CHAPTER 1  Tujuannya adalah bahwa pada semua hal yang

AUDITING, ASSURANCE, DAN INTERNAL CONTROL
BERBAGAI JENIS AUDIT
Definisi Audit:
 proses sistematis dari memperoleh dan mengevaluasi
bukti secara objektif
 pernyataan yang tegas mengenai tindakan dan
kejadian ekonomi
 untuk memastikan derajat hubungan antara
pernyataan tersebut dan membangun kriteria, dan
 mengkomunikasikan hasilnya kepada pihak yang
berkepentingan
material, Laporan Keuangan (LK) disajikan secara
wajar dari transaksi dan catatan perusahaan/
organisasi
 SEC’s role, SOA, FASB, PCAOB
 Sertifikasi auditor: CPA ( Certified Public Accountant)
 Standar, petunjuk, dan sertifikasi diatur oleh
American Institute of Certified Public Accountants
(AICPA)
Perbedaan Audit Eksternal dan Internal
No. Audit Eksternal Audit Internal

Audit Internal: 1 Independent auditor Auditor (CIA/CISA)

 Fungsi penilaian independen dalam suatu organisasi (CPA)
untuk memeriksa dan mengevaluasi aktivitas sebagai 2 Independensi diterapkan Independensi
suatu jasa bagi organisasi oleh SEC’s, SOA, AICPA diterapkan dari
 Auditor internal melakukan berbagai aktivitas seperti pribadi masing2
pemeriksaan keuangan, ketaatan aktivitas operasi 3 Diwajibkan oleh SEC Opsional sesuai
dengan kebijakan perusahaan, evaluasi efisiensi untuk perusahaan kebutuhan
operasional, mendeteksi serta mencari kecurangan perdagangan public manajemen
dalam organisasi, dan melakukan audit teknologi 4 Merupakan audit Lebih luas dari
informasi (TI) keuangan sekedar audit
 Dapat pula dilakukan dari pihak luar organisasi keuangan
 Auditor biasanya bertanggungjawab kepada komite (operasional dll)
audit 5 Mewakili kepentingan Mewakili kepentingan
 Sertifikasi auditor: CISA (Certified Information System pihak luar/public(misal: organisasi (intern)
Auditor) atau CIA (Certified Internal Auditor) stockholders)
 Standar, petunjuk, dan sertifikasi diatur oleh Institute 6 Standar, petunjuk, Standar, petunjuk,
of Internal Auditor (IIA) dan Information System Audit sertifikasi oleh AICPA, sertifikasi oleh IIA
and Conttrol Association (ISACA) FASB, PCAOB dan ISACA
(didelegasikan oleh SEC)
Audit TI:
 Menyediakan jasa audit dimana proses atau data atau AUDIT KEUANGAN
keduanya melekat dalam berbagai bentuk teknologi Definisi Audit Keuangan:
 Subjek: kode etik, SOP, dan standar profesi (jika  Atestasi independen oleh auditor (CPA) yang
tersertifikasi) menggambarkan opini terkait penyajian LK
 Standar, petunjuk, dan sertifikasi diatur oleh  Produk formal berupa opini tentang reliabilitas asersi
Information System Audit and Conttrol Association dalam LK dan kesesuaiannya dengan GAAP
(ISACA)  Pernyataan opini auditor merupakan puncak dari
 Tergabung dengan internal, eksternal, dan fraud proses audit yang sistematis dan melibatkan 3
audit tahapan konseptual, yaitu pengendalian terhadap
organisasi bisnis, evaluasi dan pengujian internal
 Lingkup audit TI semakin berkembang, dengan ciri
control, dan menilai reliabilitas data keuangan
digunakannya Computer Assisted Audit Tools and
Techniques (CAATTs)
Hubungan antara Assurance Service dan Attest Service:
 IT Governance merupakan bagian dari Corporate
Governance

Fraud Audit
 Menyediakan jasa investigasi dimana diduga terdapat
anomali, mengembangkan bukti untuk mendukung
atau menolak tindak kecurangan
 Auditor lebih seperti detektif, tidak ada materialitas,
tujuannya adalah kepastian/hukuman jika ada bukti
Attest Service
yang cukup dari kecurangan
 Definisi: perjanjian dimana seorang praktisi yang
 Sertifikasi auditor: CFE ( Certified Fraud Examiner)
dikontrak untuk mengeluarkan atau telah
 Standar, petunjuk, dan sertifikasi diatur oleh mengeluarkan sebuah komunikasi tertulis yang
Association of Certified Fraud Examiners (ACFE) menyatakan suatu kesimpulan mengenai keandalan
sebuah penilaian tertulis yang merupakan tanggung
Audit Eksternal:
jawab pihak lainnya

Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ] 1

 Persyaratan yang berlaku untuk jasa atestasi: adanya
pernyataan tertulis dan laporan tertulis dari praktisi
terkait, penyusunan formal kriteria pengukuran atau
deskripsi dalam penyajiannya, dan terbatas pada
pemeriksaan, reviu, penerapan prosedur yang
disepakati sebelumnya
Assurance
 Jasa professional yang dirancang untuk
mengembangkan kualitas informasi, baik finansial
maupun non finansial, digunakan oleh para
pengambil keputusan
 Unit organisasional yang bertanggung jawab untuk
melakukan audit TI biasanya disebut sebagai IT Risk
Management, IS Risk Management, Operational System
Risk Management, Technology and Security Risk
Service, dan biasanya merupakan divisi dari jasa
assurance
Standard Auditing
 Disusun oleh AICPA
 Terdiri dari: 10 Generally Accepted Auditing
Standards (GAAS) yang dikelompokkan dalam 3
kategori: Standard Umum, Standard of Field Work,
dan Standard Pelaporan
 Pernyataan standard auditing (SAS’s = Statements on
Auditing Standards) disusun sebagai interpretasi
legal atas GAAS
Asersi manajemen:
1. Eksistensi (existence or occurance)
2. Kelengkapan (completeness)
3. hak dan kewajiban (rights and obligations)
4. penilaian/alokasi (valuation or allocation)
5. penyajian dan pengungkapan (presentation and
disclosure)
RISIKO AUDIT
 Audit Risk (AR): kemungkinan auditor memberikan
opini wajar atas LK, dimana pada kenyataannya LK
berisi kesalahan material dalam penyajian yang tidak
ditemukan auditor
 3 komponen Audit Risk:
1. Inherent Risk (IR): risiko audit yang merupakan
karateristik unit bawaaan dari bisnis atau industri
dari klien itu sendiri (ada juga yang bilang risiko
Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]
level akun sebelum memperhatikan efektifitas
pengendalian intern)
2. Control Risk (CR): disisi lain adalah adanya cacat
pada ketiadaan atau ketidakcukupan sistem
pengendalian intern dalam mencegah error
3. Detection Risk (DR): risiko yang dapat diterima
auditor bahwa error yang gagal dicegah oleh
pengendalian gagal juga dideteksi auditor.
Subtantif tes akan semakin besar/dalam
dilakukan ketika DR lebih kecil, auditor lebih
konservatif/lebih hati-hati.
 Audit Risk Model, AR = IR x CR x DR
PERAN KOMITE AUDIT
 Dipilih dari dewan direksi
 Biasanya terdiri dari tiga anggota
 Outsiders (SOX sekarang memerlukan itu)
 Tanggung jawab fidusia kepada pemegang saham
 Melakukan check and balance yang independen
 Berinteraksi dengan auditor internal
 Berinteraksi dengan auditor eksternal
 Penyelesaian konflik dari GAAP antara auditor
eksternal dan manajemen
AUDIT TI
 Berfokus pada berbagai aspek berbasis computer
dalam system informasi perusahaan
 Meliputi penilaian implementasi, operasi, dan
pengendalian berbagai sumber daya computer yang
tepat
Lingkungan TI
 Selalu ada kebutuhan untuk sistem pengendalian
internal yang efektif
 Desain dan pengawasan dari sistem tersebut
biasanya menjadi tanggung jawab akuntan
 Lingkungan TI mempersulit desain pengendalian
internal yang efektif untuk sistem berbasis komputer
jika dibandingkan dengan sistem manual, yaitu:
1. Adanya konsentrasi data
2. Perluasan akses dan hubungan
3. Peningkatan kegiatan berbahaya di sistem vs
manual
4. Peluang yang dapat menyebabkan penipuan
manajemen (yaitu, override)
Struktur Audit TI:
1. Perencanaan
2. Pengujian pengendalian
3. Pengujian substantive
2
INTERNAL CONTROL
 SEC menyatakan bahwa pembentukan dan
pemeliharaan sistem pengendalian internal adalah
kewajiban pihak manajemen yang penting
 Sistem pengendalian internal (SPI) terdiri atas
kebijakan, praktik, dan prosedur, yang digunakan
oleh perusahaan untuk mencapai 4 tujuan umum:
1. Menjaga aset perusahaan
2. Memastikan akurasi dan reliabilitas catatan dan
informasi akuntansi
3. Memprakarsai efisiensi operasi perusahaan
4. Mengukur kepatuhan terhadap kebijakan dan
prosedur yang telah ditetapkan oleh pihak
manajemen
Sejarah Pengendalian Internal:
 SEC Acts Tahun 1933 dan 1934
 Copyright Law Tahun 1976
 Foreign Corrupt Practices Act (FCPA) Tahun 1977
 Committee of Sponsoring Organizations (COSO)
Tahun 1992
 Sarbanes-Oxley Act Tahun 2002
Asumsi Penjelas:
 Tanggung jawab pihak manajemen, pembentukan
dan pemeliharaan SPI merupakan tanggungjawab
manajemen, bahkan kewajiban hukum
 Jaminan yang wajar (Reasonable Assurance),
keempat tujuan umum pengendalian internal
terpenuhi. Kewajaran artinya tidak ada SPI yang
sempurna, dan biaya untuk mencapainya tidak lebih
dari manfaatnya
 Metode pemrosesan data, apapun metodenya
(manual, berbasis computer atau berbasis web)
harus mewujudkan keempat tujuan pengendalian
internal.
 Keterbatasan, dalam hal efektivitas meliputi:
1. Kemungkinan terjadinya errors, No perfect
system
2. Circumvention, misal KKN personil
3. Manajemen mengabaikan control
4. Kondisi dinamis (berubah-ubah) dalam industry
Exposure dan Risiko
 Exposure: kelemahan pengendalian
 Risiko: potensi ancaman yang dapat membahayakan
penggunaan atau nilai berbagai asset perusahaan
The PDC Model:
 Preventive Controls merupakan kontrol pasif di
design mengurangi frekuensi kejadian tidak
diinginkan. Contoh: pembatasan karakter entry
 Detective Controls merupakan alat atau teknik dan
prosedur yang didesain untuk mengidentifikasi dan
mengekspos peristiwa yang tidak diinginkan yang
lolos dari preventive control.
 Corective Controls yaitu membalikkan pengaruh
negative dari kesalahan yang telah dideteksi
(memperbaiki masalahnya). Otomatisasi perbaikan,
bisa menyebabkan masalah baru. Contoh pada MYOB,
ketika entry akun unbalance, dia otomatis
memperbaiki sesuai standardnya sendiri.
Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]
Statement on Auditing Standards (SAS) No.78
 Sesuai dengan rekomendasi COSO, Pengendalian
internal terdiri dari 5 komponen:
1. Lingkungan Pengendalian, merupakan pondasi dari
empat unsur lainnya. Elemennya: integritas dan etika
pihak manajemen, struktur organisasi, partisipasi
Dewan Komisaris dan Komite Audit (jika ada), filosofi
manajemen dan gaya operasi, prosedur
mendelegasikan tanggung jawab dan wewenang,
metode pihak manajemen untuk menilai kinerja,
pengaruh eksternal (missal pemeriksaan oleh
lembaga yang berwenang), serta kebijakan dan
praktik perusahaan untuk mengelola SDM nya.
2. Penilaian Resiko, untuk mengidentifikasi,
menganalisis dan mengelola resiko yang relevan
dengan pelaporan keuangan. Beberapa hal yang
dapat menjadi resiko: perubahan dalam bisnis,
personel baru, sistem baru, teknologi baru, lini baru,
restrukturisasi organisasi, adopsi standar baru dll.
3. Informasi dan Komunikasi: kualitas SIM, Proses
susun L/K
4. Monitoring: Assesment SPI, Special modul di IT,
Laporan Manajerial
5. Aktivitas Pengendalian adalah kebijakan dan
prosedur yang digunakan untuk memastikan bahwa
tindakan yang tepat diambil untuk menghadapi risiko
organisasi yang dapat diidentifikasi.
Klasifikasi aktivitas pengendalian
1. Pegendalian Komputer
a. Pengendalian Umum, pengendalian yang sifatnya
membatasi akses dan mengamankan aplikasi dari
yang tidak berhak mengakses, misal berbentuk
kunci, password termasuk controls over IT
governance, IT infrastructure, security and access
kepada sistem operasi dan DB, application
acquisition and development and prosedur
perubahan program dll.
b. Pengendalian Aplikasi, pengendalian intern yang
memastikan aplikasi spesifik dapat melakukan
fungsinya dengan baik dan mengurangi
terpaparnya aplikasi dari resiko potensial.
Pengendalianya berupa cek digit, format yang
memastikan validitas, kelengkapan dan akurasi
transaksi bentuknya bisa cek digit, echo check,
limit cek yang bertujuan untuk memastikan
validitas, kelengkapan dan akurasi transaski
dalam L/K.
2. Pengendalian Fisik
 Berhubungan dengan system akuntansi
tradisional yang menggunakan prosedur manual
 6 kategori aktivitas pengendalian tradisional:
a. Otorisasi transaksi
b. Pemisahan tugas
c. Supervisi
d. Catatan akuntansi
e. Pengendalian akses
f. Verifikasi independen
CHAPTER 2
3
 AUDITING IT GOVERNANCE CONTROLS
INFORMATION TECHNOLOGY GOVERNANCE
Tujuan utama dari tata kelola TI:
 mengurangi risiko
 memastikan bahwa investasi dalam sumber daya TI
menambah nilai bagi perusahaan
IT Governance Controls
 3 isu tata kelola IT berdasarkan SOX dan COSO:
1. Organizational structure of the IT function
2. Computer center operations
3. Disaster recovery planning
STRUCTURE OF THE INFORMATION TECHNOLOGY
Centralized Data Processing :
 semua pemrosesan data dilakukan oleh satu atau
lebih komputer yang lebih besar bertempat di situs
pusat yang melayani pengguna di seluruh organisasi.
 DBA: Central Location, Shared. DBA dan timnya
responsible pada keamanan dan integritas database.
 Pemrosesan Data mengelola SDIT terdiri dari:
1. Konversi Data: HardCopy to SoftCopy (inputable
to computer)
2. Operasi Komputer: memproses hasil konversi
melalui suatu aplikasi
3. Data Library: Storage offline data-> Real Time
data Procesing dan direct acces mengurangi peran
DL
 Sys Dev and Maintenis: Analisis kebutuhan,
partisipasi dalam desain sistem baru (Profesional,
End Users dan Stakeholder). Menjaga sistem
beroperasi sesuai kebutuhan, 80-90% cost dalam IT
biasanya ada pada maintanance (tidak hanya soal
merawat/ membersihkan HW namun lebih kepada
tambal sulam SI.
 Masalah control yang harus diperhatikan dalam
proses data tersentralisasi adalah pengamanan DB.
Karena jika accesnya lemah maka seluruh informasi
dapat terpapar resiko, bentuk topologi jaringan juga
mempengaruhi keandalan data informasi. Hal ini
akan lebih jelas di appendix.
Segregation of Incompatible IT Functions
Pemisahan antara suatu fungsi tertentu demi menjaga IC
yang baik:
 Sys Dev pisahkan dengan Operasional
 DBA fisahkan dari unit lain
 Sys Dev pisahkan dengan Maintanance
(merupakan superior structure) karena adanya
resiko:
Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]
 Inadequate Documentation: Programmer lebih
suka mengembangkan sistem baru daripada
mendokumentasikan kinerja sistem lama, juga
soal job security perlu diperhatikan karena dpat
menyusun program yang tidak sempurna biar ada
kerjaan terus.
 Program Fraud: unauthorized change karena
programer faham seluk beluk operasi normal.
a. The Distributed Model
Small, powerful, and inexpensive systems. DisDataProc
(DDP) melibatkan reorganisasi fungsi IT pusat ke IT unit
kecil yang ditempatkan di bawah kendali pengguna akhir
(End Users). Unit IT dapat didistribusikan menurut
fungsi bisnis, lokasi geografis, atau keduanya.
 Resikonya mnggunakan model DDP: tidak efisiennya
penggunaan sumber daya, perusakan jejak audit,
pemisahan tugas kurang memadai, meningkatkan
potensi kesalahan pemrograman dan kegagalan
sistem serta kurangnya standarisasi.
 Keuntungannya termasuk pengurangan biaya,
peningkatan kontrol biaya, meningkatkan kepuasan
pengguna, dan adanya fleksibilitas dalam backup
sistem.
b. Controlling the DDP Environment
 Central Testing of Commercial Software and
Hardware diuji dipusat
 User Services-> ada Chat room, FAQ, Intranet support
dll
 Standard-Setting Body -> untuk improve
keseragaman prog and doc
 Personnel Review-> ada assesment.
Audit Objective: Tujuan auditor adalah untuk
memastikan bahwa struktur fungsi TI adalah sedemikian
rupa sehingga individu di daerah yang tidak kompatibel
dipisahkan sesuai dengan tingkat potensi risiko dan
dengan suatu cara yang mempromosikan lingkungan
kerja yang kondusif.
Audit Procedures:
Centralized
 Tinjau dokumentasi yang relevan, untuk menentukan
apakah individu atau kelompok yang melakukan
fungsi-fungsi yang tidak kompatibel.
 Review catatan pemeliharaan,verifikasi bahwa
programmer pemeliharaan tertentu tidakmerangkap
programer desain.
 Pastikan bahwa operator komputer tidak memiliki
akses ke logic sistem dokumentasi, seperti sistem
diagram alur, logika diagram alur, dan daftar kode
program.
 Review akses programer untuk alasan selain
kegagalan sistem
Distributed
 Tinjau bagan organisasi saat ini , pernyataan misi ,
dan uraian tugas  incompatible duties .
• Pastikan bahwa desain sistem
,dokumentasi,hardware dan perangkat lunak hasil
akuisisi diterbitkan dan diberikan to unit TI.
• Pastikan kontrol kompensasi ->supervisi monitoring
4
• Dokumentasi sistem aplikasi , prosedur , dan
databasesare dirancang dan berfungsi sesuai dengan
standar perusahaan .
Dalam sistem terdistribusi pemrosesan dan pengamanan
data disebar ke berbagai titik, pengamanan menjadi di
banyak pintu namun tersebar, resikonya tidak seluruh
titik memiliki pengamanan yang sama. Dalam topologi
STAR lebih aman karena kalo satu mati yg lain relatif
tidak terganggu sedang pada Topologi BUS jika satu titik
mati akan menggangu yang lain meskipun secara umum
keunggulanya dia lebih cepat dan murah. Sayangnya
sistem Bus akan rentan tabrakan data (lebih lengkap di
appendix) fokus auditor adalah kepada seringnya sistem
down atau kerusakan jaringan maupun software yang
mengakibatkan gangguan komunikasi dan pada
database, resiko ini berbeda2 dalam masing2 topologi
jaringan.
The Computer Center
a. Physical Location : Antisipasi bencana alam maupun
manusia cari lokasi yang aman.
b. Construction : kontruksi fasilitas IT-> tunggal, acces
terbatas dan filtrasi bagus.
c. Access : LIMITED
d. Air Conditioning : Adequate untuk menjaga database
e. Fire Suppression : Automatic Alarm, Pemadam Api,
Exit Door
f. Fault Tolerance : Toleransi kesalahan adalah
kemampuan sistem untuk melanjutkan operasi ketika
bagian dari sistem gagal (masih bisa running kalau
ada sesuatu gangguan) karena kegagalan hardware,
error program aplikasi, atau kesalahan operator.
 Redundant arrays of independent disks (RAID)->data
 UPS->Listrik
g. Audit Objectives
Tujuan auditor adalah untuk mengevaluasi kontrol yang
mengatur keamanan pusat komputer . Secara khusus ,
auditor harus memastikan bahwa : kontrol keamanan
fisik yang memadai untuk cukup melindungi organisasi
dari eksposur fisik DAN cakupan asuransi pada
peralatan memadai untuk mengkompensasi kerusakan
pusat komputernya
h. Audit Procedures
 Tests of Physical Construction. Fisik bangunan server,
lokasi dan keamanan terhadap HAZARD EVENT.
 Tests of the Fire Detection System.
 Tests of Access Control.
 Tests of Raid, BU HD
 Tests of the Uninterruptible Power Supply.
 Tests for Insurance Coverage.
Disaster Recovery Planning
Dengan perencanaan kontinjensi yang hati-hati, dampak
dari bencana dapat diredam dan organisasi dapat pulih
dengan cepat. Untuk bertahan hidup dari peristiwa
darurat seperti itu, perusahaan harus mengembangkan
prosedur pemulihan dan meresmikan mereka ke dalam
suatu rencana pemulihan bencana (DRP), suatu skema
dalam menghadapi keadaan darurat.Prosesnya adalah
sbb:
a. Identify Critical Applications->Buat daftar aplikasi
yang paling penting
Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]
b. Creating a Disaster Recovery Team ->buat
Tim..langgar IC boleh
c. Providing Second- Site Backup buat lokasi data
cadangan (duplikasi)
 mutual aid pact->dua atau lebih, join SD IT pas
bencana
 empty shell or cold site; ->sewa tempat pada
penyedia backup
 recovery operations center or hot site; ->sewa full
equipped backup
 internally provided backup->buat sendiri (mirroring
di tmpt lain)
Audit Objective: The auditor should verify that
management’s disaster recovery plan is adequate and
feasible for dealing with a catastrophe that could
deprive the organization of its computing resources.
Audit Procedures memastikan hal2 dibawah ini
berfungsi dengan baik
 Site Backup…lokasi HW IT dll
 Daftar Aplikasi penting oke
 Software Backup.
 Data dan Dokumentasi Backup.
 Backup Supplies dan Source Documents.
 Disaster Recovery Team di test
Outsourcing the IT Function
Outsourcing IT kadangkala meningkatkan kinerja bisnis
inti, meningkatkan Kinerja IT (karena keahlian vendor),
dan mengurangi biaya TI. Logika yang mendasari
outsourcing TI dari teori kompetensi inti, yang
berpendapat bahwa organisasi harus fokus secara
eksklusif pada kompetensi bisnis intinya saja,
sementara outsourcing vendor memungkinkan untuk
secara efisien mengelola daerah non-inti seperti fungsi
TI (IT dianggap supporting).
Premis ini, bagaimanapun, mengabaikan perbedaan
penting antara komoditas dan aset TI yang spesifik.
Commodity IT assets are not unique to a particular
organization and are thus easily acquired in the
marketplace sementara Specific IT assets dapat
merupakan keunggulan strategis perusahaan.
Transaction Cost Economics (TCE) theory is in conflict
with the core competency school by suggesting that
firms should retain certain specific non–core IT assets
inhouse. Jadi disarankan boleh outsource pada
SumberDaya IT yang bisa digantikan (SW/HW) atau
tidak terlalu kritikal..SD IT yang penting dan unggulan
bagi organisasi jangan.
a. Risks Inherent to IT Outsourcing
 Failure to Perform
 Vendor Exploitation
 Outsourcing Costs Exceed Benefit
 Reduced Security
 Loss of Strategic Advantage
b. Audit Implications of IT Outsourcing
Manajemen boleh saja mengalihdayakan fungsi ITnya
namun tidak dapat mengalihkan tanggungjawab
manajemen pada penyediaan Pengendalian Intern yang
memadai. SAS 70 merupakan standar yang
mendefinisikan perlunya auditor mengetahui kontrol
jika IT dilaksanakan oleh vendor pihak ketiga.
Vendornya sendiri tentu diaudit oleh auditornya
5
sehingga IT review dilaksanakan satu kali saja supaya
praktis dan murah.
CHAPTER3
SECURITY PART I: AUDITING OPERATING SYSTEMS
AND NETWORKS
Auditing Operating Systems
OS adalah program pengendali komputer, OS
memungkinkan user dan aplikasi berbagi dan
mengakses sumberdaya yang sama seperti prosesor,
memori, printer dan database. Semakin besar entitas
maka sumber daya yang perlu diakses makin besar dan
OS menjadi semakin penting.
Operating System Objectives
OS memiliki tiga fungsi yakni:
 Menterjemahkan bahasa tingkat tinggi COBOL C++
dll, menggunakan translatornya -> yakni Compiler
dan Interpreters –Ch 5 lbh lengkapnya
 Mengalokasikan SD kepada user, grup maupun
aplikasi
 Mengelola pekerjaan dan banyak program-
>User/Jobs mengakses komputer melalui 3 cara:
Directly, Job Ques dan Links
a. Operating System Security
Kebijakan, prosedur dan pengendalian yang menentukan
siapa yang dapat mengakses OS dan SD IT dan apa saja
yang bisa dilakukannya.
 Prosedur Log-ON pertahanan pertama, salah brp x
blokir misalnya.
 Token Akses -> mengandung KeyInfo:user ID,
pass,previledge
 Acces Control List (daftar kesaktian user)
 Discretionary Acces Previledge->Super Admin
(Highly Supervised)
b. Threats to Operating System Integrity
 Previldeged personel menyalahgunakan otoritasnya
 Individual di dalam dan di luar entitas yang mencari
celah sistem
 Individual sengaja atau tidak memasukan
virus/bentuk program lain yg merusak
c. Operating System Controls and Audit Tests
Area-area yang perlu diperiksa adalah acces personil
yang mendapat previledge, kontrol password (password
sekali pakai dan berulangkali), kontrol virus dan aplikasi
berbahaya dan kontrol pada jejak audit.
System audit trails (sekumpulan log yang merekam
aktivitas sistem, aplikasi, user)-> Detailed Individual
Logs dan Event oriented Logs
Audit prosedurnya:
 Pastikan fitur audit trails diaktifkan,
 Cari akses tanpa otorisasi, periode non aktif user,
aktifitas user, waktu log in dan out
 Log on yang gagal (indikasi salah acces/coba2)
 Pantau Acces ke file tertentu yang penting
 Monitoring dan reporting pelanggaran keamanan IT
Auditing Networks
a. Intranet Risks
Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]
Terdiri dari LANs dan WANs yang terdiri dari ratusan
individual node. Ada beberapa resiko terkait Intranet
misalnya Pesan dapat diintersepsi/disadap/dicegat,
adanya resiko akses kepada DB entitas, personel yang
memiliki previleged, mantan karyawan dll
b. Internet Risks
Resiko yang terkait dengan internet adalah adanya IP
Spoofing (nyamar pake IP orang/palsu), DDOS attack
yang membanjiri server sehingga lumpuh baik melalui
SYN Flood maupun SMURF (tiga pihak ada perantara)
dan Distributed Denial of Service Attack pake orang lain
sebagai zombienya. Yang perlu diperhatikan adalah juga
motivasi orang menyerang..bisa iseng..dendam atau
menguji keandalan sistem. Selain itu resiko juga
berkaitan dengan kegagalan peralatan dalam
berkomunikasi baik LINE, HW dan SW.
c. Controlling Networks
 Controlling Risks from Subversive Threats
 Menggunakan Firewall (umum)
 Pasang IPS dan Deep Packet Inspection cegah
serangan DDOS
 Pake Enkripsi/sandi dlam pengiriman data
 TTD Digital dan Sertifikat Digital
 Pake Message Sequence Number dan Transaction Log
serta punya Call Back Devices
 Audit Objectivenya adalah memastikan bahwa
kontrol jaringan dapat mencegah dan mendeteksi
akses illegal, mengurangi data yang tidak terpakai
dan memadai untuk mempertahankan integritas data
 Controlling Risks from Equipment Failure cek aja
alatnya baik2 saja..pake echo cek, parity cek dst
Auditing Electronic Data Interchange (EDI)
EDI merupakan suatu sistem yang memungkinkan
mekanisme pertukaran data dan informasi bisnis antar
komputer antar entitas dapat diproses oleh komputer
secara mandiri dalam suatu bentuk komunikasi dengan
format standar. Refer ke cerita american hospital atau
EDI DJBC.
a. EDI Standards –ANSI, EDIFACT dll
b. Benefits of EDI
 Data Keying, mengurangi entry data berulang
 Error Reduction, ga doble ngetik2, tapi kalo salah
satu tapi di awal bisa salah semua sampai akhir.
 Mengurangi kertas
 Mengurangi biaya kirim dokumen
 Prosedur terotomasi..manajer mikirin yg lain saja
(MBExcp)
 Pengurangan biaya Inventory melalui EOQ/JIT
c. Financial EDI –Pake transfer elektronik dalam kirim
uang
d. EDI Controls (Validasi dan Otorisasi)
Karena berkurangya peran manusia maka ada
pengendalian yang unik dan berbeda dengan sistem
manual utamanya adalah soal otorisasi dan validasi
transaksi. Sehingga auditor harus memperhatikan:
 ID dan Password serta valid file dalam DB buat
pembanding
 Cek validasi lagi sebelum pesan dikirim jalan tidak
 Aplikasi cek ke file referensi sebelum di proses
e. Access Control
6
Agar berjalan baik sayangya dalam sistem EDI Pengendalian dokumen sumber:
perusahaan harus memberikan sejumlah akses kepada  Menggunakan dokumen sumber yang diberi nomor
partnernya untuk mengakses DB perusahaan. Sehingga terlebih dahulu
sangat penting untuk memiliki file valid vendor maupun  Menggunakan dokumen sumber secara berurutan
valid customers, juga bisa dibatasi read only saja tidak  Mengaudit dokumen sumber secara berkala
bisa merubah data. Karena sudah paperless satu2nya
audit trails bisa jadi Cuma file LOG saja..keep it safe. Pengendalian pengkodean data:
Audit Objektif: Semua transaski EDI telah diotorisasi dan  3 jenis kesalahan yang dapat merusak data:
divalidasi, tidak ada transaksi tanpa otorisasi yang 1. Kesalahan transkripsi:
running, acces hanya kepada data yang diperkenankan a. Kesalahan penambahan
dan kontrol yang cukup dalam pengamanan Log file. b. Kesalahan pengurangan
c. Kesalahan subtitusi
Auditing PC-Based Accounting Systems 2. Kesalahan transposisi tunggal
Aplikasi software akuntansi->wide range-> low cost 3. Kesalahan transposisi jamak
product->kadang modular namun terintegrasi->  Angka pemeriksa
berbasis PC
a. PC Systems Risks and Controls Pengendalian batch:
Ada resiko unik terkait Accounting software:  Tujuan: merekonsiliasi output yang dihasilkan oleh
 Kelemahan Sistem Operasi dibanding Mainframe sistem dengan input yang dimasukkan ke dalam
Model, PC keamanannya minimal untuk data dan sistem terkait
program, memang bawaan PC yang dituntut portabel  Tidak efektif dalam mengelola volume data transaksi
 Akses Kontrol Lemah program tertentu bisa run yang besar dalam system
tanpa akses HD (boot from CD)  Memberikan kepastian bahwa semua record dalam
 Pemisahan fungsi kurang, satu orang bisa memiliki batch diproses, tidak ada record yang diproses lebih
banyak akses dari sekali, dan adanya jejak audit transaksi mulai
 Multivel password control kasih user pass beda2 dari tahap input, pemrosesan sampai output.
 Resiko Kemalingan..small, handheld easy to theft.
 Hash total
 Prosedur Backup Lemah
 Resiko terpapar virus lebih besar Pengendalian validasi:
Audit obj dan proc menyesuaikan dengan kelemahan2
 Tujuan: mendeteksi berbagai kesalahan dalam data
tersebut.
transaksi sebelum data tersebut diproses
 3 level pengendalian validasi input:
1. Field interrogation
CHAPTER 7
a. Pemeriksaan datayang hilang
COMPUTER-ASSISTED AUDIT TOOLS AND
b. Pemeriksaan data numeric-alfabetis
TECHNIQUES (CAATTs)
c. Pemeriksaan nilai nol
d. Pemeriksaan batas
PENGENDALIAN APLIKASI
e. Pemeriksaan kisaran
 prosedur terprogram yang didesain untuk aplikasi
f. Pemeriksaan validasi
tertentu seperti payroll, purchases, cash disbursement
2. Record interrogation
system.
a. Pemeriksaan kewajaran
 Terdiri dari pengendalian input, pengendalian b. Pemeriksaan tanda
proses, dan pengendalian output
c. Pemeriksaan urutan
3. File iterogation
PENGENDALIAN INPUT a. Pemeriksaan label internal
 Untuk meyakinkan bahwa transaksi valid, akurat, dan b. Pemeriksaan versi
lengkap. c. Pemeriksaan tanggal kadaluwarsa
 Source document input: ada campur tangan manusia,
banyak clerical errors, beberapa error tidak bisa Perbaikan kesalahan input:
terdeteksi dan dikoreksi dalam tahap input data  Teknik umum untuk memperbaiki kesalahan:
sehingga harus dikonfirmasi ke pihak ketiga. 1. Memperbaiki segera
 Direct input: menggunakan teknik editing real-time 2. Membuat file kesalahan
untuk mengidentifikasi dan mengoreksi kesalahan 3. Menolak keseluruhan batch
sesegera mungkin, sehingga mengurangi kesalahan
yang masuk sistem. GDIS:
 Jenis pengendalian input:  Meliputi berbagai prosedur terpusat yang mengelola
1. Pengendalian dokumen sumber input data untuk semua system pemrosesan
2. Pengendalian pengkodean data transaksi di perusahaan
3. Pengendalian batch  Kelebihan:
4. Pengendalian validasi 1. Memperbaiki pengendalian dengan membuat
5. Perbaikan kesalahan input sebuah system yang sama untuk melakukan
6. GDIS (Generalized Data Input System) semua validasi data
Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ] 7
 2. Memastikan bahwa tiap aplikasi SIA a. Mengendalikan Output Sistem Batch
menggunakan standar secara konsisten untuk b. Mengendalikan Output Sistem Real Time
validasi data
3. Memperbaiki efisiensi pengembangan sistem Mengendalikan output sistem batch
 5 Komponen utama GDIS:  Output Spooling
1. Generalized Validation Module (GVM)  Program pencetakan
2. Validated data file  Pemilahan
3. Error file  Sampah
4. Error report  Pengendali data
5. Transaction log  Distribusi laporan
 Pengendalian pengguna akhir
PENGENDALIAN PROSES
1. Pengendalian “Run-to-Run” MENGUJI BERBAGAI PENGENDALIAN APLIKASI
 Untuk meyakinkan bahwa perpindahan batch dari KOMPUTER
satu program ke program lainnya dilakukan 1. Pendekatan Black Box (Kotak Hitam)
dengan benar dan lengkap.  Audit di sekitar komputer
 Kegunaan: Recalculate Control Totals, Transaction 2. Pendekatan White Box (Kotak Putih)
Codes, Sequence Checks  Audit melalui computer
 Penggunaan secara spesifik meliputi:  Jenis pengendalian yang umumnya ditentukan:
a. Perhitungan ulang total pengendali a. Uji autentikasi
b. Kode transaksi b. Uji akurasi
c. Pemeriksaan urutan c. Uji kelengkapan
2. Pengendalian intervensi operator d. Uji redundansi
 Memasukkan total pengendali, memasukkan nilai e. Uji akses
parameter f. Uji audit trails
 Sistem yang membatasi intervensi operator lebih g. Uji kesalahan pembulatan (Rounding error
sedikit kemungkinan menimbulkan kesalahan test)
pemrosesan
3. Pengendalian Audit Trails CAATT UNTUK MENGUJI PENGENDALIAN
 Dalam sistem akuntansi, setiap transaksi harus 1. Test Data Method
bias ditelusuri dari sumber hingga laporan 2. Base Case System Evaluation (BCSE)
keuangan. 3. Tracing
 Contoh teknik yang digunakan untuk 4. Iintegrated Test Facility (ITF)
mempertahankan audit trail: 5. Paralel Simulation
a. Transaction Logs: setiap transaksi yang
diproses disimpan dalam transaction log yang
disajikan dalam JURNAL. Alasan dibuat: transc
log adalah permanent record dari transaksi,
dan tidak semua record yang divalidasi
berhasil diproses.
b. Log of Automatic Transactions: beberapa
transaksi diproses secara internal oleh system
(Ex: ketika inventory menyentuh titik bawah,
system akan otomatis membuat purchase
order).
c. Listing of Automatic Transactions: untuk
pengendalian atas transaksi otomatis oleh
system, user harus menerima daftarnya.
d. Unique Transaction Identifiers: setiap
transaksi yang diproses harus diidentifikasi
secara unik dengan nomor transaksi.
e. Error Listing: daftar record yang salah harus
diserahkan kepada user yang berhak untuk
koreksi error.

PENGENDALIAN OUTPUT
 Untuk meyakinkan bahwa output dari sistem tidak
hilang, misdirected, rusak, atau privasi terganggu
 Jika hal tsb terjadi, akan mengakibatkan gangguan
dalam operasi dan kerugian finansial bagi
perusahaan.
 Metode pengendalian output:
Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ] 8