BAB 3

SISTEM TEKNIK DOKUMENTASI

Pendahuluan
Dokumentasi menjelaskan cara sistem bekerja. Deskripsi naratif: penjelasan tertulis, langkah komponen-
komponen dan interaksi dari semua itu.
Alat-alat dokumentasi :
1. Diagram arus data (DAD)
2. Bagan alir, deskripsi grafik sistem. Ada beberapa jenis:
a. Bagan alir dokumen
b. Bagan alir sistem
c. Bagan alir program
3. Diagram Proses Bisnis

A. Diagram Arus Data

Diagram arus data (DAD) adalah penjelasan grafik dari arus data dalam organisasi, meliputi
sumber/tujuan data, arus data, proses tranformasi dan penyimpanan data.
Sumber data: entitas yang menghasilkan atau mengirimkan data yang dimasukkan kedalam sistem.
Tujuan data: entitas yang menerima data yang dhasilkan oleh sistem. Arus data: pergerakan data diantara
proses, penyimpanan, sumber dan tujuan
1. Subpembagian DAD
DAD dibagi kedalam level yang lebih rendah untuk memberikan jumlah detail yang semakin
meningkat.. Sistem pengolahan data dan entitas yang merupakan sumber dan tujuan sistem input dan
output.
Sistem pengolahan data-data ini menghasilkan:
a. Laporan dan pembayaran pajak untuk badan pemerintah
b. Cek pembayaran karyawan
c. Cek penggajian pada akun penggajian di bank
d. Informasi penggajian untuk Manajemen
Lima aktivitas pengolahan data sebagai berikut:
a. Memperbarui file induk karyawan
b. Menangani kompensasi karyawan
c. Membuat laporan manajemen
d. Membayar Pajak
e. Memasukkan entri ke buku besar
Level dari DAD dengan menggambarkannya untuk permasalahan komprehensif,
B. Bagan Alir
Teknik analitis bergambar, digunakan untuk menjelaskan beberapa aspek dari sistem informasi,
mencatat cara proses bisnis dilakukan dan cara dokumen mengalir melalui organisasi. Bagan alir juga
menganalisis cara meningkatkan proses bisnis dan arus dokumen. Digambar menggunakan Visio, Ms.
Word, Ms. Excel, atau Ms. PowerPoint. Dibagi empat kategori:
1. Simbol input/output menunjukkan input ke atau output dari sistem.
2. Simbol pemrosesan menunjukkan pengolahan data.
3. Simbol penyimpanan menunjukkan tempat data disimpan.
4. Simbol arus dan lain-lain menunjukkan arus data, dimana bagan alir dimulai dan berakhir, keputusan
dibuat dan cara menambah catatan penjelas untuk bagan alir.
Simbol Bagan Alir Secara Umum
1. Jenis-Jenis Bagan Alir
 Bagan alir dokumen mengilustrasikan arus data dan dokumen diantara area-area
pertanggungjawaban dalam organisasi. Jenis khusus bagan alir, yang disebut bagan alir pengendalian
internal (internal control flowchart) digunakan untuk mengindentifikasikan kelemahan atau
inefisiensi sistem.
Pedoman untuk Mempersiapkan Bagan Alir
a. Memahami sistem.
b. Mengidentifikasi entitas.
c. Secara jelas labeli semua simbol.
d. Konektor halaman.
e. Gambar sketsa kasar dalam bagan alir.
f. Gambarkan salinan final bagan alir.
Bagan alir sistem menggambarkan hubungan antar-input, pemrosesan, penyimpanan dan output
system. Bagan alir sistem digunakan untuk menjelaskan arus dan prosedur data dalam SIA.
2. Bagan Alir Program
Bagan alir program mengilustrasikan urutan operasi logis yang dilakukan oleh komputer dalam
mengeksekusi program. Bagan alir program menjelaskan logika khusus yang digunakan untuk
melakukan proses yang ditunjukkan pada bagan alir sistem.
C. Diagram Proses Bisnis
Diagram proses bisnis adalah cara visual untuk menjelaskan langkah-langkah dalam proses
bisnis. Ada banyak siklus pendapatan, diantaranya siklus pengeluaran.

BAB 5
PENIPUAN KOMPUTER
Penipuan adalah segala sesuatu yang digunakan oleh seseorang untuk memperoleh keuntungan secara tidak
adil terhadap orang lain.
Empat jenis ancaman SIA yang dihadapi perusahaan
1. Bencana Alam dan Politik
Contohnya adalah kebakakaran atau panas berlebih, banjir, gempa bumi, longsor, topan, tornado
2. Kesalahan Perangkat lunak dan kegagalan fungsi peralatan
Contohnya adalah kegagalan perangkat keras dan perangkat lunak.
3. Tindakan yang tidak diharapkan
Contohnya adalah kecelakaan yang disebabkan oleh kelalaian manusia, kegagalan untuk mengikuti
prosedur yang ditetapkan, personel yang dilatih atau diawasi dengan buruk dan lain – lain.
4. Tindakan yang disengaja (kejahatan komputer)
Contohnya adalah sabotase, penyalahgunaan asset, penipuan laporan keuangan dan lain – lain.
PENDAHULUAN UNTUK PENIPUAN
Penipuan (Fraud) adalah mendapatkan keuntungan yang tidak jujur dari orang lain. Pelaku penipuan sering
disebut juga sebagai kriminal berkerak putih, agar dapat membedakan dari penjahat yang melakukan kejahatan
dengan kekerasan.
Tindakan dikatakan curang apabila
 Pernyataan, representasi, atau pengungkapan yang salah.
 Fakta Material, yaitu sesuatu yang menstimulasi seseorang untuk bertindak.
 Niat untuk Menipu
 Kepercayaan yang dapat dijustifikasi
 Kerugian yang diderita oleh korban.

2
DUA JENIS PENIPUAN YANG PENTING UNTUK BISNIS
Penyalahgunaan asset (misappropriation of asset) adalah pencurian asset perusahaan oleh karyawan.
Kecurangan pelaporan keuangan (fraudulent financial reporting) sebagai perilaku yang disengaja atau
ceroboh, apakah dengan tindakan atau kelalaian, yang menghasilkan laporan keuangan yang menyesatkan
secara material.
SEBAB – SEBAB TERJADINYA PENIPUAN
1) Tekanan
Sebuah tekanan (pressure) adalah dorongan atau motivasi seseorang untuk melakukan penipuan.
2) Kesempatan
Situasi yang memmungkinkan seseorang atau organisasi untuk melakukan dan menyembunyikan
tindakan yang tidak jujur dan mengubahnya menjadi keuntungan pribadi.
3) Sikap
Alasan yang digunakan para pelaku penipuan untuk membenarkan perilaku illegal mereka.
PENIPUAN KOMPUTER
Penipuan computer (computer fraud) adalah setiap penipuan yang mensyaratkan teknologi computer untuk
melakukan penipuan.
 Meningkatnya Penipuan Komputer
Alasan peningkatan penipuan komputer yaitu:
 Tidak semua orang sependapat dengan apa yang termasuk penipuan computer
 Banyak contoh penipuan komputer tidak terdeteksi
 Presentase penipuan yang tinggi tidak dilaporkan
 Banyak jaringan yang tidak aman
 Situs internet menawarkan instruksi langkah demi langkah pada bagaimana melakukan penipuan
komputer dan penyalahgunaan.
 Penegak hukum tidak dapat menjaga pertumbuhan penipuan computer
 Menghitung kerugian sangat sulit.
 Klasifikasi Penipuan Komputer
a. Input Penipuan
b. Penipuan Prosesor
c. Penipuan Intruksi Komputer
d. Penipuan data
e. Output Penipuan

MENCEGAH dan MENDETEKSI PENIPUAN dan PENYALAHGUNAAN

Cara – cara untuk mencegah dan mendeteksi penipuan
a. Membuat penipuan agar tidak terjadi
b. Meningkatkan kesulitan dalam melakukan penipuan
c. Meningkatkan metode pendeteksian
d. Mengurangi kerugian penipuan.

3
 BAB 3
SERANGAN DAN PENYALAHGUNAAN KOMPUTER
Hacking: akses, modifikasi, atau penggunaan yang tidak sah atas perangkat elektronik atau beberapa elemen
dalam sistem komputer. Beberapa contoh ilustrasi serangan-serangan hacking dan dampak yang
ditimbulkannya adalah sebagai berikut:
 Seorang hacker Rusia menerobos ke dalam sistem Citibank dan mencuri $10 juta dari rekening
nasabah.
 Acxiom mengelola informasi nasabah untuk penerbitan kartu kredit, bank, perusahaan otomotif, dan
para pengecer (retailer). Seorang administrator sistem untuk sebuah perusahaan yang berbisnis
dengan Acxiom melebihi batas akses yang diijinkan, ia mengundul file yang memiliki kata sandi
yang sudah dienkripsi, dan menggunakan program pemecah sandi untuk mengakses ID rahasia.
Penerobosan ini merugikan Acxiom lebih dari $5,8 juta.
 Selama perang Irak, para hacker Belanda mencuri informasi rahasia, termasuk informasi pergerakan
pasukan dan senjatanya pada 34 wilayah militer. Tawaran mereka untuk menjual informasi kepada
Irak ditolak, kemungkinan karena Irak mengira tawaran tersbeut adalah sebuah jebakan.
 Seorang hacker berusia 17 tahun menerobos ke dalam jaringan Bell Laboratories, menghancurkan
sejumlah file, menyalin 52 program perangkat lunak hak milik, dan mempublikasikan informasi
rahasia di bulletin board (forum percakapan online) terselubung. Banyak hacker yang berusia muda,
beberapa diantaranya berusia 12 tahunan.
 Seorang hacker memasuki komputer pemasok perangkat lunak dan menggunakan "saluran
terbuka (open pipe)" miliknya ke nasabah bank untuk memasang programTrojan horse yang kuat
pada komputer bank.
 Pada pelanggaran keamanan terburuk sepanjang sejarah, 101 juta ajun Sony PlayStation di-
hack, sehingga merusak jaringan selama lebih dari sebulan. Lebih dari 12 juta nomor kartu kredit,
alamat e-mail, kata sandi, alamat rumah, dan data lain dicuri.
Hijacking (pembajakan): pengambilan kendali atas komputer orang lain untuk melakukan aktivitas
terlarang tanpa sepengetahuan pengguna komputer yang sebenarnya.
Botnet: sebuah jaringan komputer terbajak yang kuat dan berbahaya yang digunakan untuk menyerang
sistem atau menyebarkan malware.
Zombie: sebuah komputer yang dibajak, biasanya merupakan bagian dari botnet yang dipergunakan untuk
melakukan berbagai serangan internet.
Bot herder: seseorang yang menciptakan botnet dengan memasangkan perangkat lunak pada PC yang
merespons instruksi elektronik milik bot herder.
Serangan denial-of-service (DoS): sebuah serangan komputer di mana penyerang mengirimkan sejumah
bom e-mail atau permintaan halaman web, biasanya dari alamat salah yang diperoleh secara acak,
agar server e-mail atau web server yaitu penyedia layanan internet kelebihan beban dan ditutup.
Berikut adalah contoh mengilustrasikan serangan-serangan DoS dan kerusakan yang ditimbulkannya:
 Suatu serangan DoS menutup 3.000 situs selama 40 jam pada akhir pekan belanja tersibuk dalam
setahun.
 CloudNine, sebuah penyedia layanan internet, bangkrut setelah serangan DoS menghalangi
pelanggan dan konsumennya untuk berkomunikasi.
 Diperkirakan 1 dari 12 e-mail memuat virus MyDoom saat virus tersebut
mengubahhost menjadi zombie yang menyerang Microsoft. Perusahaan-perusahaan lainnya, seperti
Amazon, Yahoo, CNN, dan eBay, juga telah mengalami serangan DoS yang serupa.

4
Spamming: secara bersamaan mengirimkan pesan yang tak diminta kepada banyak orang pada saat yang
sama, biasanya dalam bentuk sebuah upaya untuk menjual sesuatu.
Serangan kamus (dictionary attack): menggunakan perangkat lunak khusus untuk menebak alamat e-
mail perusahaan dan mengirimkan pesan e-mail kosong. Pesan yang tidak kembali biasanya merupakan
alamat e-mail yang valid, sehingga dapat ditambahkan pada daftar alamat e-mail pelaku spamming.
Splog: spam blog yang diciptakan untuk meningkatkan situs Google PageRank, yang merupakan intensitas
sebuah halaman situs yang direferensikan oleh halaman situs lainnya.
Spoofing: mengubah beberapa bagian dari komunikasi elektronik untuk membuat seolah-olah yang lain
yang mengirimkannya agar mendapatkan kepercayaan dari penerima.Spoofing memiliki berbagai bentuk
sebagai berikut:
 E-mail spoofing: membuat sebuah alamat pengirim dan bagian-bagian lain dari sebuah header e-
mail agar tampak seperti e-mail tersebut berasal dari sumber lain.
 Caller ID spoofing: menampilkan nomor yang salah pada tampilan ID penelepon dihandphone si
penerima untuk menyembunyikan identitas si penelepon.
 IP address spoofing: menciptakan paket internet Protocol dengan alamat IP palsu untuk
menyembunyikan identitas si pengirim atau untuk menirukan sistem komputer lain.
 Address Resolution Protocol (ARP) spoofing: pengiriman pesan ARP palsu ke sebuah Ethernet
LAN. ARP adalah sebuah protokol jaringan komputer untuk menentukan alamat perangkat keras
milik host jaringan ketika hanya alamat IP atau jaringan yang diketahui. Mac Address (Media
Access Control Address): sebuah alamat perangkat keras yang mengidentifikasi secara khusus
setiap node pada sebuah jaringan.
 SMS spoofing: menggunakan layanan pesan singkat (SMS) untuk mengubah nama atau nomor dari
mana pesan teks berasal.
 Web-page spoofing: phising.
 DND spoofing: melacak ID dari Domain Name System (DNS, sebuah "buku telepon" internet yang
mengubah sebuah domain atau nama jaringan menjadi sebuah alamat IP) meminta dan membalas
sebelum server DNS yang asli melakukannya.
Serangan zero day (zero-day attack): sebuah serangan di antara waktu kerentanan sebuah perangkat lunak
baru ditemykan dan "merilisnya sembarangan" dan saat sebuah pengembang perangkat lunak
merilis patch untuk memperbaiki masalah.
Patch: kode yang dirilis pengembang perangkat lunak yang memperbaiki kerentanan perangkat lunak
tertentu.
Cross-site scripting (XSS): sebuah kerentanan di halaman situs dinamis yang memungkinkan penyerang
menerobos mekanisme keamanan browser dan memerintahkan browser korban untuk mengeksekusi kode,
mengira bahwa itu berasal dari situs yang dikehendaki.
Serangan limpahan buffer (buffer overflow attack): ketika jumlah data yang dimasukkkan ke dalam
sebuah program lebih banyak daripada jumlah dari input buffer.Limpahan input menimpa instruksi
komputer berikutnya, menyebabkan sistem rusak. Para hacker memanfaatkannya dengan
merangkai input sehingga limpahan memuat kode yang menyatakan ke komputer apa yang dilakukan
selanjutnya. Kode ini dapat membuka sebuah pintu belakang di dalam sistem.
Serangan injeksi (insersi) SQL (SQL injection (insertion) attack): menyisipkan querySQL berbahaya
pada input sehingga query tersebut lolos dan dijalankan oleh sebuah program aplikasi. Hal ini
memungkinakan seorang hacker meyakinkan agar aplikasi menjalankan kode SQL yang tidak dikehendaki
untuk dijalankan.
Serangan man-in-the-middle (MITM attack): seorang hacker menempatkan dirinya di antara seorang klien
dan host untuk memotong komunikasi di antara mereka.

5
Maquerading/impersonation: mendapatkan akses ke sebuah sistem dengan berpura-pura menjadi pengguna
yang sah. Pelaku perlu mengetahui ID dan kata sandi pengguna yang sah.
Piggybacking: 1) menyadap ke dalam sebuah jalur komunikasi dan mengunci secara elektronik pengguna
yang sah sehingga tanpa sepengetahuannya membawa pelaku ke dalam sistem, 2) penggunaaan secara diam-
diam atas jaringan Wi-Fi tetanggan, 3) seseorang yang tidak berwenang mengikuti seseorang yang
berwenang memasuki pintu yang aman, menembus pengendalian keamanan fisik.
Pemecahan kata sandi (password cracking): ketika seorang penyusup memasuki pertahanan sebuah
sistem, mencuri file yang berisikan kata sandi yang valid, mendeskripsinya, dan menggunakannya untuk
mendapatkan akses atas program, file, dan data.
War dialing: memrogram sebuh komputer untuk menghubungi ribuan sambungan telepon untuk
mencari dial-up modem lines. Hacker menerobos ke dalam PC yang tersambung dengan modem dan
mengakses jaringan yang terhubung.
War driving: berkendara mencari jaringan nirkabel rumah atau perusahaan yang tidak terlindungi.
War rocketing: menggunakan roket untuk melepaskan titik akses nirkabel yang terhubung pada parasut
yang mendeteksi jaringan nirkabel tidak aman.
Phreaking: menyerang sistem telepon untuk mendapatkan akses sambungan telepon gratis, menggunakan
sambungan telepon untuk mengirimkan malware, mengakses, mencuri, serta menghancurkan data.
Data diddling: mengubah data sebelum atau selama entri ke dalam sebuah sistem komputer untuk
menghapus, mengubah, menambah, atau memperbarui data sistem kunci yang salah.
Kebocoran data (data leakage): menyalin data perusahaan tanpa izin, sering kali tanpa meninggalkan
indikasi bahwa ia telah disalin.
Podslurping: menggunakan sebuah perangkat kecil dengan kapasitas penyimpanan (iPod,flash drive) untuk
mengunduh data tanpa izin dari sebuah komputer.
Teknik salami (salami technique): pencurian sebagian kecil uang dari beberapa rekening yang berbeda.
Penipuan round-down (run-down fraud): memerintahkan komputer untuk membulatkan seluruh
perhitungan bunga menjadi dua tempat desimal. Pecahan dari sen yang dibulatkan pada setiap perhitungan
dimasukkan ke dalam rekening pemrogram.
Spionase ekonomi (economic espionage): mencuri informasi, rahasia dagang, dan kekayaan intelektual.
Pemerasan dunia maya (cyber-extirtion): ancaman untuk membahayakan sebuah perusahaan atau
seseorang jika sejumlah uang tertentu tidak dibayarkan.
Cyber-bullying: menggunakan teknologi komputer untuk mendukung perilaku yang disengaja, berulang,
dan bermusuhan yang menyiksa, mengancam, mengusik, menghina, mempermalukan, atau membahayakan
orang lain.
Sexting: tukar menukar pesan teks dan gambar yang terang-terangan bersifat seksual dengan orang lain,
biasanya menggunakan perantara telepon.
Terorisme interbet (internet terrorism): menggunakan internet untuk mengganggu perdagangan elektronik
serta membahayakan komputer dan komunikasi.
Misinformasi internet (internet misinformation): menggunakan internet untuk menyebarkan informasi
palsu atau menyesatkan.
Ancaman e-mail (e-mail threats): ancaman dikirimkan kepada korban melalui e-mail.Ancaman biasanya
memerlukan beberapa tindakan follow-up, seringnya mengakibatkan kerugian besar bagi korban.
Penipuan lelang internet (internet auction fraud): menggunakan situs lelang internet untuk menipu orang
lain.
Penipuan pump-and-dump internet (internet pump-and-dump fraud): menggunakan internet untuk
menaikkan harga saham kemudian menjualnya.

6
Penipuan klik (click fraud): memanipulasi jumlah waktu iklan yang di klik untuk meningkatkan tagihan
periklanan.
Penjejalan situs (web cramming): menawarkan situs gratis selama sebulan, mengembangkan situs tidak
berharga, dan membebankan tagihan tekepon dari orang-orang yang menerima tawaran untuk waktu
berbulan-bulan, terlepas mereka ingin melanjutkan menggunakan situs tersebut atau tidak.
Pembajakan perangkat lunak (software piracy): menyalin atau mendistribusikan perangkat lunak berhak
cipta tanpa izin.

REKAYASA SOSIAL
Rekayasa sosial (social engineering): teknik atau trik psikologis yang digunakan agar orang-orang
mematuhi keinginan pelaku dalam rangka untuk mendapatkan akses fisik atau logis ke sebuah bangunan,
komputer, server, atau jaringan. Biasanya untuk mendapatkan informasi yang dibutuhkan untuk
mendapatkan data rahasia.
Cisco melaporlam bahwa para pelaku memanfaatkan tujuh sifat manusia untuk menarik seseorang agar
mengungkapkan informasi atau melakukan tindakan tertentu:
1. Belas kasihan.
2. Keserakahan.
3. Data tarik.
4. Kemalasan.
5. Kepercayaan.
6. Urgensi.
7. Kesombongan.
Menetapkan prosedur dan kebijakan berikut dan melatih orang untu mengikutinya dapat membantu
meminimalkan rekayasa sosial:
1. Jangan pernah membiarkan orang-orang mengikuti anda ke bangunan yang terlarang.
2. Jangan log-in ke komputer lain, terutama jika anda memiliki akses administratif.
3. Jangan pernah memberikan informasi sensitif melalui telepon atau e-mail.
4. Jangan pernah membagikan kata sandi atau ID pengguna.
5. Waspadalah bila orang yang tidak anda kenal berusaha mendapatkan akses melalui anda.
Pencurian identitas (identity theft): mengambil identitas seseorang, biasanya untuk keuntungan ekonomi
dengan mendapatkan dan menggunakan informasi rahasia secara ilegal, seperti nomor Social Security,
nomor rekening bank atau kartu kredit.
Pretexting: menggunakan skenario ciptaan (dalih) yang menciptakan legitimasi (pernyataan sah) dalam
pikiran target guna meningkatkan kecenderungan bahwa si korban akan membocorkan informasi atau
melakukan sesuatu.
Posing: menciptakan bisnis yang terlihat sah, mengumpulkan informasi pribadi sambil melakukan
penjualan, tetapi tidak pernah mengirim barang.
Phishing: mengirimkan sebuah pesan elektronik seolah dari sebuah perusahaan yang sah, biasanya institusi
keuangan, dan meminta informasi atau verifikasi dari informasi serta sering memberi peringatan mengenai
konsekuensi negatif bila permintaan tersebut tidak dipenuhi. Permintaannya palsu dan informasi yang
dikumpulkan digunakan untuk melakukan pencurian identitas atau untuk mencuri dana dari rekening
korban.
Vishing: phising suara; seperti phising hanya saja korban memasukkan data rahasia melalui telepon.
Carding: kegiatan yang dilakukan pada kartu kredit curian, termasuk melakukan pembelian kecil
secara online untuk memastikan apakah kartu masih valid serta membeli dan menjual nomor kartu kredit
curian.

7
Pharming: mengarahkan lalu lintas situs web ke situs web palsu.
Evil twin: sebuah jaringan nirkabel dengan nama yang sama (disebut Server Set Identifier) seolah menjadi
sebuah titik akses nirkabel yang sah. Pengguna tersambung dengannya karena ia memiliki sinyal nirkabel
yang lebih kuat atau evil twin mengganggu atau menonaktifkan titik akses yang sah. Para pengguna tidak
menyadari bahwa mereka tersambug ke evil twin dan si pelaku mengawasi lalu lintas untuk mencari
informasi rahasia.
Typosquatting/pembajakan URL (URL hijacking): menyiapkan situs web dengan nama sama sehingga
pengguna membuat kekeliruan tipografis ketika memasukkan nama situsweb yang akan dikirim ke situs
yang tidak valid.
Pengganti kode batang QR (QR barcode replacements): pelaku penipuan menyamarkan kode Quick
Response valid dengan stiker yang mengandung kode QR pengganti untuk mengecoh orang-orang ke dalam
situs yang tidak diinginkan yang menginfeksi teleponnya dengan malware.
Tabnapping: secara diam-diam mengubah tab dari browser yang dibuka untuk mendapatkan ID dan kata
sandi pengguna ketika korban masuk kembali ke dalam situs.
Scavenging/dumpster diving: mencari dokumen dan catatan untuk mendapatkan akses ke informasi rahasia.
Metodenya meliputi pencarian kaleng sampah, kotak sampah komunal, dan tempat pembuangan sampah
kota.
Bahu berselancar (shoulder surfing): ketika pelaku mengintip melalui bahu seseorang di tempat umum
untuk mendapatkan informasi seperti nomor PIN ATM atau ID pengguna dan kata sandi.
Loop Lebanon (Lebanese looping): menyisipkan lengan baju ke dalam ATM yang mencegah ATM
mengeluarkan kartu. Pelaku berpura-pura menawarkan bantuan, mengecoh korban dengan memasukkan PIN
lagi. Sekalinya korban menyerah, pencuri mengambil kartu dan menggunakan kartu serta PIN untuk
melakukan penarikan.
Skimming: penggesekan ganda kartu kredit pada terminal yang sah atau menggesekkan kartu secara diam-
diam pada pembaca kartu yang kecil dan tersembunyi untuk merekam data kartu kredit untuk penggunaan
berikutnya.
Chipping: berpura-pura sebagai seorang jasa ahli dan menanamkan chip kecil yang merekam data transaksi
pada sebuah pembaca kartu yang sah. Chip tersebut kemudian dipindahkan untuk mengakses data yang
terekam di dalamnya.
Menguping (eavesdropping): mendengarkan komunikasi pribadi atau menyadap ke dalam transmisi data
yang ditunjukan kepada orang lain. Salah satu cara untuk memotong sinyal adalah dengan menyiapkan
penyadapan.

MALWARE
Malware: segala perangkat lunak yang digunakan untuk membahayakan.
Spyware: perangkat lunak yang secara diam-diam mengawasi dan mengumpulkan informasi pribdai
mengenai pengguna dan mengirimkannya kepada orang lain, biasanya tanpa izin pengguna komputer.
Infeksi spyware, yang biasnya tidak disadari pengguna disesbabkan oleh:
 mengunduh program file-sharing, peralatan sistem, permainan, wallpaper, screen saver, musik, dan
video.
 sejumlah situs yang secara diam-diam mengunduh spyware. Hal ini disebut dengandrive-by
downloading.
 Seorang hacker menggunakan celah keamanan di situs browser dan perangkat lunak lainnya.
 Malware berpura-pura menjadi perangkat lunak keamanan antispyware.
 Sebuah worm atau virus.
 Jaringan nirkabel publik (public wireless network).

8
Adware: spyware yang menyebabkan iklan banner pada monitor, mengumpulkan infromasi mengenai
penjelajahan situs dan kebiasaan pengguna, dan mengirimkannya kepada pencipta adware, biasanya sebuah
organisasi periklanan atau media. Adwarebiasanya terkait dengan freeware dan shareware yang diunduh
dari internet.
Perangkat lunak torpedo (torpedo software): perangkat lunak yang menghancurkanmalware saingan.
Terkadang mengakibatkan "peperangan malware" di antara pengembang yang bersaing.
Scareware: perangkat lunak berbahaya tidak ada manfaat yang dijual menggunakan taktik menakut-nakuti.
Ransomware: perangkat lunak yang mengenkripsi program dan data sampai sebuah tebusan dibayarkan
untuk menghilangkannya.
Keylogger: perangkat lunak yang merekam akivitas komputer, seperti keystroke penggunae-mail dikirim dan
diterima, situs web yang dikunjungi, dan partisipasi pada sesi obrolan.
Trojan horse: satu set instruksi komputer yang tidak diotorisasi dalam sebuah program yang sah dan
berfungsi dengan semestinya.
Bom waktu (time bombs)/bom logika (logic bombs): sebuah program yang tidak aktif hungga beberapa
keadaan atau suatu waktu tertentu memicunya. Setelah dipicu, program akan menyabotase sistem dengan
menghancurkan program atau data.
Pintu jebakan (trap door)/pintu belakang (back door): sebuah set instruksi komputer yang
memungkinkan pengguna untuk memotong kendali normal sistem.
Packet sniffer: program yang menangkap data dari paket-paket informasi saat mereka melintasi jaringan
internet atau perusahaan. Data tangkapan disaring untuk menemukan informasi rahasia atau hak milik.
Program steganografi (steganography program): sebuah program yang dapat menggabungkan informasi
rahasia dengan sebuah file yang terlihat tidak berbahaya, kata sandi melindungi file, mengirimnya ke mana
pun di dunia, di mana file dibuka dan informasi rahasia disusun ulang. Host file masih dapat didengar atau
dilihat karena indra penglihatan dan pendengaran menusia tidak cukup sensitif untuk mendapati sedikit
penurunan kualitas gambar atau suara.
Rootkit: sebuah cara penyamaran komponen sistem dan malware dari sistem pengoperasian dan program
lain, dapat juga memodifikasi sistem pengoperasian.
Superzapping: penggunaan tanpa izin atas program sistem khusus untuk memotong pengendalian sistem
reguler dan melakukan tindakan ilegal. Utilitas Superzap awalnya dibuat untuk menangani kondisi darurat,
seperti pemulihan sebuah sistem yang rusak.
Virus: sebuah segmen dari kode yang dapat dieksekusi yang melekatkan dirinya ke sebuah file, program,
atau beberapa komponen sistem lainnya yang dapat dieksekusi. Ketika program tersembunyi terpicu, virus
membuat perubahan tanpa izin agar sebuah sistem beroperasi.
Worm: serupa dengan virus, kecuali jika ia adalah sebuah program bukan sebuah segmen kode yang
tersembunyi dakam sebuah program host. Worm juga menggandakan dirinya sendiri secara otomatis dan
secara aktif mengirimkan dirinya langsung ke sistem lain.
Bluesnarfing: mencuri daftar kontak, gambar, dan data lain dengan menggunakan cacat dalam
aplikasi Bluetooth.
Bluebugging: mengambil kendali atas telepon orang lain untuk membuat atau mendengarkan panggilan,
mengirim atau membaca pesan teks, menghubungkan ke internet, meneruskan panggilan korban, dan
menghubungi nomor yang membebankan tarif.

9
 BAB 7
PENGENDALIAN DAN SISTEM INFORMASI AKUNTANSI

ANCAMAN - ANCAMAN ATAS SISTEM INFORMASI AKUNTANSI

1. Kehancuran karena bencana alam dan politik, contoh : kebakaran , banjir , peperangan
2. Kesalahan pada software dan tidak berfungsinya peralatan , contoh : kegagalan hardware , kegagalan
OS , kesalahan pada software
3. Tindakan yang tidak sengaja (kecelakaan), contoh : kecelakaan akibat kesalahan manusia , hilangnya
data , sistem tidak memenuhi kebutuhan perusahaan
4. Tindakan sengaja (kejahatan komputer), contoh : sabotase , pencurian , penipuan melalui komputer
Alasan ancaman-ancaman SIA meningkat :
1. Informasi tersedia bagi para pekerja tidak baik
2. Sulit mengendalikan sistem komputer utama yang terpusat
3. Khawatir karena sistem dan data mereka diberikan kepada pelanggan dan pemasok , namun banyak
organisasi yang tidak secara memadai melindungi data mereka karena:
i. Masalah pengendalian komputer sering sekali diremehkan dan dianggap minor
ii. Implikasi-implikasi pengendalian tidak benar-benar dipahami
iii. Banyak perusahaan yang tidak menyadari bahwa keamanan data merupakan hal yang tidak
penting bagi perusahaan mereka
iv. Tekanan dari produktivitas dan biaya membuat pihak manajemen melepas ukuran-ukuran
pengendalian yang memakan waktu
Pengendalian dan keamanan komputer penting
Komputer memberikan kesempatan bagi organisasi untuk meningkatkan pengendalian internalnya .
 Ancaman (threat) : potensi kejadian yang tidak diharapkan yang dapat membahayakan
 Pajanan (exposure) ancaman : potensi kerugian dalam bentuk uang yang terjadi apabila sebuah ancaman
benar-benar terjadi
 Risiko yang berhubungan dengan ancaman : kemungkinan terjadinya ancaman
TINJAUAN MENYELURUH KONSEP-KONSEP PENGENDALIAN
 Pengendalian internal (internal control) : rencana organisasi dan metode bisnis yang digunakan untuk
menjaga aset,memberikan informasi yang akurat dan andal,mendorong memperbaiki efisiensi jalannya
organisasi,mendorong kesesuaian dengan kebijakan.
 Struktur pengendalian internal (internal control structure) : kebijakan dan prosedur yang dibuat untuk
memberikan tingkat jaminan yang wajar atas pencapaian tujuan organisasi .
 Tiga fungsi penting pengendalian internal :
a. Pengendalian untuk pencegahan (preventive control ) : mencegah timbulnya suatu masalah
sebelum mereka mucul
b. Pengendalian untuk pemeriksaan (detective control) : mengungkap masalah begitu masalah
muncul
c. Pengendalian korektif (corrective control) : memecahakan masalah yang ditemukan oleh
pengendalian untuk pemeriksaan
Penelitian oleh Committe of Sponsoring Organizations (COSO)
Penelitian COSO mendefinisikan pengendalian internal sebagai proses yang diimplementasikan oleh dewan
komisaris,pihak manajemen dan mereka yang berada di bawah arahan keduanya,untuk memberikan jaminan
wajar bahwa tujuan pengendalian dicapai dengan pertimbangan :
1. Efektifitas dan efisiensi operasional organisasi
10
 2. Keandalan laporan keuangan
3. Kesesuaian dengan hukum dan peraturan yang berlaku
Menurut COSO , pengendalian internal adalah proses menembus kegiatan operasional organisasi dan
merupakan bagian integral dari kegiatan manajemen dasar .
Komponen model pengendalian internal COSO :
1. Lingkungan pengendalian
2. Aktivitas pengendalian
3. Penilaian risiko
4. Informasi dan komunikasi
5. Pengawasan
Penelitian oleh Information System Audit and Control Foundation (ISACF)
Dalam kerangka tersebut :
1. Pihak manajemen melakukan perbandingan praktik keamanan dan pengendalian dalam Teknologi
Informasi (TI)
2. Pemakaian pelayanan TI adanya pengendalian dan keamanan yang memadai
3. Para auditor memverifikasi pendapat mereka atas pengendalian internal
Isu pengendalian dalam kerangka tersebut yaitu tujuan bisnis,sumber daya TI,proses TI .
1. LINGKUNGAN PENGENDALIAN
Faktor-faktor pengendalian :
1. Komitmen atas integritas dan nilai-nilai etika
2. Filosofi pihak manajemen dan gaya beroperasi
3. Struktur organisasional
4. Badan audit dewan komisaris
5. Metode untuk memberikan otoritas dan tanggung jawab
6. Kebijakan dan praktik-praktik dalam SDM
7. Pengaruh-pengaruh eksternal

2. AKTIVITAS-AKTIVITAS PENGENDALIAN
Prosedur-prosedur pengendalian :
1. Otorisasi transaksi dan kegiatan yang memadai
Otorisasi (authorization) adalah pemberdayaan untuk melakukan supervisi setiap aktivitas dan
keputusan membuat kebijakan yang akan diikuti oleh para pegawainya untuk melaksanakannya .
Pemisahan tugas
Pemisahan tugas efektif dicapai ketika fungsi-fungsi
 Otorisasi – menyetujui transaksi dan keputusan
 Pencatatan – memersiapkan rekonsiliasi dan laporan kinerja
 Penyimpanan – menangani kas , memelihara tempat penyimpanan persediaan , menerima cek yang
masuk dari pelanggan , menulis cek atas rekening bang organisasi
2. Desain dan penggunaan dokumen serta catatan yang memadai
Bentuk an isinya harus dijaga agar tetap sederhana untuk mendukung pencatatan yang efisiensi ,
meminimalkan kesalahan pencatatan dan memfasilitasi peninjauan serta verifikasi.
3. Penjagaan aset dan catatan yang memadai
Prosedur-prosedur untuk menjaga aset :
 Mensupervisi dan memisahkan tugas secara efektif
 Memelihara catatan aset
 Membatasi akses secara fisik ke aset
11
  Melindungi catatan dan dokumen
 Mengendalikan lingkungan
 Pembatasan akses ke ruang komputer
4. Pemeriksaan independen atas kinerja
Berbagai jenis pemeriksaan independen :
 Rekonsiliasi dua rangkaian catatan yang dipelihara secara terpisah
 Perbandingan jumlah aktual dengan yang dicatat
 Pembukuan berpasangan
 Jumlah total batch (jumlah total kontrol)
Terdapat 5 total batch dalam sistem komputer:
i. Jumlah total keuangan (financial total) jumlah dalam field nilai uang
ii. Jumlah total lain-lain (hash total) jumlah field yang biasanya tidak ditambahkan
iii. Jumlah catatan (record count) jumlah dokumen yang diproses
iv. Jumlah baris (line record) jumlah baris data yang dimasukkan
v. Uji kesesuaian baris dan kolom (cross-footing balance test) banyaknya lembar kerja yang
memiliki jumlah total baris dan kolom .
 Peninjauan independen

3. PENILAIAN RISIKO
Identifikasi Ancaman
 Strategis , melakukan hal yang salah
 Operasional , melakukan hal yang benar , tetapi dengan cara yang salah
 Keuangan , adanya kerugian sumber daya keuangan , pemborosan , pencurian atau pembuatan
kewajiban yang tidak tepat
 Informasi , menerima informasi yang salah atau tidak relevan , sistem yang tidak andal , dan
laporan yang tidak benar atau menyesatkan
Perkiraan Risiko
Menunjukkan risiko yang lebih besar karena probabilitas kemunculannya lebih besar/
Perkiraan Pajanan (Exposure)
Risiko dan pajanan harus diperhitungkan bersama-sama , karena apabila salah satu meningkat , maka baik
materiaitas ancaman atau kebutuhan untuk melindunginya , akan meningkat .
Identifikasi Pengendalian
Pengendalian untuk pencegahan , pemeriksaan dan korektif saling melengkapi dan sistem pengendalian
internal yang baik perlu menggunakan ketiga-ketiganya .
Perkiraan Biaya dan Manfaat
Manfaat dari prosedur pengendalian adalah perbedaan antara perkiraan kerugian dengan prosedur
pengendalian , dan perkiranaan kerugian tanpa adanya prosedur pengendalian .
Menetapkan Efektivitas Biaya Manfaat (Cost-Benefit Effectiveness)
Dalam mengevaluasi biaya dan manfaat suatu pengendalian internal , pihak manajemen harus
mempertimbangkan faktor-faktor lain di luar faktor-faktor dalam perhitungan perkiraan manfaat .

4. INFORMASI DAN KOMUNIKASI

Tujuan utama dari SIA adalah mencatat , memproses , menyimpan , meringkas dan mengkomunikasikan
informasi atas suatu organisasi . Hal ini berati akuntan harus memahami bagaimana transaksi di awali , data
didapat dalam bentuk yang dapat dibaca oleh mesin , file komputer diakses dan diperbaharui , data diproses

12
untuk mempersiapkan sebuah informasi dan informasi dilaporkan ke para pemakai internal dan pemakai
eksternal .
Menurut AICPA , SIA memiliki tujuan :
1. Mengidentifikasi dan mencatat semua transaksi yang valid
2. Mengklasifikasi transaksi secara tepat
3. Mencatat transaksi pada nilai moneter yang tepat
4. Mencatat transaksi dalam periode akuntansi yang tepat
5. Menampilkan secara tepat semua transaksi dan pengungkapan yang berkaitan dalam laporan keuangan

5. MENGAWASI KINERJA
Metode utama untuk mengawasi kinerja mencakup supervisi yang efektif , pelaporan yang bertanggung jawab
dan audit internal .
Supervisi yang Efektif
Supervisi yang efektif yaitu melatih dan mendampingi pegawai,mengawasi kinerja, mengoreksi kesalahan dan
melindungi aset dengan cara mengawasi pegawai bagian tersebut.
Akuntansi Pertanggungjawaban
Mencakup anggaran,kuota,jadwal,biaya standar, dan standar kualitas,laporan kinerja yang membandingkan
kinerja yang aktual dengan kinerja yang direncanakan, serta menunjukkan perbedaan yang signifikan ,
prosedur untuk menyelidiki perbedaan yang signifikan dan mengambil tindakan tepat pada waktunya untuk
mengoreksi perbedaan yang ada .
Audit Internal
Mencakup peninjauan ulang keandalan dan integritas informasi keuangan dan operasional serta menyediakan
penilaian keefektifan pengendalian internal , penilaian kesadaran pegawai terhadap prosedur dan kebijakan
manajemen , hukum dan peraturan yang berlaku .

BAB 8
Trust Services Framework mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi secara
bersamaan terhadap keandalan sistem:
1. Keamanan (security) - akses (baik fisik maupun logis) terhadap sistem dan data di dalamnnya
dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiaity) - informasi keorganisasian yang sensitif (seperti rencana pemasaran,
rahasia dagang) terlindungi dari pengungkapan yang tanpa izin.
3. Privasi (privacy) - informasi pribadi tentang pelanggan, pegawai, pemasok, atau rekan kerja hanya
dikumpulkan, digunakan, diungkapkan, dan dikelola sesuai dengan kepatuhan terhadap kebijakan
internal dan persyaratan peraturan eksternal serta terlindungi dari pengungkapan yang tanpa izin.
4. Integritas Pemrosesan (processing integrity) - data diproses secara akurat, lengkap, tepat waktu,
dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (avaibility) - sistem dan informasinya tersedia untuk memenuhi kewajiban operasional
dan kontraktual.

DUA KONSEP KEAMANAN INFORMASI FUNDAMENTAL

KEAMANAN MERUPAKAN MASALAH MANAJEMEN, BUKAN HANYA MASALAH TEKNOLOGI
Walaupun keamanan informasi yang efektif mensyaratkan penggunaan alat-alat berteknologi
seperti firewall, antivirus, dan enkripsi, keterlibatan serta dukungan manajemen senior juga jelas menjadi
dasar untuk keberhasilan. Manajemen senior harus berpartisipasi dalam pengembangan kebijakan karena
13
mereka harus memutuskan sanksi yang akan diberikan terhadap tindakan ketidak patuhan. Manajemen
senior juga harus mengotorisasi investasi sumber daya yang diperlukan untuk mengatasi ancaman yang
teridentifikasi serta mencapai level keamanan yang dikehendaki.

DEFENSE-IN-DEPTH DAN MODEL KEAMANAN INFORMASI BERBASIS WAKTU

Defense-in-depth: menggunakan berbagai lapisan pengendalian untuk menghindari sebuah poin kegagalan.
Model keamanan berbasis waktu (time-based model of security): penggunaan kombinasi perlindungan
preventif, detektif, korektif yang melindungi aset informasi cukup lama agar memungkinkan organisasi
untuk mengenali bahwa sebuah serangan tengah terjadi dan mengambil langkah-langkah untuk
menggagalkannya sebelum informasi hilang atau dirusak.

MEMAHAMI SERANGAN YANG DITARGETKAN

Langkah-langkah dasar yang dilakukan para penjahat untuk menyerang sistem informasi suatu perusahaan
adalah:
1. melakukan pengintaian.
2. mengupayakan rekayasa sosial (attemp social engineering). Rekayasa sosial (social
engineering): menggunakan tipuan untuk mendapatkan akses tanpa izin terhadap sumber daya
informasi.
3. memindai dan memetakan target (scan and map the target).
4. penelitian (research).
5. mengeksekusi serangan (execute the attack).
6. menutupi jejak (cover tracks).
PENGENDALIAN PREVENTIF
Manajemen harus menciptakan sebuah budaya "sadar keamanan" dan pegawai harus dilatih untuk mengikuti
kebijakan-kebijakan keamanan serta mempraktikkan perilaku komputasi yang aman,

ORANG-ORANG: PENCIPTAAN SEBUAH BUDAYA "SADAR-KEAMANAN"

COBIT 5 secara spesifik mengidentifikasi budaya dan etika organisasi sebagai salah satu dari fasilitator
kritis untuk keamanan informasi yang efektif. Untuk menciptakan sebuah budaya sadar keamanan agar para
pegawai mematuhi kebijakan keorganisasian, manajemen puncak tidak hanya harus mengomunikasikan
kebijakan keamanan organisasi, tetapi juga harus memandu dengan mencontohkannya.

ORANG-ORANG: PELATIHAN
COBIT 5 mengidentifikasi kemampuan dan kompetensi pegawai sebagai sebuah fasilitator kritis lainnya
untuk keamanan informasi yang efektif. Para pegawai harus memahami cara untuk mengikuti kebijakan
keamanan organisasi. Oleh karena itu, pelatihan adalah sebuah pengendalian preventif yang kritis.

PROSES: PENGENDALIAN AKSES PENGGUNA

Penting untuk memahami bahwa "orang luar" bukan satu-satunya sumber ancaman. Seorang pegawai
mungkin tidak puas karena berbagai alasan (contoh: tidak dipromosikan) dan mencoba balas dendam, atas
mungkin melakukan korupsi karena kesulitan keuangan, atau mungkin juga memaksa untuk diberi informasi
sensitif. Oleh karena itu, organisasi perlu menerapkan satu set pengendalian yang dirancang untuk
melindungi aset informasi mereka dari penggunaan dan akses tanpa izin yang dilakukan oleh pegawai.

14
PENGENDALIAN AUNTENTIKASI
Autentikasi (authentication): memverifikasi identitas seseorang atau perangkat yang mencoba untuk
mengakses sistem. Tiga tanda bukti yang dapat digunakan untuk memverifikasi identitas seseorang:
1. sesuatu yang mereka ketahui, sepertu kata sandi atau personal identification number(PIN).
2. sesuatu yang mereka miliki, sepertu kartu pintar atau badge ID.
3. beberapa karakteristik fisik atau perilaku (disebut dengan pengidentifikasi biometri(biometric
identifier): sebuah karakteristik disik atau perilaku yang digunakan sebagai informasi keaslian),
seperti sidik jari atau pola tulisan.
Autentikasi multifaktor (multifactor authentication): penggunaan dua atau lebih jenis tanda bukti
autentikasi secara bersamaan untuk mencapai tingkat keamanan yang lebih ketat.
Autentikasi multimodal (multimodal authentication): penggunaan berbagai tanda bukti autentikasi dari
jenis yang sama untuk mencapai tingkay keamanan yang ketat.

PENGENDALIAN OTORISASI
Otorisasi (authorization): proses memperketat akses pengguna terotorisasi atas bagian spesifik sistem dan
membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan.
Matriks pengendalian akses (access control matrix): sebuah tabel yang digunakan untuk
mengimplementasikan pengendalian otorisasi.

Uji kompabilitas (compability test): mencocokkan tanda bukti autentikasi pengguna terhadap matriks
pengendalian akses untuk menentukan sebaiknya pegawai diizinkan atau tidak untuk mengakses sumber
daya dan melakukan tindakan yang diminta.

SOLUSI TI: PENGENDALIAN ANTIMALWARE

Salah satu dari bagian COBIT 5 DSS05.01 mendaftar perlindungan malware sebagai salah satu dari kunci
keamanan yang efektif, merekomendasikan secara spesifik:
1. edukasi kesadaran perangkat lunak jahat.
2. pemasangan alat perlindungan anti-malware pada seluruh perangkat.
3. manajemen terpusat atas sejumlah patch dan memberbarui perangkat lunak anti-malware.
4. tinjauan teratur atas ancaman malware baru.
5. menyaring lalu lintas masuk untuk mengeblok sumber malware potensial.
6. melatih pegawai untuk tidak memasang perangkat lunak yang dibagikan atau tidak disetujui.
SOLUSI TI: PENGENDALIAN AKSES JARINGAN
Sebagian besar organisasi menyediakan para pegawai, pelanggan, dan pemasok dengan akses jarak jauh
terhadap sistem informasi mereka. Biasanya, akses ini dilakukan melalui internet, tetapi beberapa organisasi
masih mengelola jaringan hak milik mereka sendiri atau menyediakan akses dial-up langsung melalui
modem.

PERTAHANAN PERIMETER: ROUTER, FIREWALL, DAN SISTEM PENCEGAHAN GANGGUAN

Border router: sebuah perangkat yang menghubungkan sistem informasi organisasi ke internet.
Firewall: sebuah perangkat keras yang bertujuan khusus atau perangkat lunak yang bekerja pada sebuah
komputer bertujuan umum yang mengendalikan baik komunikasi masuk maupun keluar antara sistem di
balik firewall dan jaringan lainnya.
Demilitarized zone (DMZ): sebuah jaringan terpisah yang berada di luar sistem informasi internal
organisasi serta mengizinkan akses yang dikendalikan dari internet.

15
BAGAIMANA ARUS INFORMASI PADA JARINGAN: TINJAUAN MENYELURUH TCP/IP DAN
ETHERNET

Router: perangkat bertujuan khusus yang didesain untuk membaca bagian alamat sumber dan tujuan pada
header paket IP untuk memutuskan selanjutnya akan mengirim (rute)paket ke mana.

Mengendalikan Akses dengan Paket Penyaringan

Access Control List (ACL): seperangkat aturan IF-THEN yang digunakan untuk menentukan tindakan
untuk paket yang tiba.
Penyaringan paket (packet filtering): sebuah proses yang menggunakan berbagai bagian pada header IP
dan TCP paket untuk memutuskan tindakan yang dilakukan pada paket.
Deep packer inspection: sebuah proses yang memeriksa data fisik sebuah paket TCP untuk mengendalikan
lalu lintas, bukan hanya melihat informasi pada header IP dan TCP.
Sistem pencegah gangguan (instrusion prevention- IPS): perangkat lunak atau perangkat keras yang
mengawasi pola-pola dalam arus lalu-lintas untuk mengidentifikasi dan mengeblok serangan secara
otomatis.

Menggunakan Defense-in-Depth untuk Membatasi Akses Jaringan

Salah satu dimensi lain dari konsep defense-in-depth: penggunaan multi-firewall internet untuk membuat
segmentasi departemen berbeda di dalam organisasi.

MENGAMANKAN KONEKSI DIAL-UP

Remote Authentication Dial-in User Servise (RADIUS): sebuah metode standar untuk memverifikasi
identitas pengguna yang berupaya untuk terhubung melalui akses dial-in.
War dialing: mencari sebuah modem menganggur dengan memprogram sebuah kompuer untuk memanggil
ribuan lini telepon.

MENGAMANKAN AKSES NIRKABEL

 menyalakan fitur keamanan yang tersedia.
 membuktikan keabsahan seluruh perangkat yang digunakan untuk menetaokan akses nirkabel ke
jaringan sebelum menentukan sebuah alamat IP untuk mereka.
 mengatur seluruh perangkat nirkabel terotorisasi agar hanya beroperasi pada modus infrastruktur
yang memaksa perangkat untuk hanya terhubung ke titik akses nirkabel.
 menggunakan nama yang noninformatif sebagai alamat titik akases yang disebut dengan service set
identifier (SSID).
 mengurangi kekuatan publikasi dari titik akses nirkabel, menempatkannya pada interior gedung, dan
menggunakan antena pengarahan untuk membuat penerimaan lokal tana izin menjadi lebih sulit.
 mengenkripsi seluruh lalu lintas nirkabel.
SOLUSI TI: PENGENDALIAN PENGUKUHAN PERALATAN DAN PERANGKAT LUNAK
Endpoint: istilah kolektif untuk stasiun kerja, server, printer, dan perangkat lain yang meliputi jaringan
organisasi.

16
KONFIGURASI ENDPOINT
Kerentanan (vulnerabilities): cacat pada program yang dapat dimanfaatkan baik untuk merusak sistem
maupun mengambil kendalinya.
Pemindai kerentanan (vulnerabilities scanners): alat otomatis yang didesain untuk mengidentifikasi
apakah sebuah sistem bawaan memiliki program yang tidak digunakan dan tidak perlu serta menunjukkan
ancaman keamanan potensial.
Pengukuhan (hardening): proses memodifikasi konfigurasi dasar endpoint untuk mengeliminasi
pengaturan dan layanan yang tidak perlu.

MANAJEMEN AKUN PENGGUNA

Praktik manajemen COBIT 5 DDS05.04 menekankan kebutuhan untuk secara hati-hati mengelola seluruh
akun pengguna, terutama akun-akun yang memiliki hak terbatas (administratif) pada komputer.

DESAIN PERANGKAT LUNAK

Limpahan buffer, injeksi SQL, dan cross-site scripting adalah contoh umum dari serangan terhadap
perangkat lunak yang dijakankan dalam situs.

SOLUSI TI: ENKRIPSI

Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses tanpa izin terhadap
informasi sensitif.

KEAMANAN FISIK: PENGENDALIAN AKSES

Sudah menjadi hal mendasar untuk mengendalikan akses fisik terhadap sumber daya informasi karena
seorang penyerang yang ahli hanya membutuhkan beberapa menit untuk akses fisik langsung tanpa
pengawasan untuk menembus pengendalian keamanan informasi yang ada.

PENGENDALIAN PERUBAHAN DAN MANAJEMEN PERUBAHAN

Pengendalian perubahan dan manajemen perubahan (change control and change
management): proses formal yang digunakan untuk memastikan bahwa modifikasi pada perangkat keras,
perangkat lunak, atau pada proses tidak mengurangi keandalan sistem. Beberapa karakteristik proses
pengendalian perubahan dan manajemen perubahan yang didesain dengan baik melibatkan:
 dokumentasi seluruh permintaan perubahan, pengidentifikasian sifat perubahan, rasionalitasnya,
tanggal permintaan, dan hasil permintaan.
 persetujuan terdokumentasi atas seluruh permintaan perubahan dilakukan oleh tingkat manajemen
yang sesuai.
 pengujian seluruh perubahan menggunakan sebuah sistem yang terpisah, bukan hanya yang
digunakan untuk proses bisnis harian.
 pengendalian konversi memastikan bahwa data ditransfer secara akurat dan lengkap dari sistem lama
ke sistem baru.
 pembaruan seluruh dokumentasi untuk menunjukkan implementasi perubahan terbaru.
 sebuah proses khusus untuk peninjauan, persetujuan, dan dokumentasi secara tepat waktu atas
"perubahan darurat" segera setelah krisi terjadi.

17
  pengembangan dan dokumentasi rencana "mundur" untuk mempermudah pengembalian ke
konfigurasi sebelumnya jika perubahan baru menciptakan masalah yang tidak diharapkan.
 pengawasan dan peninjawan dengan cermat atas hak dan keistimewaan pengguna selama proses
perubahan untuk memastikan bahwa pemisahan tugas yang sesuai telah ditetapkan.
PENGENDALIAN DETEKTIF
ANALISIS LOG
Analisis Log: proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan.

SISTEM DETEKSI GANGGUAN

Intrusion detection system (IDS): sebuah sistem yang menghasilkan sejumlah log dari seluruh lalu lintas
jaringan yang diizinkan untuk melewati firewall kemudian menganalisis log-log tersebut sebgai tanda atas
gangguan yang diupayakan atau berhasil dilakukan.

PENGUJIAN PENETRASI
Uji penetrasi (penetration test): upaya terotorisasi untuk menerobos ke dalam sistem informasi organisasi.

PENGAWASAN BERKELANJUTAN
Praktik COBIT 5 menekankan pentingnya pengawasan berkelanjutan dan kepatuhan pegawai terhadap
kebijakan keamanan informasi organisasi serta kinerja keseluruhan proses bisnis.

PENGENDALIAN KOREKTIF
COMPUTER INCIDENT RESPONSE TEAM (CIRT)
Tim perespons insiden komputer (computer incident response team- CIRT): sebuah tim yang
bertanggung jawab untuk mengatasi insiden keamanan utama. Empat tahapan dalam CIRT:
1. Pemberitahuan (recognition) adanya sebuah masalah.
2. Penahanan (containment) masalah.
3. Pemulihan (recovery).
4. Tindak lanjut (follow up).
CHIEF INFORMATION SECURITY OFFICER (CISO)
CISO harus memiliki tanggung jawab untuk memastikan bahwa penilaian kerentanan dan risiko dilakukan
secara teratur serta audit keamanan dilakukan secara periodik.

MANAJEMEN PATCH
Exploit: sebuah program yang didesain untuk memanfaatkan dari kerentanan yang diketahui.
Patch: kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan tertentu.
Manajemen patch (patch management): proses untuk secara teratur menerapkan patchdan memperbarui
perangkat lunak.

IMPLIKASI KEAMANAN VIRTUALISASI DAN CLOUD

Virtualisasi (virtualization): menjalankan berbagai sistem secara bersamaan pada satu komputer fisik.
Komputasi Cloud (cloud computing): menggunakan sebuah browser untuk mengakses perangkat lunak,
penyimpanan data, perangkat keras, dan aplikasi dari jarak jauh.

18
 BAB 9
Pembahasan berikut meliputi dua prinsip lain dari keandalan sistem dan Trust Service Framework: menjaga
kerahasiaan kekayaan intelektual sebuah organisasi dan menjaga privasi informasi pribadi yang dikumpulkan
dari pelanggan, pegawai, pemasok, dan rekan bisnis. Selain itu pembahasan berikut akan membahas enkripsi
secara mendetail karena ia merupakan alat penting untuk melindungi baik kerahasiaan maupun privasi.

MENJAGA ERAHASIAAN
Empat tindakan dasar yang harus dilakukan untuk menjaga kerahasiaan atas informasi sensitif adalah sebagai
berikut:
1. mengidentifikasi dan mengklarifikasi informasi yang dilindungi.
2. mengenkripsi informasi.
3. mengendalikan akses atas informasi.
4. melatih para pegawai untuk menangani informasi secara tepat.
IDENTIFIKASI DAN KLARIFIKASI INFORMASI UNTUK DILINDUNGI
Langkah pertama untuk melindungi kerahasiaan kekayaan intelektual dan informasi bisnis sensitif lainnya
adalah mengidentifikasi letak informasi tersebut disimpan dan orang yang mengaksesnya. Langkah
selanjutnya adalah mengklarifikasikan informasi untuk organisasi berdasarkan nilainya.

MELINDUNGI KERAHASIAAN DENGAN ENKRIPSI

Enkripsi adalah alat yang sangat penting dan efektif untuk melindungi kerahasiaan. Ia adalah satu-satunya
cara untuk melindungi informasi dalam lalu lintasnya melalui internet. Enkripsi juga merupakan bagian yang
diperlukan dari defense-in-depth untuk melindungi informasi yang disimpan dalam situs atau di dalam
sebuah cloud publik.

MENGENDALIKAN AKSES ATAS INFORMASI

Manajemen hak informasi (information rights management - IRM): perangkat lunak yang menawarkan
kemampuan tidak hanya untuk membatasi akses terhadap file atau dokumen tertentu, tetapi juga memerinci
tindakan-tindakan (baca, salin, cetak, unduh, dsb) individu yang diberi akses terhadap sumber daya tersebut
agar dapat melakukannya. Beberapa perangkat lunak IRM bahkan memiliki kemampuan untuk membatasi
keistimewaan akses untuk periode waktu tertentu dan menghapus file yang dilindungi dari jarak jauh.
Pencegahan kehilangan data (data loss prevention - DLP): perangkat lunak yang bekerja seperti program
antivirus secara terbalik, mengeblok pesan-pesan keluar (baik e-mail, IM, dll.) yang mengandung kata-kata
atau frasa-frasa kunci yang terkait dengan kekayaan intelektual atau data sensitif lain yang ingin dilindungi
organisasi.
Watermark digital (digital watermark): kode yang terlekat dalam dokumen yang memungkinkan sebuah
organisasi untuk mengidentifikasi informasi rahasia yang telah diungkapkan.

PELATIHAN
Pelatihan adalah pengendalian yang paling penting untuk melindungi kerahasiaan. Para pegawai harus
mengetahui jenis informasi yang dapat mereka bagikan dengan orang luar dan jenis informasi yang perlu
dilindungi.
19
PRIVASI
Prinsip privasi Trust Services Framework erat kaitannya dengan prinsip kerahasiaan, perbedaan utamanya,
yaitu ia lebih fokus pada perlindungan informasi pribadi mengenai pelanggan, pegawai, pemasok, atau rekan
bisnis daripada data keorganisasian.

PENGENDALIAN PRIVASI
Data masking: sebuah program yang melindungi privasi dengan mengganti informasi pribadi dengan nilai-
nilai palsu.

PERMASALAHAN PRIVASI
Spam: e-mail yang tidak diinginkan yang mengandung baik periklanan maupun konten serangan.
Organisasi harus mengikuti panduan Controlling the Assault of Non-Solicited Pornography and
Marketing (CAM-SPAM) atau risiko sanksinya. Ketentuan utamanya meliputi:
 identitas pengirim harus ditampilkan dengan jelas di header pesan.
 field subjek pada header harus mengidentifikasikan dengan jelas pesan sebagai contoh periklanan atau
permintaan.
 bagian isi pesan harus menyediakan penerima dengan sebuah tautan aktif yang dapat digunakan untuk
memilih keluar dari e-mail di masa depan.
 bagian isi pesan harus menyertakan alamat pos pengirim yang valid.
 organisasi tidak boleh mengirim e-mail komersial ke alamat-alamat yang diperoleh secara acak dan
tidak boleh membuat situs yang di desain untuk "mengambil" alamate-mail dari calon pelanggan.
Pencurian identitas (identity theft): mengasumsikan identitas seseorang, biasanya untuk keuntungan
ekonomi.

REGULASI PRIVASI DAN PRINSIP-PRINSIP PRIVASI YANG DITERIMA SECARA

UMUM (GENERALLY ACCEPTED PRIVACY PRINCIPLES - GAAP)
Sepuluh praktik terbaik yang diakui secara internasional untuk melindungi privasi informasi pribadi para
pelanggan adalah:
1. Manajemen. Organisasi perlu membuat satu set prosedur dan kebijakan untuk melindungi privasi
informasi pribadi yang mereka kumpulkan dari para pelanggan, begitu pula dengan informasi tentang
pelanggan mereka yang diperoleh dari pihak ketiga seperti biro kredit.
2. Pemberitahuan. Organisasi harus memberikan pemberitahuan tenteng kebijakan dan praktik
privasinya pada saat atau sebelum organisasi tersebut mengumpulkan informasi pribadi dari para
pelanggan atau sesegera sesudahnya.
3. Pilihan dan persetujuan. Organisasi harus menjelaskan pilihan-pilihan yang disediakan kepada para
individu serta mendapatkan persetujuannya sebelum mengumpulkan dan menggunakan informasi
pribadi mereka.
4. Pengumpulan. Organisasi hanya boleh mengumpulkan informasi yang diperlukan untuk memenuhi
tujuan yang dinyatajan dalam kebijakan privasinya. Cookie: sebuahfile teks yang diciptakan oleh
sebuah situs web dan disimpan dalam hard drivepengunjung. Cookie menyimpan informasi mengenai
siapa pengguna tersebut dan tindakan yang telah dilakukan pengguna di situs tersebut.

20
 5. Penggunaan dan retensi. Organisasi harus menggunakan informasi pribadi para pelanggan hanya
dengan cara yang dideskripsikan pada kebijakan privasi yang dinyatakan dan menyimpan informasi
tersebut hanya selama informasi tersebut diperlukan untuk memenuhi tujuan bisnis yang sah.
6. Akses. Organisasi harus memberikan individu dengan kemampuan mengakses, meninjau,
memperbaiki, dan menghapus informasi pribadi yang tersimpan mengenai mereka.
7. Pengungkapan kepada pihak ketiga. Organisasi harus mengungkapkan informasi pribadi
pelanggannya hanya untuk situasi dan cara yang sesuai dengan kebijakan privasi organisasi serta hanya
kepada pihak ketiga yang menyediakan tingkatan perlindungan privasi yang sama, sebagaimana
organisasi sebelumnnya yang mengumpulkan informasi tersebut.
8. Keamanan. Organisasi harus mengambil langkah-langkah rasional untuk melindungi informasi
pribadi para pelanggannya dari kehilangan atau pengungkapan yang tak terotorisasi.
9. Kualita. Organisasi harus menjaga integritas informasi pribadi pelanggannya dan menggunakan
prosedur yang memastikan informasi tersebut akurat secara wajar.
10. Pengawasan dan penegakan. Organisasi harus menugaskan satu pegawai atau lebih guna
bertanggung jawab untuk memastikan kepatuhan terhadao kebijakan privasi yang dinyatakan.
ENKRIPSI
Enkripsi (encryption): proses mentransformasikan teks normal, disebut plaintext, ke dalam raban yang tidak
dapat dibaca, disebut chipertext.
Plaintext: teks normal yang belum dienkripsi.
Chipertext: plaintext yang diubah menjadi raban yang tidak dapat dibaca menggunakan enkripsi.
Deskripsi: mengubah chipertext kembali menjadi plaintext.
Berikut langkah-langkah dalam proses enkripsi dan deskripsi:

FAKTOR-FAKTOR YANG MEMENGARUHI KEKUATAN ENKRIPSI

PANJANG KUNCI
Kunci yang lebih panjang memberikan enkripsi yang lebih kuat dengan mengurangi jumlah blok-blok
berulang pada chipertext.

ALOGARITME ENKRIPSI
Jenis alogaritme yang digunakan untuk mengombinasikan kunci dan plaintext adalah sangat penting.

KEBIJAKAN UNTUK MENGELOLA KUNCI KRIPTOGRAFI

Manajemen kunci kriptografi sering kali merupakan aspek penting yang paling rentan dari sistem enkripsi.

JENIS-JENIS SISTEM ENKRIPSI

Sistem enkripsi simetris (symmetric encryption system): sistem enkripsi yang menggunakan kunci yang
sama untuk mengenkripsi dan mendeskripsi.
Sistem enkripsi asimetris (asymmetric encryption system): sistem enkripsi yang menggunakan dua kunci
(satu publik, lainnya privat), keduanya dapat mengenkripsi, tetapi hanya kunci pencocokan lainnya yang dapat
mendeskripsi.
Kunci publik (public key): salah satu kunci yang digunakan dalam sistem enkripsi asimetris. Kunci ini
didistribusikan secara luas dan tersedia bagi siapa pun.
Kunci privat (private key): salah satu kunci yang digunakan pada sistem enkripsi asimetris. Kunci ini
dirahasiakan dan diketahui hanya oleh pemilik dari sepasang kunci publik dan privat.
Key escrow: proses penyimpanan sebuah salinan kunci enkripsi dalam lokasi yang aman.
Berikut perbandingan sistem enkripsi simetris dan asimetris:

21
HASHING
Hashing: mengubah plaintext sepanjang apa pun ke dalam sebuah kode singkat yang disebut hash.
Hash: plaintext yang telah diubah menjadi kode singkat.

Beikut perbandingan antara hashing dan enkripsi:

TANDA TANGAN DIGITAL

Nonrepudiation: menciptakan persetujuan yang terikat secara hukum yang tidak dapat ditolak secara
unilateral oleh kedua pihak.

22
Tanda tangan digital (digital signature): sebuah hash yang dienkripsi dengan kunci privat milik
pembuat hash.
Berikut langkah menciptakan sebuah tanda tangan digital:

SERTIFIKAT DIGITAL DAN INFRASTRUKTUR KUNCI PUBLIK

Sertifikat digital (digital certificate): sebuah dokumen elektronik yang mengandung kunci publik milik
entitas dan menerangkan identitas pemilik kunci publik tersebut.
Otoritas sertiifikat (certificate authority): sebuah organisasi yang menerbitkan kunci publik dan privat serta
mencatat kunci publik di dalam sertifikat digital.
Infrastruktur kunci publik (public key infrastructure - PKI): sistem untuk menerbitkan sepasang kunci
publik dan privat serta sertifikat digital terkait.

VIRTUAL PRIVATE NETWORK (VPN)

Virtual private network (VPN): menggunakan enkripsi dan autentikasi untuk mentransfer informasi melalui
internet dengan aman sehingga menciptakan sebuah jaringan privat "virtual".
23
 BAB 10
INTEGRITAS PEMROSESAN
Prinsip Integritas Pemrosesan dari Trust Service Framework menyatakan bahwa sebuah sistem yang dapat
diandalkan adalah sistem yang menghasilkan informasi akurat, lengkap, tepat waktu, dan valid. Berikut
aplikasi pengendalian untuk integritas pemrosesan:

PENGENDALIAN INPUT
Frasa "sampah masuk", "sampah keluar" menunjukkan pentingnya pengendalian input.

BENTUK DESAIN
1. Seluruh dokumen sumber harus dinomori sebelumnya secara berurutan. Prenumbering tersebut
meningkatkan pengendalian dengan memperbolehkannya untuk memverifikasi bahwa tidak ada
dokumen yang hilang.
2. Dokumen turnaround (turnaround document): sebuah catatan atas data perusahaan yang
dikirimkan ke pihak eksternal dan kemudian dikembalikan oleh pihak eksternal tersebut untuk
selanjutnya di input ke sistem.
PEMBATALAN DAN PENYAMPAIAN SUMBER
Dokumen-dokumen sumber yang telah dimasukkan ke dalam sistem harus dibatalkan sehingga mereka tidak
dapat dengan sengaja atau secara tidak jujur dimaksukkan ulang ke dalam sistem.

PENGENDALIAN ENTRI DATA

Pengendalian manual harus dilengkapi dengan pengendalian enti data otomatis berikut:
 Pengecekan field (field check): sebuah pengecekan edit yang menguji apakah karakter pada
sebuah field adalah jenis yang tepat (misalnya data numerik dalamfield numerik).
 Pengecekan tanda (sign check): sebuah pengecekan yang memverifikasi apakah data pada
sebuah field memiliki tanda aritmetika yang sesuai.
 Pengecekan batas (limit check): sebuah pengecekan edit yang menguji sebuah numerik terhadap
nilai tetap.
 Pengecekan jangkauan (range check): sebuah pengecekan edit yang menguji apakah sebuah item
data berada pada batas terendah dan tertinggi yang telah ditentukan sebelumnya.
24
  Pengecekan ukuran (size check): sebuah pengecekan edit yang memastikan bahwa
data input sesuai dengan field yang ditentukan.
 Pengecekan (atau pengujian) kelengkapan (completeness check/test): sebuah pengecekan edit
yang memverifikasi bahwa seluruh data yang diperlukan telah dimasukkan.
 Pengecekan validitas (validity check): sebuah tes edit yang membandingkan kode ID atau nomor
rekening dalam data transaksi dengan data serupa di dalam file induk untuk memverifikasi bahwa
rekening tersebut ada.
 Tes kewajaran (reasonableness check): sebuah pengecekan edit dari kebenaran logis hubungan
pada item data.
 Nomor ID resmi (seperti nomor pegawai) dapat berisi cek digit (check digit).Verifikasi cek
digit (check digit verification): menghitung ulang sebuah cek digit untuk memverifikasi bahwa
kesalahan entri data belum dibuat.
PENGENDALIAN TAMBAHAN ENTRI DATA PEMROSESAN BATCH
 Pemrosesan batch bekerja lebih efisien jika transaksi-transaksi disortir, sehingga rekening-rekening
yang terkena dampak berada dalam urutan yang sama dengan catatan di
dalam file induk. Pengecekan berurutan (sequence check): sebuah pengecekan edit yang
menentukan apakah batch atas input data berada di dalam urutan numerik atau alfabetis yang tepat.
 Sebuah log kesalahan yang mnegidentifikasikan kesalahan input data (tanggal, penyebab, masalah)
memudahkan pemeriksaan tepat waktu dan pengumpulan ulang atas transaksi yang tidak dapat
diproses.
 Total batch (batch total): jumlah dari item numerik untuk batch sebuah dokumen, dihitung sebelum
pemrosesan batch, ketika data dimasukkan, dan selanjutnya dibandingkan dengan total yang
dihasilkan komputer setelah tiap langkah pemrosesan untuk memverifikasi data tersebut sudah
diproses dengan benar. Berikut ini tiga total batch yang sering digunakan: 1) Total
finansial (financial total):menjumlahkan sebuah field yang berisi nilai0nilai moneter, 2) Total hash
(hash total): sebuah jenis dari total batch yang dihasilkan dengan menjulahkan nilai-nilai
untuk field yang biasanya tidak akan dijumlahkan, 3) Jumlah catatan (record count): sebuah jenis
dari total batch yang sama dengan jumlah catatan-catatan yang diproses pada suatu waktu tertentu.
PENGENDALIAN TAMBAHAN ENTRI DATA ONLINE
 Prompting: sebuah pengecekan kelengkapan entri data secara online yang meminta tiap-tiap item
yang diperlukan dalam data input dan kemudian menunggu respons yang dapat diterima sebelum
meminta item selanjutnya.
 Verifikasi closed-loop (close-loop verification): sebuah metode validasi inputmenggunakan data
yang dimasukkan ke dalam sistem untuk mengambil dan menampilkan informasi terkait lainnya
sehingga pihak entri data tersebut dapat memverifikasi ketepatan dari data input.
 Sebuah log transaksi menyertakan sebuah catatan mendetail dari seluruh transaksi, termasuk
pengidentifikasian transaksi khusus, tanggal dan waktu entri, serta siapa yang memasukkan transaksi.
PENGENDALIAN PEMROSESAN
 Pencocokan data. Dalam kasus-kasus tertentu, dua atau lebih item dari data harus dicocokan sebelum
sebuah tindakan dilakukan.
 Label file. Label file perlu dicek untuk memastikan bahwa file yang benar dan terkini sedang
diperbarui. Catatan kepala (header record): jenis dari label internal yang muncul di awal
setiap file dan memuat nama file, tanggal kadaluwarsa, dan informasi
identifikasi file lainnya. Catatan trailer (trailer record): jenis dari label internal yang muncul di
akhir sebuah file; dalam file transaksi, catatan trailer memuat totalbatch yang dihitung selama input.

25
  Perhitungan ulang total batch. Total batch harus dihitung ulang setiap masing-masing catatan
diproses, dan total dari batch tersebut harus dibandingkan dengan nilai-nilai dalam catatan
trailer. Kesalahan transportasi (transportation error):sebuah kesalahan yang terjadi ketika angka
dalam dua kolom yang berdekatan dipertukarkan secara tidak sengaja (sebagai contoh 64, ditulis 46).
 Pengujian saldo cross-footing dan saldo nol. Pengujian saldo cross-footing (cross-footing balance
test): sebuah pengendalian pemrosesan yang memverifikasi ketepatan dengan membandingkan dua
cara alternatif dari menghitung total yang sama. Pengujian saldo nol (zero-balance test): sebuah
pengendalian pemrosesan yang memverifikasi bahwa saldo dari rekening kontrol sama dengan nol
setelah seluruh entri pada rekening tersebut telah dibuat.
 Mekanisme write-protection. Mekanisme ini melindungi terhadap menimpa(overwriting) atau
menghapus (erasing) file data yang disimpan dalam media magnetik.
 Pengendalian pembaruan secara bersamaan (concurrent update controls):pengendalian yang
mengunci penggunaan untuk melindungi catatan individu dari kesalahan yang dapat terjadi jika
berbagai pengguna berupaya untuk memperbarui catatan yang sama secara bersamaan.
PENGENDALIAN OUTPUT
Pengendalian output penting meliputi:
 Pemeriksaan pengguna terhadap output. Para pengguna harus dengan cermat
memeriksa output sistem untuk memverifikasi bahwa output-nya masuk akal, lengkap, dan pengguna
adalah penerima yang dituju.
 Prosedur rekonsiliasi. Secara periodik, seluruh transaksi dan pembaruan sistem lainnya harus
direkonsiliasi untuk laporan pengendalian, laporan status/pembaruanfile, atau mekanisme
pengendalian lainnya.
 Rekonsiliasi data eksternal. Total database harus direkonsiliasi secara periodik dengan data yang
dikelola di luar sistem.
 Pengendalian transmisi data. Organisasi juga perlu mengimplementasikan pengendalian yang
didesain untuk meminimalkan risiko kesalahan transmisi data.
Dua pengendalian transmisi data yang umum adalah:
1. Checksum: sebuah pengendalian transmisi data yang menggunakan sebuah hash dari
sebuah file untuk memverifikasi ketepatannya.
2. Bit paritas (parity bit): sebuah bit ekstra yang ditambahkan ke setiap karakter; digunakan untuk
mengecek ketepatan transmisi. Pengecekan paritas (parity checking): sebuah pengendalian
transmisi data di mana perangkat penerima menghitung ulang bit paritas untuk memverifikasi
ketepatan dari data yang ditransmisikan.
PENGENDALIAN INPUT
Setelah transaksi penjualan dimasukkan, sistem menjalankan beberapa pengujian validasi pendahuluan.

PENGENDALIAN PEMROSESAN
Sistem membaca catatan kepala dari field induk pelanggan dan persediaan serta memverifikasi bahwa versi
terbaru sedang dimasukkan.

PENGENDALIAN OUTPUT
Dokumen penagihan dan pengiriman hanya diarahkan kepada pegawai yang diotorisasi di departemen
akuntansi dan pengiriman, yang secara visual menginspeksi dokumen-dokumen tersebut untuk kesalahan
yang jelas.

PENGENDALIAN INTEGRITAS PEMROSESAN DALAM SPREADSHEET

26
Sebagian besar organisasi memiliki ribuan spreadsheet yang digunakan untuk mendukung pembuatan
keputusan.

KETERSEDIAAN
Berikut pengendalian utama yang terkait dengan dua tujuan:

MEMINIMALKAN RISIKO PENGHENTIAN SISTEM

Toleransi kesalahan (fault tolerance): kemampuan dari sebuah sistem untuk terus berfungsi ketika ada
kegagalan perangkat keras.
Redundant arrays of independent drives (RAID): sebuah teknik toleransi kesalahan yang mencatat data
dalam berbagai disk drive bukan hanya satu untuk mengurangi risiko kehilangan data.
Fitu-fitur desain umunya meliputi sebagai berikut:
 lantai yang ditinggikan diberi perlindungan dari kerusakan yang disebabkan oleh banjir.
 pendeteksi api dan perangkat penekan mengurangi kemungkinan kerusakan akibat kebakaran.
 sistem pendingin udara yang memadai untuk mengurangi kemungkinan kerusakan bagi peralatan
komputer karena terlalu panas atau lembab.
 kabel dengan tancapan khusus yang tidak dapat diganti dengan mudah menurunkan risiko kerusakan
sistem karena mencabut tanpa sengaja pada perangkat tersbeut.
 perangkat antipetir memberikan perlindungan terhadap fluktuasi daya temporer yang mungkin
menyebabkan kerusakan komputer dan peralatan jaringan lainnya.
 Uninterruptible power supply (UPS): sebuah perangkat suplai daya alternatif yang melindungi dari
kehilangan daya dan fluktuasi di dalam tingkat daya dengan menggunakan daya baterai untuk
mengaktifkan sistem beroperasi cukup lama mem-backup data penting dan mematikan dengan aman.
 pengendalian akses fisik mengurangi risiko pencurian atau kerusakan.
PEMULIHAN DAN PENERUSAN OPERASI NORMAL
Backup: sebuah salinan dari sebuah database, file, atau program perangkat lunak.
Recovery point objective (RPO): jumlah data yang ingin dimiliki organisasi untuk dimasukkan kembali atau
secara potensial hilang.
Recovery time objective (RTO): waktu maksimum yang dapat ditoleransi untuk mengembalikan sistem
informasi sebuah organisasi setelah sebuah bencana, merepresentasikan jangka waktu yang akan diupayakan
organisasi untuk berfungsi tanpa sistem informasinya.
Real-time monitoring: pemeliharaan salinan-salinan lengkap dari sebuah database pada dua pusat data
terpisah dan memperbarui kedua salinan secara real-time setiap transaksi terjadi.
Berikut hubungan RPO dan RTO:

27
PROSEDUR BACKUP DATA
Backup penuh (full backup): salinan persis dari keseluruhan sebuah database.
1. Backup inkremental (incremental backup): sebuah jenis backup parsial yang melibatkan
penyalinan hanya item-item data yang telah berubah sejak backupparsial. Backup ini memproduksi
sebuah set file backup inkremental, masing-masing mengandung hasil transaksi dari transaksi satu
hari.
2. Backup diferensial (differential backup): salah satu jenis backup parsial yang melibatkan
penyalinan seluruh perubahan yang dibuat sejak backup penuh terakhir. Jadi setiap file
backup diferensial yang baru memuat efek kumulatif dari seluruh aktivitas sejak backup penuh
berakhir.
Berikut perbandingan dari backup harian inkremental dan diferensial:

Arsip (archive): sebuah salinan dari sebuah database, file induk, atau perangkat lunak yang ditahan tanpa
batas sebagai sebuah catatan historis, biasanya untuk memenuhi persyarakat hukum dan peraturan

28
PERENCANAAN PEMULIHAN BENCANA DAN KELANGSUNGAN BISNIS
Rencana pemulihan bencana (disaster recovery plan - DRP): sebuah rencana untuk mengembalikan
kemampuan TI sebuah organisasi akibat kejadian pusat datanya dihancurkan.
Situs dingin (cold site): sebuah pilihan pemulihan bencana yang bergantung pada kases terhadap sebuah
fasilitas alternatif yang diberi kabel sebelumnnya untuk akses telepon dan internet yang diperlukan, tetapi
tidak memuat peralatan komputasi apapun.
Situs panas (hot site): sebuah pilihan pemulihan bencana yang bergantung pada akses terhadap sebuah
pusat data alternatif operasional keseluruhan yang tidak hanya diberi kabel sebelumnnya, tetapi juga memuat
seluruh perangkat keras dan perangkat lunak yang diperlukan.
Rencana continuity plan (business continuity plan - BCP): sebuah rencana yang menspesifikasikan cara
merangkum tidak hanya operasi TI, tetapi seluruh proses bisnis akibat terjadinya kerusakan besar.

EFEK DARI VIETUALISASI DAN KOMPUTASI CLOUD

Virtualisasi dapat secara signifikan ,eningkatkan efektivitas dan efisiensi dari pemiluhan bencana dan
penerusan operasi normal.

BAB 11
PENGAUDITAN SISTEM INFORMASI BERBASIS KOMPUTER

Ada beberapa jenis berbeda dari audit internal:

1. Audit Keuangan, memeriksa keterandalan dan integritas dari transaksi-transaksi keuangan, catatan
akuntansi, dan laporan keuangan
2. Audit Sistem Informasi atau Audit Pengendalian Internal, memeriksa pengendalian dari sebuah SIA
untuk menilai kepatuhannya dengan kebijakan dalam pengamanan aset
3. Audit Operasional, pemeriksaan secara ekonomis dan efesien atas sumber daya dan pencapaian
tujuan
4. Audit Kepatuhan, memntukan apakah entitas mematuhi kebijakan, dan prosedur yang berlaku
5. Audit Investigatif, menguji kejadian dari penipuan yang mungkin terjadi penyalahgunaan atau
aktivitas tata kelola yang buruk
Pengauditan eksternal bertanggung jawab pada para pemegang saham perusahaan. Auditor eksternal
memerlukan kemampuan khusus untuk (1) menentukan bagaimana audit akan dipenuhi oleh TI, (2)
menilai dan mengevaluasi pengendalian TI, (3) mendesain dan menjalankan baik pengujian atas
pengujian TI.
A. SIFAT PENGAUDITAN
Tinjauan Menyeluruh Proses Audit
1. Perencanaan Audit menentukan mengapa, bagaimana, kapan, dan oleh siapa audit akan dilaksanakan.
Terdapat tiga jenis risiko audit:
a. Risiko Bawaan, kelemahan terhadap risiko material karena tidak terjadinya pengendalian internal
b. Risiko Pengendalian, risiko saat suatu salah saji material akan melampaui struktur pengendalian
internal kedalam laporan keuangan

29
 c. Risiko Deteksi, risiko saat para auditor dan prosedur auditnya akan gagal mendeteksi sebuah
kesalahan atau salah saji yang material.
2. Pengumpulan bukti audit
a. Observasi
b. Pemeriksaan atas dokumentasi
c. Diskusi dengan para pegawai
d. Kuesioner
e. Pemeriksaaan fisik atas kuantitas aset berwujud
f. Konfirmasi atas ketepatan informasi
g. Melakukan perhitungan ulang untuk verifikasi informasi kuantitatif
h. Pemeriksaan bukti pendukung untuk validitas dari sebuah transaksi
i. Tinjauan analisis atas hubungan dan trend antar-informasi
3. Evaluasi atas barang bukti audit
a. Auditor mengevaluasi bukti dan memutuskan bukti tersebut mendukung kesimpulan yang
menguntungkan atau tidak.
b. Auditor menentukan materialistas (jumlah kesalahan yang akan mempengaruhi keputusan dari
pengguna informasi) apa yang penting dan tidak penting dalam audit.
c. Auditor mencari penjaminan memadai bahwa tidak ada kesalahan material yang ada dalam
informasi atau proses yang diaudit.
4. Komunikasi audit
Auditor mengirimkan laporan tertulis kepada manajemen, komite audit dan pihak yang
berkepentingan lainnya kemudian ditindaklanjuti.

Pendekatan audit berbasis-resiko

1. Menentukan ancaman yang akan dihadapi perusahaan.
2. Mengidentifikasikan prosedur pengendalian yang mencegah, mendeteksi dan memperbaiki ancaman.
3. Mengevaluasi prosedur pengendalian.
a. Sebuah tinjauan sisitem menentukan apakah prosedur pengendalian benar-benar di laksanakan
b. Uji pengendalian dilakuakan untuk menentukan apakah pengendalian yanga ada berjalan seperti
yang dihendaki
4. Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya dalam jenis waktu atau
tingkat prosedur pengauditan

C. AUDIT SISTEM INFORMASI

Tujuan dalam melakukan audit sistem informasi:
1. Ketentuan keamanan untuk melindungi peralatan komputer program, komunikasi dan data-data dari
modifikasi.
2. Pengembangan dan akuisisi program dilakukan sesuai dengan orientasi umum dan spesifikasi
manajemen.
3. Modifikasi program mendapatkan otorisasi dan persetujuan manajemen.
4. Pemrosesan transaksi, file dan laporan secara tepat dan lengkap.
5. Data sumber yang tidak tepat atau tidak diotorisasi dengan benar diidentifikasikan dan ditangani
berdasarkan kebijakan manajerial yang telah ditentukan.
6. File data komputer tepat, lengkap dan rahasia.

Komponen-komponen sistem informasi dan tujuan audit terkait

30
Tujuan 1: Keamanan Secara Menyeluruh
Kerangka kerja untuk Audit Keamanan Komputer secara Menyeluruh
1. Jenis-jenis kesalahan dan Penipuan
a. Kerusakan yang tidak disengaja atau disengaja pada perangkat keras.
b. Akses yang tidak diotorisasi terhadap sumber daya sistem.
c. Kehilangan data rahasia.
d. Modifikasi yang tidak diotorisasi program dan file data.
2. Prosedur Pengendalian
a. Rencana keamanan/perlindungan informasi
b. Pembatasan atas akses fisik terhadap peralatan komputer
c. Prosedur perlindungan virus
d. File backup dan prosedur pemulihan
3. Prosedur Audit: Tinjauan Sistem
a. Memeriksa dengan seksama situs komputer.
b. Memeriksa kebijakan dan prosedur file backup dan pemulihan.
c. Memeriksa kebijakan dari prosedur penyimpanan dan transmisi data.
d. Menguji log akses sistem.
4. Prosedur Audit: Pengujian Pengendalian
a. Mengamati dan menguji prosedur situs computer.
b. Mengamati persiapan dan penyimpanan offsite atas file backup.
c. Memverifikasi tingkat dan efektivitas dari enkripsi data
d. Memverifikasi prosedur perlindungan virus yang efektif.
5. Pengendalian Kompensasi
a. Kebijakan personel yang kuat.
b. Pengendalian pengguna yang efektif.

Tujuan 2: Pengembangan Program dan Akuisisi

Peran auditor dalam pengembangan sistem sebaiknya sebatas pada pemeriksaan independen atas
aktivitas-aktivitas pengembangan sistem. Untuk menjaga objektivitas, auditor tidak diperbolehkan
membantu pengembangan sistem.
Dua hal yang dapat menjadi kesalahan dalam pengembangan program
1. Kelalaian pemrograman yang berkaitan dengan kurangnya pemahaman tentang spesifikasi sistem
atau pemograman yang teledor
2. Instruksi yang tidak diotorisasi dengan sengaja disisipkan ke dalam program
Untuk menguji pengendalian pengembangan sistem, para auditor harus mewawancarai para manajer
dan pengguna sistem, menguji persetujuan pengembangan, dan memeriksa catatan pertemuan tim
pengembangan.
Kerangka Kerja untuk Audit Pengembangan Program
1. Jenis-jenis kesalahan dan penipuan
a. Kelalaian pemrogaman atau kode program yang tidak diotorisasi.
b. Pemeriksaan atas persetujuan lisensi perangkat lunak.
c. Pengujian menyeluruh atas program baru.
d. Dokumentasi sistem yang lengkap, termasuk persetujuan.
2. Prosedur Audit: Tinjauan Sistem
a. Pemeriksaan independen atas proses pengembangan sistem.
b. Pemeriksaan atas standar evaluasi pemrograman.
c. Pemeriksaan atas standar dokumentasi program dan sistem.
d. Pemeriksaan atas kebijakan dan prosedur persetujuan pengujian.
3. Prosedur Audit: Pengujian Atas Pengendalian
a. Mewawancarai pengguna mengenai keterlibatan dalam sistem.
b. Memverifikasi tujuan sign-off manajemen.
c. Memeriksa spesifikasi, data dan hasil pengujian sistem.
d. Memeriksa persetujuan lisensi perangkat lunak.
4. Pengendalian Kompensasi
a. Pengendalian pemrosesan yang kuat.
b. Pemrosesan independen atas data pengujian oleh audit.

Tujuan 3: Modifikasi Program

Ancaman yang terjadi dalam pengembangan program juga dapat terjadi selama modifikasi program.
Kerangka Kerja untuk Audit Modifikasi Program
1. Jenis-jenis Kesalahan dan Penipuan
a. Kelalaian pemrograman atau kode program yang tidak diotorisasi.
b. Daftar komponen-komponen program yang dimodifikasi.
c. Otorisasi dan persetujuan manajemen atas modifikasi program.
d. Pengendalian akses logis.
2. Prosedur Audit: Tinjauan Sistem
a. Memeriksa kebijakan, standar, dan prosedur modifikasi program.
b. Memeriksa standar evaluasi pemrograman.
c. Memeriksa kebijakan serta prosedur modifikasi.
d. Memeriksa kebijakan dan prosedur pengendalian akses logis.
3. Prosedur Audit: Pengujian Atas Pengendalian
a. Memverifikasi persetujuan sign-off pengguna dan manajemen.
b. Memverifikasi program yang dimodifikasi telah diidentifikasi.
c. Mengamati implementasi perubahan program
d. Pengujian atas perubahan program yang tidak diotorisasi.
4. Pengendalian Kompensatif
a. Pengujian audit independen atas perubahan program yang tidak diotorisasi.
b. Pengendalian pemrosesan yang kuat.
Terdapat tiga cara auditor untuk menguji perubahan program yang tidak diotorisasi:
1. Auditor menggunakan sebuah program untuk membandingkan versi terkini dari program dengan
kode sumber.
2. Auditor memproses ulang data menggunakan kode sumber dan membandingkan output-nya dengan
output perusahaan.
3. Dalam simulasi paralel, auditor menuliskan sebuah program, membandingkan output, dan
menyelidiki segala perbedaan.
Tujuan 4 : Pemrosesan Komputer
Para auditor secara periodik mengevalusi ulang pengendalian pemrosesan untuk memastikan
keterandalan berlanjutnya. Jika mereka tidak puas, pengendalian pengguna dan data sumber mungkin
cukup kuat untuk mengimbangi. Jika tidak, terdapat sebuah kelemahan material, dan langkah-langkah
harus diambil untuk mengeliminasi kekurangan pengendalian.
1. Pengolahan Data Pengujian
Satu cara untuk menguji sebuah program adalah memproses satu set hipotesis atas transaksi yang
valid dan tidak valid. Seluruh path logis harus dicek dengan satu atau lebih transaksi-transaksi
pengujian.

32
 Sumber daya berikut ini berguna ketika mempersiapkan pengujian data :
a. Sebuah daftar atas transaksi-transaksi aktual.
b. Transaksi-transaksi pengujian yang digunakan perusahaan untuk menguji program.
c. Sebuah tes pembuatan data.
Dalam sebuah sistem pemrosesan batch, program perusahaan dan salinan atas file-file yang
relevan digunakan untuk mengolah data pengujian. Dalam sebuah sistem online, para auditor
memasukkan data pengujian dan kemudian mengamati serta mencatat respons sistem.
2. Teknik-Teknik Audit Bersamaan
Teknik audit bersamaan terus-menerus mengawasi sistem dan mengumpulkan bukti-bukti
audit sementara data asli diproses selama jam pengoperasian reguler. Para auditor biasnya
menggunakan lima teknik audit bersama diantaranya :
a. Sebuah integrated test facility (ITF) menyisipkan catatan-catatan fiktif yang merepresentasikan
divisi perusahaan.
b. Dalam teknik snapshot, transaksi-transaksi yang terpilih ditandai dengan sebuah kode khusus.
c. System control audit review file (SCARF) menggunakan modul audit yang dilekatkan untuk
terus-menerus mengawasi aktivitas transaksi.
d. Audit hooks adalah rutinitas audit yang memberitahu para auditor atas transaksi-transaksi
tersebut terjadi.
e. Continous and intermittent simulation (CIS) melekatkan sebuah modul audit dalam sebuah
sistem manajemen database.
Kerangka Kerja Untuk Audit atas Pengendalian Pemrosesan Komputer
1. Jenis-jenis Kesalahan dan Penipuan
a. Kegagalan mendeteksi data input yang salah.
b. Kegagalan untuk tidak mengoreksi kesalahan dengan benar.
c. Distribusi atau pengungkapan yang tidak tepat atas output komputer.
2. Prosedur Pengendalian
a. Rutinitas pengeditan data.
b. Penggunaan yang tepat atas label file internal dan eksternal.
c. Rekonsiliasi atas total batch.
d. Prosedur perbaikan kesalahan yang efektif.
3. Prosedur Audit: Tinjauan Sistem
a. Memeriksa dokumentasi administratif untuk memproses struktur pengendalian.
b. Memeriksa dokumentasi sistem untuk pengeditan data dan pengendalian pemrosesan lainnya.
c. Memeriksa dokumentasi pengoperasian untuk kelengkapan dan kejelasan.

4. Prosedur Audit: Pengujian atas Pengendalian

a. Memverifikasi ketepatan pemrosesan transaksi-transaksi.
b. Mencari kode yang salah atau tidak diotorisasi.
c. Mengecek ketepatan dan kelengkapan pengendalian pemrosesan.
d. Mengawasi sistem pemrosesan online menggunakan teknik-teknik audit bersamaan.
5. Pengendalian Kompensasi
a. Pengendalian pengguna yang kuat dan pengendalian atas data sumber yang efektif.

3. Analisis atas Logika Program

Jika para auditor mencurigai bahwa sebuah program memuat kode yang tidak diotorisasi atau
kesalahan serius, sebuah analisis mendetail atas logika program mungkin diperlukan.

33
 Auditor juga menggunakan paket-paket perangkat lunak berikut :
a. Program bagan alir otomatis, mengartikan kode sumber dan menghasilkan sebuah bagan alir
program.
b. Program tabel keputusan otomatis, mengartikan kode sumber dan menghasilkan sebuah
keputusan.
c. Rutinitas pemindaian, mencari sebuah program untuk seeluruh kejadian atas komponen-
komponen tertentu.
d. Program pemetaan, mengidentifikasi kode program yang tidak dilaksanakan.
e. Penelusuran program, secara berurutan mencetak seluruh langkah-langkah program yang
dilakukan ketika sebuah program berjalan.

Tujuan 5 : Data Sumber

Jika pengendalian data sumber tidak memadai, pengendalian departemen pengguna daan pengolahan
data dapat menggantikannya. Jika tidak, para auditor harus merekomendasikan agar kekurangan dalam
pengendalian data sumber diperbaiki.
Kerangka untuk audit atas Pengendalian Data Sumber
1. Jenis-jenis kesalahan dan penipuan
a. Data sumber yang tidak tepat atau tidak diotorisasi
2. Prosedur pengendalian
a. Otoritas pengguna atas input data sumber.
b. Persiapan dan rekonsiliasi atas total pengendalian batch.
c. Verifikasi digit cek.
d. Verifikasi kunci.
3. Prosedur Audit: Tinjauan Sistem
a. Memeriksa dokumentasi administratif.
b. Memeriksa metode otorisasi dan menguji tanda tangan otorisasi.
c. Memeriksa dokumentasi untuk mengidentifikasi langkah-langkah pemrosesan serta isi dan
pengendalian sumber data.
d. Mendiskusikan pengendalian data sumber dengan personel pengendalian data.
4. Proses audit: Uji Pengendalian
a. Mengamati dan mengevaluasi departemen pengendalian data.
b. Memverifikasi pemeliharaan yang baik.
c. Menguji data sumber untuk otorisasi yang benar
d. Merokonsiliasi total batch dan menindak lanjuti ketidaksesuaian
5. Pengendalian Kompensasi
a. Pengendalian pengguna dan pengolahan data yang kuat

Tujuan 6: File Data.

Pendekatan pengauditan dapat diimplementasikan menggunakan sebuah checklist prosedur bagi
setiap tujuan. Checklist membantu auditor mencapai kesimpulan terpisah untuk tiap-tiap tujuan. Masing-
masing dari enam checklist dilengkapi setiap aplikasi yang signifikan.
Kerangka kerja untuk audit atas pengendalian file data
1. Jenis-jenis kesalahan dan penipuan
a. Penghancuran data tersimpan.
b. Modifikasi atau pengungkapan data tersimpan yang tidak diotorisasi.
c. Prosedur pengendalian.

34
 d. Pengendalian akses login dan sebuah matriks pengendalian akses.
2. Prosedur Audit: Tinjauan Sistem
a. Memeriksa dokumentasi bagi operasi perpustakaan file.
b. Memeriksa kebijakan dan akses logis.
c. Memeriksa standar untuk perlindungan virus.
d. Menguji rencana pemulihan bencana.
3. Prosedur Audit: Pengujian atas Pengendalian
a. Mengamati dan mengevaluasi operasi perpustakaan file.
b. Memeriksa catatan atas penentuan dan modifikasi kata sandi.
c. Mengamati persiapan dan penyimpan off-site atas file backup.
d. Memverifikasi penggunaan efektif atas prosedur perlindungan virus.
4. Pengendalian Kompensasi
a. Pengendalian pengguna dan pengolahan data yang kuat.
b. Pengendalian keamanan computer yang efektif.

D. PERANGKAT LUNAK AUDIT

Computer-assisted audit techniques (CAATs) perangkat lunak audit, disebut sebagai generalized
audit software (GAS), yang menggunakan spesifikasi disediakan auditor untuk menghasilkan sebuah
program untuk menjalankan fungsi audit, sehingga akanmenyederhanakan proses audit. Yang paling
populer adalah Audit Control Language (ACL) dan interactive Data Extraction and Analysis (IDEA).

E. AUDIT OPERASIONAL SIA

Prosedur yang digunakan dalam audit operasional serupa dengan audit atas sistem informasi dan
laporan laporan keuangan. Perbedaan dasarnya adalah lingkup audit. Audit operasional meliputi seluruh
aspek atas manajemen sistem. Tujuan dari audit operasional termasuk mengevaluasi efektivitas, efisiensi,
dan pencapaian tujuan.
Langkah pertama dalam audit operasional adalah perencanaan audit, Langkah selanjutnya
pengumpulan bukti,

35