Audit Sistem Informasi-95
Audit Sistem Informasi-95
b.
yang
dilakukan
seorang
yang
kompeten
dan
diberikan
auditor
informasi
dengan
kriteria-kriteria
penyajiannya
telah Terbatas pada pemeriksaan, review dan aplikasi yang telah
yang
disetujui prosedurnya
antara
Audit
Tradisional
dengan
Audit
SI
diantaranya sbb:
Teknik audit -> menggunakan program khusus atau TABK
Proses Audit -> Tidak sekuensial (DB->Modul2 Software
Akuntansi)
Pemahaman IC, audit IT menekankan kepada application
control
Keahlian tentang auditing dan akuntansi + keahlian tentang
computer
sistem
informasi
intern.
Pada
pandang yaitu:
dan
masa
assesment
sebelom
terhadap
SOX
jasa
pengendalian
semacam
ini
Keuangan
internal
dalam
memahami
General
dan
Gelarnya CISA/CIA
yang membandingkan pengolahan data yang dilakukan oleh d. External versus Internal Auditors
Perbedaan
utamanya
adalah
dua program dengan tujuan untuk memperoleh keyakinan
bahwa kedua program tersebut menghasilkan keluaran yang
bertanggungjawab,
sama
(merepresentasikan)
(identik).
Teknik
pemrosesan
secara
paralel
auditor
pihak
kepada
siapa
eksternal
eksternal
perusahaan
auditor
mewakili
sedang
auditors
software.
pemeriksaan
dilakukan
eksternal.
dilaksanakan
Maksudnya
dengan
adalah
clients
data,
pelaksanaan
Dalam
hal
auditor
internal
tidak
memiliki
Overview of Auditing
External (Financial) Audits
Suatu jasa (attestation/pengesahan) yang dilakukan oleh
pemegang
saham,
kreditor,
pemerintah
dan
wawancara,
kontrol
beresiko.
yang
review
Test
of
dokumentasi
Controls
temukan
adalah
phase
b. A Systematic Process
Sebuah kerangka kerja
logis
akan
membantu
auditor
Internal Control
COSO: IC adalah suatu proses, dipengaruhi oleh Dewan
Direksi, Manajemen dan Personel lain, yang didesain untuk
guna
dicocokan
dengan
asersi
audit
adalah
probabilitas
bahwa
auditor
akan
Risk
adalah
resiko
audit
yang
merupakan
Benefit)
d. The PDC Model
memperhatikan efektifitas pengendalian intern). Cannot
Preventive Controls merupakan kontrol pasif di design
reduce by Auditor. Control Risk disisi lain adalah adanya
mengurangi frekuensi kejadian tidak diinginkan.cthnya
cacat pada ketiadaan atau ketidakcukupan SPI dalam
pembatasan karakter entry misalnya. Detective Controls,
itu sendiri (ada juga yang bilang resiko level akun sebelum
mencegah error.
b. Detection Risk adalah resiko yang dapat diterima auditor
bahwa error yang gagal dicegah oleh pengendalian gagal
juga
dideteksi
auditor.
Subtantif
tes
akan
semakin
koreksi
jika
ditemukan
errors,hati2
terhadap
standarya sendiri..
kelemahan/kekurangan maka berarti subtantive test akan e. COSO Internal Control Framework
Lingkungan Pengendalian, merupakan pondasi dari empat
lebih luas, sampel lebih banyak dan dalam. IC makin
unsur lainnya. Elemennya: integritas, etika, value, struktur
reliable, CR makin rendah, DR makin diturunkan,dan
limit cek
cukup
terhadap
Manajemen
khususnya
tentang
Integritasnya.
Penilaian Resiko: identifikasi, analisa dan mengelola resiko
lengkap di ch 7.
Add:
Terdapat dua
pandangan
mengenai
Pengendalian
yang
bisnis,
dapat
menjadi
resiko:
perubahan
dalam
kartu)
baru dst.
Informasi dan Komunikasi: kualitas SIM, Proses susun L/K
Monitoring: Assesment SPI, Special modul di IT ,Laporan
sedang
AC
pure
aplikas.
Pendapat
kedua
Manajerial
Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang
yang
bersinggungan,
karena
pada
oleh kolusi.
Otorisasi vs Proses Transaksi
Asset Custody vs Record Keeping
Jika mau curangpun perlu minimal 2 orang.
Supervisi , kompensasi dari kurangya pemisahan fungsi
Catatan Akuntansi (Dokumen sumber, jurnal, ledger)..
catatan dalam akuntansi ini mengandung jejak audit yang
A.
TI
adalah
menyerahkan
semua
keputusan
kepada
semua
sampai ke L/K.
yang lebih besar bertempat di situs pusat yang melayani
aplikasi
Data Library: Storage offline data-> Real Time data Procesing
adalah
pengamanan
DB.
Karena
jika
dan
berfungsi
sesuai
dengan
standar
perusahaan .
Pemisahan antara suatu fungsi tertentu demi menjaga IC
yang baik:
Sys Dev pisahkan dengan Operasional
DBA fisahkan dari unit lain
Sys Dev pisahkan dengan Maintanance (merupakan superior
structure) karena adanya resiko:
Inadequate Documentation: Programmer
mengembangkan
sistem
baru
suka
daripada
juga soal job
menggangu
yang
lain
meskipun
secara
umum
menyusun
security
lebih
perlu
diperhatikan
karena
dpat
komunikasi
dan
pada
database,
resiko
ini
(DDP) melibatkan reorganisasi fungsi IT pusat ke IT unit kecil C.The Computer Center
a. Physical Location : Antisipasi bencana alam maupun manusia
yang ditempatkan di bawah kendali pengguna akhir (End
cari lokasi yang aman.
Users). Unit IT dapat didistribusikan menurut fungsi bisnis, b. Construction : kontruksi fasilitas IT-> tunggal, acces terbatas
lokasi geografis, atau keduanya.
Resikonya mnggunakan model DDP:
serta
kurangnya standarisasi.
Keuntungannya termasuk pengurangan biaya, peningkatan
kesalahan operator.
Redundant arrays of independent disks (RAID)->data
UPS->Listrik
g. Audit Objectives
Tujuan auditor adalah untuk mengevaluasi kontrol yang
fisik
DAN
untuk
cakupan
asuransi
mengkompensasi
pada
kerusakan
peralatan
pusat
komputernya
individu di daerah yang tidak kompatibel dipisahkan sesuai h. Audit Procedures
dengan tingkat potensi risiko dan dengan suatu cara yang Tests of Physical Construction. Fisik bangunan server, lokasi
dan keamanan terhadap HAZARD EVENT.
mempromosikan lingkungan kerja yang kondusif.
Tests of the Fire Detection System.
Audit Procedures:
Tests of Access Control.
Centralized
Tests of Raid, BU HD
Tinjau dokumentasi yang relevan, untuk menentukan apakah Tests of the Uninterruptible Power Supply.
Tests for Insurance Coverage.
individu atau kelompok yang melakukan fungsi-fungsi yang D. Disaster Recovery Planning
tidak kompatibel.
dan murah.
penting
b. Creating a Disaster Recovery Team ->buat Tim..langgar IC
boleh
c. Providing Second- Site Backup buat lokasi data
cadangan
(duplikasi)
mutual aid pact->dua atau lebih, join SD IT pas bencana
empty shell or cold site; ->sewa tempat pada penyedia
A.
backup
recovery operations center or hot site; ->sewa full equipped
sama
backup
internally provided backup->buat sendiri (mirroring di tmpt
lain)
Audit
Objective:
The
auditor
should
verify
that
organization
of
its
computing
resources.
Audit
seperti
prosesor,
memori,
printer
dan
database.
translatornya
->
yakni
Compiler
dan
misalnya.
Outsourcing IT kadangkala meningkatkan kinerja bisnis inti, Token Akses -> mengandung KeyInfo:user ID, pass,previledge
Acces Control List (daftar kesaktian user)
meningkatkan Kinerja IT (karena keahlian vendor), dan
Discretionary Acces
Previledge->Super
Admin
(Highly
mengurangi biaya TI. Logika yang mendasari outsourcing TI
Supervised)
dari teori kompetensi inti, yang berpendapat bahwa c. Threats to Operating System Integrity
organisasi harus fokus secara eksklusif pada kompetensi bisnis Previldeged personel menyalahgunakan otoritasnya
Individual di dalam dan di luar entitas yang mencari celah
intinya saja, sementara outsourcing vendor memungkinkan
sistem
untuk secara efisien mengelola daerah non-inti seperti fungsi
Individual sengaja atau tidak memasukan virus/bentuk
TI (IT dianggap supporting).
program lain yg merusak
Premis ini, bagaimanapun, mengabaikan perbedaan penting d. Operating System Controls and Audit Tests
Area-area yang perlu diperiksa adalah acces personil yang
antara komoditas dan aset TI yang spesifik. Commodity IT
mendapat previledge, kontrol password (password sekali
assets are not unique to a particular organization and are
pakai dan berulangkali), kontrol virus dan aplikasi
thus easily acquired in the marketplace sementara Specific IT
berbahaya dan kontrol pada jejak audit.
assets dapat merupakan keunggulan strategis perusahaan.
System audit trails (sekumpulan log yang merekam aktivitas
Transaction Cost Economics (TCE) theory is in conflict with
sistem, aplikasi, user)-> Detailed Individual Logs dan Event
the core competency school by suggesting that firms should
oriented Logs
retain certain specific noncore IT assets inhouse. Jadi
Audit prosedurnya:
Pastikan fitur audit trails diaktifkan,
disarankan boleh outsource pada SumberDaya IT yang bisa
Cari akses tanpa otorisasi, periode non aktif user, aktifitas
digantikan (SW/HW) atau tidak terlalu kritikal..SD IT yang
user, waktu log in dan out
penting dan unggulan bagi organisasi jangan.
Log on yang gagal (indikasi salah acces/coba2)
Pantau Acces ke file tertentu yang penting
a. Risks Inherent to IT Outsourcing
Monitoring dan reporting pelanggaran keamanan IT
Failure to Perform
B. Auditing Networks
Vendor Exploitation
a. Intranet Risks
Outsourcing Costs Exceed Benefit
Terdiri dari LANs dan WANs yang terdiri dari ratusan individual
Reduced Security
Loss of Strategic Advantage
node. Ada beberapa resiko terkait Intranet misalnya Pesan
b. Audit Implications of IT Outsourcing
dapat diintersepsi/disadap/dicegat, adanya resiko akses
b. Internet Risks
Resiko yang terkait dengan internet adalah adanya IP
49-62
Auditing PC-Based Accounting Systems
Aplikasi software akuntansi->wide range->
low
cost
data
yang
tidak
terpakai
dan
memadai
untuk
sbb:
LAN->
Konfigurasi
jaringan
dalam
satu
gedung
hingga
card),
salahsatu
slot
ekspansi
dalam
komputer
(ya
seperti
Akses
antar
nodes
juga
dimungkinkan,
tergantung DBnya.
HIRARKI
lalu
produksi
ke
dikirim
ke
regional,
pusat,
pusat
regional
bagi
memerintahkan
lagi
ke
unit
dibawahnya..semacam itula.
disalahgunakan/disalahfahami
ada
di
server
data
manipulasi/perubahan
data
satu
arah
sehingga
meminimalkan
PENGENDALIAN JARINGAN
Tujuan dari pengendalian jaringan adalah agar supaya:
a. Menyediakan suatu sesi komunikasi diantara pengirm dan
penerima.
elektronik yang unik, jika mau kirim dari A ke D, lewat di B b. Mengelola aliran data sepanjang jaringan.
c. Mendeteksi dan menyelesaikan masalah tabrakan data antara
dan C hanya sebagai kolanding, (sunda:makcomblang)
nodes yang saling berkompetisi.
perantara, Cuma di terima, lalu dikirim lagi ke tujuan.
d. Mendeteksi error dalam jaringan atau yang disebabkan karena
Kebanyakan pake model ini masing2 nodes bisa manage
sinyal
program dan database secara lokal. Salahsatu nodes dapat
HANYA ada satu node dalam suatu waktu yang bisa
menjadi penyimpan data pusat yang dapat diakses seluruh
mengirimkan pesan, dua atau lebih pengiriman pesan secara
nodes.
bersamaan dapat mengakibatkan tabrakan data(collision) Logic Bomb, destruktif program yang diaktifkan melalui
yang menghancurkan keduanya (meskipun kecepatannya
sbb:
dia berhenti.
Back Door, program yang mengizinkan akses illegal masuk ke
sistem tanpa melalui saluran prosedur yang normal (front
door). Bisa digunakan untuk memantau sistem atau untuk
fraud.
Trojan Horse, menangkap ID dan password dari user dengan
meniru prosedur log in normal.
disimpan
sendiri2,
terduplikasi
diseluruh
level
organisasi..boros space
o Data Updating-:Banyak data pada file acuan dan file master
satu2.
o Currency of Information: Kegagalan untuk membaharui
dalam
status
menghasilkan
keputusan
berdasar
pada
informasi ga uptodate.
o Task Data Dependency (Limited Access) ketidakmampuan
pemakai untuk memperoleh informasi tambahan, ketika
menggunakan
Database
management
akses.
Pendekatan
ini
memusatkan
program yang sah untuk melakukan penetrasi kedalam C.Key Elements of the Database Environment
Database Management System
sistem operasi dan menghancurkan aplikasi, data atau
DBMS menyediakan pengendalian untuk membantu atau
Osnya sendiri.
mencegah akses ke DB. Fiturnya:
Worm, istilahnya dipertukarkan dengan virus, program yang
secara virtual mengubur diri dalam memorikomputer dan
Perangkat Lunak
Backup and Recovery, sejak memproses, secara periodik
yang menggunakan
Database Access, ciri yang sangat penting yaitu memberikan
Data
Definition
Language
(DDL).
child
diduplikasi
sehingga
database.
Database View
Internal View/Physical
struktur
catatan
catatan
DDL
dari user
Users
Fformal Access-App Interfaces: Ada dua jalan untuk
dicatat
dalam
sistem
file
flat.
Tabel
harus
M Mcleod dan
Appendix A)
Entity adalah representasi database akan suatu dari tiga hal
ini
yakni
elemen
lingkungan,
sumberdaya
atau
Bentuknya:
One to One
One to Many
dipanggil, dan dimungkinkan dipindah dari catatan satu
Many to Many
ke lainnya. Struktur data terdiri dari:
D. Databases in a Distributed Environment
Organisasi Data adalah cara pencatatan secara a.Centralized Databases
fisik yang diatur pada alat penyimpan secondary.
Data Access Method adalah teknik yang digunakan
yang
membolehkan
catatn
ditempatkan,
disimpan,
model
adalah
mengenai
entitas,
(transaksi)
dan
suatu
termasuk
representasi
sumber
abstrak
(aset),
data
kejadian
customer) dan
Time-stamp
b.Distributed Databases
Partitioned Databases Approach
setiap
transaksi.
Ada
jam
yang
mencatat
waktu
dimasukkan
ke
Jika
muncul
dalam
konflik
schedule
maka
serial
transaksi
sehingga
data
ada
beberapa
trade-off
yang
harus
yang
tersimpan
pada
site
lokal
pengendalian
Pada
lingkungan
transaksinya.
transaksi
untuk
melengkapi
melihat (DB).
Database Authorization Table Berisi aturan-aturan yang
membatasi tindakan yang dapat diambil pemakai. Teknik
Untuk
ini
pengendalian
pembatalan
dan
potensial kerusakan.
The
Deadlock
Phenomenon
satu
control)
melakukan
(access
backup.
meningkatkan o Access Controls
pengendalian user.
Waktu respon pemrosesan transaksi ditingkatkan dengan
masing
akses
sama
dengan
pengendalian
daftar
keamanan
pemakai
untuk
personalatau
tunggal.
Data Encryption,
data
prosedur
menciptakan
rutin
akses
untuk
lebih
yang
program
menciptakan
daripada
ecryption
yang
password
digunakan
untuk
biometrik
untuk
mengukur
berbagai
macam
B. Backup Controls
kelas-kelas
potensial.
untuk
mengidentifikasi
konflik
backup
dimulai
ketika
file
master
sekarang
(parents)
diproses
terhadap
file
transaksi
untuk
Mulai
munculnya
organisasi
otonomi
yang
terdesentralisasi
industri perbankan,
bidang medis
Cost rendah
Transaction Log (Journal) The transaction log adalah fitur yang
memulai
kembali
setelah
sistem
mengalami
kegagalan
KerugianCommercial Systems:
kebutuhan
user
berubah,
sulit
memodifikasi sistem
C.The Systems Development Life Cycle
Systems Development Life Cycle (SDLC): planning sistem,
CHANGE ACTIVITIES
desain
terhadap
sistem,
internal
auditor
dan
pada
rinci,
implementasi
sistem,
pemeliharaan
sistem
dari
perencanaan
adalah
untuk
menghubungkan
menyusun
comitee
(CEO,
perencanaan
CFO,
senior
biasanya
manager,
adalah
Steering
internal
auditor)
Peran
auditor
di
tahap
iniadalah
memastikan
bahwa
terhadap
sistem
saat
ini
dan
menganalisis
berbeda,
stand by.
In-House
Development
Karakteristik
industri
a.Commercial Systems
Beli dari vendor dengan empat pertimbangan:
ke
bawah.
Biasanya
memakai
DFD
digunanakan.
sebagai satu kesatuan.
Documenting the System
sistem
Documentation,
Designer
and
Documentation
Programmer
(dokumennya
Tutorial, dll
Converting the Database yaitu transfer data dari bentuk yang
sekarang ke format atau media yang diperlukan oleh sistem
teknologi baru
Economic feasibility mengidentifikasi kecukupan dana
cutover:
Cold Turkey Cutover (Big Bang), perpindahan dilakukan
secara simultan (sekaligus), pendekatan paling mudah
paling berisiko untuk sistem kompleks
Phased Cutover (Bertahap)Membagi
seluruh
system
Operator
bisa
menimbulkan
incompatibilitas
antara
reduce
cost
(labor,
operating,
inventory
turun,
keuangan.
C++.
Record
Interogation:
validasi
seluruh
catatan
dengan
master files yg
kedelete sembarangan
Application Controls
Dalam sistem batch ketika ada Input error perlu dilakukan
Prosedur program pengendalian intern yang didesain untuk
correction, ada tiga jenis penanganan error yang umum
mengatasi terpaparnya sistem dari resiko potensial pada
dalam proses input:
aplikasi spesifik seperti pembayaran gaji, pembelian dan
Correct Immidiately->kasih warning ke user
pengeluaran uang. App controls terdiri dari:
Create an Error File-> delayed, pisahkan dari sistem buat
a.Input Controls
laporan sistemnya bahwa data tsb error
Bertugas untuk membawa data dari ke dalam sistem untuk
Reject Entire Batch-> tolak sluruh batch untuk diproses
diproses, IC didesain untuk memastikan bahwa transasksi Generalized data input systems
GDIS menstandarisasi validasi input dengan level kontrol
valid, akurat dan lengkap. Dapat dipicu oleh batch maupun
tinggi. Ada 3 keuntungan pake GDIS:
secara langsung (direct). Dalam dokumen sumber biasanya
Improve control melalui satu sistem validasi umum yang sama
melibatkan manusia dan oleh karenanya rentah kesalahan
Memastikan setiap aplikasi menerapkan standar yg sama
klerikal yang sering tidak terdeteksi nanti ada opsi data Meningkatkan efisiensi sistem
realtime. Beberapa jenis pengendalian dalam input control Elemennya: GDIS module, Data File Tervalidasi, Error File, Error
A.
Recalculate
Control Totals-mengecek kembali nilai2 dalam
Data coding controls
adalah sbb:
Source document controls
Pengendalian terhadap dokumen
jejak audit :
dalam satu batch (bundel) lalu mengontrol batch ini dalam Transactions Logs-mencatat seluruh aktivitas sistem
Log of Automatic Transactions
prosesnya.
Elemen: No Batch, tgl, Kode transaksi, Jumlah Rec, Nilainya, Listing of Automatics Transactions->EOQ/reorder harus
diperhatikan
Jumlah data non financial ( Hash totalbuat alat kontrol aja,
Unique Transaction Identifiers
tidak bernilai)
Error Listings-Laporkan agar diperbaiki
Validation controls
c. Output Controls
Deteksi error sblm transaksi diproses, bisa memerlukan untuk
Output controls adalah SPI yang memastikan bahwa hasil
merefer ke master file sebaiknya sedekat mungkin dengan
keluaran
sistem
tidak
hilang,
salah
sasaran,
sumber transaksi.
Controlnya ada 3 level:
Field Interogation: melakukan validasi di level karakter
menyesuakan
dengan
outputnya
sendiri
kurang
sehingga
diperhatikan
dapat
detilnya.
memperkirakan
Umumnya
pada
hasil
pengolahan
sistem
mengantri
untuk
bagan otoritas
Accuracy Test-> range test, filed test limit test
yang dapat mengubah, mengcopy secara illegal atau
Completeness Test-> field test, rec sequence test, hash totals
bahkan menghapus file sebelum dicetak.
Redundancy Test-> recoknsiliasi batch, record count, hash
Harus ada akses kontrol yang baik dan backup file output
totals
Print
Acces Test-> pass, bagan otoritas, data enkripsi, inference
Setelah spooling, dan SD printer tersedia -> printer akan
control
mencetak, biasanya ada intervensi operator berupa
Audit Trail Test-> transaction log, error file ttp disimpan,
mengganti kertas, mengatur mempause, menyesuaikan Rounding Error Tets->pembulatan bunga bank, salami fraud
margin, tinta dsb
Resiko :Operators copy secara illegal/membaca data rahasia
Controlnya: Prenumbered untuk memastikan seluruh cetakan
Controls
gunakan kertas multipart berkarbon a.Test Data Method
Membuat aplikasi terintegrasi dengan memproses data yang
(gesek dulu baru terbaca->pin ATM)
sudah dipersiapkan melalui aplikasi yang sedang direview.
Bursting
Hasil cetakan dipilah-pilah dan disusun ulang, ada Operator
Lalu dibandingkan dengan nilai/hasil yang seharusnya. Copy
Risk-> Illegal copy, menghilangkan halaman,
baca data
dulu aplikasinya buat file transaksi dan masternya lalu coba
rahasia
melalui berbagi input (tape, disc, usb, terminal dll) lihat
Control-> Supervisi atau bursting di end user saja
hasilnya bandingkan dengan rport yang diharapkan
Waste
Cetakan yg tidak sempurna, karbon copy dibuang
sebelumnya.
Ceroboh-> dapt dimanfaatkan , ada akes data teknis dan Buat Data Tes
lengkap, supervisi,
Auditor
harus faham betul aplikasinya, identidikasi proses dan
perhatikan waktu retensi sesuai hukum (pajakk) jika tidak
controlnya
digunakan hancurkan dengan baik.
Buat simulasi pake 4GL atau Generalized Audit Software (GAS)
Controlling RTS
Hasil output tampil langsung dilayar.,terminal atau Coba simulasikan dengan sampel terpilih
Evaluasi (apakah yg error simulator atau memang Real)
printernya end user. Menghilangkan berbagai perantara baik
program maupun manusia. Ancaman terbesarnya sama
seperti resiko dalam internet dan intranet yaitu:
Equipment Failures (HW, SW maupun LINES Comm)
Subversive Act ( Interception, Illegal Acces, Previledged
Employes)
B. Testing Computer Application Controls
a.Black-Box Approach (Around Computer)
Tidak menguji berdasarkan pada pengetahuan mendetail
COBIT
Informasi adalah sumber daya kunci bagi semua perusahaan.
Diciptakan,
digunakan,
dihancurkan
dengan
disimpan,
menggunakan
ditampilkan,
teknologi
dan
sebagai
IT
saat
ini
dinilai
harus
dipandang
sebagai
salhsatu
perusahaan
menyampaikan
nilai
dalam
melalui
mencapai
tata
kelola
tujuannya
dan
(strategis)
dan
build
an
effective
governance
and
management
dan manajemen.
e.
a.
b.
c.
d.
e.
a.
penggerak yaitu :