AUDITING , ASSURANCE AND INTERNAL CONTROL pengendalian intern dilakukan oleh internl auditor disupervisi oleh
Suatu jasa (attestation/pengesahan) yang dilakukan oleh seorang Kecurangan sayangnya meningkat karena perilaku manajemen dan
ahli (auditor) yang kemudian memberikan suatu pendapat terhadap karyawan. Audit semacam ini dilakukan guna mencari bukti-buti yang
penyajian laporan keuangan. Biasanya dilakukan oleh CPA yang dapat mengarah kepada tuntutan hukum. Dapat dilakukan atas
independen dari perusahaan yang di audit. CPA dalam hal ini permintaan perusahaan, dan dilakukan oleh seorang bersertifikat
kreditor, pemerintah dan masyarakat umum. Konsep penting dalamB. The Role of the Audit Committee
audit finansial adalah INDEPENDENSI. Sebelum SOX Law auditor dihire oleh Manajemen perusahaan,
b. Attest Service versus Advisory Services sekarang bertanggung jawabnya kepada Audit Committee yang salah
Belakangan muncul suatu jasa yang diberikan auditor eksternal seorang anggotanya memiliki Financial Expertise guna fungsi chek n
Adanya asersi tertulis (L/K) dan praktisi menulis laporan (LHP) a. Auditing Standards
penyajiannya
disetujui prosedurnya
Sementara Advisory Service adalah jasa profesional oleh KAP untuk b. A Systematic Process
meningkatkan efektifitas dan efisiensi operasional perusahaan klien. Sebuah kerangka kerja logis akan membantu auditor
Jasa tersebut meliputi misalnya saran aktuaria, saran bisnis, jasa mengidentifikasi proses dan data penting. Dalam audit IT pengujian
penyelidikan kecurangan, design sistem informasi dan assesment fisik yang dapat diverifikasi secara visual lebih sedikit sehingga
terhadap pengendalian intern. Pada masa sebelom SOX jasa akan lebih kompleks.
semacam ini diperbolehkan dilakukan sejalan dengan jasa audit, Saat c. Management Assertions and Audit Objectives
ini hal tersebut tidak diperkenankan dan merupakan pelanggaran L/K merupakan refleksi asersi manajemen tentang kesehatan
Fungsi penilaian independen dalam suato organisasi untuk memeriksa Completeness (Lengkap)
dan mengevaluasi aktivitas sebagai suatu jasa bagi organisasi. Right and Obligations (Dimiliki and Kewajiban)
Auditor internal melakukan berbagai aktivitas seperti pemerikasaan Valluation and Allocation (sesuai dengan aturannya)
LK pemeriksaaan kesesuaian aktivitas dengan kebijakan perusahaan, Presentation and Disclosure (klasifikasi dan pengungkapan
kecurangan dalam perusahaan. Audit internal dapat pula dilakukan Auditor harus menentukan apakah L/K disajikan secara wajar
dari pihak luar organisasi. Auditor biasanya bertanggungjawab sehingga procedure pengujian diarahkan untuk membuktikan
kepada komite audit. Gelarnya CISA/CIA kesesuaian asersi manajemen ini dengan standarnya.
Perbedaan utamanya adalah kepada siapa auditor bertanggungjawab, Auditor mencari bukti guna dicocokan dengan asersi manajemen,
auditor eksternal mewakili (merepresentasikan) pihak eksternal dalam lingkup IT termasuk menilai kehandalan IT dan isi DB itu
perusahaan sedang internal auditor mewakili kepentingan sendiri. Test Control dilanjutkan Subtantive Test
e. Ascertaining Materiality COSO: IC adalah suatu proses, dipengaruhi oleh Dewan Direksi,
Sepenuhnya merupakan Auditor judgment..dalam lingkup IT lebih Manajemen dan Personel lain, yang didesain untuk memberikan
complicated mengingat struktur IC juga lebih rumit. keyakinan yang memadai bahwa tujuan-tujuan berikut dapat
Audit report disampaikan kepada pihak yang berminat dan melapor Efektifitas dan Efisiensi Operasi
Resiko audit adalah probabilitas bahwa auditor akan memberikan SEC Acts of 1933 and 1934, market crash->melarang frauds
status WTP yang pada kenyataanya secara material L/K tersebut Copyright Law–1976 Software Violations, Piracy IT
salah saji. Acceptable Audit Risk (AR) terdiri dari: Foreign Corrupt Practices Act (FCPA) of 1977 Record n IC
a. Inherent Risk adalah resiko audit yang merupakan karateristik Sarbanes-Oxley Act of 2002 enron, IC, COSO
unit bawaaan dari bisnis atau industri dari klien itu sendiri (ada b. Internal Control Objectives, Principles, and Models
juga yang bilang resiko level akun sebelum memperhatikan Tujuan dari SPI:
Control Risk disisi lain adalah adanya cacat pada ketiadaan atau Memastikan accuracy dan reliabilitas catatan dan informasi
b. Detection Risk adalah resiko yang dapat diterima auditor bahwa Mengukur kepatuhan thd kebijakan yang telah ditetapkan
error yang gagal dicegah oleh pengendalian gagal juga dideteksi c. Modifying Principles
auditor. Subtantif tes akan semakin besar/dalam dilakukan ketika SPI merupakan tanggungjawab Mgt, bahkan kewajiban hukum
DR lebih kecil..auditor lebih konservatif/lebih hati2. Bentuk pemrosesan data apapun harus mendukung 4 tujuan
c. Audit Risk Model AR=IRxCRxDR Setiap sistem memiliki keterbatasan yang disebabkan oleh:
d. The Relationship Between Tests of Controls and Substantive Errors->No perfect sustem
Tests ..jika hasil uji awal menunjukkan hasil IC memiliki KKN personil
kelemahan/kekurangan maka berarti subtantive test akan lebih Mgt mengabaikan control
luas, sampel lebih banyak dan dalam. IC makin reliable, CR makin Kondisi dinamis dalam industri
rendah, DR makin diturunkan,dan akhirnya Subtantif test akan SPI harus memberikan jaminan yang memadai (Cost < Benefit)
semakin sedikit dan sempit. Jadi buat Mgt buatlah strong IC. d. The PDC Model
Audit Planning, pemahaman terhadap bisnis klien. Bisa melalui entry misalnya. Detective Controls, alat atau teknik dan prosedur
pengamatan, wawancara, review dokumentasi temukan kontrol yang yang didesain mengidentifikasi dan mengekspos error yang lolos PC.
beresiko. Test of Controls adalah phase penentuan apakah internal Ada proses matching dan warning disitu, sistem mengkalkulasi atau
kontrol berfungsi dengan baik untuk dinilai kualitasnya karena akan mencocokan jika tidak sesuai uncul warning,pop up. Corective
menentukan fase berikutnya. Subtantive Testing Detail inspeksi Controls melakukan koreksi jika ditemukan errors,hati2 terhadap
pada akun-akun saldo dan transaksi, sebagian berupa pekerjaan otomatisasi perbaikan,bisa menyebabkan masalah baru…ingat MYOB
fisik. Dalam lingkungan IT dibutuhkan bantuan pengolah data berupa pas entry akun unbalance dia otomatis perbaiki sesuai standarya
dst
relevan dengan pelaporan keuangan. Beberapa hal yang dapat memastikan aplikasi spesifik dapat melakukan fungsinya dengan
menjadi resiko: perubahan dalam bisnis, personel baru, sistem baik dan mengurangi terpaparnya aplikasi dari resiko potensial.
baru, realokasi SD, adopsi standar baru dst. Pengendalianya berupa cek digit, format yang memastikan
Informasi dan Komunikasi: kualitas SIM, Proses susun L/K validitas, kelengkapan dan akurasi transaksi bentuknya bisa cek
Monitoring: Assesment SPI, Special modul di IT ,Laporan digit, echo check, limit cek yang bertujuan untuk memastikan
digunakan untuk memastikan bahwa tindakan yang tepat diambil Terdapat dua pandangan mengenai Pengendalian Umum dan
untuk menghadapi risiko organisasi yang dapat diidentifikasi. Pengendalian Aplikasi. Pendapat pertama menyatakan bahwa
Secara umum dapat diklasifikasikan sbb: pengendalian umum dan aplikasi terpisah (GC merupakan
Pengendalian Fisik (Manusia dalam Acc Sytem) pengendalian fisik (kunci, kartu) sedang AC pure aplikas.
Verifikasi Independen dan Otorisasi Transaksi Pendapat kedua menyatakan bahwa GC dan AC merupakan
Pemisahan Fungsi (Ruhnya IC), hakikatnya adalah mekanisme bentuk pengendalian yang bersinggungan, karena pada
check and balance, saling kontrol sehingga untuk berbuat jahat dasarnya keduanya dilakukan oleh aplikasi, general controls
perlu lebih banyak orang-> gagal oleh kolusi. pada dasarnya merupakan pengendalian yang selayaknya
Otorisasi vs Proses Transaksi (pantas2nya) ada pada suatu sistem (mis Password), contoh
Asset Custody vs Record Keeping pada mesin ATM. (Cek ch 7, IC pondasinya ASI)
Jika mau curangpun perlu minimal 2 orang. f. Audit Implications of SOX Act
Supervisi , kompensasi dari kurangya pemisahan fungsi Pemeriksaan SPI wajib, memperbesar mandat Eksternal Auditor
Catatan Akuntansi (Dokumen sumber, jurnal, ledger).. catatan agar mampu mendeteksi fraud dan menaruh perhatian besar pada
dalam akuntansi ini mengandung jejak audit yang perlu dijaga SPI dalam mencegah fraud. Computer Fraud juga perlu
(preserve) dalam rangka aktifitas operasional (routine dan diperhatikan karena relatif baru dan belum kuat proses hukumnya
monitoring transasksi dengan pelanggan/suplier) dan (UU ITE). Gunakan pendekatan berbasis resiko, karena masing-
mengamankan audit trails. Audit Trails “also called audit log is masing organisasi berbeda karakternya.
and/or destination and source of records that provide AUDITING IT GOVERNANCE CONTROLS
affected at any time a specific operation, procedure, or event” A. Information Technology Governance
Merupakan jejak, utamanya dalam catatan kronologis akuntansi, Tujuan utama dari tata kelola TI adalah untuk :
yang dapat digunakan untuk menentukan apakah suatu peristiwa mengurangi risiko
terjadi atau tidak terjadi yang dapat digunakan sebagai alat memastikan bahwa investasi dalam sumber daya TI menambah
penelusuran dalam proses audit..misal paraf dalam dokumen, log nilai bagi perusahaan.
acces editing data, nomor PO, nomor cek,no bukti,no jurnal dll Sebelum SOX Act, praktek umum mengenai investasi pada TI
yang bisa digunakan menelusur suatu informasi dari awal adalah menyerahkan semua keputusan kepada profesional TI.
(source) sampai ke L/K. Sekarang semua elemen organisasi dituntut aktif berpartisipasi
Kontrol Akses (Authorized Personel Only to acces asset/IT) dalam perencanaan s.d pengembangan TI.
Pengendalian Umum adalah pengendalian yang sifatnya Based on SOX dan COSO ada 3 isu tata kelola IT:
membatasi akses dan mengamankan aplikasi dari yang tidak Organizational structure of the IT function
berhak mengakses, misal berbentuk kunci, password termasuk Computer center operations
access kepada sistem operasi dan DB, application acquisition B. Structure of the Information Technology
and development and prosedur perubahan program dll. a. Centralized Data Processing
Berdasarkan model pengolahan data terpusat, semua pemrosesan Small, powerful, and inexpensive systems. DisDataProc (DDP)
data dilakukan oleh satu atau lebih komputer yang lebih besar melibatkan reorganisasi fungsi IT pusat ke IT unit kecil yang
bertempat di situs pusat yang melayani pengguna di seluruh ditempatkan di bawah kendali pengguna akhir (End Users). Unit
DBA: Central Location, Shared. DBA n teamnya responsible pada atau keduanya.
keamanan dan integritas database. Resikonya mnggunakan model DDP: tidak efisiennya penggunaan
Pemrosesan Data mengelola SDIT terdiri dari: sumber daya, perusakan jejak audit, pemisahan tugas kurang
Konversi Data: HardCopy to SoftCopy (inputable to computer) memadai, meningkatkan potensi kesalahan pemrograman dan
Operasi Komputer: memproses hasil konversi melalui suatu kegagalan sistem serta kurangnya standarisasi.
Data Library: Storage offline data-> Real Time data Procesing biaya, meningkatkan kepuasan pengguna, dan adanya fleksibilitas
Sys Dev and Maintenis: Analisis kebutuhan, partisipasi dalam d. Controlling the DDP Environment
desain sistem baru (Profesional, End Users dan Stakeholder). Central Testing of Commercial Software and Hardware diuji
dalam IT biasanya ada pada maintanance (tidak hanya soal User Services-> ada Chat room, FAQ, Intranet support dll
merawat/membersihkan HW namun lebih kepada tambal sulam Standard-Setting Body -> untuk improve keseragaman prog and
SI. doc
Masalah control yang harus diperhatikan dalam proses data Personnel Review-> ada assesment.
tersentralisasi adalah pengamanan DB. Karena jika accesnya Audit Objective: Tujuan auditor adalah untuk memastikan bahwa
lemah maka seluruh informasi dapat terpapar resiko, bentuk struktur fungsi TI adalah sedemikian rupa sehingga individu di
topologi jaringan juga mempengaruhi keandalan data informasi. daerah yang tidak kompatibel dipisahkan sesuai dengan tingkat
Hal ini akan lebih jelas di appendix. potensi risiko dan dengan suatu cara yang mempromosikan
Audit Procedures:
Centralized
kompatibel.
pengamanan yang sama. Dalam topologi STAR lebih aman karena adalah sbb:
kalo satu mati yg lain relatif tidak terganggu sedang pada a. Identify Critical Applications->Buat daftar aplikasi yang paling
Topologi BUS jika satu titik mati akan menggangu yang lain penting
meskipun secara umum keunggulanya dia lebih cepat dan murah. b. Creating a Disaster Recovery Team ->buat Tim..langgar IC boleh
Sayangnya sistem Bus akan rentan tabrakan data (lebih lengkap c. Providing Second- Site Backup buat lokasi data cadangan
atau kerusakan jaringan maupun software yang mengakibatkan mutual aid pact->dua atau lebih, join SD IT pas bencana
gangguan komunikasi dan pada database, resiko ini berbeda2 empty shell or cold site; ->sewa tempat pada penyedia backup
dalam masing2 topologi jaringan. recovery operations center or hot site; ->sewa full equipped
a. Physical Location : Antisipasi bencana alam maupun manusia cari internally provided backup->buat sendiri (mirroring di tmpt lain)
lokasi yang aman. Audit Objective: The auditor should verify that management’s
b. Construction : kontruksi fasilitas IT-> tunggal, acces terbatas disaster recovery plan is adequate and feasible for dealing with
dan filtrasi bagus. a catastrophe that could deprive the organization of its
d. Air Conditioning : Adequate untuk menjaga database ini berfungsi dengan baik
e. Fire Suppression : Automatic Alarm, Pemadam Api, Exit Door Site Backup…lokasi HW IT dll
f. Fault Tolerance : Toleransi kesalahan adalah kemampuan sistem Daftar Aplikasi penting oke
untuk melanjutkan operasi ketika bagian dari sistem gagal (masih Software Backup.
bisa running kalau ada sesuatu gangguan) karena kegagalan Data dan Dokumentasi Backup.
hardware, error program aplikasi, atau kesalahan operator. Backup Supplies dan Source Documents.
Tujuan auditor adalah untuk mengevaluasi kontrol yang mengatur meningkatkan Kinerja IT (karena keahlian vendor), dan mengurangi
keamanan pusat komputer . Secara khusus , auditor harus biaya TI. Logika yang mendasari outsourcing TI dari teori
memastikan bahwa : kontrol keamanan fisik yang memadai untuk kompetensi inti, yang berpendapat bahwa organisasi harus fokus
cukup melindungi organisasi dari eksposur fisik DAN cakupan secara eksklusif pada kompetensi bisnis intinya saja, sementara
asuransi pada peralatan memadai untuk mengkompensasi outsourcing vendor memungkinkan untuk secara efisien mengelola
kerusakan pusat komputernya daerah non-inti seperti fungsi TI (IT dianggap supporting).
Tests of Physical Construction. Fisik bangunan server, lokasi dan komoditas dan aset TI yang spesifik. Commodity IT assets are
keamanan terhadap HAZARD EVENT. not unique to a particular organization and are thus easily acquired
Tests of the Fire Detection System. in the marketplace sementara Specific IT assets dapat merupakan
Tests of Raid, BU HD (TCE) theory is in conflict with the core competency school by
Tests of the Uninterruptible Power Supply. suggesting that firms should retain certain specific non–core IT
Tests for Insurance Coverage. assets inhouse. Jadi disarankan boleh outsource pada SumberDaya
D. Disaster Recovery Planning IT yang bisa digantikan (SW/HW) atau tidak terlalu kritikal..SD IT
Dengan perencanaan kontinjensi yang hati-hati, dampak dari yang penting dan unggulan bagi organisasi jangan.
bencana dapat diredam dan organisasi dapat pulih dengan cepat. a. Risks Inherent to IT Outsourcing
Untuk bertahan hidup dari peristiwa darurat seperti itu, Failure to Perform
meresmikan mereka ke dalam suatu rencana pemulihan bencana Outsourcing Costs Exceed Benefit
Reduced Security
Loss of Strategic Advantage Previldeged personel menyalahgunakan otoritasnya
b. Audit Implications of IT Outsourcing Individual di dalam dan di luar entitas yang mencari celah system
dapat mengalihkan tanggungjawab manajemen pada penyediaan Individual sengaja atau tidak memasukan virus/bentuk program
Pengendalian Intern yang memadai. SAS 70 merupakan standar yang lain yg merusak
mendefinisikan perlunya auditor mengetahui kontrol jika IT d. Operating System Controls and Audit Tests
dilaksanakan oleh vendor pihak ketiga. Vendornya sendiri tentu Area-area yang perlu diperiksa adalah acces personil yang
diaudit oleh auditornya sehingga IT review dilaksanakan satu kali mendapat previledge, kontrol password (password sekali pakai
saja supaya praktis dan murah. dan berulangkali), kontrol virus dan aplikasi berbahaya dan
SECURITY PART I: AUDITING OPERATING SYSTEMS AND System audit trails (sekumpulan log yang merekam aktivitas
oriented Logs
OS adalah program pengendali komputer, OS memungkinkan user Pastikan fitur audit trails diaktifkan,
dan aplikasi berbagi dan mengakses sumberdaya yang sama seperti Cari akses tanpa otorisasi, periode non aktif user, aktifitas user,
prosesor, memori, printer dan database. Semakin besar entitas waktu log in dan out
maka sumber daya yang perlu diakses makin besar dan OS menjadi Log on yang gagal (indikasi salah acces/coba2)
Menterjemahkan bahasa tingkat tinggi COBOL C++ dll, Mengendalikan Hak Akses
menggunakan translatornya -> yakni Compiler dan Interpreters – Tujuan : verifikasi bahwa hak akses diberikan dengan cara yang
Ch 5 lbh lengkapnya konsisten dengan kebutuhan untuk memisahkan berbagai fungsi yang
komputer melalui 3 cara: Directly, Job Ques dan Links Bentuk kesalahan:
- Lupa
Lima tujuan fundamental yang harus dicapai OS: - Tidak sering mengubah
- Os harus melindungi pengguna dari diirsneidir Tujuan: memastikan bahwa perusahaan memiliki kebijakan kata
- OS harus dilindungi dari dirinya sandi yang memadai dan efektif u mengendalikan akses ke sistem
yang dapat mengakses OS dan SD IT dan apa saja yang bisa - Worm (mirip virus, bedanya replika masih dikendalikan
dilakukannya. induknya)
Prosedur Log-ON pertahanan pertama, salah brp x blokir - Bom Logika (waktu sudah diatur)
Token Akses -> mengandung KeyInfo:user ID, pass,previledge - Trojan Horse (menangkap ID dan kata sandi)
Acces Control List (daftar kesaktian user) - Spoofing (tipuan pesan seolah2 asli)
Tujuan Audit: verifikasi bahwa ada kebijakan manajemen yang a. The Flat-File Approach
efisien untuk mencegah masuknya objek yg merusak. Data files yang mengandung record dengan tanpa memiliki
Mengendalikan jejak audit elektronik hubungan yang terstruktur dengan file lain. Sering dihubungkan
Adalah daftar yang dapat didesain untuk mencatat berbagai dengan legacy system (sistem warisan) udah jadul namun masih
aktifitas dalam tingkat sistem, aplikasi dan pengguna. ada yang pakai. Pendekatannya single user, sistem mainframe
Ada 2 jenis: yang besar user tidak berbagi data dengan end user lainnya.
- Data terperinci setiap ketikan (key stroke monitoring) Format sesuai kebutuhan satu orang Ketika end user lain
- Daftar berorientasi pada peristiwa. (event) membutuhkan data yang sama untuk tujuan yang berbeda, mereka
- Mendeteksi akses tidak sah ke sistem kebutuhan mereka. Replikasi-replikasi ini merupakan kelemahan
- Rekonstruksi peristiwa model ini disebut data redudancy yang mengakibatkan masalah
Alat : ACL o Data Storage: Data yang umum dan digunakan bersama disimpan
- Pengguna yang tidak sah sendiri2, terduplikasi diseluruh level organisasi..boros space
- Periode ketidak aktifan o Data Updating-:Banyak data pada file acuan dan file master yang
- Aktivitas disusun berdasarkan pengguna, kelompok dll memerlukan pembaharuan berkala, apdetnya harus satu2.
- Waktu logon dan logoff o Currency of Information: Kegagalan untuk membaharui semua
- Usaha untuk logon yg gagal file pemakai yang terpengaruh jika ada perubahan dalam status
- Akses ke file untuk aplikasi tertentu. menghasilkan keputusan berdasar pada informasi ga uptodate.
Terdiri dari 2 jenis perintah: kebutuhannya berubah, informasi dibatasi oleh data yang dikuasai
- System resident command (perintah yang ada dalam dan dikendalikannya saja.
- Pengendalian akses yang lemah (DBMS) suatu software khusus yang diprogram untuk mengatur
- Pemisahan pekerjaan yang tidak memadai (dapat diatasi lalulintas DB dan menggunakan mekanisme otorisasi akses.
- Risiko kerugian fisik database umum sehingga dapat dibagi dengan pemakai lainnya.
- Risiko Kehilangan data Keunggulanya ya: mengatasi seluruh masalah dalam flat file
- Virus
- Risiko pengembangan dan pemeliharaan yg tidak memadai. C. 4 Key Elements of the Database Environment
- Verifikasi ada pengendalian u melindungi data, akses DBMS menyediakan pengendalian untuk membantu atau mencegah
- Verfikasi ada prosedur pembuatan cadangan - Program Development, berisi Aplikasi Pengembangan Program
- Verifikasi sistem bebas dari virus. membuat backup copy di physical database
- Database Usage Reporting, ciri ini menyatakan data statistik apa
yang digunakan, kapan mereka gunakan dan siapa yang Kriteria mempengaruhi pemilihan struktur data:
- Database Access, ciri yang sangat penting yaitu memberikan ijin - Penggunaan ruang penyimpanan
otorisasi untuk dapat mengakses, baik formal maupun informal - Kapasitas pemrosesan transaksi
nama dan hubungan semua unsur data, dokumen/catatan, dan - Akomodasi pertumbuhan file
file yang terdapat di dalam database. Field= item tunggal dari data (nama pelanggan, saldo)
External View/User View ->subskema pandangan dari - Many to many (Dua arah).
user File = sumber daya, peristiwa, pelaku yang akan dipilih untuk
Formal Access-App Interfaces: Ada dua jalan untuk Database = serangkaian file berkaitan erat, bersama-sama membuat
pengguna mengakses database, salah satunya adalah dengan aplikasi mampu melayani pengguna.
aplikasi formal interface, atau pake informal seperti Data Enterprise Database= serangkaian file data umum seluruh bagian
Manipulation Language dan Structured Query Languange dari perusahaan. (oracle, dot ner, microsoft).
(mumet)
dengan cara yang mudah dipahami oleh pemakai. Ada tiga model
data
membentuk tuples (record). Berisi kesatuan data yang sama mengijinkan akses lokal ke data dan mengurangi volume data yang
tetapi tidak sama persis, untuk dicatat dalam sistem file flat. harus dikirim antara unit IT.
Tabel harus dinormalisasi dan masing2 atribut dalam row Database yang dipartisi/didistribusi dapat mengurangi efek
bergantung kepada primary key atau independen atribut yang potensial kerusakan.
lain. Kan lbh detail di ch 8. The Deadlock Phenomenon -> Pada lingkungan terdistribusi,
Kunci primer pada sisi satu, kunci asing pada sisi banyak. dimungkinkan bagi site ganda saling mengunci satu sama lain dari
antisipasinya oke.
Replicated Databases
a. Centralized Databases
Pengendalian DBMS dikelompokkan menjadi dua yaitu: pengendalian (child). Pada transaksi batch berikutnya, anak menjadi master
akses (access control) dan pengendalian backup. file, file parent yang asli naik menjadi backup (grantparent)
o Access Controls Direct Access file Backup Nilai data pada akses langsung diubah
Adalah pengendalian yang dirancang untuk mencegah individu tempatnya dalam suatu proses yang dinamakan destructive
tanpa otorisasi menampilkan, memanggil, merusak, dan replacement. Oleh karena itu, sekali data berubah, nilai asli
menghancurkan data entitas. Fitur: dihancurkan, dan hanya meninggalkan satu versi terbaru.
User Views Adalah subset dari total database yang Off-Site Storage Adalah tempat penyimpanan backup baik pada
menegaskan domain data pemakai dan menyediakan akses ke GPC maupun pendekatan langsung rorpada tempat yang aman di
database (tampilan yang diijinkan per user melihat (DB). luar site.
membatasi tindakan yang dapat diambil pemakai. Teknik ini Verifikasi bahwa pengendalian pembuat cadangan berfungsi
sama dengan daftar pengendalian akses yang digunakan dalam efektif dalam melindungi file dari kerusakan fisik, kehilangan,
pemakai untuk menciptakan program keamanan personalatau Pengendalian backup untuk lingkungan database menyediakan sistem
rutin untuk menciptakan identifikasi pemakai positif lebih backup dan pemulihan sebagai berikut (lebih rawan):
Data Encryption, data ecryption digunakan untuk melindungi Transaction Log (Journal) The transaction log adalah fitur yang
data yang sifatnya sangat sensitif. Dengan prosedur data menyediakan jejak audit seluruh transaksi yang diproses.
encryption maka penyusup data tidak dapat membaca data Checkpoint Feature Adalah fasilitas yang menunda seluruh proses
karena database di-scramble sementara data sedang diperbaiki (proses pemulihan data)
Biometric Devices adalah prosedur yang menggunakan alat transaction log dan database mengubah log database.
biometrik untuk mengukur berbagai macam karakteristik Recovery Module Modul ini menggunakan logs dan backup untuk
personal, seperti sidik jari. memulai kembali setelah sistem mengalami kegagalan
adalah menyediakan ringkasan dan data statistik pengambilan Verifikasi bahwa pengendalian atas sumber daya data memadai
keputusan bagi pengguna. untuk menjaga integritas dan keamanan fisik basis data.
Tujuan Audit:
Verifikasi bahwa otoritas akses basis data dan hak khusus diberikan A. Application Controls
kepada pengguna sesuai dengan kebutuhan logis mereka. Prosedur program pengendalian intern yang didesain untuk
Adalah pengendalian untuk memastikan bahwa kejadian kehilangan uang. App controls terdiri dari:
data akibat akses tanpa otorisasis, kegagalan perangkat, atau a. Input Controls
kerusakan fisik organisasi dapat diperbaiki oleh database Bertugas untuk membawa data dari ke dalam sistem untuk
Backup Controls in the Flat-File Environment Teknik backup yang akurat dan lengkap. Dapat dipicu oleh batch maupun secara
digunakan tergantung pada media atau struktur file. langsung (direct). Dalam dokumen sumber biasanya melibatkan
GPC Backup Technique Grant-parent-child backup adalah teknik manusia dan oleh karenanya rentah kesalahan klerikal yang sering
yang digunakan dalam sistem batch file sekuensial. Prosedur tidak terdeteksi nanti ada opsi data realtime. Beberapa jenis
backup dimulai ketika file master sekarang (parents) diproses pengendalian dalam input control adalah sbb:
Source document controls Expiration date checks->cek file ga kepake,agar tidak kedelete
dan masuk sistem lalu menghilangkan aset perusahaan Dalam sistem batch ketika ada Input error perlu dilakukan
control : PreNumbered SD, Sequence Limited Acces, Periodic correction, ada tiga jenis penanganan error yang umum dalam
Cek integritas kode data dalam pemrosesan-Nomor rek Create an Error File-> delayed, pisahkan dari sistem buat laporan
Customers, Nomor Inventory, No Akun dll sistemnya bahwa data tsb error
Errors-> Transkripsi (penambahan, pengurangan,subtitusi) dan Reject Entire Batch-> tolak sluruh batch untuk diproses
Control: Check Digit (penjumlahan atau menggunakan modulus 11) GDIS menstandarisasi validasi input dengan level kontrol tinggi.
tapi makan Space (nambah record), baiknya untuk yg penting Ada 3 keuntungan pake GDIS:
saja) Improve control melalui satu sistem validasi umum yang sama
Rekonsiliasi antara input dan output pada transaski dengan Meningkatkan efisiensi sistem
volume tinggi guna memastikan seluruh data terekam, tidak dobel Elemennya: GDIS module, Data File Tervalidasi, Error File, Error
entry dan jejak audit terjaga (inc proses n output control). Reports, Log Transaksi.
Dengan mengumpulkan tipe input yang sama dalam satu batch b. Processing Controls
Elemen: No Batch, tgl, Kode transaksi, Jumlah Rec, Nilainya, Menggunakan batch untuk memonitor batch ketika dia bergerak
Jumlah data non financial ( Hash totalbuat alat kontrol aja, dari satu prosedur program ke prosedur program lain. Kontrol ini
Deteksi error sblm transaksi diproses, bisa memerlukan untuk Recalculate Control Totals-mengecek kembali nilai2 dalam batch,
merefer ke master file sebaiknya sedekat mungkin dengan has total dibandingkan dengan data master.
Field Interogation: melakukan validasi di level karakter dalam Operators Intervention Controls
Field jenis checknya: Operator kadang diperlukan dalam mengintervensi suatu kegiatan
Missing data check (blank) cek apakah ada field yg kosong dan hal ini meningkatkan potensi human error. Sistem sedapat
Numeric-alphabetic->isi field apakah huruf/bilangan mungkin memmbatasi intervensi manusia, jika tidak dapat
Limit check->cek nilai field apakah melebihi standarnya Audit Trails Controls
Range check->batas atas dan bawah Dalam sistem terkomputerisasi jejak audit akan terpecah-pecah
Validity check->bandingkan dengan data master dan lebih sulit diikuti. Sehinga dokumentasi sistem sangat
Check digit->sama dengan diatas itu pake modulus 11 diperlukan untuk dijaga. Beberapa cara menjaga jejak audit :
Record Interogation: validasi seluruh catatan dengan menguji Transactions Logs-mencatat seluruh aktivitas sistem
Sequence Checks-> urutan (batch) sudah sesuai atntrian? Unique Transaction Identifiers
File Interogation: Memastikan bahwa file yang benar yang Error Listings-Laporkan agar diperbaiki
diproses sistem sangat penting untuk master files yg menyimpan c. Output Controls
data relatif permanen. Output controls adalah SPI yang memastikan bahwa hasil
Internal Label Checks->label disk di dalam (bukan diluar) keluaran sistem tidak hilang, salah sasaran, berkurang/rusak
Version Checks->versi filenya apakah sesuai..1.0? beta? atau melanggar privasi. Kegagalan dalam menjaga output dapat
mengakibatkan dampak serius bagi perusahaan seperti kehilangan Untuk data sensitive dapat menggunakan tas berpengaman
SD ekonomi, penurunan citra bahkan tuntutan hukum. Otput kunci/pin, dikawal petugas keamanan atau End User sendiri yang
secara umum terbagi dua yakni Batch Control System (lebih End Users
rentan karena adanya intervensi operator/program) dan Realtime Cek kembali dokumen yg diterima, jika ada kejanggalan laporkan
Controlling Batch System Output Data digunakan dan disimpan perhatikan ruang yang aman,
Dalam Batch System, output biasanya berupa HardCopy (Cek, perhatikan waktu retensi sesuai hukum (pajakk) jika tidak
Laporan, PO,dll) dan dalam prosesnya sebagaimana bagan diatas, digunakan hancurkan dengan baik.
memerlukan perantara baik manusia maupun program dari mulai Controlling RTS
proses sampai dengan distribusi. Hasil output tampil langsung dilayar.,terminal atau printernya end
Dalam pengolahan data skala besar-> terjadi backlogged, hasil manusia. Ancaman terbesarnya sama seperti resiko dalam
pengolahan sistem mengantri untuk dicetak (bottleneck)-> sistem internet dan intranet yaitu:
membuat suatu file output dalam disk daripada membebani Equipment Failures (HW, SW maupun LINES Comm)
Dalam tahap ini output file rentan diacces oleh penjahat cyber Employes)
yang dapat mengubah, mengcopy secara illegal atau bahkan B. Testing Computer Application Controls
Harus ada akses kontrol yang baik dan backup file output Tidak menguji berdasarkan pada pengetahuan mendetail mengenai
Print logika dibalik aplikasi yang di audit (gak perlu faham MYOBnya) .
Setelah spooling, dan SD printer tersedia -> printer akan Lebih kepada memahami flowchart, wawancara dengan client dsb.
mencetak, biasanya ada intervensi operator berupa mengganti Dengan pemahaman itu auditor mengetes sendiri dokumen input
kertas, mengatur mempause, menyesuaikan margin, tinta dsb dan direkonsiliasi dengan outputnya sehingga dapat
Resiko :Operators copy secara illegal/membaca data rahasia memperkirakan programnya sudah complince atau belum.
Controlnya: Prenumbered untuk memastikan seluruh cetakan Aplikasinya sendiri kurang diperhatikan detilnya. Umumnya pada
lengkap, supervisi, gunakan kertas multipart berkarbon (gesek aplikasi yang sederhana.
Hasil cetakan dipilah-pilah dan disusun ulang, ada Operator - Diuji secara langsung
Risk-> Illegal copy, menghilangkan halaman, baca data rahasia - Tidak perlu paham aplikasi tsb
Cetakan yg tidak sempurna, karbon copy dibuang b. White-Box Approach (Through Computer)
Ceroboh-> dapt dimanfaatkan , ada akes data teknis dan Harus memiliki pemahaman mengenai aplikasinya secara mendalam
informasi penting lainnya dalam dokumen rusak sekalipun (pengetahuan MYOBnya dalam juga) hingga ke logika dalam
Data Control Group Authenticity Tes-> user ID, Password, valid vendor codes dan
kelengkapan, legalitas, dll Accuracy Test-> range test, filed test limit test
Risk dan controls = print dan bursting Completeness Test-> field test, rec sequence test, hash totals
Rawan pencurian, hilang, salah tujuan Acces Test-> pass, bagan otoritas, data enkripsi, inference
Nama dan alamat tercetak jelas, hati2 akses ke file master nama control
dan alamat Audit Trail Test-> transaction log, error file ttp disimpan,
Rounding Error Tets->pembulatan bunga bank, salami fraud (bagi Auditor harus faham betul aplikasinya,
kecil2, large number victim, immaterial to each) identidikasi proses dan controlnya
C. Computer-aided Audit Tools and Techniques for Testing Buat simulasi pake 4GL atau Generalized Audit Software (GAS)
a. Test Data Method Evaluasi (apakah yg error simulator atau memang Real)
Tracing
Disadvantages
- Berbiaya tinggi
mengganggu aplikasi.
Keuntungan
Kerugian
c. Parallel Simulation