Anda di halaman 1dari 9

CHAPTER 1

AUDITING, ASSURANCE, DAN INTERNAL


CONTROL
BERBAGAI JENIS AUDIT
Definisi Audit:
proses sistematis dari memperoleh dan
mengevaluasi bukti secara objektif
pernyataan yang tegas mengenai tindakan
dan kejadian ekonomi
untuk memastikan derajat hubungan antara
pernyataan
tersebut
dan
membangun
kriteria, dan
mengkomunikasikan hasilnya kepada pihak
yang berkepentingan
Audit Internal:
Fungsi penilaian independen dalam suatu
organisasi
untuk
memeriksa
dan
mengevaluasi aktivitas sebagai suatu jasa
bagi organisasi
Auditor internal melakukan berbagai aktivitas
seperti pemeriksaan keuangan, ketaatan
aktivitas
operasi
dengan
kebijakan
perusahaan, evaluasi efisiensi operasional,
mendeteksi serta mencari kecurangan dalam
organisasi, dan melakukan audit teknologi
informasi (TI)
Dapat pula dilakukan dari pihak luar
organisasi
Auditor biasanya bertanggungjawab kepada
komite audit
Sertifikasi
auditor:
CISA
(Certified
Information System Auditor) atau CIA
(Certified Internal Auditor)
Standar, petunjuk, dan sertifikasi diatur oleh
Institute of Internal Auditor (IIA) dan
Information System Audit and Conttrol
Association (ISACA)
Audit TI:
Menyediakan jasa audit dimana proses atau
data atau keduanya melekat dalam berbagai
bentuk teknologi
Subjek: kode etik, SOP, dan standar profesi
(jika tersertifikasi)
Standar, petunjuk, dan sertifikasi diatur oleh
Information System Audit and Conttrol
Association (ISACA)
Tergabung dengan internal, eksternal, dan
fraud audit
Lingkup audit TI semakin berkembang,
dengan ciri digunakannya Computer Assisted
Audit Tools and Techniques (CAATTs)
IT Governance merupakan bagian dari
Corporate Governance
Fraud Audit
Menyediakan jasa investigasi dimana diduga
terdapat anomali, mengembangkan bukti

untuk mendukung atau menolak tindak


kecurangan
Auditor lebih seperti detektif, tidak ada
materialitas,
tujuannya
adalah
kepastian/hukuman jika ada bukti yang
cukup dari kecurangan
Sertifikasi auditor: CFE ( Certified Fraud
Examiner)
Standar, petunjuk, dan sertifikasi diatur oleh
Association of Certified Fraud Examiners
(ACFE)

Audit Eksternal:
Tujuannya adalah bahwa pada semua hal
yang material, Laporan Keuangan (LK)
disajikan secara wajar dari transaksi dan
catatan perusahaan/ organisasi
SECs role, SOA, FASB, PCAOB
Sertifikasi auditor: CPA ( Certified Public
Accountant)
Standar, petunjuk, dan sertifikasi diatur oleh
American Institute of Certified Public
Accountants (AICPA)
Perbedaan Audit Eksternal dan Internal
No.
1
2

Audit Eksternal
Independent auditor
(CPA)
Independensi
diterapkan oleh
SECs, SOA, AICPA
Diwajibkan oleh SEC
untuk perusahaan
perdagangan public
Merupakan audit
keuangan

Mewakili kepentingan
pihak
luar/public(misal:
stockholders)
Standar, petunjuk,
sertifikasi oleh AICPA,
FASB, PCAOB
(didelegasikan oleh
SEC)

Audit Internal
Auditor (CIA/CISA)
Independensi
diterapkan dari
pribadi masing2
Opsional sesuai
kebutuhan
manajemen
Lebih luas dari
sekedar audit
keuangan
(operasional dll)
Mewakili
kepentingan
organisasi (intern)
Standar, petunjuk,
sertifikasi oleh IIA
dan ISACA

AUDIT KEUANGAN
Definisi Audit Keuangan:
Atestasi independen oleh auditor (CPA) yang
menggambarkan opini terkait penyajian LK
Produk
formal
berupa
opini
tentang
reliabilitas
asersi
dalam
LK
dan
kesesuaiannya dengan GAAP
Pernyataan opini auditor merupakan puncak
dari proses audit yang sistematis dan

Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]

melibatkan 3 tahapan konseptual, yaitu


pengendalian terhadap organisasi bisnis,
evaluasi dan pengujian internal control, dan
menilai reliabilitas data keuangan
Hubungan antara Assurance Service dan Attest
Service:

Attest Service
Definisi: perjanjian dimana seorang praktisi
yang dikontrak untuk mengeluarkan atau
telah mengeluarkan sebuah komunikasi
tertulis yang menyatakan suatu kesimpulan
mengenai
keandalan
sebuah
penilaian
tertulis yang merupakan tanggung jawab
pihak lainnya
Persyaratan yang berlaku untuk jasa
atestasi: adanya pernyataan tertulis dan
laporan
tertulis
dari
praktisi
terkait,
penyusunan formal kriteria pengukuran atau
deskripsi dalam penyajiannya, dan terbatas
pada
pemeriksaan,
reviu,
penerapan
prosedur yang disepakati sebelumnya
Assurance
Jasa professional yang dirancang untuk
mengembangkan kualitas informasi, baik
finansial maupun non finansial, digunakan
oleh para pengambil keputusan
Unit organisasional yang bertanggung jawab
untuk melakukan audit TI biasanya disebut
sebagai IT Risk Management, IS Risk
Management, Operational System Risk
Management, Technology and Security Risk
Service, dan biasanya merupakan divisi dari
jasa assurance
Standard Auditing
Disusun oleh AICPA
Terdiri dari: 10 Generally Accepted Auditing
Standards (GAAS) yang dikelompokkan
dalam 3 kategori: Standard Umum, Standard
of Field Work, dan Standard Pelaporan
Pernyataan standard auditing (SASs =
Statements on Auditing Standards) disusun
sebagai interpretasi legal atas GAAS

Asersi
1.
2.
3.

manajemen:
Eksistensi (existence or occurance)
Kelengkapan (completeness)
hak
dan
kewajiban
(rights
and
obligations)
4. penilaian/alokasi (valuation or allocation)
5. penyajian
dan
pengungkapan
(presentation and disclosure)

RISIKO AUDIT
Audit Risk (AR): kemungkinan auditor
memberikan opini wajar atas LK, dimana
pada kenyataannya LK berisi kesalahan
material dalam penyajian yang tidak
ditemukan auditor
3 komponen Audit Risk:
1. Inherent Risk (IR): risiko audit yang
merupakan karateristik unit bawaaan dari
bisnis atau industri dari klien itu sendiri
(ada juga yang bilang risiko level akun
sebelum
memperhatikan
efektifitas
pengendalian intern)
2. Control Risk (CR): disisi lain adalah adanya
cacat
pada
ketiadaan
atau
ketidakcukupan
sistem
pengendalian
intern dalam mencegah error
3. Detection Risk (DR): risiko yang dapat
diterima auditor bahwa error yang gagal
dicegah oleh pengendalian gagal juga
dideteksi auditor. Subtantif tes akan
semakin besar/dalam dilakukan ketika DR
lebih kecil, auditor lebih konservatif/lebih
hati-hati.
Audit Risk Model, AR = IR x CR x DR
PERAN KOMITE AUDIT
Dipilih dari dewan direksi
Biasanya terdiri dari tiga anggota
Outsiders (SOX sekarang memerlukan itu)
Tanggung jawab fidusia kepada pemegang
saham
Melakukan
check
and
balance
yang
independen
Berinteraksi dengan auditor internal
Berinteraksi dengan auditor eksternal

Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]

Penyelesaian konflik dari GAAP


auditor eksternal dan manajemen

antara

AUDIT TI
Berfokus pada berbagai aspek berbasis
computer
dalam
system
informasi
perusahaan
Meliputi penilaian implementasi, operasi, dan
pengendalian
berbagai
sumber
daya
computer yang tepat
Lingkungan TI
Selalu
ada
kebutuhan
untuk
sistem
pengendalian internal yang efektif
Desain dan pengawasan dari sistem tersebut
biasanya menjadi tanggung jawab akuntan
Lingkungan
TI
mempersulit
desain
pengendalian internal yang efektif untuk
sistem berbasis komputer jika dibandingkan
dengan sistem manual, yaitu:
1. Adanya konsentrasi data
2. Perluasan akses dan hubungan
3. Peningkatan kegiatan berbahaya di sistem
vs manual
4. Peluang
yang
dapat
menyebabkan
penipuan manajemen (yaitu, override)
Struktur Audit TI:
1. Perencanaan
2. Pengujian pengendalian
3. Pengujian substantive

INTERNAL CONTROL
SEC menyatakan bahwa pembentukan dan
pemeliharaan sistem pengendalian internal
adalah kewajiban pihak manajemen yang
penting
Sistem pengendalian internal (SPI) terdiri
atas kebijakan, praktik, dan prosedur, yang
digunakan oleh perusahaan untuk mencapai
4 tujuan umum:
1. Menjaga aset perusahaan
2. Memastikan
akurasi
dan
reliabilitas
catatan dan informasi akuntansi
3. Memprakarsai
efisiensi
operasi
perusahaan
4. Mengukur kepatuhan terhadap kebijakan
dan prosedur yang telah ditetapkan oleh
pihak manajemen
Sejarah Pengendalian Internal:

SEC Acts Tahun 1933 dan 1934


Copyright Law Tahun 1976
Foreign Corrupt Practices Act (FCPA) Tahun 1977
Committee of Sponsoring Organizations
(COSO) Tahun 1992
Sarbanes-Oxley Act Tahun 2002
Asumsi Penjelas:
Tanggung
jawab
pihak
manajemen,
pembentukan
dan
pemeliharaan
SPI
merupakan
tanggungjawab
manajemen,
bahkan kewajiban hukum
Jaminan yang wajar (Reasonable Assurance),
keempat tujuan umum pengendalian internal
terpenuhi. Kewajaran artinya tidak ada SPI
yang
sempurna,
dan
biaya
untuk
mencapainya tidak lebih dari manfaatnya
Metode
pemrosesan
data,
apapun
metodenya (manual, berbasis computer atau
berbasis web) harus mewujudkan keempat
tujuan pengendalian internal.
Keterbatasan, dalam hal efektivitas meliputi:
1. Kemungkinan terjadinya errors, No perfect
system
2. Circumvention, misal KKN personil
3. Manajemen mengabaikan control
4. Kondisi dinamis (berubah-ubah) dalam
industry
Exposure dan Risiko
Exposure: kelemahan pengendalian
Risiko:
potensi
ancaman yang
dapat
membahayakan penggunaan atau nilai
berbagai asset perusahaan
The PDC Model:
Preventive Controls merupakan kontrol pasif
di design mengurangi frekuensi kejadian
tidak
diinginkan.
Contoh:
pembatasan
karakter entry
Detective Controls merupakan alat atau
teknik dan prosedur yang didesain untuk
mengidentifikasi dan mengekspos peristiwa
yang tidak diinginkan yang lolos dari
preventive control.
Corective
Controls
yaitu
membalikkan
pengaruh negative dari kesalahan yang telah
dideteksi
(memperbaiki
masalahnya).
Otomatisasi perbaikan, bisa menyebabkan
masalah baru. Contoh pada MYOB, ketika
entry
akun
unbalance,
dia
otomatis
memperbaiki sesuai standardnya sendiri.
Statement on Auditing Standards (SAS) No.78
Sesuai
dengan
rekomendasi
COSO,
Pengendalian
internal
terdiri
dari
5
komponen:
1. Lingkungan
Pengendalian,
merupakan
pondasi
dari
empat
unsur
lainnya.
Elemennya: integritas dan etika pihak
manajemen, struktur organisasi, partisipasi

Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]

2.

3.
4.
5.

Dewan Komisaris dan Komite Audit (jika ada),


filosofi manajemen dan gaya operasi,
prosedur mendelegasikan tanggung jawab
dan wewenang, metode pihak manajemen
untuk menilai kinerja, pengaruh eksternal
(missal pemeriksaan oleh lembaga yang
berwenang), serta kebijakan dan praktik
perusahaan untuk mengelola SDM nya.
Penilaian Resiko, untuk mengidentifikasi,
menganalisis dan mengelola resiko yang
relevan
dengan
pelaporan
keuangan.
Beberapa hal yang dapat menjadi resiko:
perubahan dalam bisnis, personel baru,
sistem baru, teknologi baru, lini baru,
restrukturisasi organisasi, adopsi standar
baru dll.
Informasi dan Komunikasi: kualitas SIM,
Proses susun L/K
Monitoring: Assesment SPI, Special modul di
IT, Laporan Manajerial
Aktivitas Pengendalian adalah kebijakan dan
prosedur yang digunakan untuk memastikan
bahwa tindakan yang tepat diambil untuk
menghadapi risiko organisasi yang dapat
diidentifikasi.

Klasifikasi aktivitas pengendalian


1. Pegendalian Komputer
a. Pengendalian Umum, pengendalian yang
sifatnya
membatasi
akses
dan
mengamankan aplikasi dari yang tidak
berhak mengakses, misal berbentuk
kunci, password termasuk controls over IT
governance, IT infrastructure, security and
access kepada sistem operasi dan DB,
application acquisition and development
and prosedur perubahan program dll.
b. Pengendalian
Aplikasi,
pengendalian
intern yang memastikan aplikasi spesifik
dapat melakukan fungsinya dengan baik
dan mengurangi terpaparnya aplikasi dari
resiko potensial. Pengendalianya berupa
cek digit, format yang memastikan
validitas,
kelengkapan
dan
akurasi
transaksi bentuknya bisa cek digit, echo
check, limit cek yang bertujuan untuk
memastikan validitas, kelengkapan dan
akurasi transaski dalam L/K.
2. Pengendalian Fisik
Berhubungan dengan system akuntansi
tradisional yang menggunakan prosedur
manual
6
kategori
aktivitas
pengendalian
tradisional:
a. Otorisasi transaksi
b. Pemisahan tugas
c. Supervisi
d. Catatan akuntansi
e. Pengendalian akses
f. Verifikasi independen

CHAPTER 2
AUDITING IT GOVERNANCE CONTROLS
INFORMATION TECHNOLOGY GOVERNANCE
Tujuan utama dari tata kelola TI:
mengurangi risiko
memastikan bahwa investasi dalam sumber
daya TI menambah nilai bagi perusahaan
IT Governance Controls
3 isu tata kelola IT berdasarkan SOX dan
COSO:
1. Organizational structure of the IT function
2. Computer center operations
3. Disaster recovery planning
STRUCTURE
OF
THE
INFORMATION
TECHNOLOGY
Centralized Data Processing :
semua pemrosesan data dilakukan oleh satu
atau lebih komputer yang lebih besar
bertempat di situs pusat yang melayani
pengguna di seluruh organisasi.
DBA: Central Location, Shared. DBA dan
timnya responsible pada keamanan dan
integritas database.
Pemrosesan Data mengelola SDIT terdiri dari:
1. Konversi Data: HardCopy to SoftCopy
(inputable to computer)
2. Operasi Komputer: memproses hasil
konversi melalui suatu aplikasi
3. Data Library: Storage offline data-> Real
Time data Procesing dan direct acces
mengurangi peran DL
Sys Dev and Maintenis: Analisis kebutuhan,
partisipasi dalam desain sistem baru
(Profesional, End Users dan Stakeholder).
Menjaga
sistem
beroperasi
sesuai
kebutuhan, 80-90% cost dalam IT biasanya
ada pada maintanance (tidak hanya soal
merawat/ membersihkan HW namun lebih
kepada tambal sulam SI.
Masalah control yang harus diperhatikan
dalam proses data tersentralisasi adalah
pengamanan DB. Karena jika accesnya
lemah maka seluruh informasi dapat
terpapar resiko, bentuk topologi jaringan
juga
mempengaruhi
keandalan
data
informasi. Hal ini akan lebih jelas di
appendix.
Segregation of Incompatible IT Functions

Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]

Pemisahan antara suatu fungsi tertentu demi


menjaga IC yang baik:
Sys Dev pisahkan dengan Operasional
DBA fisahkan dari unit lain
Sys Dev pisahkan dengan Maintanance
(merupakan superior structure) karena
adanya resiko:
Inadequate Documentation: Programmer
lebih suka mengembangkan sistem baru
daripada
mendokumentasikan
kinerja
sistem lama, juga soal job security perlu
diperhatikan karena dpat menyusun
program yang tidak sempurna biar ada
kerjaan terus.
Program Fraud: unauthorized change
karena programer faham seluk beluk
operasi normal.
a. The Distributed Model
Small, powerful, and inexpensive systems.
DisDataProc (DDP) melibatkan reorganisasi
fungsi IT pusat ke IT unit kecil yang
ditempatkan di bawah kendali pengguna akhir
(End Users). Unit IT dapat didistribusikan
menurut fungsi bisnis, lokasi geografis, atau
keduanya.
Resikonya mnggunakan model DDP: tidak
efisiennya
penggunaan
sumber
daya,
perusakan jejak audit, pemisahan tugas
kurang memadai, meningkatkan potensi
kesalahan pemrograman dan kegagalan
sistem serta kurangnya standarisasi.
Keuntungannya
termasuk
pengurangan
biaya,
peningkatan
kontrol
biaya,
meningkatkan kepuasan pengguna, dan
adanya fleksibilitas dalam backup sistem.
b. Controlling the DDP Environment
Central Testing of Commercial Software and
Hardware diuji dipusat
User Services-> ada Chat room, FAQ, Intranet
support dll
Standard-Setting Body -> untuk improve
keseragaman prog and doc
Personnel Review-> ada assesment.
Audit Objective: Tujuan auditor adalah untuk
memastikan bahwa struktur fungsi TI adalah
sedemikian rupa sehingga individu di daerah
yang tidak kompatibel dipisahkan sesuai
dengan tingkat potensi risiko dan dengan suatu
cara yang mempromosikan lingkungan kerja
yang kondusif.

Audit Procedures:
Centralized
Tinjau dokumentasi yang relevan, untuk
menentukan apakah individu atau kelompok
yang melakukan fungsi-fungsi yang tidak
kompatibel.
Review
catatan
pemeliharaan,verifikasi
bahwa programmer pemeliharaan tertentu
tidakmerangkap programer desain.
Pastikan bahwa operator komputer tidak
memiliki akses ke logic sistem dokumentasi,
seperti sistem diagram alur, logika diagram
alur, dan daftar kode program.
Review akses programer untuk alasan selain
kegagalan sistem
Distributed
Tinjau bagan organisasi saat ini , pernyataan
misi , dan uraian tugas incompatible
duties .
Pastikan
bahwa
desain
sistem
,dokumentasi,hardware dan perangkat lunak
hasil akuisisi diterbitkan dan diberikan to
unit TI.
Pastikan kontrol kompensasi ->supervisi
monitoring
Dokumentasi sistem aplikasi , prosedur , dan
databasesare dirancang dan berfungsi sesuai
dengan standar perusahaan .
Dalam sistem terdistribusi pemrosesan dan
pengamanan data disebar ke berbagai titik,
pengamanan menjadi di banyak pintu namun
tersebar, resikonya tidak seluruh titik memiliki
pengamanan yang sama. Dalam topologi STAR
lebih aman karena kalo satu mati yg lain relatif
tidak terganggu sedang pada Topologi BUS jika
satu titik mati akan menggangu yang lain
meskipun secara umum keunggulanya dia lebih
cepat dan murah. Sayangnya sistem Bus akan
rentan tabrakan data (lebih lengkap di
appendix)
fokus
auditor
adalah
kepada
seringnya sistem down atau kerusakan jaringan
maupun
software
yang
mengakibatkan
gangguan komunikasi dan pada database,
resiko ini berbeda2 dalam masing2 topologi
jaringan.
The Computer Center
a. Physical Location : Antisipasi bencana alam
maupun manusia cari lokasi yang aman.
b. Construction : kontruksi fasilitas IT-> tunggal,
acces terbatas dan filtrasi bagus.
c. Access : LIMITED
d. Air Conditioning : Adequate untuk menjaga
database
e. Fire
Suppression
:
Automatic
Alarm,
Pemadam Api, Exit Door
f. Fault Tolerance : Toleransi kesalahan adalah
kemampuan sistem untuk melanjutkan
operasi ketika bagian dari sistem gagal
(masih bisa running kalau ada sesuatu

Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]

gangguan) karena kegagalan hardware, error


program aplikasi, atau kesalahan operator.
Redundant arrays of independent disks
(RAID)->data
UPS->Listrik
g. Audit Objectives
Tujuan auditor adalah untuk mengevaluasi
kontrol yang mengatur keamanan pusat
komputer . Secara khusus , auditor harus
memastikan bahwa : kontrol keamanan fisik
yang memadai untuk cukup melindungi
organisasi dari eksposur fisik DAN cakupan
asuransi pada peralatan memadai untuk
mengkompensasi
kerusakan
pusat
komputernya
h. Audit Procedures
Tests
of
Physical
Construction.
Fisik
bangunan server, lokasi dan keamanan
terhadap HAZARD EVENT.
Tests of the Fire Detection System.
Tests of Access Control.
Tests of Raid, BU HD
Tests of the Uninterruptible Power Supply.
Tests for Insurance Coverage.
Disaster Recovery Planning
Dengan perencanaan kontinjensi yang hati-hati,
dampak dari bencana dapat diredam dan
organisasi dapat pulih dengan cepat. Untuk
bertahan hidup dari peristiwa darurat seperti
itu,
perusahaan
harus
mengembangkan
prosedur pemulihan dan meresmikan mereka ke
dalam suatu rencana pemulihan bencana (DRP),
suatu skema dalam menghadapi keadaan
darurat.Prosesnya adalah sbb:
a. Identify Critical Applications->Buat daftar
aplikasi yang paling penting
b. Creating a Disaster Recovery Team ->buat
Tim..langgar IC boleh
c. Providing Second- Site Backup buat lokasi
data cadangan (duplikasi)
mutual aid pact->dua atau lebih, join SD IT
pas bencana
empty shell or cold site; ->sewa tempat pada
penyedia backup
recovery operations center or hot site;
->sewa full equipped backup
internally provided backup->buat sendiri
(mirroring di tmpt lain)
Audit Objective: The auditor should verify that
managements disaster recovery plan is
adequate and feasible for dealing with a
catastrophe that could deprive the organization
of its computing resources. Audit Procedures
memastikan hal2 dibawah ini berfungsi dengan
baik
Site Backuplokasi HW IT dll
Daftar Aplikasi penting oke
Software Backup.
Data dan Dokumentasi Backup.
Backup Supplies dan Source Documents.

Disaster Recovery Team di test

Outsourcing the IT Function


Outsourcing IT kadangkala
meningkatkan
kinerja bisnis inti, meningkatkan Kinerja IT
(karena keahlian vendor), dan mengurangi
biaya TI. Logika yang mendasari outsourcing TI
dari teori kompetensi inti, yang berpendapat
bahwa organisasi harus fokus secara eksklusif
pada kompetensi bisnis intinya saja, sementara
outsourcing vendor memungkinkan untuk
secara efisien mengelola daerah non-inti seperti
fungsi TI (IT dianggap supporting).
Premis
ini,
bagaimanapun,
mengabaikan
perbedaan penting antara komoditas dan aset
TI yang spesifik. Commodity IT assets are not
unique to a particular organization and are thus
easily acquired in the marketplace sementara
Specific
IT
assets
dapat
merupakan
keunggulan strategis perusahaan. Transaction
Cost Economics (TCE) theory is in conflict
with the core competency school by suggesting
that firms should retain certain specific non
core IT assets inhouse. Jadi disarankan boleh
outsource pada SumberDaya IT yang bisa
digantikan
(SW/HW)
atau
tidak
terlalu
kritikal..SD IT yang penting dan unggulan bagi
organisasi jangan.
a. Risks Inherent to IT Outsourcing
Failure to Perform
Vendor Exploitation
Outsourcing Costs Exceed Benefit
Reduced Security
Loss of Strategic Advantage
b. Audit Implications of IT Outsourcing
Manajemen boleh saja mengalihdayakan fungsi
ITnya
namun
tidak
dapat
mengalihkan
tanggungjawab manajemen pada penyediaan
Pengendalian Intern yang memadai. SAS 70
merupakan
standar
yang
mendefinisikan
perlunya auditor mengetahui kontrol jika IT
dilaksanakan
oleh
vendor
pihak
ketiga.
Vendornya sendiri tentu diaudit oleh auditornya
sehingga IT review dilaksanakan satu kali saja
supaya praktis dan murah.
CHAPTER3
SECURITY PART I: AUDITING OPERATING
SYSTEMS AND NETWORKS
Auditing Operating Systems
OS adalah program pengendali komputer, OS
memungkinkan user dan aplikasi berbagi dan
mengakses sumberdaya yang sama seperti
prosesor, memori, printer dan database.
Semakin besar entitas maka sumber daya yang
perlu diakses makin besar dan OS menjadi
semakin penting.
Operating System Objectives
OS memiliki tiga fungsi yakni:

Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]

Menterjemahkan bahasa tingkat tinggi


COBOL
C++
dll,
menggunakan
translatornya -> yakni Compiler dan
Interpreters Ch 5 lbh lengkapnya
Mengalokasikan SD kepada user, grup
maupun aplikasi
Mengelola pekerjaan dan banyak program>User/Jobs mengakses komputer melalui 3
cara: Directly, Job Ques dan Links

a. Operating System Security


Kebijakan, prosedur dan pengendalian yang
menentukan siapa yang dapat mengakses OS
dan SD IT dan apa saja yang bisa dilakukannya.
Prosedur Log-ON pertahanan pertama,
salah brp x blokir misalnya.
Token Akses -> mengandung KeyInfo:user ID,
pass,previledge
Acces Control List (daftar kesaktian user)
Discretionary
Acces
Previledge->Super
Admin (Highly Supervised)
b. Threats to Operating System Integrity
Previldeged
personel
menyalahgunakan
otoritasnya
Individual di dalam dan di luar entitas yang
mencari celah sistem
Individual sengaja atau tidak memasukan
virus/bentuk program lain yg merusak
c. Operating System Controls and Audit Tests
Area-area yang perlu diperiksa adalah acces
personil yang mendapat previledge, kontrol
password
(password
sekali
pakai
dan
berulangkali), kontrol virus dan aplikasi
berbahaya dan kontrol pada jejak audit.
System audit trails (sekumpulan log yang
merekam aktivitas sistem, aplikasi, user)->
Detailed Individual Logs dan Event oriented
Logs
Audit prosedurnya:
Pastikan fitur audit trails diaktifkan,
Cari akses tanpa otorisasi, periode non aktif
user, aktifitas user, waktu log in dan out
Log
on
yang
gagal
(indikasi
salah
acces/coba2)
Pantau Acces ke file tertentu yang penting
Monitoring
dan
reporting
pelanggaran
keamanan IT
Auditing Networks
a. Intranet Risks
Terdiri dari LANs dan WANs yang terdiri dari
ratusan individual node. Ada beberapa resiko
terkait
Intranet
misalnya
Pesan
dapat
diintersepsi/disadap/dicegat,
adanya
resiko
akses kepada DB entitas, personel yang
memiliki previleged, mantan karyawan dll
b. Internet Risks
Resiko yang terkait dengan internet adalah
adanya IP Spoofing (nyamar pake IP
orang/palsu), DDOS attack yang membanjiri
server sehingga lumpuh baik melalui SYN Flood

maupun SMURF (tiga pihak ada perantara) dan


Distributed Denial of Service Attack pake orang
lain sebagai zombienya. Yang perlu diperhatikan
adalah juga motivasi orang menyerang..bisa
iseng..dendam atau menguji keandalan sistem.
Selain itu resiko juga berkaitan dengan
kegagalan peralatan dalam berkomunikasi
baik LINE, HW dan SW.
c. Controlling Networks
Controlling Risks from Subversive Threats
Menggunakan Firewall (umum)
Pasang IPS dan Deep Packet Inspection
cegah serangan DDOS
Pake Enkripsi/sandi dlam pengiriman data
TTD Digital dan Sertifikat Digital
Pake Message Sequence Number dan
Transaction Log serta punya Call Back
Devices
Audit Objectivenya adalah memastikan
bahwa kontrol jaringan dapat mencegah dan
mendeteksi akses illegal, mengurangi data
yang tidak terpakai dan memadai untuk
mempertahankan integritas data
Controlling Risks from Equipment Failure
cek aja alatnya baik2 saja..pake echo cek,
parity cek dst
Auditing Electronic Data Interchange (EDI)
EDI
merupakan
suatu
sistem
yang
memungkinkan mekanisme pertukaran data
dan informasi bisnis antar komputer antar
entitas dapat diproses oleh komputer secara
mandiri dalam suatu bentuk komunikasi dengan
format standar. Refer ke cerita american
hospital atau EDI DJBC.
a. EDI Standards ANSI, EDIFACT dll
b. Benefits of EDI
Data Keying, mengurangi entry data
berulang
Error Reduction, ga doble ngetik2, tapi kalo
salah satu tapi di awal bisa salah semua
sampai akhir.
Mengurangi kertas
Mengurangi biaya kirim dokumen
Prosedur terotomasi..manajer mikirin yg lain
saja (MBExcp)
Pengurangan biaya Inventory melalui EOQ/JIT
c. Financial EDI Pake transfer elektronik dalam
kirim uang
d. EDI Controls (Validasi dan Otorisasi)
Karena berkurangya peran manusia maka ada
pengendalian yang unik dan berbeda dengan
sistem manual utamanya adalah soal otorisasi
dan validasi transaksi. Sehingga auditor harus
memperhatikan:
ID dan Password serta valid file dalam DB
buat pembanding
Cek validasi lagi sebelum pesan dikirim jalan
tidak
Aplikasi cek ke file referensi sebelum di
proses

Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]

e. Access Control
Agar berjalan baik sayangya dalam sistem EDI
perusahaan harus memberikan sejumlah akses
kepada partnernya untuk mengakses DB
perusahaan. Sehingga sangat penting untuk
memiliki file valid vendor maupun valid
customers, juga bisa dibatasi read only saja
tidak bisa merubah data. Karena sudah
paperless satu2nya audit trails bisa jadi Cuma
file LOG saja..keep it safe.
Audit Objektif: Semua transaski EDI telah
diotorisasi dan divalidasi, tidak ada transaksi
tanpa otorisasi yang running, acces hanya
kepada data yang diperkenankan dan kontrol
yang cukup dalam pengamanan Log file.
Auditing PC-Based Accounting Systems
Aplikasi software akuntansi->wide range-> low
cost
product->kadang
modular
namun
terintegrasi-> berbasis PC
a. PC Systems Risks and Controls
Ada resiko unik terkait Accounting software:
Kelemahan
Sistem
Operasi
dibanding
Mainframe Model, PC keamanannya minimal
untuk data dan program, memang bawaan
PC yang dituntut portabel
Akses Kontrol Lemah program tertentu bisa
run tanpa akses HD (boot from CD)
Pemisahan fungsi kurang, satu orang bisa
memiliki banyak akses
Multivel password control kasih user pass
beda2
Resiko Kemalingan..small, handheld easy to
theft.
Prosedur Backup Lemah
Resiko terpapar virus lebih besar
Audit obj dan proc menyesuaikan dengan
kelemahan2 tersebut.
CHAPTER 7
COMPUTER-ASSISTED AUDIT TOOLS AND
TECHNIQUES (CAATTs)
PENGENDALIAN APLIKASI
prosedur terprogram yang didesain untuk
aplikasi tertentu seperti payroll, purchases,
cash disbursement system.
Terdiri dari pengendalian input, pengendalian
proses, dan pengendalian output
PENGENDALIAN INPUT
Untuk meyakinkan bahwa transaksi valid,
akurat, dan lengkap.
Source document input: ada campur tangan
manusia, banyak clerical errors, beberapa
error tidak bisa terdeteksi dan dikoreksi
dalam tahap input data sehingga harus
dikonfirmasi ke pihak ketiga.
Direct input: menggunakan teknik editing
real-time
untuk
mengidentifikasi
dan
mengoreksi kesalahan sesegera mungkin,

sehingga mengurangi kesalahan yang masuk


sistem.
Jenis pengendalian input:
1. Pengendalian dokumen sumber
2. Pengendalian pengkodean data
3. Pengendalian batch
4. Pengendalian validasi
5. Perbaikan kesalahan input
6. GDIS (Generalized Data Input System)
Pengendalian dokumen sumber:
Menggunakan dokumen sumber yang diberi
nomor terlebih dahulu
Menggunakan dokumen sumber secara
berurutan
Mengaudit dokumen sumber secara berkala
Pengendalian pengkodean data:
3 jenis kesalahan yang dapat merusak data:
1. Kesalahan transkripsi:
a. Kesalahan penambahan
b. Kesalahan pengurangan
c. Kesalahan subtitusi
2. Kesalahan transposisi tunggal
3. Kesalahan transposisi jamak
Angka pemeriksa
Pengendalian batch:
Tujuan: merekonsiliasi output yang dihasilkan
oleh sistem dengan input yang dimasukkan
ke dalam sistem terkait
Tidak efektif dalam mengelola volume data
transaksi yang besar dalam system
Memberikan kepastian bahwa semua record
dalam batch diproses, tidak ada record yang
diproses lebih dari sekali, dan adanya jejak
audit transaksi mulai dari tahap input,
pemrosesan sampai output.
Hash total
Pengendalian validasi:
Tujuan: mendeteksi berbagai kesalahan
dalam data transaksi sebelum data tersebut
diproses
3 level pengendalian validasi input:
1. Field interrogation
a. Pemeriksaan datayang hilang
b. Pemeriksaan data numeric-alfabetis
c. Pemeriksaan nilai nol
d. Pemeriksaan batas
e. Pemeriksaan kisaran
f. Pemeriksaan validasi
2. Record interrogation
a. Pemeriksaan kewajaran
b. Pemeriksaan tanda
c. Pemeriksaan urutan
3. File iterogation
a. Pemeriksaan label internal
b. Pemeriksaan versi
c. Pemeriksaan tanggal kadaluwarsa
Perbaikan kesalahan input:

Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]

Teknik umum untuk memperbaiki kesalahan:


1. Memperbaiki segera
2. Membuat file kesalahan
3. Menolak keseluruhan batch

GDIS:
Meliputi berbagai prosedur terpusat yang
mengelola input data untuk semua system
pemrosesan transaksi di perusahaan
Kelebihan:
1. Memperbaiki
pengendalian
dengan
membuat sebuah system yang sama
untuk melakukan semua validasi data
2. Memastikan bahwa tiap aplikasi SIA
menggunakan standar secara konsisten
untuk validasi data
3. Memperbaiki
efisiensi
pengembangan
sistem
5 Komponen utama GDIS:
1. Generalized Validation Module (GVM)
2. Validated data file
3. Error file
4. Error report
5. Transaction log
PENGENDALIAN PROSES
1. Pengendalian Run-to-Run
Untuk meyakinkan bahwa perpindahan
batch dari satu program ke program
lainnya dilakukan dengan benar dan
lengkap.
Kegunaan: Recalculate Control Totals,
Transaction Codes, Sequence Checks
Penggunaan secara spesifik meliputi:
a. Perhitungan ulang total pengendali
b. Kode transaksi
c. Pemeriksaan urutan
2. Pengendalian intervensi operator
Memasukkan
total
pengendali,
memasukkan nilai parameter
Sistem
yang
membatasi
intervensi
operator
lebih
sedikit
kemungkinan
menimbulkan kesalahan pemrosesan
3. Pengendalian Audit Trails
Dalam sistem akuntansi, setiap transaksi
harus bias ditelusuri dari sumber hingga
laporan keuangan.
Contoh teknik yang digunakan untuk
mempertahankan audit trail:
a. Transaction Logs: setiap transaksi yang
diproses disimpan dalam transaction
log yang disajikan dalam JURNAL.
Alasan dibuat: transc log adalah
permanent record dari transaksi, dan
tidak semua record yang divalidasi
berhasil diproses.
b. Log
of
Automatic
Transactions:
beberapa transaksi diproses secara
internal oleh system (Ex: ketika

inventory menyentuh titik bawah,


system
akan
otomatis
membuat
purchase order).
c. Listing of Automatic Transactions: untuk
pengendalian atas transaksi otomatis
oleh system, user harus menerima
daftarnya.
d. Unique Transaction Identifiers: setiap
transaksi
yang
diproses
harus
diidentifikasi secara unik dengan nomor
transaksi.
e. Error Listing: daftar record yang salah
harus diserahkan kepada user yang
berhak untuk koreksi error.
PENGENDALIAN OUTPUT
Untuk meyakinkan bahwa output dari sistem
tidak hilang, misdirected, rusak, atau privasi
terganggu
Jika hal tsb terjadi, akan mengakibatkan
gangguan dalam operasi dan kerugian
finansial bagi perusahaan.
Metode pengendalian output:
a. Mengendalikan Output Sistem Batch
b. Mengendalikan Output Sistem Real Time
Mengendalikan output sistem batch
Output Spooling
Program pencetakan
Pemilahan
Sampah
Pengendali data
Distribusi laporan
Pengendalian pengguna akhir
MENGUJI BERBAGAI PENGENDALIAN APLIKASI
KOMPUTER
1. Pendekatan Black Box (Kotak Hitam)
Audit di sekitar komputer
2. Pendekatan White Box (Kotak Putih)
Audit melalui computer
Jenis
pengendalian
yang
umumnya
ditentukan:
a. Uji autentikasi
b. Uji akurasi
c. Uji kelengkapan
d. Uji redundansi
e. Uji akses
f. Uji audit trails
g. Uji kesalahan pembulatan (Rounding
error test)
CAATT UNTUK MENGUJI PENGENDALIAN
1. Test Data Method
2. Base Case System Evaluation (BCSE)
3. Tracing
4. Iintegrated Test Facility (ITF)
5. Paralel Simulation

Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]