) an) dan
AUDITING AND INTERNAL CONTROL B. A. a.
inter ntern. n.
assesm assesment ent terh terhada adap p
tersebut tersebut tidak tidak diperken diperkenank ankan an dan merupak merupakan an pelangga pelanggaran ran !euang !euangan an
The •
inform informasi asi dan dan
diperbolehkan dilakukan sejalan dengan jasa audit) Saat ini hal
atas tata kelola IT itu sendiri dan IT yang yang dilak dilakuka ukan n dalam dalam rangka rangka Audit Audit
inte intern rnal al
•
siste sistem m
dilakukan oleh seorang bersertikat (37. The The Roe Roe of of the the Audit Audit Co!!it Co!!ittee tee
Over Overvi view ew of of Audi Auditi ting ng 78ter 78ternal nal "3ina "3inan*i n*ial' al' Audit Audits s Suatu Suatu jasa "attesta "attestation9 tion9peng pengesah esahan' an' yang dilakuka dilakukan n oleh
Sebelum S/? S/? =a& auditor dihire oleh $anajemen perusahaan)
seorang seorang ahli "auditor' "auditor' yang kemudia kemudian n memberi memberikan kan suatu suatu
yang salah seorang anggotanya memiliki 3inan*ial 78pertise
sekaran sekarang g bertangg bertanggung ung ja&abnya ja&abnya kepada kepada Audit Audit (ommitte (ommittee e
guna fungsi *hek n balan*e. pendapa pendapatt terhada terhadap p penyajia penyajian n laporan laporan keuangan keuangan.. iasany iasanya a "in#n$i# i# Audit Audit Co!%on Co!%onent ent& & dilakukan oleh (PA yang independen dari perusahaan yang di C. "in#n$ a. Auditing St#nd#rd& audit. (PA dalam hal ini me&akili kepentingan pihak eksternal sepe sepert rtii
peme pemega gang ng
saha saham) m)
kred kredit itor or))
peme pemeri rint ntah ah
dan dan
masyarak masyarakat at umum. umum. !onsep !onsep penting penting dalam dalam audit audit nansial nansial adalah I;#7P7;#7;SI.
akhirnya Subtantif test akan semakin sedikit dan sempit. ,adi buat $gt buatlah strong I(. E.The IT Audit a. The Stru*ture of an IT Audit Audit Planning) pemahaman terhadap bisnis klien. isa melalui pengamatan) kontrol
yang
&a&an*ara) beresiko.
revie&
Test
of
dokumentasi (ontrols
temukan
adalah
phase
penentuan apakah internal kontrol berfungsi dengan baik untuk dinilai kualitasnya karena akan menentukan fase berikutnya. Subtantive Testing #etail inspeksi pada akun-akun saldo dan transaksi) sebagian berupa pekerjaan sik. #alam
b. A Systemati* Pro*ess Sebuah kerangka kerja
logis
akan
membantu
lingkungan IT dibutuhkan bantuan pengolah data berupa
auditor
(AATTs. Se*ara umum proses audit adalah sbb:
mengidentikasi proses dan data penting. #alam audit IT pengujian sik yang dapat diverikasi se*ara visual lebih sedikit sehingga akan lebih kompleks. *. $anagement A&&ertion& and Audit O'e$tive& =9! merupakan re@eksi asersi manajemen tentang kesehatan keuangan entitas yang terdiri dari: Ei&t#n$e #nd O$$ur#n$e (N*#t# d#n Ter#di) Co!%etene&& (Leng+#%) Right #nd O'ig#tion& (Di!ii+i #nd ,ew#i'#n) -#u#tion #nd Ao$#tion (&e&u#i deng#n #tur#nn*#) ". re&ent#tion #nd Di&$o&ure (+#&i/+#&i d#n
Intern# Contro COSO: I( adalah suatu proses) dipengaruhi oleh #e&an
%engung+#%#n $u+u%)
#ireksi) $anajemen dan Personel lain) yang didesain untuk
Auditor harus menentukan apakah =9! disajikan se*ara &ajar sehingga pro*edure pengujian diarahkan untuk membuktikan
guna
di*o*okan
dengan
asersi
manajemen) dalam lingkup IT termasuk menilai kehandalan IT dan isi # itu sendiri. Test (ontrol dilanjutkan Subtantive Test e. As*ertaining $ateriality Sepenuhnya merupakan Auditor judgment..dalam lingkup IT lebih *ompli*ated mengingat struktur I( juga lebih rumit. f. (ommuni*ating 4esults Audit report disampaikan kepada pihak yang berminat dan melapor kepada komite audit9pemegang saham dalam laporan didalamnya termasuk membuat o%ini #udit. D. Audit Ri&+ 4esiko
audit
adalah
probabilitas
bah&a
auditor
akan
memberikan status TP yang pada kenyataanya se*ara material =9! tersebut salah saji. A$$e%t#'e Audit Ri&+ (AR ' terdiri dari: a. Inherent
4isk
adalah
resiko
audit
yang
berikut dapat tercapai : 7fektitas dan 7siensi /perasi • 4eliabilitas =aporan • !epatuhan terhadap peraturan perundang-undangan a. rief istory of Internal (ontrol =egislation • S7( A*ts of CDEE and CDEF) market *rash->melarang frauds • (opyright =a&GCDH Soft&are 6iolations) Pira*y IT • 3oreign (orrupt Pra*ti*es A*t "3(PA' of CDHH 4e*ord n I( • Sarbanes-/8ley A*t of %JJ% enron) I() (/S/ b. Internal (ontrol /bje*tives) Prin*iples) and $odels Tuu#n d#ri SI : • $enjaga aset perusahaan • $emastikan a**ura*y dan reliabilitas *atatan dan informasi • $emprakarsai eKsiensi operasi perusahaan • $engukur kepatuhan thd kebijakan yang telah ditetapkan *. $odifying Prin*iples • SPI merupakan tanggungja&ab $gt) bahkan ke&ajiban hukum • entuk pemrosesan data apapun harus mendukung F tujuan • Setiap sistem memiliki keterbatasan yang disebabkan oleh: 7rrors->;o perfe*t sustem !!; personil $gt mengabaikan *ontrol !ondisi dinamis dalam industri harus memberikan jaminan yang memadai "(ost L • SPI •
kesesuaian asersi manajemen ini dengan standarnya. d. /btaining 7viden*e Auditor men*ari bukti
memberikan keyakinan yang memadai bah&a tujuan-tujuan
merupakan
karateristik unit ba&aaan dari bisnis atau industri dari klien itu sendiri "ada juga yang bilang resiko level akun sebelum memperhatikan efektitas pengendalian intern'. (annot
enet' d. The DC 0ode reventive Contro& merupakan kontrol pasif di design
redu*e by Auditor. Contro Ri&+ disisi lain adalah adanya
mengurangi
*a*at pada ketiadaan atau ketidak*ukupan SPI dalam
pembatasan karakter entry misalnya. Dete$tive Contro&)
men*egah error. b. Dete$tion 4isk adalah resiko yang dapat diterima auditor
alat atau teknik dan prosedur yang didesain mengidentikasi
bah&a error yang gagal di*egah oleh pengendalian gagal juga
dideteksi
auditor.
Subtantif
tes
akan
semakin
besar9dalam dilakukan ketika #4 lebih ke*il..auditor lebih konservatif9lebih hati%. *. Audit 4isk $odel A4BI48(48#4 d. The 4elationship et&een Tests of (ontrols and Substantive Tests ..jika hasil uji a&al menunjukkan hasil I( memiliki kelemahan9kekurangan maka berarti subtantive test akan lebih luas) sampel lebih banyak dan dalam. reliable)
I( makin
(4 makin rendah) #4 makin diturunkan)dan
frekuensi
kejadian
tidak
diinginkan.*thnya
dan mengekspos error yang lolos P(. Ada proses mat*hing dan &arning disitu) sistem mengkalkulasi atau men*o*okan jika tidak sesuai un*ul &arning)pop up. Core$tive Contro& melakukan
koreksi jika
ditemukan
errors)hati%
terhadap
otomatisasi perbaikan)bisa menyebabkan masalah baruMingat $N/ pas entry akun unbalan*e dia otomatis perbaiki sesuai standarya sendiri.. e. COSO Intern# Contro "r#!ewor+ • Ling+ung#n engend#i#n) merupakan pondasi dari empat unsur lainnya. 7lemennya: integritas) etika) value) struktur
organisasi) partisipasi o/f#ir) losopi) pemeriksaan pihak
akurasi transaksi bentuknya bisa *ek digit) e*ho *he*k)
lain) 4 poli*ies dst SAS CJD mensyaratkan Auditor: memiliki pengetahuan yang
limit *ek
*ukup •
• •
terhadap
$anajemen
khususnya
kelengkapan dan akurasi transaski dalam =9!. lebih
tentang
Integritasnya. eni#i#n Re&i+o: identikasi) analisa dan mengelola resiko
mengenai
Pengendalian
yang
dalam bisnis)
menyatakan bah&a pengendalian umum dan aplikasi
personel baru) sistem baru) realokasi S#) adopsi standar
terpisah "( merupakan pengendalian sik "kun*i)
dapat menjadi
resiko: perubahan
kartu'
sedang
A( pure aplikas.
Pendapat
kedua
menyatakan bah&a ( dan A( merupakan bentuk pengendalian
yang
bersinggungan)
karena
pada
dasarnya keduanya dilakukan oleh aplikasi) general *ontrols pada dasarnya merupakan pengendalian yang
digunakan untuk memastikan bah&a tindakan yang tepat
selayaknya "pantas%nya' ada pada suatu sistem "mis
diambil untuk menghadapi risiko organisasi yang dapat
Pass&ord') *ontoh pada mesin AT$. "(ek *h H) IC
diidentikasi. Se*ara umum dapat diklasikasikan sbb: %ond#&in*# ASI' engend#i#n "i&i+ (0#nu&i# d##! A$$ S*te!) f. Audit Impli*ations of S/? A*t 6erikasi Independen dan /torisasi Transaksi Pemeriksaan SPI &ajib) memperbesar mandat 7ksternal "4uhnya I(') hakikatnya adalah e!ih#n "ung&i Auditor agar mampu mendeteksi fraud dan menaruh mekanisme *he*k and balan*e) saling kontrol sehingga perhatian besar pada SPI dalam men*egah fraud. (omputer untuk berbuat jahat perlu lebih banyak orang-> gagal 3raud juga perlu diperhatikan karena relatif baru dan belum
pandangan
$anajerial A+tivit#& engend#i#n Aktivitas pengendalian adalah kebijakan dan prosedur yang
lengkap di *h H. Add1 Terdapat dua
yang relevan dengan pelaporan keuangan. eberapa hal
baru dst. Infor!#&i d#n ,o!uni+#&i: kualitas SI$) Proses susun =9! 0onitoring: Assesment SPI) Spe*ial modul di IT )=aporan
yang bertujuan untuk memastikan validitas)
oleh kolusi. /torisasi vs Proses Transaksi Asset (ustody vs 4e*ord !eeping ,ika mau *urangpun perlu minimal % orang. Supervisi ) kompensasi dari kurangya pemisahan fungsi (atatan Akuntansi "#okumen sumber) jurnal) ledger'.. *atatan dalam akuntansi ini mengandung jejak audit yang
kuat proses hukumnya "<< IT7'. unakan pendekatan berbasis resiko) karena masing-masing organisasi berbeda karakternya. AUDITING IT GO-ERNANCE CONTROLS A.
Infor!#tion Te$hnoog* Govern#n$e Tujuan utama dari tata kelola TI adalah untuk : mengurangi risiko memastikan bah&a investasi dalam sumber
perlu dijaga "preserve' dalam rangka aktitas operasional "routine
dan
monitoring
transasksi
dengan
pelanggan9suplier' dan mengamankan audit trails. Audit Tr#i&
daya
TI
menambah nilai bagi perusahaan. Sebelum S/? A*t) praktek umum mengenai investasi pada
0also *alled audit log is a se*urity-relevant
*hronologi*al re*ord) set of re*ords) and9or destination
TI
adalah
menyerahkan
semua
keputusan
kepada
and sour*e of re*ords that provide do*umentary eviden*e
profesional TI. Sekarang semua elemen organisasi dituntut
of the seuen*e of a*tivities that have aOe*ted at any
aktif berpartisipasi dalam peren*anaan s.d pengembangan
time a spe*i* operation) pro*edure) or event2 $erupakan jejak) utamanya dalam *atatan kronologis
TI. #.IT Govern#n$e Contro& ased on S/? dan (/S/ ada E isu tata kelola IT: akuntansi) yang dapat digunakan untuk menentukan • /rganiational &tru$ture of the IT fun*tion apakah suatu peristi&a terjadi atau tidak terjadi yang • (omputer $enter operations dapat digunakan sebagai alat penelusuran dalam proses • #isaster re$over* planning audit..misal paraf dalam dokumen) log a**es editing data) B. Stru$ture of the Infor!#tion Te$hnoog* #. Centr#i2ed D#t# ro$e&&ing nomor P/) nomor *ek)no bukti)no jurnal dll yang bisa erdasarkan model pengolahan data terpusat)
semua
digunakan menelusur suatu informasi dari a&al "sour*e'
pemrosesan data dilakukan oleh satu atau lebih komputer
sampai ke =9!. !ontrol Akses "Authoried Personel /nly to a**es asset9IT' engend#i#n IT Pengendalian U!u! adalah pengendalian yang sifatnya
yang lebih besar bertempat di situs pusat yang melayani
pengguna di seluruh organisasi. #A: (entral =o*ation) Shared. #A n teamnya responsible
tidak berhak mengakses) misal berbentuk kun*i) pass&ord
termasuk *ontrols over IT governan*e) IT infrastru*ture)
pada keamanan dan integritas database. Pemrosesan #ata mengelola S#IT terdiri dari: !onversi #ata: ard(opy to Soft(opy "inputable to *omputer' /perasi !omputer: memproses hasil konversi melalui suatu
aplikasi #ata =ibrary: Storage oQine data-> 4eal Time data Pro*esing
•
dan dire*t a**es mengurangi peran #= Sys #ev and $aintenis: Analisis kebutuhan) partisipasi dalam
membatasi akses dan mengamankan aplikasi dari yang
se*urity and a**ess kepada sistem operasi dan #) appli*ation a*uisition and development and prosedur
•
perubahan program dll. Pengendalian A%i+#&i merupakan pengendalian intern yang memastikan aplikasi spesik dapat melakukan fungsinya dengan baik dan mengurangi terpaparnya aplikasi dari resiko potensial. Pengendalianya berupa *ek digit) format yang memastikan validitas) kelengkapan dan
•
desain
sistem
baru
"Profesional)
7nd
dan
Stakeholder'. $enjaga sistem beroperasi sesuai kebutuhan) RJ-DJ *ost
dalam IT biasanya ada pada maintanan*e
"tidak hanya soal mera&at9membersihkan namun lebih kepada tambal sulam SI.
$asalah *ontrol yang harus diperhatikan dalam proses data tersentralisasi
adalah
pengamanan
#.
!arena
bentuk
topologi
jaringan
juga
4evie& *atatan pemeliharaan)verikasi bah&a programmer
•
pemeliharaan tertentu tidakmerangkap programer desain. Pastikan bah&a operator komputer tidak memiliki akses ke
jika
a**esnya lemah maka seluruh informasi dapat terpapar resiko)
•
logi* sistem dokumentasi) seperti sistem diagram alur)
mempengaruhi
keandalan data informasi. al ini akan lebih jelas di •
appendi8. '.Segreg#tion of In$o!%#ti'e IT "un$tion&
logika diagram alur) dan daftar kode program. 4evie& akses programer untuk alasan selain kegagalan sistem #istributed
•
Tinjau bagan organisasi saat ini ) pernyataan misi ) dan uraian
tugas in*ompatible duties . U Pastikan bah&a desain sistem )dokumentasi)hard&are dan
perangkat lunak hasil akuisisi diterbitkan dan diberikan to unit TI. U Pastikan kontrol kompensasi ->supervisi monitoring U #okumentasi sistem aplikasi ) prosedur ) dan databasesare diran*ang
dan
berfungsi
sesuai
dengan
standar
perusahaan . #alam sistem terdistribusi pemrosesan dan pengamanan
Pemisahan antara suatu fungsi tertentu demi menjaga I(
data disebar ke berbagai titik) pengamanan menjadi di
yang baik: Sys #ev pisahkan dengan /perasional #A sahkan dari unit lain Sys #ev pisahkan dengan $aintanan*e "merupakan superior
stru*ture' karena adanya resiko: Inadeuate #o*umentation: Programmer mengembangkan
sistem
baru
lebih
banyak pintu namun tersebar) resikonya tidak seluruh titik memiliki pengamanan yang sama. #alam topologi STA4 lebih aman karena kalo satu mati yg lain relatif tidak terganggu sedang pada Topologi
suka
akan
daripada
se*ara
umum
menyusun
us akan rentan tabrakan data "lebih lengkap di appendi8'
program yang tidak sempurna biar ada kerjaan terus. Program 3raud: unauthoried *hange karena programer
fokus auditor adalah kepada seringnya sistem do&n atau
perlu
diperhatikan
karena
dpat
kerusakan jaringan maupun soft&are yang mengakibatkan gangguan komunikasi
dan
pada
database)
resiko
ini
berbeda% dalam masing% topologi jaringan. C.The Co!%uter Center a. Physi*al =o*ation : Antisipasi ben*ana alam maupun manusia
*ari lokasi yang aman. b. (onstru*tion : kontruksi fasilitas IT-> tunggal) a**es terbatas
dan ltrasi bagus. esiennya *. A**ess : =I$IT7# d. Air (onditioning : Adeuate untuk menjaga database penggunaan sumber daya) perusakan jejak audit) e. 3ire Suppression : Automati* Alarm) Pemadam Api) 78it #oor pemisahan tugas kurang memadai) meningkatkan potensi f. 3ault Toleran*e : Toleransi kesalahan adalah kemampuan tidak
kesalahan pemrograman dan kegagalan sistem
serta
sistem untuk melanjutkan operasi ketika bagian dari sistem
kurangnya standarisasi. !euntungannya termasuk pengurangan biaya) peningkatan
gagal "masih bisa running kalau ada sesuatu gangguan'
kontrol biaya) meningkatkan kepuasan pengguna) dan adanya @eksibilitas dalam ba*kup sistem. d. (ontrolling the ##P 7nvironment • (entral Testing of (ommer*ial Soft&are and ard&are diuji
•
dipusat
ada (hat room) 3A) Intranet support dll Standard-Setting ody -> untuk improve keseragaman prog
•
and do* Personnel 4evie&-> ada assesment.
karena kegagalan hard&are) error program aplikasi) atau kesalahan operator. 4edundant arrays of independent disks "4AI#'->data • =istrik g. Audit O'e$tive& Tujuan auditor adalah untuk mengevaluasi kontrol yang •
mengatur keamanan pusat komputer . Se*ara khusus ) auditor harus memastikan bah&a : kontrol keamanan sik yang memadai untuk *ukup melindungi organisasi dari eksposur sik
Audit O'e$tive: Tujuan auditor adalah untuk memastikan bah&a struktur fungsi TI adalah sedemikian rupa sehingga individu di daerah yang tidak kompatibel dipisahkan sesuai dengan tingkat potensi risiko dan dengan suatu *ara yang
memadai
#A;
untuk
*akupan asuransi pada peralatan
mengkompensasi
kerusakan
pusat
komputernya h. Audit ro$edure& • Tests of Physi*al (onstru*tion. 3isik bangunan server) lokasi
dan keamanan terhadap AVA4# 767;T. Tests of the 3ire #ete*tion System. Audit ro$edure& : • Tests of A**ess (ontrol. (entralied • Tests of 4aid) < # Tinjau dokumentasi yang relevan) untuk menentukan apakah • Tests of the
•
•
meskipun
se*urity
yang ditempatkan di ba&ah kendali pengguna akhir "7nd
•
lain
keunggulanya dia lebih *epat dan murah. Sayangnya sistem
"##P' melibatkan reorganisasi fungsi IT pusat ke IT unit ke*il
•
yang
mendokumentasikan kinerja sistem lama) juga soal job
faham seluk beluk operasi normal. *. The #istributed $odel Small) po&erful) and ine8pensive systems. #is#ataPro*
•
menggangu
#engan peren*anaan kontinjensi yang hati-hati) dampak dari
$anajemen boleh saja mengalihdayakan fungsi ITnya namun
ben*ana dapat diredam dan organisasi dapat pulih dengan
tidak dapat mengalihkan tanggungja&ab manajemen pada
*epat.
penyediaan Pengendalian Intern yang memadai. SAS HJ
perusahaan harus mengembangkan prosedur pemulihan dan
merupakan standar yang mendenisikan perlunya auditor
meresmikan mereka ke dalam suatu ren*ana pemulihan
mengetahui kontrol jika IT dilaksanakan oleh vendor pihak
ben*ana "#4P') suatu skema dalam menghadapi keadaan
ketiga. 6endornya sendiri tentu diaudit oleh auditornya
darurat.Prosesnya adalah sbb:
sehingga IT revie& dilaksanakan satu kali saja supaya praktis
a. Identify (riti*al Appli*ations->uat daftar aplikasi yang paling
dan murah.
penting b. (reating a #isaster 4e*overy Team ->buat Tim..langgar I( boleh *. Providing Se*ond- Site a*kup buat lokasi data
SECURIT4 ART I1 AUDITING OERATING S4STE0S AND NET5OR,S
*adangan A.
Auditing O%er#ting S*&te!&
•
"duplikasi' mutual aid pa*t->dua atau lebih) join S# IT pas ben*ana empty shell or cold siteW ->se&a tempat pada penyedia ba*kup re*overy operations *enter or hot site W ->se&a full euipped
sama seperti
•
•
ba*kup internally provided ba*kup->buat sendiri "mirroring di tmpt
makin besar dan /S menjadi semakin penting.
•
lain' Audit
/bje*tive:
The
auditor
should
verify
/S adalah program pengendali komputer) /S memungkinkan user dan aplikasi berbagi dan mengakses sumberdaya yang
of
its
*omputing
resour*es.
Audit
Pro*edures memastikan hal% diba&ah ini berfungsi dengan baik Site a*kupMlokasi IT dll • #aftar Aplikasi penting oke • Soft&are a*kup. • #ata dan #okumentasi a*kup. • a*kup Supplies dan Sour*e #o*uments. • #isaster 4e*overy Team di test E.Out&our$ing the IT "un$tion •
/utsour*ing IT kadangkala meningkatkan kinerja bisnis inti) meningkatkan !inerja
printer
dan
database.
#.O%er#ting S*&te! O'e$tive& /S memiliki tiga fungsi yakni: that • $enterjemahkan bahasa tingkat tinggi (//= (++ dll)
menggunakan
fe#&i'e for dealing &ith a *atastrophe that *ould deprive
organiation
memori)
Semakin besar entitas maka sumber daya yang perlu diakses
management1s disaster re*overy plan is #de3u#te and the
prosesor)
IT "karena keahlian vendor') dan
mengurangi biaya TI. =ogika yang mendasari outsour*ing TI
• •
translatornya
->
yakni
(ompiler
dan
Interpreters G(h X lbh lengkapnya $engalokasikan S# kepada user) grup maupun aplikasi $engelola pekerjaan dan banyak program->
=inks b. /perating System Se*urity !ebijakan) prosedur dan pengendalian yang menentukan siapa yang dapat mengakses /S dan S# IT dan apa saja •
• • •
yang bisa dilakukannya. Prosedur =og-/; pertahanan pertama) salah brp 8 blokir misalnya. Token Akses -> mengandung !eyInfo:user I#) pass)previledge A**es (ontrol =ist "daftar kesaktian user' #is*retionary A**es Previledge->Super Admin "ighly
Supervised' bah&a *. Threats to /perating System Integrity organisasi harus fokus se*ara eksklusif pada kompetensi bisnis • Previldeged personel menyalahgunakan otoritasnya • Individual di dalam dan di luar entitas yang men*ari *elah intinya saja) sementara outsour*ing vendor memungkinkan sistem untuk se*ara esien mengelola daerah non-inti seperti fungsi sengaja atau tidak memasukan virus9bentuk • Individual TI "IT dianggap supporting'. program lain yg merusak Premis ini) bagaimanapun) mengabaikan perbedaan penting d. /perating System (ontrols and Audit Tests Area-area yang perlu diperiksa adalah a**es personil yang antara komoditas dan aset TI yang spesik. Co!!odit* IT mendapat previledge) kontrol pass&ord "pass&ord sekali #&&et& are not uniue to a parti*ular organiation and are pakai dan berulangkali') kontrol virus dan aplikasi thus easily a*uired in the marketpla*e sementara S%e$i/$ IT berbahaya dan kontrol pada jejak audit. #&&et& dapat merupakan keunggulan strategis perusahaan. System audit trails "sekumpulan log yang merekam aktivitas Tr#n$tion Co&t E$ono!i$& (TCE) theory is in *on@i*t &ith sistem) aplikasi) user'-> #etailed Individual =ogs dan 7vent the *ore *ompeten*y s*hool by suggesting that rms should oriented =ogs retain *ertain spe*i* nonG*ore IT assets inhouse. ,adi Audit prosedurnya: Pastikan tur audit trails diaktifkan) disarankan boleh outsour*e pada Sumber#aya IT yang bisa (ari akses tanpa otorisasi) periode non aktif user) aktitas digantikan "S9' atau tidak terlalu kritikal..S# IT yang user) &aktu log in dan out penting dan unggulan bagi organisasi jangan. =og on yang gagal "indikasi salah a**es9*oba%' Pantau A**es ke le tertentu yang penting a. 4isks Inherent to IT /utsour*ing $onitoring dan reporting pelanggaran keamanan IT • 3ailure to Perform B. Auditing Networ+& • 6endor 78ploitation a. Intranet 4isks • /utsour*ing (osts 78*eed enet Terdiri dari =A;s dan A;s yang terdiri dari ratusan individual • 4edu*ed Se*urity • =oss of Strategi* Advantage node. Ada beberapa re&i+o terkait Intranet misalnya Pesan b. Audit Impli*ations of IT /utsour*ing dapat diintersepsi9disadap9di*egat) adanya resiko akses dari
teori
+o!%eten&i
inti)
yang berpendapat
kepada # entitas) personel yang memiliki previleged) mantan
=ebih lengkap lagi dapat merefer ke buku SI$ $*=eod..hal
karya&an dll D.
b. Internet 4isks
FD-% Auditing C6B#&ed A$$ounting S*&te!& Aplikasi soft&are akuntansi->&ide range->
lo&
*ost
Re&i+o yang terkait dengan internet adalah adanya I
produ*t->kadang modular namun terintegrasi-> berbasis P( S%oo/ng "nyamar pake IP orang9palsu') ##/S atta*k yang a. P( Systems 4isks and (ontrols Ada resiko unik terkait A**ounting soft&are: membanjiri server sehingga lumpuh baik melalui SN; 3lood !elemahan Sistem /perasi dibanding $ainframe $odel) P( maupun S$<43 "tiga pihak ada perantara' dan #istributed keamanannya minimal untuk data dan program) memang #enial of Servi*e Atta*k pake orang lain sebagai ombienya. ba&aan P( yang dituntut portabel Nang perlu diperhatikan adalah juga motivasi orang Akses !ontrol =emah program tertentu bisa run tanpa akses menyerang..bisa
iseng..dendam atau
menguji
keandalan
sistem. Selain itu resiko juga berkaitan dengan +eg#g##n
akses
%er##t#n dalam berkomunikasi baik =I;7) dan S.
*. (ontrolling ;et&orks • (ontrolling 4isks from Subversive Threats $enggunakan 3ire&all "umum' Pasang IPS dan #eep Pa*ket Inspe*tion *egah serangan ##/S Pake 7nkripsi9sandi dlam pengiriman data TT# #igital dan Sertikat #igital Pake $essage Seuen*e ;umber dan Transa*tion =og serta •
# "boot from (#' fungsi kurang) satu orang bisa memiliki banyak
Pemisahan $ultivel
pass&ord *ontrol kasih user pass beda% !emalingan..small) handheld easy to theft. Prosedur a*kup =emah 4esiko terpapar virus lebih besar Audit obj dan pro* menyesuaikan dengan kelemahan% 4esiko
tersebut. APP7;#I? ( E
punya (all a*k #evi*es Audit /bje*tivenya adalah memastikan bah&a kontrol jaringan
TOOLOGI 7ARINGAN
T, adalah pengaturan sik dari komponen jaringan "node)
dapat men*egah dan mendeteksi akses illegal) mengurangi data •
yang
tidak
terpakai
dan
memadai
server) *omlink)dll'. eberapa pengertian penting adalah
untuk
mempertahankan integritas data (ontrolling 4isks from 7uipment 3ailure *ek aja alatnya baik%
sbb: LAN->
!ongurasi
jaringan dalam satu gedung hingga
saja..pake e*ho *ek) parity *ek dst C. Auditing Ee$troni$ D#t# Inter$h#nge (EDI) 7#I merupakan suatu sistem yang memungkinkan
beberapa mil dan menghubungkan ratusan user) komputer
mekanisme pertukaran data dan informasi bisnis antar
melampai kemampuan geogras =A; dia berubah menjadi
komputer antar entitas dapat diproses oleh komputer se*ara
5AN. ;odes dalam A; termasuk komputer &orkstations)
mandiri dalam suatu bentuk komunikasi dengan format standar. 4efer ke *erita ameri*an hospital atau 7#I #,(. a. 7#I Standards GA;SI) 7#I3A(T dll b. enets of 7#I • #ata !eying) mengurangi entry data berulang • 7rror 4edu*tion) ga doble ngetik%) tapi kalo salah satu tapi di a&al bisa salah semua sampai akhir. $engurangi kertas • $engurangi biaya kirim dokumen • Prosedur terotomasi..manajer mikirin yg lain saja "$78*p' • Pengurangan biaya Inventory melalui 7/9,IT *. 3inan*ial 7#I GPake transfer elektronik dalam kirim uang d. 7#I (ontrols "6alidasi dan /torisasi' !arena berkurangya peran manusia maka ada pengendalian
yang terhubung ke =A; dinamakan ;odes. !etika jaringan
mini*omputer)mainframe dan kumpulan =A; itu sendiri. sik dalam =A; di*apai melalui ;I( "net&ork interfa*e
!oneksi
*ard')
salahsatu
slot
ekspansi
dalam
komputer
"ya
!ung+in sema*am *olokan 4,FX buat kabel =A;) atau i
4e*eiver atau kartu didalam motherboard' dalam =A; sering berbagi sumberdaya seperti
NODES
program) data dan printer melalui suatu komputer yang
•
ditujukan untuk itu yang dinamakan &erver.
yang unik dan berbeda dengan sistem manual utamanya adalah soal otori&i dan v#id#&i transaksi. Sehingga auditor harus memperhatikan: dan Pass&ord serta valid le dalam # buat pembanding (ek validasi lagi sebelum pesan dikirim jalan tidak Aplikasi *ek ke le referensi sebelum di proses e. A**ess (ontrol Agar berjalan baik sayangya dalam sistem 7#I perusahaan I#
Antar
jaringan terhubung dengan suatu kombinasi dan S
yang dinamakan BRIDGES "menghubungkan =A; dalam
harus memberikan sejumlah akses kepada partnernya untuk
satu tipe->I$ tokenring to I$ tokenring' dan GATE5A4
mengakses # perusahaan. Sehingga sangat penting untuk
"menghubungkan =A; dari berbagai type atau =A; ke A;'
memiliki le valid vendor maupun valid *ustomers) juga bisa dibatasi read only saja tidak bisa merubah data. !arena sudah paperless satu%nya #udit tr#i& bisa jadi (uma le =/ saja..keep it safe. Audit /bjektif: Semua transaski 7#I telah diotorisasi dan divalidasi) tidak ada transaksi tanpa otorisasi yang running) a**es hanya kepada data yang diperkenankan dan kontrol erikut X ma*am Topologi #asar yang perlu diketahui:
yang *ukup dalam pengamanan =og le. ♥
STAR "mirip bintangY'
♥
,aringan dengan Pusat komputer yang besar "/ST' yang memiliki hubungan langsung dengan komputer9jaringan yang lebih ke*il. !omunikasi dalam topologi ini diatur dan dikendalikan dari /ST. iasanya digunakan dalam A;) model # yang umum adalah data% lokal "*ontoh pinjaman) yg disimpan di masing% kantor adalah data *ustomersnya' disimpan di ;/#7S% "komputer ke*ilnya9jaringan lokal' sedangkan data yang umum "*ontoh jumlah tagihan) piutang' disimpan dipusat "/ST'. ,ika satuatau lebih nodes mati yang lain masih bisa running) kalo ostnya yg do&n ya (uma bisa operasi sendiri% nodesnya.
Akses
antar
nodes
juga
dimungkinkan)
Topologi =A; paling populer) seluruh nodes terhubung ke satu kabel utama yang dinamakan "The
tergantung #nya. 8IRAR,I
Istilah (lient-Server sering Satu komputer /ST terhubung dengan beberapa level komputer yang lebih rendah9lebih ke*il dengan hubungan ,uraganZabu. #igunakan pada organisasi tersentralisasi) misal data order dari level ba&ah) dirangkum di level regional lalu
dikirim
produksi
regional)
ke
ke pusat) regional
pusat memerintahkan bagi
lagi
ke
unit
diba&ahnya..sema*am itula. ♥
disalahgunakan9disalahfahami
sebagai seluruh tipe pengaturan jaringan. Padahal topologi ini punya karakteristik spesik yang berbeda dengan topologi lainnya. #alam jaringan ##P tradisional misalnya jika user ingin melihat satu re*ord di # pusat) komputer pusat akan mengun*i dan memberikan seluruh # ke user tersebut) ketika re*ord diapdet baru # itu dikirim lagi ke pusat. (lient-Server model mendistribusikan pemrosesan antara
RING "(I;(I;..ya iyalah'
user dan server dengan fungsi yang berbeda. ,adi program pen*arian
ada
di
server
data
manipulasi9perubahan
diberikan ke *lient. Sehingga ketika ada permintaan satu re*ord yang dikirim server ya sature*ord itu saja) kalo sudah diapdet re*ord dikirim ke pusat dan direstore ke #. Sistem ini lebih esien) mengurangi tra* dan akses ke satu le bisa dilakukan se*ara bersamaan. #apat diaplikasikan ke seluruh Topologi lainnya. Tidak ada site pusat9*entral) semua nodes selevel dan manajemen komunikasi disistribusikan keseluruh nodes. Pergerakan
data
satu
arah
sehingga
meminimalkan
tabrakan data. Tiap nodes memiliki alamat berupa kode elektronik yang unik) jika mau kirim dari A ke #) le&at di dan ( hanya sebagai kolanding) "sunda:mak*omblang' perantara) (uma di terima) lalu dikirim lagi ke tujuan. !ebanyakan pake model ini masing% nodes bisa manage program dan database se*ara lokal. Salahsatu nodes dapat menjadi penyimpan data pusat yang dapat diakses seluruh nodes.
ENGENDALIAN 7ARINGAN
Tujuan dari pengendalian jaringan adalah agar supaya: a. $enyediakan suatu sesi komunikasi diantara pengirm dan penerima. b. $engelola aliran data sepanjang jaringan. *. $endeteksi dan menyelesaikan masalah tabrakan data antara nodes yang saling berkompetisi. d. $endeteksi error dalam jaringan atau yang disebabkan karena sinyal A;NA
ada
satu node dalam
suatu
&aktu
yang bisa
mengirimkan pesan) dua atau lebih pengiriman pesan se*ara
bersamaan dapat mengakibatkan tabrakan data"*ollision'
Logi$ Bo!'9 destruktif program yang diaktifkan melalui
yang menghan*urkan keduanya "meskipun ke*epatannya
kejadian yang telah disetting sebelumnya misal tanggal
dalam mili detik'. Ada beberapa teknik untuk mengelola dan
tertentu9jam tertentu. aspadai pega&ai yang keluar dari
mengendalikan lalu lintas data) tiga varian dasarnya adalah
organisasi dapat mensetting kerusakan sekian lama setelah
sbb:
dia berhenti . B#$+ Doo r9 program yang mengiinkan akses illegal masuk ke sistem tanpa melalui saluran prosedur yang normal "front door'. isa digunakan untuk memantau sistem atau untuk fraud. Tro#n 8or&e9 menangkap I# dan pass&ord dari user dengan meniru prosedur log in normal.
SECURIT4 ART II1 AUDITING DATABASE S4STE0S A. D#t# 0#n#ge!ent A%%ro#$he& menanyakan "P/==I;' apakah site lain "budak' hendak #.The "#t6"ie A%%ro#$h #ata les yang mengandung re*ord dengan tanpa memiliki kirim pesan atau tidak) untuk menentukan siapa yang bisa hubungan yang terstruktur dengan le lain. Sering mengirim data dan menghalangi yang lain. Tabrakan dapat
oing)
most popular dalam A;. Satu site sebagai master
dihubungkan dengan legacy system "sistem &arisan' udah
di*egah dan site yang penting dapat dikasih prioritas. To+en #&&ing9 mentransimiskan sinyal spesial "token'
jadul namun masih ada yang pakai. Pendekatannya single
keseluruh jaringan dari node ke node. ,aringan yang mau
user) sistem mainframe yang besar user tidak berbagi data
ngirim pesan menangkap sinyal ini sebagai kun*i) nodes
dengan end user lainnya. 3ormat sesuai kebutuhan satu
yang tidak kirim akan mele&atkan saja tokennya. digunakan
orang !etika end user lain membutuhkan data yang sama
di us dan 4ing biasanya.
untuk tujuan yang berbeda) mereka harus menyusun set data yang terpisah untuk memenuhi kebutuhan mereka. 4eplikasi-replikasi ini merupakan kelemahan model ini disebut data redudancy yang mengakibatkan masalah pada @at le: o
D#t# Stor#ge1 #ata yang umum dan digunakan bersama
disimpan
C#rrier Sen&ing9 biasanya dipake di us) nodes yang hendak
kirim data mendengarkan "menyensor9s*an9stalking' ke
o
terduplikasi
diseluruh
level
organisasi..boros spa*e D#t# U%d#ting-:anyak data pada le a*uan dan le master
jaringan utama "kabel
yang memerlukan pembaharuan berkala) apdetnya harus
masih beresiko tabrakan kalo stalkingya tidak akurat) ketika terjadi server akan memberikan kesempatan kepada nodes
sendiri%)
o
satu%. Curren$* of Infor!#tion1 !egagalan untuk membaharui
untuk men*oba lagi. !alo jaringannya supersibuk akan
semua le pemakai yang terpengaruh jika ada perubahan
mengakibatkan banyak delay. 7ternet adalah salahsatu
dalam status menghasilkan
*ontoh pake model ini keunggulannya: simple) murah karena tidak perlu pasang dua kabel "4I; pake t&istpair
o
keputusan
berdasar
pada
informasi ga uptodate. T#&+ D#t# De%enden$* (Li!ited A$$e&&) ketidakmampuan pemakai untuk memperoleh informasi tambahan) ketika
*able supaya mantap') kartu jaringanya lebih murah dan
kebutuhannya berubah) informasi dibatasi oleh data yang
pake bus lebih mudah dikembangkan. B.
dikuasai dan dikendalikannya saja. The D#t#'#&e A%%ro#$h Pendekatannya
menggunakan
#atabase
management
system "DB0S' suatu soft&are khusus yang diprogram untuk mengatur lalulintas # dan menggunakan mekanisme otori&i
#+&e&.
Pendekatan
ini
memusatkan
pengorganisasian data ke dalam database umum sehingga rogr#!: 'er'#h#*#1 -iru&9 suatu program yang menempelkan dirinya pada
dapat dibagi dengan pemakai lainnya. !eunggulanya ya: mengatasi seluruh masalah dalam @at le diatas itu.
program yang sah untuk melakukan penetrasi kedalam C.,e* Ee!ent& of the D#t#'#&e Environ!ent D#t#'#&e 0#n#ge!ent S*&te! sistem operasi dan menghan*urkan aplikasi) data atau #$S menyediakan pengendalian untuk membantu atau /snya sendiri. men*egah akses ke #. 3iturnya: 5or!9 istilahnya dipertukarkan dengan virus) program yang se*ara virtual mengubur diri dalam memorikomputer dan menduplikasi dirinya dalam area memori yang idle. edanya dengan virus &orm ini kembaranya masih terhubung dengan induknya sementara virus berkembang independen.
Program
#evelopment) berisi Aplikasi Pengembangan Program
Perangkat =unak and 4e*overy) sejak memproses) se*ara periodik
a*kup
#$S membuat ba*kup *opy di physi*al database
#atabase
"path'. !elemahan: Parent dapat memiliki satu atau lebih
apa yang digunakan) kapan mereka gunakan dan siapa
*atatan *hild. Tidak ada satupun *atatan *hild memiliki
yang menggunakan A**ess) *iri yang sangat penting yaitu memberikan
parent lebih dari satu. Tidak men*erminkan kondisi
ijin otorisasi untuk dapat mengakses) baik formal maupun
dari satu
informal database melalui E modul: #ata #enition =anguage
*atatan
#atabase
•
" DDL'.
sebenarnya satu *atatan *hild dapat memiliki parent lebih
##=
mengidentikasikan nama dan hubungan semua unsur
•
*hild
diduplikasi
sehingga
men*iptakan9menyajikan dua hirarki yang terpisah. The ;et&ork $odel $odel ini sama dengan hirarki juga
data) dokumen9*atatan) dan le yang terdapat di dalam
merupakan navigational type) dengan suatu penge*ualian
database. D#t#'#&e -iew Internal 6ie&9Physi*al 6ie&->
dalam hubungan antara re*ord dan le. perbedaannya model net&ork mengijinkan *atatan anak memiliki parent
struktur *atatan
data) hubungan-hubungan antara sebuah le dan •
lebih dari satu. The 4elation $odel Perbedaan model relation dengan
ren*ana physi*al dan rangkaian *atatan dalam le (on*eptual 6ie&9=ogi*al 6ie&-> skema logi*al)
kepada user. $odel ini menggambarkan data dalam tabel
abstrak 78ternal 6ie&9subskema pandangan
dari user U&er& 3formal A**ess-App Interfa*es: Ada dua jalan untuk
pertemuan *olumn dan ro& membentuk tuples "re*ord'.
pengguna mengakses database) salah satunya adalah dengan aplikasi formal interfa*e) atau pake informal seperti #ata $anipulation =anguage dan Stru*tured
model pertama adalah *ara hubungan data disajikan dua dimensi. agian kolom berisi atribut) sedangkan erisi kesatuan data yang sama tetapi tidak sama persis) untuk
di*atat
dalam
sistem
le
@at.
Tabel
harus
dinormalisasi dan masing% atribut dalam ro& bergantung kepada primary key atau independen atribut yang lain. !an lbh detail di *h R
uery =anguange "mumet' The D#t#'#&e Ad!ini&tr#tor
D#t#'#&e Ter!inoog* (refer +e Ch
0 0$eod d#n
A%%endi A) 7ntity
adalah representasi database akan suatu dari tiga hal
ini
yakni
elemen
lingkungan)
sumberdaya
atau
transaksi9event yang penting dan harus didokumentasikan dalam bentuk data. adalah karakteristik dari suatu entitas) atribut yang
Attribute
unik dinamakan identiers atribut lain yang menjelaskan entitas dinamakan des*riptor. Attribute93ield adalah single item data seperti nama)
#ata
alamat dll Type "table or 3ile' kumpulan atribut data yang se*ara
4e*ord
The h*&i$# D#t#'#&e
Physi*al #atabase adalah level paling rendah dari database dan satu-satunya level yang ada dalam bentuk sik.Physi*al database terdiri dari titik-titik magneti* pada magneti* disk. •
#ata Stru*ture) adalah bata dan semennya database) yang
membolehkan
*atatn
ditempatkan)
disimpan)
dipanggil) dan dimungkinkan dipindah dari *atatan satu ke lainnya. Struktur data terdiri dari: /rganisasi #ata adalah *ara pen*atatan se*ara
logis mendenisikan entitas. kumpulan re*ord type yang dibutuhkan organisasi
#atabase
untuk mendukung bisnis prosesnya. 4elationship adalah yang hubungan yang terjadi
Asso*iations9
diantara suatu re*ord atau entitas dengan yang lainnya. entuknya: /ne to /ne • /ne to $any • $any to $any • D. D#t#'#&e& in # Di&tri'uted Environ!ent #.Centr#i2ed D#t#'#&e&
sik yang diatur pada alat penyimpan se*ondary. #ata A**ess $ethod adalah teknik yang digunakan untuk menempatkan *atatan dan mengendalikan
melalui database. DB0S 0ode& #ata
model
adalah
suatu
termasuk
representasi sumber
abstrak
"aset')
data
mengenai
entitas)
kejadian
"transaksi'
dan agen "personalia atau *ustomer' dan
hubungan mereka dalam organisasi. Tujuan #ata $odel adalah menyajikan atribut entitas dengan *ara yang mudah dipahami oleh pemakai. Ada tiga model data •
The ierar*hi*al $odel "Bstruktur pohon9ayah anak ingat
Penyimpanan # di satu lokasi terpusat.
kanM' $odel ini sering disebut navigational database
di*egah dua akses dari dua user se*ara bersamaan.
karena membuatan garis le diikuti pra penetapan jalur
iasanya menggunakan mekanisme pengun*ian.
'.Di&tri'uted D#t#'#&e& Partitioned #atabases Approa*h
•
Time-stamp
setiap
transaksi.
Ada
jam
yang
men*atat
transaksi dengan I# number khusus mengakomodoasi perbedaan
&aktu ,ika mun*ul
dimasukkan ke
dalam
kon@ik
maka transaksi
s*hedule serial sehingga data
menjadi runut mengapdet database. !eputusan itu untuk mendistribusikan database harus penuh pertimbangan)
ada
beberapa
trade-oO
yang
harus
dipertimbangkan. Pilihan ini berdampak pada kemampuan organisasi itu untuk memelihara integritas data. Penjagaan jejak audit dan ketelitian dari *atatan akuntansi adalah kun*i yang harus difahami juga oleh auditor. Pendekatan partitioned database meme*ah database pusat menjadi
segmen-segmen
yang
Pengendalian
#$S
dikelompokkan
didistribusikan ke pemakai data yang utama. !euntungan
pengendalian
akses
"a**ess
pendekatan ini:
ba*kup.
yang
tersimpan
atau
pada
partisi-partisi
E.Controing #nd Auditing D#t# 0#n#ge!ent S*&te!& #.A$$e&& Contro&
•
#ata
site
lokal
meningkatkan
•
pengendalian user. aktu respon pemrosesan transaksi ditingkatkan dengan
o
•
->
Pada
individu tanpa otorisasi menampilkan) memanggil) merusak) dan menghan*urkan data entitas.
•
lingkungan
satu sama lain dari database) sehingga men*egah masing-
akses ke database "tampilan yang diijinkan per user
pemrosesan
transaksinya.
melihat "#'. #atabase Authoriation Table erisi aturan-aturan yang
•
membatasi tindakan yang dapat diambil pemakai. Teknik
ini
mengatasi deadlo*k pada umumnya melibatkan lebih dari satu
pembatalan
suatu
pengendalian
Adalah pengendalian yang diran*ang untuk men*egah
terdistribusi) dimungkinkan bagi site ganda saling mengun*i melakukan
dan
yaitu:
menegaskan domain data pemakai dan menyediakan
potensial kerusakan. The De#do$+ Phenomenon
masing
*ontrol'
dua
A$$e&& Contro&
mengijinkan akses lokal ke data dan mengurangi volume data yang harus dikirim antara unit IT. #atabase yang dipartisi9didistribusi dapat mengurangi efek
menjadi
transaksi
untuk
dengan
daftar
pengendalian
digunakan dalam sistem operasi.
melengkapi
pemrosesan transaksi lain pada deadlo*k. (on*ern auditor
sama
•
mengijinkan
seberapa sering deadlo*k dan apakah antisipasinya oke. 4epli*ated #atabases
keamanan
pemakai
untuk
personalatau
rutin
identikasi pemakai positif tunggal. #ata 7n*ryption)
•
akses
prosedur
men*iptakan untuk
yang yang
program
men*iptakan
lebih daripada pass&ord
data e*ryption
digunakan
untuk
melindungi data yang sifatnya sangat sensitif. #engan prosedur data en*ryption maka penyusup data tidak dapat memba*a data karena database di-s*ramble iometri* #evi*es adalah prosedur yang menggunakan
•
alat
biometrik
untuk
mengukur
berbagai
ma*am
karakteristik personal) seperti sidik jari. Inferen*e (ontrols) salah satu kemampuan database
•
#atabase direplikasi dapat menjadi efektif pada perusahaan
uery adalah menyediakan ringkasan dan data statistik
yang tingkat sharing datanya tinggi) tidak ada pemakai
pengambilan keputusan bagi pengguna.
utama. #engan mereplikasi data pada setiap bagian) akses data untuk tujuan uery dapat dipastikan) dan lo*kuts dan keterlambatan akibat lalu lintas data dapat diminimalkan. !elemahan pendekatan ini adalah menjaga "maintaining' dan updating versi terbaru dari masing-masing database. $. Con$urren$* (d#t# integrit#&) Contro
Adalah pengendalian untuk memastikan bah&a kejadian kehilangan data akibat akses tanpa otorisasis) kegagalan
#atabase *on*urren*y adalah adanya kelengkapan dan
perangkat) atau kerusakan sik organisasi dapat diperbaiki
keakuratan data pada semua lokasi data pengguna.$etode
oleh database tersebut.
umumnya menggunakan transaksi yang diserialkan dengan
a*kup (ontrols in the 3lat-3ile 7nvironment Teknik ba*kup
melabeli transaksi dengan dua kriteria: •
B. B#$+u% Contro&
Soft&are khusus untuk mengelompokkan transaksi ke dalam
kelas-kelas
potensial.
untuk
mengidentikasi
kon@ik
yang digunakan tergantung pada media atau struktur le. a*kup Te*hniue rant-parent-*hild ba*kup adalah
P(
teknik yang digunakan dalam sistem bat*h le sekuensial. Prosedur ba*kup dimulai
ketika
le master
sekarang
"parents'
diproses
terhadap
le
transaksi
untuk
memproduksi le master updated "*hild'. Pada transaksi
mun*ulnya
organisasi
otonomi
yang
terdesentralisasi
bat*h berikutnya) anak menjadi master le) le parent yang asli naik menjadi ba*kup "grantparent' A**ess le a*kup ;ilai data pada akses langsung
$ulai
,enis (ommer*ial Systems: Turnkey
#ire*t
•
System-> sistem sudah jadi dan siap implementasi eneral A**ounting System->: sistem akuntansi se*ara
•
umum untuk melayani berbagai ma*am user Spe*ial purpose System: sistem yang dibuat untuk
diubah tempatnya dalam suatu proses yang dinamakan destru*tive repla*ement. /leh karena itu) sekali data berubah) nilai asli dihan*urkan) dan hanya meninggalkan
segmen pasar tertentu) seperti: industri perbankan)
satu versi terbaru. /O-Site Storage Adalah tempat penyimpanan ba*kup baik
bidang medis /K*e Automation System a*kbone System: asi* struktur tinggal dikembangkan 6endor supported System Sistem hibrid antara *ustom dan
pada P( maupun pendekatan langsung rorpada tempat
•
yang aman di luar site. Pengendalian
ba*kup
*omer*ial system. untuk
lingkungan
database
!euntungan (ommer*ial Systems
menyediakan sistem ba*kup dan pemulihan sebagai berikut: se*ara periodik untuk seluruh data. Transa*tion =og ",ournal' The transa*tion log adalah tur yang
• •
menyediakan jejak audit seluruh transaksi yang diproses. 3eature Adalah fasilitas yang menunda seluruh
!erugian(ommer*ial Systems:
(he*kpoint
•
!etergantungan pada vendor dalam pengoperasian Sulit dikustomisasi. (ommer*ial Systems biasanya terlalu
•
umum dan kaku Pemeliharaan. ,ika
•
proses sementara data sedang diperbaiki "proses pemulihan data' transa*tion log dan database mengubah log database. $odule $odul ini menggunakan logs dan ba*kup
4e*overy
untuk
memulai
kembali
setelah
sistem
mengalami
kegagalan
aktu implementasi *epat (ost rendah 4eliabilitas "sudah dites dulu sebelum dirilis'
•
a*kup
kebutuhan
user
berubah)
sulit
memodikasi sistem C.The S*&te!& Deveo%!ent Life C*$e Systems #evelopment =ife (y*le "S#=(': planning sistem)
S4STE0S DE-ELO0ENT AND ROGRA0
analisis sistem) desain konseptual sistem) seleksi sistem)
C8ANGE ACTI-ITIES
desain
A. #rti$i%#nt& in S*&te!& Deveo%!ent Sistem profesional : sistem analis) systems engineers) dan
programer. $embangun sistem->produknya Sistem aru
terhadap
sistem)
internal auditor
eksternal auditor) akuntan) steering komite. dan Auditor: profesional yang *on*ern
Akuntan
#.S*&te!& #nning<h#&e I
Tujuan dari
peren*anaan adalah untuk
menghubungkan
proyek dan aplikasi kepada tujuan strategis organisasi. Pihak yang
menyusun peren*anaan biasanya
*omitee
pada
"(7/)
(3/)
senior
manager)
adalah Steering internal
auditor'
Peren*anaan se*ara umum dibagi menjadi:
pengendalian) akunting dan audit issue. dilibatkan Internal tidak dibolehkan S/? =a&. #.5h* Are A$$ount#nt& #nd Auditor& Invoved with SDLC; dianalogikan sebagai proses manufaktur yang S#
sistem
diterima sebagai best pra*ti*es pengembangan sistem.
dan
dan IT auditor) tidak termasuk eksternal auditor karena
pemeliharaan
adalah aktitas logis dan berurutan yang se*ara umum
high level) saat bangun sistem primary user diikutsertakan. Stakeholder: didalam dan diluar organisasi namun berkepentingan
rin*i) implementasi sistem)
•
Strategi* Systems Planning -> alokasi sumber daya sistem di tingkat makro. iasanya berkaitan dengan kerangka &aktu
•
E - X tahun Proje*t Planning-> alokasi sumber daya di tingkat proyek
menghasilkan produk kompleks. Akuntan *on*ern pada
individual atau aplikasi dalam frame peren*anaan strategis.
integritas proses tersebut) terutama pada proses yang
Peran auditor
berimplikasi pada sumber daya keuangan perusahaan. menghasilkan SIA. !ualitas informasi akuntansi yang
peren*anaan sistem memadai sehingga mengurangi risiko
di tahap
iniadalah
memastikan bah&a
S#=(
operasi tidak E7. diproduksi haruslah terjamin>>perlu kontrol oleh akuntan b. Systems Analysis[Phase II
dan auditor supaya tepat dan sesuai aturan. '.8ow Are A$$ount#nt& Invoved with the SDLC; Sebagai user )Sebagai Tim pengembang dan Sebagai auditor B. Infor!#tion S*&te!& A$3ui&ition
Systems Analysis adalah dua langkah melibatkan suatu survey
terhadap
sistem
saat
ini
dan
menganalisis
kebutuhan user. !euntungan melakukan survei: identikasi
berbeda)
aspek sistem lama yang ingin dipertahankan) memaksa
banyak juga yang mengembangkan sistem sendiri sesuai
sistem analis memahami betul sistemnya) sistem analis
kebutuhan) memerlukan staO dan programer yang selalu
dapat mengisolasi akar masalah karena paham sistem.
stand by.
!erugiannya adalah analis terjebak dalam survey dan tidak
In68ou&e
Deveo%!ent
!arakteristik
industri
#.Co!!er$i# S*&te!&
eli dari vendor dengan empat pertimbangan:
4elatif murah dari yg *ustomied 6endor sudah mengakomodasi tipe industri isnis ke*il yang terlalu ke*il mengembangkan sistem sendiri
move /; atau bahkan merasa sistem saat ini masih bagus. #ilakukan dengan mengumpulkan fakta: data sour*e) user) data store) proses) data @o&) *ontrol) dll. Pertimbangkan memasang modul audit di sistem baru. *. (on*eptual Systems #esign[Phase III
$enghasilkan beberapa alternatif konseptual sistem yang
•
g. System Implementation[Phase 6II
memenuhi persyaratan sistem yang diidentikasi selama
Struktur database dibuat dan diisi data) peralatan dibeli dan
analisis sistem. Ada % Pendekatan:
diinstal) pega&ai dilatih dan sistem didokumentasikan dan digunanakan.
The Stru*tured #esign Approa*h-> meran*ang sistem dari atas
ke
ba&ah.
iasanya
memakai
#3#
untuk
•
menggambarkan bisnis proses dan Struktur diagram untuk •
menggambarkan dekomposisi top-do&n The /bje*t-/riented Approa*h-> membangun
•
Testing the 7ntire System : melakukan test semua modules sebagai satu kesatuan. #o*umenting the System
sistem
#o*umentation)
informasi dari reusable komponen standar atau obje*k. •
teknologi baru 7*onomi* feasibility mengidentikasi ke*ukupan dana
untuk menyelesaikan proyek =egal feasibility mengidentikasi segala kon@ik antara sistem konseptual dan kemampuan perusahaan untuk
•
pen*egahan: 6alidation) 4e*on*iliation) a*kup. (onverting to the ;e& System Proses konversi dari old system ke ne& system disebut (utover Ada E pendekatan system
dan murah untuk sistem sederhana namun pendekatan
bertahap)
seluruh
system
bisa
menimbulkan
in*ompatibilitas
antara
sistem baru dan sistem lama yang belum digantikan Parallel /peration (utover menjalankan sistem lama dan sistem baru se*ara bersamaan untuk jangka &aktu
menyelesaikan proyek tepat pada &aktunya • Analisis *ost and benet Identikasi iaya baik yang satu kali : perolehan hard&are dan
paling berisiko untuk sistem kompleks Phased (utover "ertahap'$embagi
dalam beberapa modul) menjalankan sistem baru se*ara
antara prosedur yang dimiliki perusahaan) keterampilan
*utover: (old Turkey (utover "ig ang') perpindahan dilakukan se*ara simultan "sekaligus') pendekatan paling mudah
melaksanakan tanggung ja&ab hukumnya /perational feasibility menunjukan tingkat kesesuaian
personil dan operasional yang diminta oleh sistem baru S*hedul feasibility kemampuan perusahaan untuk
"dokumennya
baru. !onversi data sangat berisiko sehingga perlu tindakan
dikembangkan dengan te*hnologi saat ini atau butuh
#o*umentation
Programmer
sekarang ke format atau media yang diperlukan oleh sistem
yang terbaik #ilakukan dengan % proses: #etailed 3easibility Studies) meliputi: Te*hni*al feasibility engidentikasi apakah sistem bisa
and
Tutorial) dll (onverting the #atabase yaitu transfer data dari bentuk yang
•
#esigner
disebut run manual')
Peran auditor di tahap ini adalah mengusahakan agar tur audit masuk ran*angan selagi desain konseptual dibuat. d. System 7valuation and Sele*tion[Phase I6
/perator
:
tertentu) banyak menghabiskan &aktu dan biaya Tidak esien karena mengelola dua kali dokumen sumber) dua
soft&are) persiapan tempat) sistem design) programing dan
kali &aktu pemrosesan) dua kali database) dan dua kali
testing) data konversi) training. $aupun yang berulang
output produksi !euntungan: memungkinkan melakukan
maintenan*e) insuran*e) supplies) personel *os Identikasi enet baik yang tangible benet : in*rease
rekonsiliasi antar sistem sebelum menjalankan sistem baru se*ara independen.
revenue "sales naik di e8isting market) market e8pansion' dan
redu*e
*ost
"labor)
operating)
inventory
turun)
euipment mahal berkurang) maintenan*e *ost turun' dan intangible benet
"kepuasan *ustomer naik) kepuasan
Peran auditor internal dalam system implementation: • • •
Post-Implementation 4evie& $eliputi reviu:
pekerja naik) de*ision making semakin baik) operasi lebih esien' andingkan (ost n enet $enggunakan analisis:) ;P6) Payba*k method "break even analysis': Peran auditor di tahap ini memastikan kelayakan ekonomis
Provide Te*hni*al 78pertise Spe*ify #o*umentation Standards 6erify (ontrol Adeua*y and (omplian*e &ith S/?.
Systems #esign Adeua*y. A**ura*y of Time) (ost) and enet 7stimates h. Systems $aintenan*e[Phase 6III • •
Setelah sistem diimplementasikan) memasuki tahap akhir dalam siklus hidupnya. Pemeliharaan sistem adalah proses
atas usulan system diukur dengan seakurat mungkin. e. #etailed #esign[Phase 6
formal di mana program aplikasi mengalami perubahan
untuk mengakomodasi perubahan kebutuhan pengguna. baik memenuhi persyaratan sistem yang diidentikasi D. Controing #nd Auditing the SDLC selama analisis sistem dan sesuai dengan desain #alam lingkungan sistem informasi berbasis komputer) data konseptual. Akan diadakan &alkthrough dan uality keuangan diproses "akses) simpan) update' melalui aplikasi assuran*e. f. Appli*ation Programming and Testing[Phase 6I
komputer. Akurasi dan integrritas dari program tersebut se*ara langsung mempengaruhi akurasi data keuangan klien.
$emilih program dan aplikasi dari berbagai pilihan yang
!esalahan aplikasi yang material dapat menyebabkan data
sesuai ada (//=) event-driven languages: 6isual asi*) or
hilang9*orrupted dan menyebabkan salah saji dalam laporan
obje*t-oriented programming "//P' languages like ,ava or
keuangan.
(++.
(ontrolling
!emudian melakukan test untuk setiap program modules
Tujuan
$etodologi testing: Testing /Qine efore #eploying /nline dan Test #ata
•
;e& Systems #evelopment Audit terkait ;e& Systems #evelopment: a. Systems Authoriation A*tivities >> All systems must be properly authoried to ensure their e*onomi* justi*ation and feasibility.
•
>
involved in the systems development pro*ess Te*hni*al #esign A*tivities • Internal Audit Parti*ipation •
♥ ♥ ♥
♥ ♥ ♥
A.
A%%i$#tion Contro& Prosedur program pengendalian intern yang didesain untuk
pengeluaran uang. App *ontrols terdiri dari: #.In%ut Contro& ertugas untuk memba&a data dari ke dalam sistem untuk diproses) I( didesain untuk memastikan bah&a transasksi valid) akurat dan lengkap. #apat dipi*u oleh bat*h maupun
klerikal yang sering tidak terdeteksi nanti ada opsi data realtime. eberapa jenis pengendalian dalam input *ontrol
•
•
•
dengan
menguji hubungan nilai eldnya. (ontohnya: 4easonbleness (he*ks->->*ek dengan master lenya Sign (he*k-> tanda +9- sudah tepat digunakanY Seuen*e (he*ks-> urutan "bat*h' sudah sesuai atntrianY "ie Interog#tion: $emastikan bah&a le yang benar yang master les yg
menyimpan data relatif permanen. Internal =abel (he*ks->label disk di dalam "bukan diluar' 6ersion (he*ks->versi lenya apakah sesuai..C.JY betaY 78piration date *he*ks->*ek le ga kepake)agar tidak
*orre*tion) ada • •
tiga jenis penanganan error yang umum
dalam proses input: (orre*t Immidiately->kasih &arning ke user (reate an 7rror 3ile-> delayed) pisahkan dari sistem buat
laporan sistemnya bah&a data tsb error • 4eje*t 7ntire at*h-> tolak sluruh bat*h untuk diproses eneralied data input systems #IS menstandarisasi validasi input dengan level kontrol • • • •
tinggi. Ada E keuntungan pake #IS: Improve *ontrol melalui satu sistem validasi umum yang sama $emastikan setiap aplikasi menerapkan standar yg sama $eningkatkan esiensi sistem 7lemennya: #IS module) #ata 3ile Tervalidasi) 7rror 3ile) 7rror
4eports) =og Transaksi. '.ro$e&&ing Contro& Run6to6Run Contro& sumber karena dapat $enggunakan bat*h untuk memonitor bat*h ketika dia dipalsukan dan masuk sistem lalu menghilangkan aset bergerak dari satu prosedur program ke prosedur program perusahaan lain. !ontrol ini memastikan setiap pergerakan memproses *ontrol : Pre;umbered S#) Seuen*e =imited A**es) Periodi* bat*h dengan benar dan lengkap. ,enis%nya: audit9spot *ek • 4e*al*ulate (ontrol Totals-menge*ek kembali nilai% dalam D#t# $oding $ontro& (ek integritas kode data dalam pemrosesan-;omor rek (ustomers) ;omor Inventory) ;o Akun dll 7rrors-> Transkripsi "penambahan) pengurangan)subtitusi' dan
•
Transposisi "t&o9multiple number kebalik%' (ontrol: (he*k #igit "penjumlahan atau
• •
menggunakan
bat*h) has total dibandingkan dengan data master. Transa*tion (odes-> hanya transaksi yg benar yg diijinkan Seuen*e (he*ks O%er#tor& Intervention Contro& /perator kadang diperlukan dalam mengintervensi suatu kegiatan dan hal ini meningkatkan potensi human error.
modulus CC' tapi makan Spa*e "nambah re*ord') baiknya
Sistem sedapat mungkin memmbatasi intervensi manusia)
untuk yg penting saja' B#t$h $ontro& 4ekonsiliasi antara input dan output pada transaski dengan
jika tidak dapat dilakukan supervisi. Audit Tr#i& Contro& #alam sistem terkomputerisasi jejak audit akan terpe*ah-
volume tinggi guna memastikan seluruh data terekam) tidak
pe*ah dan lebih sulit diikuti. Sehinga dokumentasi sistem
dobel entry dan jejak audit terjaga "in* proses n output
sangat diperlukan untuk dijaga. eberapa *ara menjaga
*ontrol'. #engan mengumpulkan tipe input yang sama
•
*atatan
adalah sbb: Sour$e do$u!ent $ontro& Pengendalian terhadap dokumen
•
•
seluruh
kedelete sembarangan sistem bat*h ketika ada Input error perlu dilakukan
se*ara langsung "dire*t'. #alam dokumen sumber biasanya melibatkan manusia dan oleh karenanya rentah kesalahan
validasi
#alam
mengatasi terpaparnya sistem dari resiko potensial pada aplikasi spesik seperti pembayaran gaji) pembelian dan
Interog#tion:
diproses sistem sangat penting untuk
otorisasi. CO0UTER6ASSISTED AUDIT TOOLS AND TEC8NI=UES
Re$ord
dalam satu bat*h "bundel' lalu mengontrol bat*h ini dalam
•
prosesnya. 7lemen: ;o at*h) tgl) !ode transaksi) ,umlah 4e*) ;ilainya)
•
,umlah data non nan*ial " ash total
buat alat kontrol aja)
•
jejak audit : Transa*tions =ogs-men*atat seluruh aktivitas sistem =og of Automati* Transa*tions =isting of Automati*s Transa*tions->7/9reorder
harus
diperhatikan
•
tidak bernilai' -#id#tion $ontro& #eteksi error sblm transaksi diproses) bisa memerlukan untuk merefer ke master le sebaiknya sedekat mungkin dengan
•
♥ ♥ ♥ ♥ ♥ ♥ ♥
sumber transaksi. (ontrolnya ada E level: "ied Interog#tion: melakukan validasi di level karakter dalam 3ield jenis *he*knya: $issing data *he*k "blank' *ek apakah ada eld yg kosong ;umeri*-alphabeti*->isi eld apakah huruf9bilangan Vero value->isi eld J untuk pengendalian =imit *he*k->*ek nilai eld apakah melebihi standarnya 4ange *he*k->batas atas dan ba&ah 6alidity *he*k->bandingkan dengan data master (he*k digit->sama dengan diatas itu pake modulus CC
keluaran
sistem
tidak
hilang)
salah
sasaran)
berkurang9rusak atau melanggar privasi. !egagalan dalam menjaga output dapat mengakibatkan dampak serius bagi perusahaan seperti kehilangan S# ekonomi) penurunan *itra bahkan tuntutan hukum.
/tput *ontrols menyesuakan
dengan proses pengolahan dokumennya) se*ara umum terbagi dua yakni at*h (ontrol System "lebih rentan karena adanya intervensi operator9program' dan 4ealtime System. Controing B#t$h S*&te! Out%ut
• ♥
#alam at*h System) output biasanya berupa ard(opy
dengan
"(ek) =aporan) P/)dll' dan dalam prosesnya sebagaimana
programnya sudah *omplin*e atau belum. Aplikasinya
bagan diatas) memerlukan perantara baik manusia maupun
sendiri
program dari mulai proses sampai dengan distribusi. /utput Spooling #alam pengolahan data skala besar-> terjadi ba*klogged) hasil
pengolahan
sistem
mengantri
untuk
yang dapat mengubah) meng*opy se*ara illegal atau bahkan menghapus le sebelum di*etak. ♥ arus ada akses kontrol yang baik dan ba*kup le output Print ♥ Setelah spooling) dan S# printer tersedia -> printer akan men*etak)
biasanya
ada
intervensi
operator
berupa
mengganti kertas) mengatur mempause) menyesuaikan ♥ ♥
margin) tinta dsb 4esiko :/perators *opy se*ara illegal9memba*a data rahasia (ontrolnya: Prenumbered untuk memastikan seluruh *etakan
diperhatikan
dapat
detilnya.
memperkirakan
mendalam "pengetahuan $N/nya dalam juga' hingga ke
di*etak
daripada membebani memori printers "spooling'. #alam tahap ini output le rentan dia**es oleh penjahat *yber
kurang
sehingga
aplikasi yang sederhana. '.5hite6Bo A%%ro#$h (Through Co!%uter) arus memiliki pemahaman mengenai aplikasinya se*ara
"bottlene*k'-> sistem membuat suatu le output dalam disk ♥
outputnya
•
logika dalam aplikasi. eberapa tesnya: Authenti*ity Tes-> user I#) Pass&ord) valid vendor *odes dan
•
bagan otoritas A**ura*y Test-> range test) led test limit test (ompleteness Test-> eld test) re* seuen*e test) hash totals 4edundan*y Test-> re*oknsiliasi bat*h) re*ord *ount) hash
•
totals A**es Test-> pass) bagan otoritas) data enkripsi) inferen*e
• •
• •
*ontrol Audit Trail Test-> transa*tion log) error le ttp disimpan) 4ounding 7rror Tets->pembulatan bunga bank) salami fraud
"bagi ke*il%) large number vi*tim) immaterial to ea*h' C.Co!%uter6#ided Audit Too& #nd Te$hni3ue& for Te&ting
Contro& gunakan kertas multipart berkarbon #.Te&t D#t# 0ethod $embuat aplikasi terintegrasi dengan memproses data yang "gesek dulu baru terba*a->pin AT$' sudah dipersiapkan melalui aplikasi yang sedang direvie&. ursting asil *etakan dipilah-pilah dan disusun ulang) ada /perator =alu dibandingkan dengan nilai9hasil yang seharusnya. (opy 4isk-> Illegal *opy) menghilangkan halaman) ba*a data dulu aplikasinya buat le transaksi dan masternya lalu *oba rahasia melalui berbagi input "tape) dis*) usb) terminal dll' lihat (ontrol-> Supervisi atau bursting di end user saja hasilnya bandingkan dengan rport yang diharapkan aste (etakan yg tidak sempurna) karbon *opy dibuang sebelumnya. (eroboh-> dapt dimanfaatkan ) ada akes data teknis dan • uat #ata Tes
lengkap) supervisi)
• ♥ ♥
♥ • ♥ ♥
informasi penting lainnya dalam dokumen rusak sekalipun ♥ (ontrol-> Penghan*ur kertas9 dibakar • #ata (ontrol roup ♥ Tim verikasi sebelum ard(opy didistribusikan *ek akurasi
♥
kelengkapan) legalitas) dll 4isk dan *ontrols B print dan bursting #istributions 4a&an pen*urian) hilang) salah tujuan ;ama dan alamat ter*etak jelas) hati% akses ke le master
♥
nama dan alamat
♥ • ♥
kun*i9pin) dika&al petugas keamanan atau 7nd
♥
yang ambil 7nd
♥
laporkan bisa jadi errornya karena sistem #ata digunakan dan disimpan perhatikan ruang yang aman)
•
perhatikan &aktu retensi sesuai hukum "pajakk' jika tidak digunakan han*urkan dengan baik. Controing RTS asil output tampil langsung
ase (ase Sys 7valuations • Tra*ing • Advan*ed Test #ata • #isadvantages '.The Integr#ted Te&t "#$iit* (IT") Teknik otomatis yang memungkinkan auditor menguji logika •
dan kontrol aplikasi dalam operasi normal. #i*angkokkan dalam sistem ketikda dalam tahap pengembangan nani pas running akan membuat sema*am duplikasi tertentu dari data namun tidak mengganggu aplikasi. !euntungan • !erugian $. #r#e Si!u#tion Auditor menulis program yang mensimulasikan tur dan •
proses kun*i dari aplikasi yang direvie&. =alu digunakan untuk memproses ulang transaski yang sudah diproses •
•
dilayar.)terminal
atau
printernya end user. $enghilangkan berbagai perantara baik
• •
aplikasi yg direvie& lalu dibandingkan hasilnya. Auditor harus faham betul aplikasinya) identidikasi proses dan *ontrolnya uat simulasi pake F= atau eneralied Audit Soft&are "AS' (oba simulasikan dengan sampel terpilih 7valuasi "apakah yg error simulator atau memang 4eal'
program maupun manusia. An*aman terbesarnya sama • •
seperti resiko dalam internet dan intranet yaitu: 7uipment 3ailures ") S maupun =I;7S (omm' Subversive A*t " Inter*eption) Illegal A**es) Previledged
7mployes' B. Te&ting Co!%uter A%%i$#tion Contro& #.B#$+6Bo A%%ro#$h (Around Co!%uter) Tidak menguji berdasarkan pada pengetahuan mendetail
COBIT
Informasi adalah sumber daya kun*i bagi semua perusahaan. #i*iptakan)
digunakan)
dihan*urkan
dengan
disimpan)
menggunakan
ditampilkan) teknologi
dan
sebagai
pemeran kun*inya. Teknologi menjadi bagian dari seluruh aspek bisnis dan individu. Pendekatan penyusunan tata kelola
mengenai logika dibalik aplikasi yang di audit "gak perlu
IT
faham $N/nya' . =ebih kepada memahami @o&*hart)
sumberdaya strategis dan diren*anakan dengan pendekatan
&a&an*ara dengan *lient dsb. #engan pemahaman itu
manajemen strategis pula.
auditor mengetes sendiri dokumen input dan direkonsiliasi
saat
ini
dinilai
harus
dipandang
sebagai
salhsatu
(obit merupakan suatu frame&ork yang komprehensif yang
ke dalam petunjuk praktek untuk pelaksanaan manajemen
membantu perusahaan
harian.
dalam men*apai tujuannya
menyampaikan nilai melalui tata
kelola
dan
"strategis' dan
b.
Proses) menjelaskan kumpulan terorganisasi dari praktek-
manajemen "operasional' Teknologi Informasi Perusahaan.
praktek dan aktitas-aktiftas untuk men*apai tujuan yang
overnan*e ensure ->Evaluation)Dire*tion and 0onitoring.
telah ditentukan dan menghasilkan sekumpulan keluaran di
$anajemen-> lan Build Runs and 0onitoring. COBIT >
dalam dukungan pen*apaian seluruh sasaran TI
brings together the /ve %rin$i%e& that allo& the enterprise to
build
an
eOe*tive
govern#n$e and
*.
Struktur organisasi) entitas pembuatan keputusan kun*i di dalam perusahaan
!#n#ge!ent
frame&ork based on a holisti* set of &even en#'er& that d.
udaya) etika) dan tingkah laku) merupakan kebiasaan dari
optimises infor!#tion and te$hnoog* investment and use
individu dan perusahaan yang sering dianggap sebagai
for the 'ene/t of &t#+ehoder&.
faktor penghambat kesuksesan di dalam aktitas tatakelola
(obit X didasarkan pada X prinsip kun*i tatakelola dan
dan manajemen.
manajemen TI perusahaan yaitu :
e.
Informasi) adalah sebuah kebutuhan untuk memastikan
a.
Pemenuhan kebutuhan Stakeholder
agar organisasi tetap berjalan dan dapat dikelola dengan
b.
$elindungi titik-titik penting perusahaan
baik. Tetapi di tingkat operasional) informasi seringnya
*.
Penggunaan satu frame&ork terintegrasi
digunakan sebagai hasil dari proses perusahaan
d.
$emungkinkan pendekatan se*ara holistik
e.
$eminsahkan tatakelola dengan manajemen (/IT X mendeskripsikan H kategori yang berperan sebagai penggerak yaitu :
a.
Prinsip-prinsip) kebijakan-kebijakan) dan frame&ork) adalah sarana untuk menerjemahkan tingkah laku yang diinginkan
f.
=ayanan) infrastruktur dan aplikasi) menyediakan layanan dan proses teknologi informasi bagi perusahaan
g.
/rang) keterampilan dan kemampuan) dibutuhkan untuk menyelesaikan semua aktitas dan membuat keputusan yang tepat serta mengambil aksi-aksi perbaikan.