INTRO

b.

Audit adalah suatu proses pengumpulan dan pengevaluasian

bukti informasi yang dapat diukur mengenai suatu entitas
ekonomi

yang

dilakukan

seorang

yang

kompeten

dan

Attest Service versus Advisory Services

Belakangan muncul suatu jasa yang

diberikan

auditor

eksternal kepada perusahaan yakni advisory service. Untuk

Jasa attestasi memerlukan beberapa persyaratan sbb :
Adanya asersi tertulis (L/K) dan praktisi menulis laporan (LHP)
Adanya kriteria pengukuran yang formal atau deskripsi dalam

independen untuk dapat menentukan dan melaporkan derajat

kesesuaian

informasi

dengan

kriteria-kriteria

penyajiannya
telah Terbatas pada pemeriksaan, review dan aplikasi yang telah

yang

disetujui prosedurnya

ditetapkan serta mengkomunikasikan hasilnya kepada para

pemakai yang berkepentingan.
Perbedaan

antara

Audit

Tradisional

dengan

Audit

SI

diantaranya sbb:
Teknik audit -> menggunakan program khusus atau TABK
Proses Audit -> Tidak sekuensial (DB->Modul2 Software

Sementara Advisory Service adalah jasa profesional oleh KAP

Akuntansi)
Pemahaman IC, audit IT menekankan kepada application

untuk meningkatkan efektifitas dan efisiensi operasional

perusahaan klien. Jasa tersebut meliputi misalnya saran

control
Keahlian tentang auditing dan akuntansi + keahlian tentang

aktuaria, saran bisnis, jasa penyelidikan kecurangan, design

computer

sistem

informasi

Jika berbicara mengenai Audit IT (ASI) maka ada dua sudut

intern.

Pada

pandang yaitu:

diperbolehkan dilakukan sejalan dengan jasa audit, Saat ini hal

Audit atas tata kelola IT itu sendiri dan

Audit IT yang dilakukan dalam rangka Audit

dan

masa

assesment
sebelom

terhadap

SOX

jasa

pengendalian
semacam

ini

tersebut tidak diperkenankan dan merupakan pelanggaran

Keuangan

(kesesuaian dengan SAK) -> yakni berkaitan dengan Teknikc.

hukum. (US Law)

Internal Audits

Audit Berbantuan Komputer

Fungsi penilaian independen dalam suato organisasi untuk

dalam menilai pengendalian

khususnya

memeriksa dan mengevaluasi aktivitas sebagai suatu jasa

Apllication Control, serta pengujian subtantif dalam ranah IT

bagi organisasi. Auditor internal melakukan berbagai aktivitas

internal

dalam

memahami

General

dan

seperti pemerikasaan LK pemeriksaaan kesesuaian aktivitas

dengan database sistem akuntansi.

The most important computer assisted audit techniques are:
Test data,
Integrated test facility,
Parallel simulation, and
On-line audit monitor.

dengan kebijakan perusahaan, evaluasi efisiensi operasional

dan mendeteksi serta mencari kecurangan dalam perusahaan.
Audit internal dapat pula dilakukan dari pihak luar organisasi.
Auditor biasanya bertanggungjawab kepada komite audit.

Simulasi sejajar (parallel simulation) adalah suatu teknik audit

Gelarnya CISA/CIA
yang membandingkan pengolahan data yang dilakukan oleh d. External versus Internal Auditors
Perbedaan
utamanya
adalah
dua program dengan tujuan untuk memperoleh keyakinan
bahwa kedua program tersebut menghasilkan keluaran yang

bertanggungjawab,

sama

(merepresentasikan)

(identik).

Teknik

pemrosesan

secara

paralel

auditor
pihak

kepada

siapa

eksternal

eksternal

perusahaan

auditor
mewakili
sedang

auditors

software.

internal auditor mewakili kepentingan perusahaan. Dalam

pemeriksaan

dilakukan

pelaksanaanya dapat bekerjasama, misal tes pengendalian

terhadap data sesungguhnya (data audit yang di-copy) dan

intern dilakukan oleh internl auditor disupervisi oleh auditor

diproses dengan software atau bahkan komputernya auditor.

eksternal.

dilaksanakan
Maksudnya

dengan
adalah

clients

data,

pelaksanaan

Dalam

hal

auditor

internal

tidak

memiliki

independensi kerjasama audit tidak diperkenankan standar.

Trace-Forward from Source Document to Records-untuk cek
e. Fraud Audits
asersi "Completeness"
Kecurangan
sayangnya
meningkat
karena
perilaku
Vouch -Backward (From Records to Source Document)- cek
manajemen dan karyawan. Audit semacam ini dilakukan guna
assersi "Existence"
mencari bukti-buti yang dapat mengarah kepada tuntutan
hukum. Dapat dilakukan atas permintaan perusahaan, dan

AUDITING AND INTERNAL CONTROL

B.
A.
a.

dilakukan oleh seorang bersertifikat CFE.

The Role of the Audit Committee

Overview of Auditing
External (Financial) Audits
Suatu jasa (attestation/pengesahan) yang dilakukan oleh

Sebelum SOX Law auditor dihire oleh Manajemen perusahaan,

seorang ahli (auditor) yang kemudian memberikan suatu

yang salah seorang anggotanya memiliki Financial Expertise

pendapat terhadap penyajian laporan keuangan. Biasanya

dilakukan oleh CPA yang independen dari perusahaan yang diC.

guna fungsi chek n balance.

audit. CPA dalam hal ini mewakili kepentingan pihak eksternal

seperti

pemegang

saham,

kreditor,

pemerintah

dan

masyarakat umum. Konsep penting dalam audit finansial

adalah INDEPENDENSI.

sekarang bertanggung jawabnya kepada Audit Committee

Financial Audit Components

a. Auditing Standards

akhirnya Subtantif test akan semakin sedikit dan sempit.

Jadi buat Mgt buatlah strong IC.
E.The IT Audit
a. The Structure of an IT Audit
Audit Planning, pemahaman terhadap bisnis klien. Bisa melalui
pengamatan,

wawancara,

kontrol

beresiko.

yang

review

Test

of

dokumentasi
Controls

temukan

adalah

phase

penentuan apakah internal kontrol berfungsi dengan baik

untuk dinilai kualitasnya karena akan menentukan fase
berikutnya. Subtantive Testing Detail inspeksi pada akun-akun
saldo dan transaksi, sebagian berupa pekerjaan fisik. Dalam

b. A Systematic Process
Sebuah kerangka kerja

logis

akan

membantu

auditor

mengidentifikasi proses dan data penting. Dalam audit IT

lingkungan IT dibutuhkan bantuan pengolah data berupa

CAATTs. Secara umum proses audit adalah sbb:

pengujian fisik yang dapat diverifikasi secara visual lebih

sedikit sehingga akan lebih kompleks.
c. Management Assertions and Audit Objectives
L/K merupakan refleksi asersi manajemen tentang kesehatan

keuangan entitas yang terdiri dari:

Existance and Occurance (Nyata dan Terjadi)
Completeness (Lengkap)
Right and Obligations (Dimiliki and Kewajiban)
Valluation and Allocation (sesuai dengan aturannya)
F.
Presentation
and
Disclosure
(klasifikasi
dan
pengungkapan cukup)

Internal Control
COSO: IC adalah suatu proses, dipengaruhi oleh Dewan
Direksi, Manajemen dan Personel lain, yang didesain untuk

Auditor harus menentukan apakah L/K disajikan secara wajar

memberikan keyakinan yang memadai bahwa tujuan-tujuan

sehingga procedure pengujian diarahkan untuk membuktikan

berikut dapat tercapai :

Efektifitas dan Efisiensi Operasi
Reliabilitas Laporan
Kepatuhan terhadap peraturan perundang-undangan
a. Brief History of Internal Control Legislation
SEC Acts of 1933 and 1934, market crash->melarang frauds
Copyright Law1976 Software Violations, Piracy IT
Foreign Corrupt Practices Act (FCPA) of 1977 Record n IC
Sarbanes-Oxley Act of 2002 enron, IC, COSO
b. Internal Control Objectives, Principles, and Models
Tujuan dari SPI:
Menjaga aset perusahaan
Memastikan accuracy dan reliabilitas catatan dan informasi
Memprakarsai effisiensi operasi perusahaan
Mengukur kepatuhan thd kebijakan yang telah ditetapkan
c. Modifying Principles
SPI merupakan tanggungjawab Mgt, bahkan kewajiban hukum
Bentuk pemrosesan data apapun harus mendukung 4 tujuan
Setiap sistem memiliki keterbatasan yang disebabkan oleh:
Errors->No perfect sustem
KKN personil
Mgt mengabaikan control
Kondisi dinamis dalam industri
SPI harus memberikan jaminan yang memadai (Cost <

kesesuaian asersi manajemen ini dengan standarnya.

d. Obtaining Evidence
Auditor mencari bukti

guna

dicocokan

dengan

asersi

manajemen, dalam lingkup IT termasuk menilai kehandalan IT

dan isi DB itu sendiri. Test Control dilanjutkan Subtantive Test
e. Ascertaining Materiality
Sepenuhnya merupakan Auditor judgment..dalam lingkup IT
lebih complicated mengingat struktur IC juga lebih rumit.
f. Communicating Results
Audit report disampaikan kepada pihak yang berminat dan
melapor kepada komite audit/pemegang saham dalam laporan
didalamnya termasuk membuat opini audit.
D. Audit Risk
Resiko

audit

adalah

probabilitas

bahwa

auditor

akan

memberikan status WTP yang pada kenyataanya secara

material L/K tersebut salah saji. Acceptable Audit Risk (AR)
terdiri dari:
a. Inherent

Risk

adalah

resiko

audit

yang

merupakan

karateristik unit bawaaan dari bisnis atau industri dari klien

Benefit)
d. The PDC Model
memperhatikan efektifitas pengendalian intern). Cannot
Preventive Controls merupakan kontrol pasif di design
reduce by Auditor. Control Risk disisi lain adalah adanya
mengurangi frekuensi kejadian tidak diinginkan.cthnya
cacat pada ketiadaan atau ketidakcukupan SPI dalam
pembatasan karakter entry misalnya. Detective Controls,
itu sendiri (ada juga yang bilang resiko level akun sebelum

mencegah error.
b. Detection Risk adalah resiko yang dapat diterima auditor
bahwa error yang gagal dicegah oleh pengendalian gagal
juga

dideteksi

auditor.

Subtantif

tes

akan

semakin

besar/dalam dilakukan ketika DR lebih kecil..auditor lebih

konservatif/lebih hati2.
c. Audit Risk Model AR=IRxCRxDR
d. The Relationship Between Tests of Controls and Substantive
Tests ..jika hasil uji awal menunjukkan hasil IC memiliki

alat atau teknik dan prosedur yang didesain mengidentifikasi

dan mengekspos error yang lolos PC. Ada proses matching
dan warning disitu, sistem mengkalkulasi atau mencocokan
jika tidak sesuai uncul warning,pop up. Corective Controls
melakukan

koreksi

jika

ditemukan

errors,hati2

terhadap

otomatisasi perbaikan,bisa menyebabkan masalah baruingat

MYOB pas entry akun unbalance dia otomatis perbaiki sesuai

standarya sendiri..
kelemahan/kekurangan maka berarti subtantive test akan e. COSO Internal Control Framework
Lingkungan Pengendalian, merupakan pondasi dari empat
lebih luas, sampel lebih banyak dan dalam. IC makin
unsur lainnya. Elemennya: integritas, etika, value, struktur
reliable, CR makin rendah, DR makin diturunkan,dan

organisasi, partisipasi BoOfDir, filosopi, pemeriksaan pihak

akurasi transaksi bentuknya bisa cek digit, echo check,

lain, HR policies dst

SAS 109 mensyaratkan Auditor: memiliki pengetahuan yang

limit cek

cukup

terhadap

Manajemen

khususnya

yang bertujuan untuk memastikan validitas,

kelengkapan dan akurasi transaski dalam L/K. lebih

tentang

Integritasnya.
Penilaian Resiko: identifikasi, analisa dan mengelola resiko

lengkap di ch 7.
Add:
Terdapat dua

pandangan

mengenai

Pengendalian

yang relevan dengan pelaporan keuangan. Beberapa hal

Umum dan Pengendalian Aplikasi. Pendapat pertama

yang

bisnis,

menyatakan bahwa pengendalian umum dan aplikasi

personel baru, sistem baru, realokasi SD, adopsi standar

terpisah (GC merupakan pengendalian fisik (kunci,

dapat

menjadi

resiko:

perubahan

dalam

kartu)

baru dst.
Informasi dan Komunikasi: kualitas SIM, Proses susun L/K
Monitoring: Assesment SPI, Special modul di IT ,Laporan

sedang

AC

pure

aplikas.

Pendapat

kedua

menyatakan bahwa GC dan AC merupakan bentuk

pengendalian

Manajerial
Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang

yang

bersinggungan,

karena

pada

dasarnya keduanya dilakukan oleh aplikasi, general

controls pada dasarnya merupakan pengendalian yang

digunakan untuk memastikan bahwa tindakan yang tepat

selayaknya (pantas2nya) ada pada suatu sistem (mis

diambil untuk menghadapi risiko organisasi yang dapat

Password), contoh pada mesin ATM. (Cek ch 7, IC

diidentifikasi. Secara umum dapat diklasifikasikan sbb:

pondasinya ASI)
Pengendalian Fisik (Manusia dalam Acc Sytem)
f. Audit Implications of SOX Act

Verifikasi Independen dan Otorisasi Transaksi

Pemeriksaan SPI wajib, memperbesar mandat Eksternal

Pemisahan Fungsi (Ruhnya IC), hakikatnya adalah

Auditor agar mampu mendeteksi fraud dan menaruh
mekanisme check and balance, saling kontrol sehingga
perhatian besar pada SPI dalam mencegah fraud. Computer
untuk berbuat jahat perlu lebih banyak orang-> gagal
Fraud juga perlu diperhatikan karena relatif baru dan belum

oleh kolusi.
Otorisasi vs Proses Transaksi
Asset Custody vs Record Keeping
Jika mau curangpun perlu minimal 2 orang.
Supervisi , kompensasi dari kurangya pemisahan fungsi
Catatan Akuntansi (Dokumen sumber, jurnal, ledger)..
catatan dalam akuntansi ini mengandung jejak audit yang

kuat proses hukumnya (UU ITE). Gunakan pendekatan

berbasis resiko, karena masing-masing organisasi berbeda
karakternya.
AUDITING IT GOVERNANCE CONTROLS

Information Technology Governance

Tujuan utama dari tata kelola TI adalah untuk :
(routine
dan
monitoring
transasksi
dengan mengurangi risiko
memastikan bahwa investasi dalam sumber daya TI
pelanggan/suplier) dan mengamankan audit trails. Audit
menambah nilai bagi perusahaan.
Trails also called audit log is a security-relevant
Sebelum SOX Act, praktek umum mengenai investasi pada
perlu dijaga (preserve) dalam rangka aktifitas operasional

A.

chronological record, set of records, and/or destination

TI

and source of records that provide documentary evidence

profesional TI. Sekarang semua elemen organisasi dituntut

of the sequence of activities that have affected at any

aktif berpartisipasi dalam perencanaan s.d pengembangan

adalah

menyerahkan

semua

keputusan

time a specific operation, procedure, or event

TI.
Merupakan jejak, utamanya dalam catatan kronologis a.IT Governance Controls
Based on SOX dan COSO ada 3 isu tata kelola IT:
akuntansi, yang dapat digunakan untuk menentukan
Organizational structure of the IT function
apakah suatu peristiwa terjadi atau tidak terjadi yang Computer center operations
dapat digunakan sebagai alat penelusuran dalam proses Disaster recovery planning
audit..misal paraf dalam dokumen, log acces editing data, B. Structure of the Information Technology
a. Centralized Data Processing
nomor PO, nomor cek,no bukti,no jurnal dll yang bisa
Berdasarkan model pengolahan data terpusat,
digunakan menelusur suatu informasi dari awal (source)

kepada

semua

pemrosesan data dilakukan oleh satu atau lebih komputer

sampai ke L/K.
yang lebih besar bertempat di situs pusat yang melayani

Kontrol Akses (Authorized Personel Only to acces asset/IT)

pengguna di seluruh organisasi.
Pengendalian IT
DBA: Central Location, Shared. DBA n teamnya responsible

Pengendalian Umum adalah pengendalian yang sifatnya

pada keamanan dan integritas database.
membatasi akses dan mengamankan aplikasi dari yang
Pemrosesan Data mengelola SDIT terdiri dari:
tidak berhak mengakses, misal berbentuk kunci, password Konversi Data: HardCopy to SoftCopy (inputable to computer)
termasuk controls over IT governance, IT infrastructure, Operasi Komputer: memproses hasil konversi melalui suatu
security and access kepada sistem operasi dan DB,
application acquisition and development and prosedur

aplikasi
Data Library: Storage offline data-> Real Time data Procesing

dan direct acces mengurangi peran DL

perubahan program dll.
Sys Dev and Maintenis: Analisis kebutuhan, partisipasi dalam
Pengendalian Aplikasi merupakan pengendalian intern
desain sistem baru (Profesional, End Users dan
yang memastikan aplikasi spesifik dapat melakukan
Stakeholder). Menjaga sistem beroperasi sesuai kebutuhan,
fungsinya dengan baik dan mengurangi terpaparnya
80-90% cost dalam IT biasanya ada pada maintanance
aplikasi dari resiko potensial. Pengendalianya berupa cek
(tidak hanya soal merawat/membersihkan HW namun lebih
digit, format yang memastikan validitas, kelengkapan dan
kepada tambal sulam SI.

Masalah control yang harus diperhatikan dalam proses data

tersentralisasi

adalah

pengamanan

DB.

Karena

Review catatan pemeliharaan,verifikasi bahwa programmer

jika

pemeliharaan tertentu tidakmerangkap programer desain.

accesnya lemah maka seluruh informasi dapat terpapar Pastikan bahwa operator komputer tidak memiliki akses ke
logic sistem dokumentasi, seperti sistem diagram alur,
resiko, bentuk topologi jaringan juga mempengaruhi
keandalan data informasi. Hal ini akan lebih jelas di
appendix.
b.Segregation of Incompatible IT Functions

logika diagram alur, dan daftar kode program.

Review akses programer untuk alasan selain kegagalan sistem
Distributed
Tinjau bagan organisasi saat ini , pernyataan misi , dan uraian
tugas incompatible duties .
Pastikan bahwa desain sistem ,dokumentasi,hardware dan
perangkat lunak hasil akuisisi diterbitkan dan diberikan to
unit TI.
Pastikan kontrol kompensasi ->supervisi monitoring
Dokumentasi sistem aplikasi , prosedur , dan databasesare
dirancang

dan

berfungsi

sesuai

dengan

standar

perusahaan .
Pemisahan antara suatu fungsi tertentu demi menjaga IC
yang baik:
Sys Dev pisahkan dengan Operasional
DBA fisahkan dari unit lain
Sys Dev pisahkan dengan Maintanance (merupakan superior
structure) karena adanya resiko:
Inadequate Documentation: Programmer
mengembangkan

sistem

baru

mendokumentasikan kinerja sistem lama,

suka

daripada
juga soal job

data disebar ke berbagai titik, pengamanan menjadi di

banyak pintu namun tersebar, resikonya tidak seluruh titik
memiliki pengamanan yang sama. Dalam topologi STAR
lebih aman karena kalo satu mati yg lain relatif tidak
terganggu sedang pada Topologi BUS jika satu titik mati
akan

menggangu

yang

lain

meskipun

secara

umum

keunggulanya dia lebih cepat dan murah. Sayangnya sistem

menyusun

Bus akan rentan tabrakan data (lebih lengkap di appendix)

program yang tidak sempurna biar ada kerjaan terus.

Program Fraud: unauthorized change karena programer

fokus auditor adalah kepada seringnya sistem down atau

security

lebih

Dalam sistem terdistribusi pemrosesan dan pengamanan

perlu

diperhatikan

karena

dpat

faham seluk beluk operasi normal.

c. The Distributed Model
Small, powerful, and inexpensive systems. DisDataProc

kerusakan jaringan maupun software yang mengakibatkan

gangguan

komunikasi

dan

pada

database,

resiko

ini

berbeda2 dalam masing2 topologi jaringan.

(DDP) melibatkan reorganisasi fungsi IT pusat ke IT unit kecil C.The Computer Center
a. Physical Location : Antisipasi bencana alam maupun manusia
yang ditempatkan di bawah kendali pengguna akhir (End
cari lokasi yang aman.
Users). Unit IT dapat didistribusikan menurut fungsi bisnis, b. Construction : kontruksi fasilitas IT-> tunggal, acces terbatas
lokasi geografis, atau keduanya.
Resikonya mnggunakan model DDP:

dan filtrasi bagus.

efisiennya c. Access : LIMITED
d. Air Conditioning : Adequate untuk menjaga database
penggunaan sumber daya, perusakan jejak audit,
e. Fire Suppression : Automatic Alarm, Pemadam Api, Exit Door
pemisahan tugas kurang memadai, meningkatkan potensi f. Fault Tolerance : Toleransi kesalahan adalah kemampuan
tidak

kesalahan pemrograman dan kegagalan sistem

serta

sistem untuk melanjutkan operasi ketika bagian dari sistem

kurangnya standarisasi.
Keuntungannya termasuk pengurangan biaya, peningkatan

gagal (masih bisa running kalau ada sesuatu gangguan)

kontrol biaya, meningkatkan kepuasan pengguna, dan

kesalahan operator.
Redundant arrays of independent disks (RAID)->data
UPS->Listrik
g. Audit Objectives
Tujuan auditor adalah untuk mengevaluasi kontrol yang

adanya fleksibilitas dalam backup sistem.

d. Controlling the DDP Environment
Central Testing of Commercial Software and Hardware diuji
dipusat
User Services-> ada Chat room, FAQ, Intranet support dll
Standard-Setting Body -> untuk improve keseragaman prog
and doc
Personnel Review-> ada assesment.
Audit Objective: Tujuan auditor adalah untuk memastikan
bahwa struktur fungsi TI adalah sedemikian rupa sehingga

karena kegagalan hardware, error program aplikasi, atau

mengatur keamanan pusat komputer . Secara khusus ,

auditor harus memastikan bahwa : kontrol keamanan fisik
yang memadai untuk cukup melindungi organisasi dari
eksposur
memadai

fisik

DAN

untuk

cakupan

asuransi

mengkompensasi

pada

kerusakan

peralatan
pusat

komputernya
individu di daerah yang tidak kompatibel dipisahkan sesuai h. Audit Procedures
dengan tingkat potensi risiko dan dengan suatu cara yang Tests of Physical Construction. Fisik bangunan server, lokasi
dan keamanan terhadap HAZARD EVENT.
mempromosikan lingkungan kerja yang kondusif.
Tests of the Fire Detection System.
Audit Procedures:
Tests of Access Control.
Centralized
Tests of Raid, BU HD
Tinjau dokumentasi yang relevan, untuk menentukan apakah Tests of the Uninterruptible Power Supply.
Tests for Insurance Coverage.
individu atau kelompok yang melakukan fungsi-fungsi yang D. Disaster Recovery Planning
tidak kompatibel.

Dengan perencanaan kontinjensi yang hati-hati, dampak dari

Manajemen boleh saja mengalihdayakan fungsi ITnya namun

bencana dapat diredam dan organisasi dapat pulih dengan

tidak dapat mengalihkan tanggungjawab manajemen pada

cepat. Untuk bertahan hidup dari peristiwa darurat seperti itu,

penyediaan Pengendalian Intern yang memadai. SAS 70

perusahaan harus mengembangkan prosedur pemulihan dan

merupakan standar yang mendefinisikan perlunya auditor

meresmikan mereka ke dalam suatu rencana pemulihan

mengetahui kontrol jika IT dilaksanakan oleh vendor pihak

bencana (DRP), suatu skema dalam menghadapi keadaan

ketiga. Vendornya sendiri tentu diaudit oleh auditornya

darurat.Prosesnya adalah sbb:

sehingga IT review dilaksanakan satu kali saja supaya praktis

a. Identify Critical Applications->Buat daftar aplikasi yang paling

dan murah.

penting
b. Creating a Disaster Recovery Team ->buat Tim..langgar IC
boleh
c. Providing Second- Site Backup buat lokasi data

SECURITY PART I: AUDITING OPERATING SYSTEMS AND

NETWORKS

cadangan

(duplikasi)
mutual aid pact->dua atau lebih, join SD IT pas bencana
empty shell or cold site; ->sewa tempat pada penyedia

A.

Auditing Operating Systems

OS adalah program pengendali komputer, OS memungkinkan

user dan aplikasi berbagi dan mengakses sumberdaya yang

backup
recovery operations center or hot site; ->sewa full equipped

sama

backup
internally provided backup->buat sendiri (mirroring di tmpt

makin besar dan OS menjadi semakin penting.

lain)
Audit

Objective:

The

auditor

should

verify

that

managements disaster recovery plan is adequate and

feasible for dealing with a catastrophe that could deprive
the

organization

of

its

computing

resources.

Audit

Procedures memastikan hal2 dibawah ini berfungsi dengan

baik
Site Backuplokasi HW IT dll
Daftar Aplikasi penting oke
Software Backup.
Data dan Dokumentasi Backup.
Backup Supplies dan Source Documents.
Disaster Recovery Team di test
E.Outsourcing the IT Function

seperti

prosesor,

memori,

printer

dan

database.

Semakin besar entitas maka sumber daya yang perlu diakses

a.Operating System Objectives
OS memiliki tiga fungsi yakni:
Menterjemahkan bahasa tingkat tinggi COBOL C++ dll,
menggunakan

translatornya

->

yakni

Compiler

dan

Interpreters Ch 5 lbh lengkapnya

Mengalokasikan SD kepada user, grup maupun aplikasi
Mengelola pekerjaan dan banyak program->User/Jobs
mengakses komputer melalui 3 cara: Directly, Job Ques dan
Links
b. Operating System Security
Kebijakan, prosedur dan pengendalian yang menentukan
siapa yang dapat mengakses OS dan SD IT dan apa saja
yang bisa dilakukannya.
Prosedur Log-ON pertahanan pertama, salah brp x blokir

misalnya.
Outsourcing IT kadangkala meningkatkan kinerja bisnis inti, Token Akses -> mengandung KeyInfo:user ID, pass,previledge
Acces Control List (daftar kesaktian user)
meningkatkan Kinerja IT (karena keahlian vendor), dan
Discretionary Acces
Previledge->Super
Admin
(Highly
mengurangi biaya TI. Logika yang mendasari outsourcing TI
Supervised)
dari teori kompetensi inti, yang berpendapat bahwa c. Threats to Operating System Integrity
organisasi harus fokus secara eksklusif pada kompetensi bisnis Previldeged personel menyalahgunakan otoritasnya
Individual di dalam dan di luar entitas yang mencari celah
intinya saja, sementara outsourcing vendor memungkinkan
sistem
untuk secara efisien mengelola daerah non-inti seperti fungsi
Individual sengaja atau tidak memasukan virus/bentuk
TI (IT dianggap supporting).
program lain yg merusak
Premis ini, bagaimanapun, mengabaikan perbedaan penting d. Operating System Controls and Audit Tests
Area-area yang perlu diperiksa adalah acces personil yang
antara komoditas dan aset TI yang spesifik. Commodity IT
mendapat previledge, kontrol password (password sekali
assets are not unique to a particular organization and are
pakai dan berulangkali), kontrol virus dan aplikasi
thus easily acquired in the marketplace sementara Specific IT
berbahaya dan kontrol pada jejak audit.
assets dapat merupakan keunggulan strategis perusahaan.
System audit trails (sekumpulan log yang merekam aktivitas
Transaction Cost Economics (TCE) theory is in conflict with
sistem, aplikasi, user)-> Detailed Individual Logs dan Event
the core competency school by suggesting that firms should
oriented Logs
retain certain specific noncore IT assets inhouse. Jadi
Audit prosedurnya:
Pastikan fitur audit trails diaktifkan,
disarankan boleh outsource pada SumberDaya IT yang bisa
Cari akses tanpa otorisasi, periode non aktif user, aktifitas
digantikan (SW/HW) atau tidak terlalu kritikal..SD IT yang
user, waktu log in dan out
penting dan unggulan bagi organisasi jangan.
Log on yang gagal (indikasi salah acces/coba2)
Pantau Acces ke file tertentu yang penting
a. Risks Inherent to IT Outsourcing
Monitoring dan reporting pelanggaran keamanan IT
Failure to Perform
B. Auditing Networks
Vendor Exploitation
a. Intranet Risks
Outsourcing Costs Exceed Benefit
Terdiri dari LANs dan WANs yang terdiri dari ratusan individual
Reduced Security
Loss of Strategic Advantage
node. Ada beberapa resiko terkait Intranet misalnya Pesan
b. Audit Implications of IT Outsourcing
dapat diintersepsi/disadap/dicegat, adanya resiko akses

kepada DB entitas, personel yang memiliki previleged, mantan

karyawan dll

Lebih lengkap lagi dapat merefer ke buku SIM McLeod..hal

D.

b. Internet Risks
Resiko yang terkait dengan internet adalah adanya IP

49-62
Auditing PC-Based Accounting Systems
Aplikasi software akuntansi->wide range->

low

cost

product->kadang modular namun terintegrasi-> berbasis PC

Spoofing (nyamar pake IP orang/palsu), DDOS attack yang a. PC Systems Risks and Controls
Ada resiko unik terkait Accounting software:
membanjiri server sehingga lumpuh baik melalui SYN Flood
Kelemahan Sistem Operasi dibanding Mainframe Model, PC
maupun SMURF (tiga pihak ada perantara) dan Distributed
keamanannya minimal untuk data dan program, memang
Denial of Service Attack pake orang lain sebagai zombienya.
bawaan PC yang dituntut portabel
Yang perlu diperhatikan adalah juga motivasi orang Akses Kontrol Lemah program tertentu bisa run tanpa akses
menyerang..bisa

iseng..dendam atau menguji keandalan

HD (boot from CD)
sistem. Selain itu resiko juga berkaitan dengan kegagalan Pemisahan fungsi kurang, satu orang bisa memiliki banyak
akses
peralatan dalam berkomunikasi baik LINE, HW dan SW.
Multivel password control kasih user pass beda2
c. Controlling Networks
Resiko Kemalingan..small, handheld easy to theft.
Controlling Risks from Subversive Threats
Prosedur Backup Lemah
Menggunakan Firewall (umum)
Resiko terpapar virus lebih besar
Pasang IPS dan Deep Packet Inspection cegah serangan DDOS
Audit obj dan proc menyesuaikan dengan kelemahan2
Pake Enkripsi/sandi dlam pengiriman data
tersebut.
TTD Digital dan Sertifikat Digital
Pake Message Sequence Number dan Transaction Log serta
APPENDIX CH 3
punya Call Back Devices
TOPOLOGI JARINGAN
Audit Objectivenya adalah memastikan bahwa kontrol jaringan
dapat mencegah dan mendeteksi akses illegal, mengurangi

TJ adalah pengaturan fisik dari komponen jaringan (node,

data

server, comlink,dll). Beberapa pengertian penting adalah

yang

tidak

terpakai

dan

memadai

untuk

mempertahankan integritas data

Controlling Risks from Equipment Failure cek aja alatnya baik2

sbb:
LAN->

Konfigurasi

jaringan

dalam

satu

gedung

hingga

saja..pake echo cek, parity cek dst

C.Auditing Electronic Data Interchange (EDI)
EDI merupakan suatu sistem yang memungkinkan

beberapa mil dan menghubungkan ratusan user, komputer

mekanisme pertukaran data dan informasi bisnis antar

melampai kemampuan geografis LAN dia berubah menjadi

komputer antar entitas dapat diproses oleh komputer secara

WAN. Nodes dalam WAN termasuk komputer workstations,

mandiri dalam suatu bentuk komunikasi dengan format

minicomputer,mainframe dan kumpulan LAN itu sendiri.

Koneksi fisik dalam LAN dicapai melalui NIC (network interface

standar. Refer ke cerita american hospital atau EDI DJBC.

a. EDI Standards ANSI, EDIFACT dll
b. Benefits of EDI
Data Keying, mengurangi entry data berulang
Error Reduction, ga doble ngetik2, tapi kalo salah satu tapi di
awal bisa salah semua sampai akhir.
Mengurangi kertas
Mengurangi biaya kirim dokumen
Prosedur terotomasi..manajer mikirin yg lain saja (MBExcp)
Pengurangan biaya Inventory melalui EOQ/JIT
c. Financial EDI Pake transfer elektronik dalam kirim uang
d. EDI Controls (Validasi dan Otorisasi)
Karena berkurangya peran manusia maka ada pengendalian

yang terhubung ke LAN dinamakan Nodes. Ketika jaringan

card),

salahsatu

slot

ekspansi

dalam

komputer

(ya

mungkin semacam colokan RJ45 buat kabel LAN, atau Wifi

Receiver atau kartu didalam motherboard)
NODES dalam LAN sering berbagi sumberdaya

seperti

program, data dan printer melalui suatu komputer yang

ditujukan untuk itu yang dinamakan server.

yang unik dan berbeda dengan sistem manual utamanya

adalah soal otorisasi dan validasi transaksi. Sehingga
auditor harus memperhatikan:
ID dan Password serta valid file dalam DB buat pembanding
Cek validasi lagi sebelum pesan dikirim jalan tidak
Aplikasi cek ke file referensi sebelum di proses
Antar jaringan terhubung dengan suatu kombinasi HW dan SW
e. Access Control
Agar berjalan baik sayangya dalam sistem EDI perusahaan
yang dinamakan BRIDGES (menghubungkan LAN dalam
harus memberikan sejumlah akses kepada partnernya untuk
satu tipe->IBM tokenring to IBM tokenring) dan GATEWAY
mengakses DB perusahaan. Sehingga sangat penting untuk

(menghubungkan LAN dari berbagai type atau LAN ke WAN)

memiliki file valid vendor maupun valid customers, juga bisa

dibatasi read only saja tidak bisa merubah data. Karena
sudah paperless satu2nya audit trails bisa jadi Cuma file
LOG saja..keep it safe.
Audit Objektif: Semua transaski EDI telah diotorisasi dan
divalidasi, tidak ada transaksi tanpa otorisasi yang running,
acces hanya kepada data yang diperkenankan dan kontrol
yang cukup dalam pengamanan Log file.

Berikut 5 macam Topologi Dasar yang perlu diketahui:

STAR (mirip bintang?)

 BUS bukan TransJ

Jaringan dengan Pusat komputer yang besar (HOST) yang

memiliki hubungan langsung dengan komputer/jaringan
yang lebih kecil. Komunikasi dalam topologi ini diatur dan
dikendalikan dari HOST. Biasanya digunakan dalam WAN,
model DB yang umum adalah data2 lokal (contoh pinjaman,
yg disimpan di masing2 kantor adalah data customersnya)
disimpan di NODES2 (komputer kecilnya/jaringan lokal)
sedangkan data yang umum (contoh jumlah tagihan,
piutang) disimpan dipusat (HOST).
Jika satuatau lebih nodes mati yang lain masih bisa running,
kalo Hostnya yg down ya Cuma bisa operasi sendiri2
nodesnya.

Akses

antar

nodes

juga

dimungkinkan,

Topologi LAN paling populer, seluruh nodes terhubung ke

satu kabel utama yang dinamakan (The BUS). Satu atau
lebih server mengendalikan komunikasi dan transfer data.
Sama seperti di RING masing2 nodes memiliki alamat unik.
Hanya satu nodes yang bisa transfer setiap waktu (make
jalan/kabelnya gantian). Simple reliable dan murah. Terkait
dengan ASI yang harus diperhatikan adalah kelemahan
inheren di masing-masing jaringannya. Di sini rentan terjadi
tabrakan data, concern auditor pada seringya tabrakan dan
efeknya terhadap DB.
CLIENT-SERVER

tergantung DBnya.
HIRARKI

Istilah Client-Server sering

Satu komputer HOST terhubung dengan beberapa level
komputer yang lebih rendah/lebih kecil dengan hubungan
Juragan_Babu. Digunakan pada organisasi tersentralisasi,
misal data order dari level bawah, dirangkum di level
regional

lalu

produksi

ke

dikirim

ke

regional,

pusat,

pusat

regional

bagi

memerintahkan
lagi

ke

unit

dibawahnya..semacam itula.

disalahgunakan/disalahfahami

sebagai seluruh tipe pengaturan jaringan. Padahal topologi

ini punya karakteristik spesifik yang berbeda dengan
topologi lainnya. Dalam jaringan DDP tradisional misalnya
jika user ingin melihat satu record di DB pusat, komputer
pusat akan mengunci dan memberikan seluruh DB ke user
tersebut, ketika record diapdet baru DB itu dikirim lagi ke
pusat.
Client-Server model mendistribusikan pemrosesan antara

RING (CINCIN..ya iyalah)

user dan server dengan fungsi yang berbeda. Jadi program

pencarian

ada

di

server

data

manipulasi/perubahan

diberikan ke client. Sehingga ketika ada permintaan satu

record yang dikirim server ya saturecord itu saja, kalo sudah
diapdet record dikirim ke pusat dan direstore ke DB. Sistem
ini lebih efisien, mengurangi trafic dan akses ke satu file
bisa dilakukan secara bersamaan. Dapat diaplikasikan ke
seluruh Topologi lainnya.
Tidak ada site pusat/central, semua nodes selevel dan
manajemen komunikasi disistribusikan keseluruh nodes.
Pergerakan

data

satu

arah

sehingga

meminimalkan

tabrakan data. Tiap nodes memiliki alamat berupa kode

PENGENDALIAN JARINGAN
Tujuan dari pengendalian jaringan adalah agar supaya:
a. Menyediakan suatu sesi komunikasi diantara pengirm dan

penerima.
elektronik yang unik, jika mau kirim dari A ke D, lewat di B b. Mengelola aliran data sepanjang jaringan.
c. Mendeteksi dan menyelesaikan masalah tabrakan data antara
dan C hanya sebagai kolanding, (sunda:makcomblang)
nodes yang saling berkompetisi.
perantara, Cuma di terima, lalu dikirim lagi ke tujuan.
d. Mendeteksi error dalam jaringan atau yang disebabkan karena
Kebanyakan pake model ini masing2 nodes bisa manage
sinyal
program dan database secara lokal. Salahsatu nodes dapat
HANYA ada satu node dalam suatu waktu yang bisa
menjadi penyimpan data pusat yang dapat diakses seluruh
mengirimkan pesan, dua atau lebih pengiriman pesan secara
nodes.

bersamaan dapat mengakibatkan tabrakan data(collision) Logic Bomb, destruktif program yang diaktifkan melalui
yang menghancurkan keduanya (meskipun kecepatannya

kejadian yang telah disetting sebelumnya misal tanggal

dalam mili detik). Ada beberapa teknik untuk mengelola dan

tertentu/jam tertentu. Waspadai pegawai yang keluar dari

mengendalikan lalu lintas data, tiga varian dasarnya adalah

organisasi dapat mensetting kerusakan sekian lama setelah

sbb:

dia berhenti.
Back Door, program yang mengizinkan akses illegal masuk ke
sistem tanpa melalui saluran prosedur yang normal (front
door). Bisa digunakan untuk memantau sistem atau untuk
fraud.
Trojan Horse, menangkap ID dan password dari user dengan
meniru prosedur log in normal.

SECURITY PART II: AUDITING DATABASE SYSTEMS

A. Data Management Approaches
menanyakan (POLLING) apakah site lain (budak) hendak a.The Flat-File Approach
Data files yang mengandung record dengan tanpa memiliki
kirim pesan atau tidak, untuk menentukan siapa yang bisa
hubungan yang terstruktur dengan file lain. Sering
mengirim data dan menghalangi yang lain. Tabrakan dapat

Polling, most popular dalam WAN. Satu site sebagai master

dicegah dan site yang penting dapat dikasih prioritas.

Token Passing, mentransimiskan sinyal spesial (token)

dihubungkan dengan legacy system (sistem warisan) udah

keseluruh jaringan dari node ke node. Jaringan yang mau

user, sistem mainframe yang besar user tidak berbagi data

ngirim pesan menangkap sinyal ini sebagai kunci, nodes

dengan end user lainnya. Format sesuai kebutuhan satu

yang tidak kirim akan melewatkan saja tokennya. digunakan

orang Ketika end user lain membutuhkan data yang sama

di Bus dan Ring biasanya.

untuk tujuan yang berbeda, mereka harus menyusun set

jadul namun masih ada yang pakai. Pendekatannya single

data yang terpisah untuk memenuhi kebutuhan mereka.

Replikasi-replikasi ini merupakan kelemahan model ini
disebut data redudancy yang mengakibatkan masalah pada
flat file:
o Data Storage: Data yang umum dan digunakan bersama
Carrier Sensing, biasanya dipake di Bus, nodes yang hendak

disimpan

sendiri2,

terduplikasi

diseluruh

level

kirim data mendengarkan (menyensor/scan/stalking) ke

organisasi..boros space
o Data Updating-:Banyak data pada file acuan dan file master

jaringan utama (kabel BUS) lagi kosong atau tidak. Agak

yang memerlukan pembaharuan berkala, apdetnya harus

masih beresiko tabrakan kalo stalkingya tidak akurat, ketika

terjadi server akan memberikan kesempatan kepada nodes

satu2.
o Currency of Information: Kegagalan untuk membaharui

untuk mencoba lagi. Kalo jaringannya supersibuk akan

semua file pemakai yang terpengaruh jika ada perubahan

mengakibatkan banyak delay. Eternet adalah salahsatu

dalam

contoh pake model ini keunggulannya: simple, murah

karena tidak perlu pasang dua kabel (RING pake twistpair

status

menghasilkan

keputusan

berdasar

pada

informasi ga uptodate.
o Task Data Dependency (Limited Access) ketidakmampuan
pemakai untuk memperoleh informasi tambahan, ketika

cable supaya mantap), kartu jaringanya lebih murah dan

kebutuhannya berubah, informasi dibatasi oleh data yang

pake bus lebih mudah dikembangkan.

B.

dikuasai dan dikendalikannya saja.

The Database Approach
Pendekatannya

menggunakan

Database

management

system (DBMS) suatu software khusus yang diprogram

untuk mengatur lalulintas DB dan menggunakan mekanisme
otorisasi

akses.

Pendekatan

ini

memusatkan

pengorganisasian data ke dalam database umum sehingga

Program2 berbahaya:
Virus, suatu program yang menempelkan dirinya pada

dapat dibagi dengan pemakai lainnya. Keunggulanya ya:

mengatasi seluruh masalah dalam flat file diatas itu.

program yang sah untuk melakukan penetrasi kedalam C.Key Elements of the Database Environment
Database Management System
sistem operasi dan menghancurkan aplikasi, data atau
DBMS menyediakan pengendalian untuk membantu atau
Osnya sendiri.
mencegah akses ke DB. Fiturnya:
Worm, istilahnya dipertukarkan dengan virus, program yang
secara virtual mengubur diri dalam memorikomputer dan

Program Development, berisi Aplikasi Pengembangan Program

menduplikasi dirinya dalam area memori yang idle. Bedanya

Perangkat Lunak
Backup and Recovery, sejak memproses, secara periodik

dengan virus worm ini kembaranya masih terhubung

dengan induknya sementara virus berkembang independen.

DBMS membuat backup copy di physical database

 Database Usage Reporting, ciri ini menyatakan data statistik

(path). Kelemahan: Parent dapat memiliki satu atau lebih

apa yang digunakan, kapan mereka gunakan dan siapa

catatan child. Tidak ada satupun catatan child memiliki

yang menggunakan
Database Access, ciri yang sangat penting yaitu memberikan

parent lebih dari satu. Tidak mencerminkan kondisi

ijin otorisasi untuk dapat mengakses, baik formal maupun

dari satu Untuk mengatasi kelemahan ini biasanya

informal database melalui 3 modul:

Data
Definition
Language

(DDL).

child

diduplikasi

sehingga

menciptakan/menyajikan dua hirarki yang terpisah.

The Network Model Model ini sama dengan hirarki juga

data, dokumen/catatan, dan file yang terdapat di dalam

merupakan navigational type, dengan suatu pengecualian

database.
Database View
Internal View/Physical

dalam hubungan antara record dan file. perbedaannya

View->

struktur

model network mengijinkan catatan anak memiliki parent

catatan

data, hubungan-hubungan antara sebuah file dan

catatan

DDL

mengidentifikasikan nama dan hubungan semua unsur

sebenarnya satu catatan child dapat memiliki parent lebih

lebih dari satu.

The Relation Model Perbedaan model relation dengan

rencana physical dan rangkaian catatan dalam file

Conceptual View/Logical View->
skema logical,
abstrak
External View/User View ->subskema pandangan

kepada user. Model ini menggambarkan data dalam tabel

dari user
Users
Fformal Access-App Interfaces: Ada dua jalan untuk

pertemuan column dan row membentuk tuples (record).

pengguna mengakses database, salah satunya adalah

dengan aplikasi formal interface, atau pake informal
seperti Data Manipulation Language dan Structured

model pertama adalah cara hubungan data disajikan

dua dimensi. Bagian kolom berisi atribut, sedangkan
Berisi kesatuan data yang sama tetapi tidak sama persis,
untuk

dicatat

dalam

sistem

file

flat.

Tabel

harus

dinormalisasi dan masing2 atribut dalam row bergantung

kepada primary key atau independen atribut yang lain.
Kan lbh detail di ch 8

Query Languange (mumet)

The Database Administrator

Database Terminology (refer ke Ch

M Mcleod dan

Appendix A)
Entity adalah representasi database akan suatu dari tiga hal
ini

yakni

elemen

lingkungan,

sumberdaya

atau

transaksi/event yang penting dan harus didokumentasikan

dalam bentuk data.
Attribute adalah karakteristik dari suatu entitas, atribut yang
unik dinamakan identifiers atribut lain yang menjelaskan
entitas dinamakan descriptor.
Data Attribute/Field adalah single item data seperti nama,
alamat dll
Record Type (table or File) kumpulan atribut data yang secara
The Physical Database
Physical Database adalah level paling rendah dari database
dan satu-satunya level yang ada dalam bentuk fisik.Physical
database terdiri dari titik-titik magnetic pada magnetic disk.

Data Structure, adalah bata dan semennya database,

logis mendefinisikan entitas.

Database kumpulan record type yang dibutuhkan organisasi
untuk mendukung bisnis prosesnya.
Associations/ Relationship adalah yang hubungan yang terjadi
diantara suatu record atau entitas dengan yang lainnya.

Bentuknya:

One to One

One to Many
dipanggil, dan dimungkinkan dipindah dari catatan satu

Many to Many
ke lainnya. Struktur data terdiri dari:
D. Databases in a Distributed Environment
Organisasi Data adalah cara pencatatan secara a.Centralized Databases
fisik yang diatur pada alat penyimpan secondary.
Data Access Method adalah teknik yang digunakan
yang

membolehkan

catatn

ditempatkan,

disimpan,

untuk menempatkan catatan dan mengendalikan

melalui database.
DBMS Models
Data

model

adalah

mengenai

entitas,

(transaksi)

dan

suatu

termasuk

representasi
sumber

abstrak

(aset),

agen (personalia atau

data

kejadian

customer) dan

hubungan mereka dalam organisasi. Tujuan Data Model

adalah menyajikan atribut entitas dengan cara yang mudah
dipahami oleh pemakai. Ada tiga model data

The Hierarchical Model (=struktur pohon/ayah anak ingat

Penyimpanan DB di satu lokasi terpusat. Unit yang lain

meminta akses dan proses lalu mentransmisikan ulang
kembali ke DB. Data relatif terupdate dengan catatan harus

kan) Model ini sering disebut navigational database

dicegah dua akses dari dua user secara bersamaan.

karena membuatan garis file diikuti pra penetapan jalur

Biasanya menggunakan mekanisme penguncian.

 Time-stamp

b.Distributed Databases
Partitioned Databases Approach

setiap

transaksi.

Ada

jam

yang

mencatat

transaksi dengan ID number khusus mengakomodoasi

perbedaan

waktu

dimasukkan

ke

Jika

muncul

dalam

konflik

schedule

maka

serial

transaksi

sehingga

data

menjadi runut mengapdet database.

Keputusan itu untuk mendistribusikan database harus penuh
pertimbangan,

ada

beberapa

trade-off

yang

harus

dipertimbangkan. Pilihan ini berdampak pada kemampuan

organisasi itu untuk memelihara integritas data. Penjagaan
jejak audit dan ketelitian dari catatan akuntansi adalah kunci
yang harus difahami juga oleh auditor.
E.Controlling and Auditing Data Management Systems
Pendekatan partitioned database memecah database pusat a.Access Controls
menjadi
segmen-segmen
atau
partisi-partisi
yang
Pengendalian DBMS dikelompokkan menjadi dua yaitu:
didistribusikan ke pemakai data yang utama. Keuntungan
pendekatan ini:
Data

yang

tersimpan

pada

site

lokal

pengendalian

data yang harus dikirim antara unit IT.

Database yang dipartisi/didistribusi dapat mengurangi efek
->

Pada

dan menghancurkan data entitas.

lingkungan

satu sama lain dari database, sehingga mencegah masingpemrosesan

User Views Adalah subset dari total database yang

akses ke database (tampilan yang diijinkan per user

transaksinya.

transaksi

untuk

melengkapi

pemrosesan transaksi lain pada deadlock. Concern auditor

melihat (DB).
Database Authorization Table Berisi aturan-aturan yang
membatasi tindakan yang dapat diambil pemakai. Teknik

Untuk

ini

mengatasi deadlock pada umumnya melibatkan lebih dari

suatu

pengendalian

individu tanpa otorisasi menampilkan, memanggil, merusak,

terdistribusi, dimungkinkan bagi site ganda saling mengunci

pembatalan

dan

menegaskan domain data pemakai dan menyediakan

potensial kerusakan.
The
Deadlock
Phenomenon

satu

control)

Adalah pengendalian yang dirancang untuk mencegah

mengijinkan akses lokal ke data dan mengurangi volume

melakukan

(access

backup.
meningkatkan o Access Controls

pengendalian user.
Waktu respon pemrosesan transaksi ditingkatkan dengan

masing

akses

sama

dengan

pengendalian

digunakan dalam sistem operasi.

User-Defined
Procedures,
adalah
mengijinkan

seberapa sering deadlock dan apakah antisipasinya oke.

Replicated Databases

daftar

keamanan

pemakai

untuk

personalatau

tunggal.
Data Encryption,

data

prosedur

menciptakan

rutin

identifikasi pemakai positif

akses

untuk

lebih

yang

program

menciptakan

daripada

ecryption

yang

password

digunakan

untuk

melindungi data yang sifatnya sangat sensitif. Dengan

prosedur data encryption maka penyusup data tidak

dapat membaca data karena database di-scramble

Biometric Devices adalah prosedur yang menggunakan
alat

biometrik

untuk

mengukur

berbagai

macam

karakteristik personal, seperti sidik jari.

Inference Controls, salah satu kemampuan database

Database direplikasi dapat menjadi efektif pada perusahaan

query adalah menyediakan ringkasan dan data statistik

yang tingkat sharing datanya tinggi, tidak ada pemakai

pengambilan keputusan bagi pengguna.

utama. Dengan mereplikasi data pada setiap bagian, akses

data untuk tujuan query dapat dipastikan, dan lockuts dan
keterlambatan akibat lalu lintas data dapat diminimalkan.
Kelemahan pendekatan ini adalah menjaga (maintaining)

B. Backup Controls

dan updating versi terbaru dari masing-masing database.

Adalah pengendalian untuk memastikan bahwa kejadian

c. Concurrency (data integritas) Control

kehilangan data akibat akses tanpa otorisasis, kegagalan

Database concurrency adalah adanya kelengkapan dan

perangkat, atau kerusakan fisik organisasi dapat diperbaiki

keakuratan data pada semua lokasi data pengguna.Metode

oleh database tersebut.

umumnya menggunakan transaksi yang diserialkan dengan

Backup Controls in the Flat-File Environment Teknik backup

melabeli transaksi dengan dua kriteria:

yang digunakan tergantung pada media atau struktur file.

Grant-parent-child backup adalah
Software khusus untuk mengelompokkan transaksi ke GPC Backup Technique
dalam

kelas-kelas

potensial.

untuk

mengidentifikasi

konflik

teknik yang digunakan dalam sistem batch file sekuensial.

Prosedur

backup

dimulai

ketika

file

master

sekarang

(parents)

diproses

terhadap

file

transaksi

untuk

memproduksi file master updated (child). Pada transaksi

Mulai

munculnya

organisasi

otonomi

yang

terdesentralisasi

batch berikutnya, anak menjadi master file, file parent yang

Jenis Commercial Systems:

asli naik menjadi backup (grantparent)

Turnkey System-> sistem sudah jadi dan siap implementasi
Direct Access file Backup Nilai data pada akses langsung

General Accounting System->: sistem akuntansi secara

diubah tempatnya dalam suatu proses yang dinamakan
destructive replacement. Oleh karena itu, sekali data

umum untuk melayani berbagai macam user

Special purpose System: sistem yang dibuat untuk
segmen

berubah, nilai asli dihancurkan, dan hanya meninggalkan

pasar tertentu, seperti:

industri perbankan,

bidang medis

Office Automation System

Backbone System: Basic struktur tinggal dikembangkan
pada GPC maupun pendekatan langsung rorpada tempat Vendor supported System Sistem hibrid antara custom dan
yang aman di luar site.
comercial system.
Pengendalian
backup
untuk
lingkungan
database
Keuntungan Commercial Systems
menyediakan sistem backup dan pemulihan sebagai berikut:

Waktu implementasi cepat

Backup secara periodik untuk seluruh data.

Cost rendah
Transaction Log (Journal) The transaction log adalah fitur yang

Reliabilitas (sudah dites dulu sebelum dirilis)

satu versi terbaru.
Off-Site Storage Adalah tempat penyimpanan backup baik

menyediakan jejak audit seluruh transaksi yang diproses.

Checkpoint Feature Adalah fasilitas yang menunda seluruh
proses sementara data sedang diperbaiki (proses pemulihan
data) transaction log dan database mengubah log database.
Recovery Module Modul ini menggunakan logs dan backup
untuk

memulai

kembali

setelah

sistem

mengalami

kegagalan

KerugianCommercial Systems:

Ketergantungan pada vendor dalam pengoperasian

Sulit dikustomisasi. Commercial Systems biasanya terlalu

umum dan kaku

Pemeliharaan. Jika

kebutuhan

user

berubah,

sulit

memodifikasi sistem
C.The Systems Development Life Cycle
Systems Development Life Cycle (SDLC): planning sistem,

SYSTEMS DEVELOPMENT AND PROGRAM

analisis sistem, desain konseptual sistem, seleksi sistem,

CHANGE ACTIVITIES

desain

A. Participants in Systems Development

Sistem profesional : sistem analis, systems engineers, dan
programer. Membangun sistem->produknya Sistem Baru
User : untuk siapa sistem itu dibuat, terdiri dari low sampe
high level, saat bangun sistem primary user diikutsertakan.
Stakeholder:
didalam
dan
diluar
organisasi
namun
berkepentingan

terhadap

sistem,

internal

auditor

eksternal auditor, akuntan, steering komite.

Akuntan dan Auditor: profesional yang concern

dan
pada

pengendalian, akunting dan audit issue. dilibatkan Internal

dan IT auditor, tidak termasuk eksternal auditor karena

rinci,

implementasi

sistem,

pemeliharaan

sistem

adalah aktifitas logis dan berurutan yang secara umum

diterima sebagai best practices pengembangan sistem.
a.Systems PlanningPhase I
Tujuan

dari

perencanaan

adalah

untuk

menghubungkan

proyek dan aplikasi kepada tujuan strategis organisasi. Pihak

yang

menyusun

comitee

(CEO,

perencanaan
CFO,

senior

biasanya
manager,

adalah

Steering

internal

auditor)

Perencanaan secara umum dibagi menjadi:

Strategic Systems Planning -> alokasi sumber daya sistem di

tingkat makro. Biasanya berkaitan dengan kerangka waktu

tidak dibolehkan SOX Law.
3 - 5 tahun
a.Why Are Accountants and Auditors Involved with SDLC?
SD
dianalogikan
sebagai
proses
manufaktur
yang Project Planning-> alokasi sumber daya di tingkat proyek
menghasilkan produk kompleks. Akuntan concern pada

individual atau aplikasi dalam frame perencanaan strategis.

integritas proses tersebut, terutama pada proses yang

Peran

auditor

di

tahap

iniadalah

memastikan

bahwa

berimplikasi pada sumber daya keuangan perusahaan.

SDLC menghasilkan SIA. Kualitas informasi akuntansi yang

perencanaan sistem memadai sehingga mengurangi risiko

dan auditor supaya tepat dan sesuai aturan.

b.How Are Accountants Involved with the SDLC?
Sebagai user ,Sebagai Tim pengembang dan Sebagai auditor
B. Information Systems Acquisition

Systems Analysis adalah dua langkah melibatkan suatu

operasi tidak 3E.

diproduksi haruslah terjamin>>perlu kontrol oleh akuntan b. Systems AnalysisPhase II
survey

terhadap

sistem

saat

ini

dan

menganalisis

kebutuhan user. Keuntungan melakukan survei: identifikasi

berbeda,

aspek sistem lama yang ingin dipertahankan, memaksa

banyak juga yang mengembangkan sistem sendiri sesuai

sistem analis memahami betul sistemnya, sistem analis

kebutuhan, memerlukan staff dan programer yang selalu

dapat mengisolasi akar masalah karena paham sistem.

stand by.

Kerugiannya adalah analis terjebak dalam survey dan tidak

In-House

Development

Karakteristik

industri

a.Commercial Systems
Beli dari vendor dengan empat pertimbangan:

Relatif murah dari yg customized

Vendor sudah mengakomodasi tipe industri
Bisnis kecil yang terlalu kecil mengembangkan sistem
sendiri

move ON atau bahkan merasa sistem saat ini masih bagus.

Dilakukan dengan mengumpulkan fakta: data source, user,
data store, proses, data flow, control, dll. Pertimbangkan
memasang modul audit di sistem baru.
c. Conceptual Systems DesignPhase III

Menghasilkan beberapa alternatif konseptual sistem yang g. System ImplementationPhase VII

memenuhi persyaratan sistem yang diidentifikasi selama

Struktur database dibuat dan diisi data, peralatan dibeli dan

analisis sistem. Ada 2 Pendekatan:

diinstal, pegawai dilatih dan sistem didokumentasikan dan

The Structured Design Approach-> merancang sistem dari

atas

ke

bawah.

Biasanya

memakai

DFD

untuk Testing the Entire System : melakukan test semua modules

menggambarkan bisnis proses dan Struktur diagram untuk

menggambarkan dekomposisi top-down
The
Object-Oriented
Approach->
membangun

digunanakan.
sebagai satu kesatuan.
Documenting the System

sistem

Documentation,

Designer

and

Documentation

Programmer
(dokumennya

disebut run manual), User Documentation, User handbook,

Peran auditor di tahap ini adalah mengusahakan agar fitur

Tutorial, dll
Converting the Database yaitu transfer data dari bentuk yang
sekarang ke format atau media yang diperlukan oleh sistem

Untuk evaluasi dan seleksi serta mengidentifikasi sistem

yang terbaik Dilakukan dengan 2 proses:
Detailed Feasibility Studies, meliputi:
Technical feasibility engidentifikasi apakah sistem bisa

baru. Konversi data sangat berisiko sehingga perlu tindakan

pencegahan: Validation, Reconciliation, Backup.
Converting to the New System Proses konversi dari old system
ke new system disebut Cutover Ada 3 pendekatan system

dikembangkan dengan technologi saat ini atau butuh

teknologi baru
Economic feasibility mengidentifikasi kecukupan dana

untuk menyelesaikan proyek

Legal feasibility mengidentifikasi segala konflik antara
sistem konseptual dan kemampuan perusahaan untuk

dan murah untuk sistem sederhana namun pendekatan

melaksanakan tanggung jawab hukumnya

Operational feasibility menunjukan tingkat kesesuaian
personil dan operasional yang diminta oleh sistem baru
Schedul feasibility kemampuan perusahaan untuk

cutover:
Cold Turkey Cutover (Big Bang), perpindahan dilakukan
secara simultan (sekaligus), pendekatan paling mudah
paling berisiko untuk sistem kompleks
Phased Cutover (Bertahap)Membagi

seluruh

system

dalam beberapa modul, menjalankan sistem baru secara

bertahap,

antara prosedur yang dimiliki perusahaan, keterampilan

informasi dari reusable komponen standar atau objeck.

audit masuk rancangan selagi desain konseptual dibuat.
d. System Evaluation and SelectionPhase IV

Operator

bisa

menimbulkan

incompatibilitas

antara

sistem baru dan sistem lama yang belum digantikan

Parallel Operation Cutover menjalankan sistem lama dan
sistem baru secara bersamaan untuk jangka waktu

menyelesaikan proyek tepat pada waktunya

Analisis cost and benefit
Identifikasi Biaya baik yang satu kali : perolehan hardware dan

tertentu, banyak menghabiskan waktu dan biaya Tidak

efisien karena mengelola dua kali dokumen sumber, dua

software, persiapan tempat, sistem design, programing dan

kali waktu pemrosesan, dua kali database, dan dua kali

testing, data konversi, training. Maupun yang berulang

output produksi Keuntungan: memungkinkan melakukan

maintenance, insurance, supplies, personel cos

Identifikasi Benefit baik yang tangible benefit : increase

rekonsiliasi antar sistem sebelum menjalankan sistem

baru secara independen.

revenue (sales naik di existing market, market expansion)

dan

reduce

cost

(labor,

operating,

inventory

turun,

equipment mahal berkurang, maintenance cost turun) dan

intangible benefit

(kepuasan customer naik, kepuasan

pekerja naik, decision making semakin baik, operasi lebih

efisien)
Bandingkan Cost n Benefit Menggunakan analisis:, NPV,
Payback method (break even analysis):
Peran auditor di tahap ini memastikan kelayakan ekonomis
atas usulan system diukur dengan seakurat mungkin.
e. Detailed DesignPhase V

Peran auditor internal dalam system implementation:

Provide Technical Expertise

Specify Documentation Standards
Verify Control Adequacy and Compliance with SOX.
Post-Implementation Review Meliputi reviu:

Systems Design Adequacy.

Accuracy of Time, Cost, and Benefit Estimates

h. Systems MaintenancePhase VIII
Setelah sistem diimplementasikan, memasuki tahap akhir
dalam siklus hidupnya. Pemeliharaan sistem adalah proses
formal di mana program aplikasi mengalami perubahan

Untuk menghasilkan penjelasan rinci proposed system yang

untuk mengakomodasi perubahan kebutuhan pengguna.

baik memenuhi persyaratan sistem yang diidentifikasi D. Controlling and Auditing the SDLC
selama analisis sistem dan sesuai dengan desain
Dalam lingkungan sistem informasi berbasis komputer, data
konseptual. Akan diadakan walkthrough dan quality
keuangan diproses (akses, simpan, update) melalui aplikasi
assurance.
f. Application Programming and TestingPhase VI

komputer. Akurasi dan integrritas dari program tersebut

secara langsung mempengaruhi akurasi data keuangan klien.

Memilih program dan aplikasi dari berbagai pilihan yang

Kesalahan aplikasi yang material dapat menyebabkan data

sesuai ada COBOL, event-driven languages: Visual Basic, or

hilang/corrupted dan menyebabkan salah saji dalam laporan

object-oriented programming (OOP) languages like Java or

keuangan.

C++.

Controlling New Systems Development

Kemudian melakukan test untuk setiap program modules Tujuan Audit terkait New Systems Development: a.

Systems Authorization Activities >> All systems must be

Metodologi testing: Testing Offline Before Deploying Online
properly authorized to ensure their economic justification
dan Test Data
and feasibility.

User Specification Activities >> Users must be actively

involved in the systems development process

Technical Design Activities

Internal Audit Participation

User Test and Acceptance Procedures

The Controlling Systems Maintenance
Mendeteksi pemeliharaan program yang dilakukan tanpa
otorisasi.
COMPUTER-ASSISTED AUDIT TOOLS AND TECHNIQUES

Record

Interogation:

validasi

seluruh

catatan

dengan

menguji hubungan nilai fieldnya. Contohnya:

Reasonbleness Checks->->cek dengan master filenya
Sign Check-> tanda +/- sudah tepat digunakan?
Sequence Checks-> urutan (batch) sudah sesuai atntrian?
File Interogation: Memastikan bahwa file yang benar yang
diproses sistem sangat penting untuk

master files yg

menyimpan data relatif permanen.

Internal Label Checks->label disk di dalam (bukan diluar)
Version Checks->versi filenya apakah sesuai..1.0? beta?
Expiration date checks->cek file ga kepake,agar tidak

kedelete sembarangan
Application Controls
Dalam sistem batch ketika ada Input error perlu dilakukan
Prosedur program pengendalian intern yang didesain untuk
correction, ada tiga jenis penanganan error yang umum
mengatasi terpaparnya sistem dari resiko potensial pada
dalam proses input:
aplikasi spesifik seperti pembayaran gaji, pembelian dan
Correct Immidiately->kasih warning ke user
pengeluaran uang. App controls terdiri dari:
Create an Error File-> delayed, pisahkan dari sistem buat
a.Input Controls
laporan sistemnya bahwa data tsb error
Bertugas untuk membawa data dari ke dalam sistem untuk
Reject Entire Batch-> tolak sluruh batch untuk diproses
diproses, IC didesain untuk memastikan bahwa transasksi Generalized data input systems
GDIS menstandarisasi validasi input dengan level kontrol
valid, akurat dan lengkap. Dapat dipicu oleh batch maupun
tinggi. Ada 3 keuntungan pake GDIS:
secara langsung (direct). Dalam dokumen sumber biasanya
Improve control melalui satu sistem validasi umum yang sama
melibatkan manusia dan oleh karenanya rentah kesalahan
Memastikan setiap aplikasi menerapkan standar yg sama
klerikal yang sering tidak terdeteksi nanti ada opsi data Meningkatkan efisiensi sistem
realtime. Beberapa jenis pengendalian dalam input control Elemennya: GDIS module, Data File Tervalidasi, Error File, Error
A.

Reports, Log Transaksi.

b.Processing Controls
sumber karena dapat Run-to-Run Controls
Menggunakan batch untuk memonitor batch ketika dia
dipalsukan dan masuk sistem lalu menghilangkan aset
bergerak dari satu prosedur program ke prosedur program
perusahaan
lain. Kontrol ini memastikan setiap pergerakan memproses
control : PreNumbered SD, Sequence Limited Acces, Periodic
batch dengan benar dan lengkap. Jenis2nya:
audit/spot cek

Recalculate
Control Totals-mengecek kembali nilai2 dalam
Data coding controls
adalah sbb:
Source document controls
Pengendalian terhadap dokumen

Cek integritas kode data dalam pemrosesan-Nomor rek

batch, has total dibandingkan dengan data master.

Transaction Codes-> hanya transaksi yg benar yg diijinkan
Customers, Nomor Inventory, No Akun dll
Errors-> Transkripsi (penambahan, pengurangan,subtitusi) dan Sequence Checks
Operators Intervention Controls
Transposisi (two/multiple number kebalik2)
Operator kadang diperlukan dalam mengintervensi suatu
Control: Check Digit (penjumlahan atau menggunakan
kegiatan dan hal ini meningkatkan potensi human error.
modulus 11) tapi makan Space (nambah record), baiknya
Sistem sedapat mungkin memmbatasi intervensi manusia,
untuk yg penting saja)
jika tidak dapat dilakukan supervisi.
Batch controls
Audit Trails Controls
Rekonsiliasi antara input dan output pada transaski dengan
Dalam sistem terkomputerisasi jejak audit akan terpecahvolume tinggi guna memastikan seluruh data terekam, tidak
pecah dan lebih sulit diikuti. Sehinga dokumentasi sistem
dobel entry dan jejak audit terjaga (inc proses n output

sangat diperlukan untuk dijaga. Beberapa cara menjaga

control). Dengan mengumpulkan tipe input yang sama

jejak audit :
dalam satu batch (bundel) lalu mengontrol batch ini dalam Transactions Logs-mencatat seluruh aktivitas sistem
Log of Automatic Transactions
prosesnya.
Elemen: No Batch, tgl, Kode transaksi, Jumlah Rec, Nilainya, Listing of Automatics Transactions->EOQ/reorder harus
diperhatikan
Jumlah data non financial ( Hash totalbuat alat kontrol aja,
Unique Transaction Identifiers
tidak bernilai)
Error Listings-Laporkan agar diperbaiki
Validation controls
c. Output Controls
Deteksi error sblm transaksi diproses, bisa memerlukan untuk
Output controls adalah SPI yang memastikan bahwa hasil
merefer ke master file sebaiknya sedekat mungkin dengan
keluaran
sistem
tidak
hilang,
salah
sasaran,
sumber transaksi.
Controlnya ada 3 level:
Field Interogation: melakukan validasi di level karakter

dalam Field jenis checknya:

Missing data check (blank) cek apakah ada field yg kosong
Numeric-alphabetic->isi field apakah huruf/bilangan
Zero value->isi field 0 untuk pengendalian
Limit check->cek nilai field apakah melebihi standarnya
Range check->batas atas dan bawah
Validity check->bandingkan dengan data master
Check digit->sama dengan diatas itu pake modulus 11

berkurang/rusak atau melanggar privasi. Kegagalan dalam

menjaga output dapat mengakibatkan dampak serius bagi
perusahaan seperti kehilangan SD ekonomi, penurunan citra
bahkan tuntutan hukum. Otput controls

menyesuakan

dengan proses pengolahan dokumennya, secara umum

terbagi dua yakni Batch Control System (lebih rentan karena
adanya intervensi operator/program) dan Realtime System.
Controlling Batch System Output

Dalam Batch System, output biasanya berupa HardCopy

dengan

outputnya

(Cek, Laporan, PO,dll) dan dalam prosesnya sebagaimana

programnya sudah complince atau belum. Aplikasinya

bagan diatas, memerlukan perantara baik manusia maupun

sendiri

kurang

sehingga

diperhatikan

dapat

detilnya.

memperkirakan
Umumnya

pada

program dari mulai proses sampai dengan distribusi.

aplikasi yang sederhana.
b.White-Box Approach (Through Computer)
Output Spooling
Harus memiliki pemahaman mengenai aplikasinya secara
Dalam pengolahan data skala besar-> terjadi backlogged,
dicetak

mendalam (pengetahuan MYOBnya dalam juga) hingga ke

(bottleneck)-> sistem membuat suatu file output dalam disk

logika dalam aplikasi. Beberapa tesnya:

Authenticity Tes-> user ID, Password, valid vendor codes dan

hasil

pengolahan

sistem

mengantri

untuk

daripada membebani memori printers (spooling).

Dalam tahap ini output file rentan diacces oleh penjahat cyber

bagan otoritas
Accuracy Test-> range test, filed test limit test
yang dapat mengubah, mengcopy secara illegal atau
Completeness Test-> field test, rec sequence test, hash totals
bahkan menghapus file sebelum dicetak.
Redundancy Test-> recoknsiliasi batch, record count, hash
Harus ada akses kontrol yang baik dan backup file output
totals
Print
Acces Test-> pass, bagan otoritas, data enkripsi, inference
Setelah spooling, dan SD printer tersedia -> printer akan
control
mencetak, biasanya ada intervensi operator berupa
Audit Trail Test-> transaction log, error file ttp disimpan,
mengganti kertas, mengatur mempause, menyesuaikan Rounding Error Tets->pembulatan bunga bank, salami fraud
margin, tinta dsb
Resiko :Operators copy secara illegal/membaca data rahasia
Controlnya: Prenumbered untuk memastikan seluruh cetakan

(bagi kecil2, large number victim, immaterial to each)

C.Computer-aided Audit Tools and Techniques for Testing

Controls
gunakan kertas multipart berkarbon a.Test Data Method
Membuat aplikasi terintegrasi dengan memproses data yang
(gesek dulu baru terbaca->pin ATM)
sudah dipersiapkan melalui aplikasi yang sedang direview.
Bursting
Hasil cetakan dipilah-pilah dan disusun ulang, ada Operator
Lalu dibandingkan dengan nilai/hasil yang seharusnya. Copy
Risk-> Illegal copy, menghilangkan halaman,
baca data
dulu aplikasinya buat file transaksi dan masternya lalu coba
rahasia
melalui berbagi input (tape, disc, usb, terminal dll) lihat
Control-> Supervisi atau bursting di end user saja
hasilnya bandingkan dengan rport yang diharapkan
Waste
Cetakan yg tidak sempurna, karbon copy dibuang
sebelumnya.
Ceroboh-> dapt dimanfaatkan , ada akes data teknis dan Buat Data Tes
lengkap, supervisi,

informasi penting lainnya dalam dokumen rusak sekalipun

Control-> Penghancur kertas/ dibakar
Data Control Group
Tim verifikasi sebelum HardCopy didistribusikan cek akurasi

kelengkapan, legalitas, dll

Risk dan controls = print dan bursting
Distributions
Rawan pencurian, hilang, salah tujuan
Nama dan alamat tercetak jelas, hati2 akses ke file master

Base Case Sys Evaluations

Tracing
Advanced Test Data
Disadvantages
b.The Integrated Test Facility (ITF)
Teknik otomatis yang memungkinkan auditor menguji logika

dan kontrol aplikasi dalam operasi normal. Dicangkokkan

dalam sistem ketikda dalam tahap pengembangan nani pas

running akan membuat semacam duplikasi tertentu dari

nama dan alamat
data namun tidak mengganggu aplikasi.
Untuk data sensitive dapat menggunakan tas berpengaman Keuntungan
kunci/pin, dikawal petugas keamanan atau End User sendiri Kerugian
c. Parallel Simulation
yang ambil
Auditor menulis program yang mensimulasikan fitur dan
End Users
proses kunci dari aplikasi yang direview. Lalu digunakan
Cek kembali dokumen yg diterima, jika ada kejanggalan
untuk memproses ulang transaski yang sudah diproses

laporkan bisa jadi errornya karena sistem

Data digunakan dan disimpan perhatikan ruang yang aman,

aplikasi yg direview lalu dibandingkan hasilnya.

Auditor
harus faham betul aplikasinya, identidikasi proses dan
perhatikan waktu retensi sesuai hukum (pajakk) jika tidak
controlnya
digunakan hancurkan dengan baik.
Buat simulasi pake 4GL atau Generalized Audit Software (GAS)
Controlling RTS
Hasil output tampil langsung dilayar.,terminal atau Coba simulasikan dengan sampel terpilih
Evaluasi (apakah yg error simulator atau memang Real)
printernya end user. Menghilangkan berbagai perantara baik
program maupun manusia. Ancaman terbesarnya sama
seperti resiko dalam internet dan intranet yaitu:
Equipment Failures (HW, SW maupun LINES Comm)
Subversive Act ( Interception, Illegal Acces, Previledged
Employes)
B. Testing Computer Application Controls
a.Black-Box Approach (Around Computer)
Tidak menguji berdasarkan pada pengetahuan mendetail

COBIT
Informasi adalah sumber daya kunci bagi semua perusahaan.
Diciptakan,

digunakan,

dihancurkan

dengan

disimpan,

menggunakan

ditampilkan,
teknologi

dan

sebagai

pemeran kuncinya. Teknologi menjadi bagian dari seluruh

aspek bisnis dan individu. Pendekatan penyusunan tata kelola

mengenai logika dibalik aplikasi yang di audit (gak perlu

IT

faham MYOBnya) . Lebih kepada memahami flowchart,

sumberdaya strategis dan direncanakan dengan pendekatan

wawancara dengan client dsb. Dengan pemahaman itu

manajemen strategis pula.

auditor mengetes sendiri dokumen input dan direkonsiliasi

saat

ini

dinilai

harus

dipandang

sebagai

salhsatu

Cobit merupakan suatu framework yang komprehensif yang

membantu

perusahaan

menyampaikan

nilai

dalam

melalui

mencapai

tata

kelola

tujuannya

dan

(strategis)

dan

ke dalam petunjuk praktek untuk pelaksanaan manajemen

harian.
b.

Proses, menjelaskan kumpulan terorganisasi dari praktek-

manajemen (operasional) Teknologi Informasi Perusahaan.

praktek dan aktifitas-aktiftas untuk mencapai tujuan yang

Governance ensure ->Evaluation,Direction and Monitoring.

telah ditentukan dan menghasilkan sekumpulan keluaran di

Manajemen->Plan Build Runs and Monitoring. COBIT 5

brings together the five principles that allow the enterprise
to

build

an

effective

governance

and

dalam dukungan pencapaian seluruh sasaran TI

c.

management

Struktur organisasi, entitas pembuatan keputusan kunci di

dalam perusahaan

framework based on a holistic set of seven enablers that d.

Budaya, etika, dan tingkah laku, merupakan kebiasaan dari

optimises information and technology investment and use

individu dan perusahaan yang sering dianggap sebagai

for the benefit of stakeholders.

faktor penghambat kesuksesan di dalam aktifitas tatakelola

Cobit 5 didasarkan pada 5 prinsip kunci tatakelola dan

manajemen TI perusahaan yaitu :

dan manajemen.
e.

Informasi, adalah sebuah kebutuhan untuk memastikan

a.

Pemenuhan kebutuhan Stakeholder

agar organisasi tetap berjalan dan dapat dikelola dengan

b.

Melindungi titik-titik penting perusahaan

baik. Tetapi di tingkat operasional, informasi seringnya

c.

Penggunaan satu framework terintegrasi

d.

Memungkinkan pendekatan secara holistik

e.

a.

digunakan sebagai hasil dari proses perusahaan

f.

Meminsahkan tatakelola dengan manajemen

Layanan, infrastruktur dan aplikasi, menyediakan layanan

dan proses teknologi informasi bagi perusahaan

COBIT 5 mendeskripsikan 7 kategori yang berperan sebagai g.

Orang, keterampilan dan kemampuan, dibutuhkan untuk

penggerak yaitu :

menyelesaikan semua aktifitas dan membuat keputusan

Prinsip-prinsip, kebijakan-kebijakan, dan framework, adalah

sarana untuk menerjemahkan tingkah laku yang diinginkan

yang tepat serta mengambil aksi-aksi perbaikan.