(SUMMARY) perusahaan.

Dalam pelaksanaanya dapat bekerjasama, misal tes

AUDITING , ASSURANCE AND INTERNAL CONTROL pengendalian intern dilakukan oleh internl auditor disupervisi oleh

auditor eksternal. Dalam hal auditor internal tidak memiliki

A. Overview of Auditing independensi kerjasama audit tidak diperkenankan standar.

a. External (Financial) Audits e. Fraud Audits

Suatu jasa (attestation/pengesahan) yang dilakukan oleh seorang Kecurangan sayangnya meningkat karena perilaku manajemen dan

ahli (auditor) yang kemudian memberikan suatu pendapat terhadap karyawan. Audit semacam ini dilakukan guna mencari bukti-buti yang

penyajian laporan keuangan. Biasanya dilakukan oleh CPA yang dapat mengarah kepada tuntutan hukum. Dapat dilakukan atas

independen dari perusahaan yang di audit. CPA dalam hal ini permintaan perusahaan, dan dilakukan oleh seorang bersertifikat

mewakili kepentingan pihak eksternal seperti pemegang saham, CFE.

kreditor, pemerintah dan masyarakat umum. Konsep penting dalamB. The Role of the Audit Committee

audit finansial adalah INDEPENDENSI. Sebelum SOX Law auditor dihire oleh Manajemen perusahaan,

b. Attest Service versus Advisory Services sekarang bertanggung jawabnya kepada Audit Committee yang salah

Belakangan muncul suatu jasa yang diberikan auditor eksternal seorang anggotanya memiliki Financial Expertise guna fungsi chek n

kepada perusahaan yakni advisory service. Untuk Jasa attestasi balance.

memerlukan beberapa persyaratan sbb : C. Financial Audit Components

 Adanya asersi tertulis (L/K) dan praktisi menulis laporan (LHP) a. Auditing Standards

 Adanya kriteria pengukuran yang formal atau deskripsi dalam

penyajiannya

 Terbatas pada pemeriksaan, review dan aplikasi yang telah

disetujui prosedurnya

Sementara Advisory Service adalah jasa profesional oleh KAP untuk b. A Systematic Process

meningkatkan efektifitas dan efisiensi operasional perusahaan klien. Sebuah kerangka kerja logis akan membantu auditor

Jasa tersebut meliputi misalnya saran aktuaria, saran bisnis, jasa mengidentifikasi proses dan data penting. Dalam audit IT pengujian

penyelidikan kecurangan, design sistem informasi dan assesment fisik yang dapat diverifikasi secara visual lebih sedikit sehingga

terhadap pengendalian intern. Pada masa sebelom SOX jasa akan lebih kompleks.

semacam ini diperbolehkan dilakukan sejalan dengan jasa audit, Saat c. Management Assertions and Audit Objectives

ini hal tersebut tidak diperkenankan dan merupakan pelanggaran L/K merupakan refleksi asersi manajemen tentang kesehatan

hukum. (US Law) keuangan entitas yang terdiri dari:

c. Internal Audits  Existance and Occurance (Nyata dan Terjadi)

Fungsi penilaian independen dalam suato organisasi untuk memeriksa  Completeness (Lengkap)

dan mengevaluasi aktivitas sebagai suatu jasa bagi organisasi.  Right and Obligations (Dimiliki and Kewajiban)

Auditor internal melakukan berbagai aktivitas seperti pemerikasaan  Valluation and Allocation (sesuai dengan aturannya)

LK pemeriksaaan kesesuaian aktivitas dengan kebijakan perusahaan,  Presentation and Disclosure (klasifikasi dan pengungkapan

evaluasi efisiensi operasional dan mendeteksi serta mencari cukup)

kecurangan dalam perusahaan. Audit internal dapat pula dilakukan Auditor harus menentukan apakah L/K disajikan secara wajar

dari pihak luar organisasi. Auditor biasanya bertanggungjawab sehingga procedure pengujian diarahkan untuk membuktikan

kepada komite audit. Gelarnya CISA/CIA kesesuaian asersi manajemen ini dengan standarnya.

d. External versus Internal Auditors d. Obtaining Evidence

Perbedaan utamanya adalah kepada siapa auditor bertanggungjawab, Auditor mencari bukti guna dicocokan dengan asersi manajemen,

auditor eksternal mewakili (merepresentasikan) pihak eksternal dalam lingkup IT termasuk menilai kehandalan IT dan isi DB itu

perusahaan sedang internal auditor mewakili kepentingan sendiri. Test Control dilanjutkan Subtantive Test
 e. Ascertaining Materiality COSO: IC adalah suatu proses, dipengaruhi oleh Dewan Direksi,

Sepenuhnya merupakan Auditor judgment..dalam lingkup IT lebih Manajemen dan Personel lain, yang didesain untuk memberikan

complicated mengingat struktur IC juga lebih rumit. keyakinan yang memadai bahwa tujuan-tujuan berikut dapat

f. Communicating Results tercapai :

Audit report disampaikan kepada pihak yang berminat dan melapor  Efektifitas dan Efisiensi Operasi

kepada komite audit/pemegang saham dalam laporan didalamnya  Reliabilitas Laporan

termasuk membuat opini audit.  Kepatuhan terhadap peraturan perundang-undangan

D. Audit Risk a. Brief History of Internal Control Legislation

Resiko audit adalah probabilitas bahwa auditor akan memberikan  SEC Acts of 1933 and 1934, market crash->melarang frauds

status WTP yang pada kenyataanya secara material L/K tersebut  Copyright Law–1976 Software Violations, Piracy IT

salah saji. Acceptable Audit Risk (AR) terdiri dari:  Foreign Corrupt Practices Act (FCPA) of 1977 Record n IC

a. Inherent Risk adalah resiko audit yang merupakan karateristik  Sarbanes-Oxley Act of 2002 enron, IC, COSO

unit bawaaan dari bisnis atau industri dari klien itu sendiri (ada b. Internal Control Objectives, Principles, and Models

juga yang bilang resiko level akun sebelum memperhatikan Tujuan dari SPI:

efektifitas pengendalian intern). Cannot reduce by Auditor.  Menjaga aset perusahaan

Control Risk disisi lain adalah adanya cacat pada ketiadaan atau  Memastikan accuracy dan reliabilitas catatan dan informasi

ketidakcukupan SPI dalam mencegah error.  Memprakarsai effisiensi operasi perusahaan

b. Detection Risk adalah resiko yang dapat diterima auditor bahwa  Mengukur kepatuhan thd kebijakan yang telah ditetapkan

error yang gagal dicegah oleh pengendalian gagal juga dideteksi c. Modifying Principles

auditor. Subtantif tes akan semakin besar/dalam dilakukan ketika  SPI merupakan tanggungjawab Mgt, bahkan kewajiban hukum

DR lebih kecil..auditor lebih konservatif/lebih hati2.  Bentuk pemrosesan data apapun harus mendukung 4 tujuan

c. Audit Risk Model AR=IRxCRxDR  Setiap sistem memiliki keterbatasan yang disebabkan oleh:

d. The Relationship Between Tests of Controls and Substantive  Errors->No perfect sustem

Tests ..jika hasil uji awal menunjukkan hasil IC memiliki  KKN personil

kelemahan/kekurangan maka berarti subtantive test akan lebih  Mgt mengabaikan control

luas, sampel lebih banyak dan dalam. IC makin reliable, CR makin  Kondisi dinamis dalam industri

rendah, DR makin diturunkan,dan akhirnya Subtantif test akan  SPI harus memberikan jaminan yang memadai (Cost < Benefit)

semakin sedikit dan sempit. Jadi buat Mgt buatlah strong IC. d. The PDC Model

E. The IT Audit Preventive Controls merupakan kontrol pasif di design mengurangi

a. The Structure of an IT Audit frekuensi kejadian tidak diinginkan.cthnya pembatasan karakter

Audit Planning, pemahaman terhadap bisnis klien. Bisa melalui entry misalnya. Detective Controls, alat atau teknik dan prosedur

pengamatan, wawancara, review dokumentasi temukan kontrol yang yang didesain mengidentifikasi dan mengekspos error yang lolos PC.

beresiko. Test of Controls adalah phase penentuan apakah internal Ada proses matching dan warning disitu, sistem mengkalkulasi atau

kontrol berfungsi dengan baik untuk dinilai kualitasnya karena akan mencocokan jika tidak sesuai uncul warning,pop up. Corective

menentukan fase berikutnya. Subtantive Testing Detail inspeksi Controls melakukan koreksi jika ditemukan errors,hati2 terhadap

pada akun-akun saldo dan transaksi, sebagian berupa pekerjaan otomatisasi perbaikan,bisa menyebabkan masalah baru…ingat MYOB

fisik. Dalam lingkungan IT dibutuhkan bantuan pengolah data berupa pas entry akun unbalance dia otomatis perbaiki sesuai standarya

CAATTs. Secara umum proses audit adalah sbb: sendiri..

e. COSO Internal Control Framework

 Lingkungan Pengendalian, merupakan pondasi dari empat unsur

lainnya. Elemennya: integritas, etika, value, struktur organisasi,

partisipasi BoOfDir, filosopi, pemeriksaan pihak lain, HR policies

dst

SAS 109 mensyaratkan Auditor: memiliki pengetahuan yang cukup

F. Internal Control terhadap Manajemen khususnya tentang Integritasnya.

 Penilaian Resiko: identifikasi, analisa dan mengelola resiko yang  Pengendalian Aplikasi merupakan pengendalian intern yang

relevan dengan pelaporan keuangan. Beberapa hal yang dapat memastikan aplikasi spesifik dapat melakukan fungsinya dengan

menjadi resiko: perubahan dalam bisnis, personel baru, sistem baik dan mengurangi terpaparnya aplikasi dari resiko potensial.

baru, realokasi SD, adopsi standar baru dst. Pengendalianya berupa cek digit, format yang memastikan

 Informasi dan Komunikasi: kualitas SIM, Proses susun L/K validitas, kelengkapan dan akurasi transaksi bentuknya bisa cek

 Monitoring: Assesment SPI, Special modul di IT ,Laporan digit, echo check, limit cek yang bertujuan untuk memastikan

Manajerial validitas, kelengkapan dan akurasi transaski dalam L/K. lebih

 Aktivitas Pengendalian lengkap di ch 7.

Aktivitas pengendalian adalah kebijakan dan prosedur yang  Add:

digunakan untuk memastikan bahwa tindakan yang tepat diambil Terdapat dua pandangan mengenai Pengendalian Umum dan

untuk menghadapi risiko organisasi yang dapat diidentifikasi. Pengendalian Aplikasi. Pendapat pertama menyatakan bahwa

Secara umum dapat diklasifikasikan sbb: pengendalian umum dan aplikasi terpisah (GC merupakan

 Pengendalian Fisik (Manusia dalam Acc Sytem) pengendalian fisik (kunci, kartu) sedang AC pure aplikas.

 Verifikasi Independen dan Otorisasi Transaksi Pendapat kedua menyatakan bahwa GC dan AC merupakan

 Pemisahan Fungsi (Ruhnya IC), hakikatnya adalah mekanisme bentuk pengendalian yang bersinggungan, karena pada

check and balance, saling kontrol sehingga untuk berbuat jahat dasarnya keduanya dilakukan oleh aplikasi, general controls

perlu lebih banyak orang-> gagal oleh kolusi. pada dasarnya merupakan pengendalian yang selayaknya

 Otorisasi vs Proses Transaksi (pantas2nya) ada pada suatu sistem (mis Password), contoh

 Asset Custody vs Record Keeping pada mesin ATM. (Cek ch 7, IC pondasinya ASI)

 Jika mau curangpun perlu minimal 2 orang. f. Audit Implications of SOX Act

 Supervisi , kompensasi dari kurangya pemisahan fungsi Pemeriksaan SPI wajib, memperbesar mandat Eksternal Auditor

 Catatan Akuntansi (Dokumen sumber, jurnal, ledger).. catatan agar mampu mendeteksi fraud dan menaruh perhatian besar pada

dalam akuntansi ini mengandung jejak audit yang perlu dijaga SPI dalam mencegah fraud. Computer Fraud juga perlu

(preserve) dalam rangka aktifitas operasional (routine dan diperhatikan karena relatif baru dan belum kuat proses hukumnya

monitoring transasksi dengan pelanggan/suplier) dan (UU ITE). Gunakan pendekatan berbasis resiko, karena masing-

mengamankan audit trails. Audit Trails “also called audit log is masing organisasi berbeda karakternya.

a security-relevant chronological record, set of records,

and/or destination and source of records that provide AUDITING IT GOVERNANCE CONTROLS

documentary evidence of the sequence of activities that have

affected at any time a specific operation, procedure, or event” A. Information Technology Governance

Merupakan jejak, utamanya dalam catatan kronologis akuntansi, Tujuan utama dari tata kelola TI adalah untuk :

yang dapat digunakan untuk menentukan apakah suatu peristiwa  mengurangi risiko

terjadi atau tidak terjadi yang dapat digunakan sebagai alat  memastikan bahwa investasi dalam sumber daya TI menambah

penelusuran dalam proses audit..misal paraf dalam dokumen, log nilai bagi perusahaan.

acces editing data, nomor PO, nomor cek,no bukti,no jurnal dll Sebelum SOX Act, praktek umum mengenai investasi pada TI

yang bisa digunakan menelusur suatu informasi dari awal adalah menyerahkan semua keputusan kepada profesional TI.

(source) sampai ke L/K. Sekarang semua elemen organisasi dituntut aktif berpartisipasi

 Kontrol Akses (Authorized Personel Only to acces asset/IT) dalam perencanaan s.d pengembangan TI.

 Pengendalian IT a. IT Governance Controls

 Pengendalian Umum adalah pengendalian yang sifatnya Based on SOX dan COSO ada 3 isu tata kelola IT:

membatasi akses dan mengamankan aplikasi dari yang tidak  Organizational structure of the IT function

berhak mengakses, misal berbentuk kunci, password termasuk  Computer center operations

controls over IT governance, IT infrastructure, security and  Disaster recovery planning

access kepada sistem operasi dan DB, application acquisition B. Structure of the Information Technology

and development and prosedur perubahan program dll. a. Centralized Data Processing
 Berdasarkan model pengolahan data terpusat, semua pemrosesan Small, powerful, and inexpensive systems. DisDataProc (DDP)

data dilakukan oleh satu atau lebih komputer yang lebih besar melibatkan reorganisasi fungsi IT pusat ke IT unit kecil yang

bertempat di situs pusat yang melayani pengguna di seluruh ditempatkan di bawah kendali pengguna akhir (End Users). Unit

organisasi. IT dapat didistribusikan menurut fungsi bisnis, lokasi geografis,

 DBA: Central Location, Shared. DBA n teamnya responsible pada atau keduanya.

keamanan dan integritas database.  Resikonya mnggunakan model DDP: tidak efisiennya penggunaan

 Pemrosesan Data mengelola SDIT terdiri dari: sumber daya, perusakan jejak audit, pemisahan tugas kurang

 Konversi Data: HardCopy to SoftCopy (inputable to computer) memadai, meningkatkan potensi kesalahan pemrograman dan

 Operasi Komputer: memproses hasil konversi melalui suatu kegagalan sistem serta kurangnya standarisasi.

aplikasi  Keuntungannya termasuk pengurangan biaya, peningkatan kontrol

 Data Library: Storage offline data-> Real Time data Procesing biaya, meningkatkan kepuasan pengguna, dan adanya fleksibilitas

dan direct acces mengurangi peran DL dalam backup sistem.

 Sys Dev and Maintenis: Analisis kebutuhan, partisipasi dalam d. Controlling the DDP Environment

desain sistem baru (Profesional, End Users dan Stakeholder).  Central Testing of Commercial Software and Hardware diuji

Menjaga sistem beroperasi sesuai kebutuhan, 80-90% cost dipusat

dalam IT biasanya ada pada maintanance (tidak hanya soal  User Services-> ada Chat room, FAQ, Intranet support dll

merawat/membersihkan HW namun lebih kepada tambal sulam  Standard-Setting Body -> untuk improve keseragaman prog and

SI. doc

Masalah control yang harus diperhatikan dalam proses data  Personnel Review-> ada assesment.

tersentralisasi adalah pengamanan DB. Karena jika accesnya Audit Objective: Tujuan auditor adalah untuk memastikan bahwa

lemah maka seluruh informasi dapat terpapar resiko, bentuk struktur fungsi TI adalah sedemikian rupa sehingga individu di

topologi jaringan juga mempengaruhi keandalan data informasi. daerah yang tidak kompatibel dipisahkan sesuai dengan tingkat

Hal ini akan lebih jelas di appendix. potensi risiko dan dengan suatu cara yang mempromosikan

b. Segregation of Incompatible IT Functions lingkungan kerja yang kondusif.

Audit Procedures:

Centralized

 Tinjau dokumentasi yang relevan, untuk menentukan apakah

individu atau kelompok yang melakukan fungsi-fungsi yang tidak

kompatibel.

 Review catatan pemeliharaan,verifikasi bahwa programmer

pemeliharaan tertentu tidakmerangkap programer desain.

 Pastikan bahwa operator komputer tidak memiliki akses ke logic

Pemisahan antara suatu fungsi tertentu demi menjaga IC yang
sistem dokumentasi, seperti sistem diagram alur, logika diagram
baik:
alur, dan daftar kode program.
 Sys Dev pisahkan dengan Operasional
 Review akses programer untuk alasan selain kegagalan sistem
 DBA fisahkan dari unit lain
Distributed
 Sys Dev pisahkan dengan Maintanance (merupakan superior
 Tinjau bagan organisasi saat ini , pernyataan misi , dan uraian
structure) karena adanya resiko:
tugas  incompatible duties .
 Inadequate Documentation: Programmer lebih suka
• Pastikan bahwa desain sistem ,dokumentasi,hardware dan
mengembangkan sistem baru daripada mendokumentasikan
perangkat lunak hasil akuisisi diterbitkan dan diberikan to unit
kinerja sistem lama, juga soal job security perlu diperhatikan
TI.
karena dpat menyusun program yang tidak sempurna biar ada
• Pastikan kontrol kompensasi ->supervisi monitoring
kerjaan terus.
• Dokumentasi sistem aplikasi , prosedur , dan databasesare
 Program Fraud: unauthorized change karena programer faham
dirancang dan berfungsi sesuai dengan standar perusahaan .
seluk beluk operasi normal.
Dalam sistem terdistribusi pemrosesan dan pengamanan data
c. The Distributed Model
disebar ke berbagai titik, pengamanan menjadi di banyak pintu
 namun tersebar, resikonya tidak seluruh titik memiliki (DRP), suatu skema dalam menghadapi keadaan darurat.Prosesnya

pengamanan yang sama. Dalam topologi STAR lebih aman karena adalah sbb:

kalo satu mati yg lain relatif tidak terganggu sedang pada a. Identify Critical Applications->Buat daftar aplikasi yang paling

Topologi BUS jika satu titik mati akan menggangu yang lain penting

meskipun secara umum keunggulanya dia lebih cepat dan murah. b. Creating a Disaster Recovery Team ->buat Tim..langgar IC boleh

Sayangnya sistem Bus akan rentan tabrakan data (lebih lengkap c. Providing Second- Site Backup buat lokasi data cadangan

di appendix) fokus auditor adalah kepada seringnya sistem down (duplikasi)

atau kerusakan jaringan maupun software yang mengakibatkan  mutual aid pact->dua atau lebih, join SD IT pas bencana

gangguan komunikasi dan pada database, resiko ini berbeda2  empty shell or cold site; ->sewa tempat pada penyedia backup

dalam masing2 topologi jaringan.  recovery operations center or hot site; ->sewa full equipped

C. The Computer Center backup

a. Physical Location : Antisipasi bencana alam maupun manusia cari  internally provided backup->buat sendiri (mirroring di tmpt lain)

lokasi yang aman. Audit Objective: The auditor should verify that management’s

b. Construction : kontruksi fasilitas IT-> tunggal, acces terbatas disaster recovery plan is adequate and feasible for dealing with

dan filtrasi bagus. a catastrophe that could deprive the organization of its

c. Access : LIMITED computing resources. Audit Procedures memastikan hal2 dibawah

d. Air Conditioning : Adequate untuk menjaga database ini berfungsi dengan baik

e. Fire Suppression : Automatic Alarm, Pemadam Api, Exit Door  Site Backup…lokasi HW IT dll

f. Fault Tolerance : Toleransi kesalahan adalah kemampuan sistem  Daftar Aplikasi penting oke

untuk melanjutkan operasi ketika bagian dari sistem gagal (masih  Software Backup.

bisa running kalau ada sesuatu gangguan) karena kegagalan  Data dan Dokumentasi Backup.

hardware, error program aplikasi, atau kesalahan operator.  Backup Supplies dan Source Documents.

 Redundant arrays of independent disks (RAID)->data  Disaster Recovery Team di test

 UPS->Listrik E. Outsourcing the IT Function

g. Audit Objectives Outsourcing IT kadangkala meningkatkan kinerja bisnis inti,

Tujuan auditor adalah untuk mengevaluasi kontrol yang mengatur meningkatkan Kinerja IT (karena keahlian vendor), dan mengurangi

keamanan pusat komputer . Secara khusus , auditor harus biaya TI. Logika yang mendasari outsourcing TI dari teori

memastikan bahwa : kontrol keamanan fisik yang memadai untuk kompetensi inti, yang berpendapat bahwa organisasi harus fokus

cukup melindungi organisasi dari eksposur fisik DAN cakupan secara eksklusif pada kompetensi bisnis intinya saja, sementara

asuransi pada peralatan memadai untuk mengkompensasi outsourcing vendor memungkinkan untuk secara efisien mengelola

kerusakan pusat komputernya daerah non-inti seperti fungsi TI (IT dianggap supporting).

h. Audit Procedures Premis ini, bagaimanapun, mengabaikan perbedaan penting antara

 Tests of Physical Construction. Fisik bangunan server, lokasi dan komoditas dan aset TI yang spesifik. Commodity IT assets are

keamanan terhadap HAZARD EVENT. not unique to a particular organization and are thus easily acquired

 Tests of the Fire Detection System. in the marketplace sementara Specific IT assets dapat merupakan

 Tests of Access Control. keunggulan strategis perusahaan. Transaction Cost Economics

 Tests of Raid, BU HD (TCE) theory is in conflict with the core competency school by

 Tests of the Uninterruptible Power Supply. suggesting that firms should retain certain specific non–core IT

 Tests for Insurance Coverage. assets inhouse. Jadi disarankan boleh outsource pada SumberDaya

D. Disaster Recovery Planning IT yang bisa digantikan (SW/HW) atau tidak terlalu kritikal..SD IT

Dengan perencanaan kontinjensi yang hati-hati, dampak dari yang penting dan unggulan bagi organisasi jangan.

bencana dapat diredam dan organisasi dapat pulih dengan cepat. a. Risks Inherent to IT Outsourcing

Untuk bertahan hidup dari peristiwa darurat seperti itu,  Failure to Perform

perusahaan harus mengembangkan prosedur pemulihan dan  Vendor Exploitation

meresmikan mereka ke dalam suatu rencana pemulihan bencana  Outsourcing Costs Exceed Benefit

 Reduced Security
 Loss of Strategic Advantage  Previldeged personel menyalahgunakan otoritasnya

b. Audit Implications of IT Outsourcing  Individual di dalam dan di luar entitas yang mencari celah system

Manajemen boleh saja mengalihdayakan fungsi ITnya namun tidak /haker

dapat mengalihkan tanggungjawab manajemen pada penyediaan  Individual sengaja atau tidak memasukan virus/bentuk program

Pengendalian Intern yang memadai. SAS 70 merupakan standar yang lain yg merusak

mendefinisikan perlunya auditor mengetahui kontrol jika IT d. Operating System Controls and Audit Tests

dilaksanakan oleh vendor pihak ketiga. Vendornya sendiri tentu Area-area yang perlu diperiksa adalah acces personil yang

diaudit oleh auditornya sehingga IT review dilaksanakan satu kali mendapat previledge, kontrol password (password sekali pakai

saja supaya praktis dan murah. dan berulangkali), kontrol virus dan aplikasi berbahaya dan

kontrol pada jejak audit.

SECURITY PART I: AUDITING OPERATING SYSTEMS AND System audit trails (sekumpulan log yang merekam aktivitas

NETWORKS sistem, aplikasi, user)-> Detailed Individual Logs dan Event

oriented Logs

A. Auditing Operating Systems Audit prosedurnya:

OS adalah program pengendali komputer, OS memungkinkan user  Pastikan fitur audit trails diaktifkan,

dan aplikasi berbagi dan mengakses sumberdaya yang sama seperti  Cari akses tanpa otorisasi, periode non aktif user, aktifitas user,

prosesor, memori, printer dan database. Semakin besar entitas waktu log in dan out

maka sumber daya yang perlu diakses makin besar dan OS menjadi  Log on yang gagal (indikasi salah acces/coba2)

semakin penting.  Pantau Acces ke file tertentu yang penting

a. Operating System Objectives  Monitoring dan reporting pelanggaran keamanan IT

OS memiliki tiga fungsi yakni: B. Pengendalian Keseluruhan Sistem

 Menterjemahkan bahasa tingkat tinggi COBOL C++ dll, Mengendalikan Hak Akses

menggunakan translatornya -> yakni Compiler dan Interpreters – Tujuan : verifikasi bahwa hak akses diberikan dengan cara yang

Ch 5 lbh lengkapnya konsisten dengan kebutuhan untuk memisahkan berbagai fungsi yang

 Mengalokasikan SD kepada user, grup maupun aplikasi tidak bersesuaian.

 Mengelola pekerjaan dan banyak program->User/Jobs mengakses Mengendalikan Kata Sandi

komputer melalui 3 cara: Directly, Job Ques dan Links Bentuk kesalahan:

- Lupa

Lima tujuan fundamental yang harus dicapai OS: - Tidak sering mengubah

- OS harus melindungi diri dari pengguna - Sindrom post it di kertas

- Os harus melindungi pengguna dari satu sama lain - Terlalu sederhana

- Os harus melindungi pengguna dari diirsneidir Tujuan: memastikan bahwa perusahaan memiliki kebijakan kata

- OS harus dilindungi dari dirinya sandi yang memadai dan efektif u mengendalikan akses ke sistem

- OS harus dilindungi dari lungkungan sekitar operasi.

Mengendalikan risiko E-mail

b. Operating System Security Masalah:

Kebijakan, prosedur dan pengendalian yang menentukan siapa - Virus

yang dapat mengakses OS dan SD IT dan apa saja yang bisa - Worm (mirip virus, bedanya replika masih dikendalikan

dilakukannya. induknya)

 Prosedur Log-ON pertahanan pertama, salah brp x blokir - Bom Logika (waktu sudah diatur)

misalnya. - Pintu Belakang (tanpa logOn)

 Token Akses -> mengandung KeyInfo:user ID, pass,previledge - Trojan Horse (menangkap ID dan kata sandi)

 Acces Control List (daftar kesaktian user) - Spoofing (tipuan pesan seolah2 asli)

 Discretionary Acces Previledge->Super Admin (Highly - Spamming (tidak diharapkan)

Supervised) - Chain Letter

c. Threats to Operating System Integrity - Urban Legend

 - Hoax virus warnig SECURITY PART II: AUDITING DATABASE SYSTEMS

- Flaming (caci maki) A. Data Management Approaches (CHAPTER 3)

Tujuan Audit: verifikasi bahwa ada kebijakan manajemen yang a. The Flat-File Approach

efisien untuk mencegah masuknya objek yg merusak. Data files yang mengandung record dengan tanpa memiliki

Mengendalikan jejak audit elektronik hubungan yang terstruktur dengan file lain. Sering dihubungkan

Adalah daftar yang dapat didesain untuk mencatat berbagai dengan legacy system (sistem warisan) udah jadul namun masih

aktifitas dalam tingkat sistem, aplikasi dan pengguna. ada yang pakai. Pendekatannya single user, sistem mainframe

Ada 2 jenis: yang besar user tidak berbagi data dengan end user lainnya.

- Data terperinci setiap ketikan (key stroke monitoring) Format sesuai kebutuhan satu orang Ketika end user lain

- Daftar berorientasi pada peristiwa. (event) membutuhkan data yang sama untuk tujuan yang berbeda, mereka

Tujuan : harus menyusun set data yang terpisah untuk memenuhi

- Mendeteksi akses tidak sah ke sistem kebutuhan mereka. Replikasi-replikasi ini merupakan kelemahan

- Rekonstruksi peristiwa model ini disebut data redudancy yang mengakibatkan masalah

- Meningkatkan akuntabilitas personal pada flat file:

Alat : ACL o Data Storage: Data yang umum dan digunakan bersama disimpan

- Pengguna yang tidak sah sendiri2, terduplikasi diseluruh level organisasi..boros space

- Periode ketidak aktifan o Data Updating-:Banyak data pada file acuan dan file master yang

- Aktivitas disusun berdasarkan pengguna, kelompok dll memerlukan pembaharuan berkala, apdetnya harus satu2.

- Waktu logon dan logoff o Currency of Information: Kegagalan untuk membaharui semua

- Usaha untuk logon yg gagal file pemakai yang terpengaruh jika ada perubahan dalam status

- Akses ke file untuk aplikasi tertentu. menghasilkan keputusan berdasar pada informasi ga uptodate.

o Task Data Dependency (Limited Access) ketidakmampuan

SISTEM KOMPUTER PRIBADI PC pemakai untuk memperoleh informasi tambahan, ketika

Terdiri dari 2 jenis perintah: kebutuhannya berubah, informasi dibatasi oleh data yang dikuasai

- System resident command (perintah yang ada dalam dan dikendalikannya saja.

sistem) o Membatasi integrasi data (Inklusi terbatas)

- Disc resident command (Perintah dalam disc) Model tampilan tunggal.

Risiko PC: B. The Database Approach

- Risiko inheren Pendekatannya menggunakan Database management system

- Pengendalian akses yang lemah (DBMS) suatu software khusus yang diprogram untuk mengatur

- Pemisahan pekerjaan yang tidak memadai (dapat diatasi lalulintas DB dan menggunakan mekanisme otorisasi akses.

dengan katasandi multitingkat) Pendekatan ini memusatkan pengorganisasian data ke dalam

- Risiko kerugian fisik database umum sehingga dapat dibagi dengan pemakai lainnya.

- Risiko Kehilangan data Keunggulanya ya: mengatasi seluruh masalah dalam flat file

- Risiko prosedur pembuat cadangan tidak memadai diatas itu.

- Virus

- Risiko pengembangan dan pemeliharaan yg tidak memadai. C. 4 Key Elements of the Database Environment

Tujuan Audit: 1. Database Management System

- Verifikasi ada pengendalian u melindungi data, akses DBMS menyediakan pengendalian untuk membantu atau mencegah

- Verifikasi Kecukupan supervisi akses ke DB. Fiturnya:

- Verfikasi ada prosedur pembuatan cadangan - Program Development, berisi Aplikasi Pengembangan Program

- Verifikasi pemilihan dan pengadaan menghasilkan yg Perangkat Lunak

terbaik - Backup and Recovery, sejak memproses, secara periodik DBMS

- Verifikasi sistem bebas dari virus. membuat backup copy di physical database
- Database Usage Reporting, ciri ini menyatakan data statistik apa

yang digunakan, kapan mereka gunakan dan siapa yang Kriteria mempengaruhi pemilihan struktur data:

menggunakan - Akses file cepat

- Database Access, ciri yang sangat penting yaitu memberikan ijin - Penggunaan ruang penyimpanan

otorisasi untuk dapat mengakses, baik formal maupun informal - Kapasitas pemrosesan transaksi

database melalui 3 modul: - Perlindungan dari kehilangan data

 Data Definition Language (DDL). DDL mengidentifikasikan - Kemudahan pemulihan

nama dan hubungan semua unsur data, dokumen/catatan, dan - Akomodasi pertumbuhan file

file yang terdapat di dalam database. Field= item tunggal dari data (nama pelanggan, saldo)

 Database View Record = kelompok terkait field yang mendeskripsikan karakter

 Internal View/Physical View-> struktur catatan data, yang relevan.

hubungan-hubungan antara sebuah file dan rencana Record type ada 3:

physical dan rangkaian catatan dalam file - One to one

 Conceptual View/Logical View-> skema logical, abstrak - One to many

 External View/User View ->subskema pandangan dari - Many to many (Dua arah).

user File = sumber daya, peristiwa, pelaku yang akan dipilih untuk

2. Users mengumpulkan data.

Formal Access-App Interfaces: Ada dua jalan untuk Database = serangkaian file berkaitan erat, bersama-sama membuat

pengguna mengakses database, salah satunya adalah dengan aplikasi mampu melayani pengguna.

aplikasi formal interface, atau pake informal seperti Data Enterprise Database= serangkaian file data umum seluruh bagian

Manipulation Language dan Structured Query Languange dari perusahaan. (oracle, dot ner, microsoft).

(mumet)

3. The Database Administrator TIGA DBMS Models

Data model adalah suatu representasi abstrak data mengenai

entitas, termasuk sumber (aset), kejadian (transaksi) dan agen

(personalia atau customer) dan hubungan mereka dalam

organisasi. Tujuan Data Model adalah menyajikan atribut entitas

dengan cara yang mudah dipahami oleh pemakai. Ada tiga model

data

 The Hierarchical Model (=struktur pohon/ayah anak ingat

kan…) Model ini sering disebut navigational database karena

Kamus data, Interaksi Formal Organisasional DBA dengan
membuatan garis file diikuti pra penetapan jalur (path).
pengguna akhir dan sistem perusahaan.
Kelemahan: Parent dapat memiliki satu atau lebih catatan child.
4. The Physical Database
Tidak ada satupun catatan child memiliki parent lebih dari satu.
Physical Database adalah level paling rendah dari database dan
Tidak mencerminkan kondisi sebenarnya satu catatan child
satu-satunya level yang ada dalam bentuk fisik.Physical database
dapat memiliki parent lebih dari satu Untuk mengatasi
terdiri dari titik-titik magnetic pada magnetic disk.
kelemahan ini biasanya catatan child diduplikasi sehingga
 Data Structure, adalah bata dan semennya database, yang
menciptakan/menyajikan dua hirarki yang terpisah
membolehkan catatan ditempatkan, disimpan, dipanggil, dan
(redundancy).
dimungkinkan dipindah dari catatan satu ke lainnya. Struktur
 The Network Model. Model ini sama dengan hirarki juga
data terdiri dari:
merupakan navigational type, dengan suatu pengecualian dalam
 Organisasi Data adalah cara pencatatan secara fisik
hubungan antara record dan file. perbedaannya model network
yang diatur pada alat penyimpan secondary.
mengijinkan catatan anak memiliki parent lebih dari satu.
 Data Access Method adalah teknik yang digunakan
 The Relation Model. Perbedaan model relation dengan model
untuk menempatkan catatan dan bernavigasi melalui
pertama adalah cara hubungan data disajikan kepada user.
database.
Model ini menggambarkan data dalam tabel dua dimensi. Bagian
 kolom berisi atribut, sedangkan pertemuan column dan row  Waktu respon pemrosesan transaksi ditingkatkan dengan

membentuk tuples (record). Berisi kesatuan data yang sama mengijinkan akses lokal ke data dan mengurangi volume data yang

tetapi tidak sama persis, untuk dicatat dalam sistem file flat. harus dikirim antara unit IT.

Tabel harus dinormalisasi dan masing2 atribut dalam row  Database yang dipartisi/didistribusi dapat mengurangi efek

bergantung kepada primary key atau independen atribut yang potensial kerusakan.

lain. Kan lbh detail di ch 8. The Deadlock Phenomenon -> Pada lingkungan terdistribusi,

Kunci primer pada sisi satu, kunci asing pada sisi banyak. dimungkinkan bagi site ganda saling mengunci satu sama lain dari

database, sehingga mencegah masing-masing melakukan

pemrosesan transaksinya. Untuk mengatasi deadlock pada

umumnya melibatkan satu atau lebih pembatalan suatu transaksi

untuk melengkapi pemrosesan transaksi lain pada deadlock.

Concern auditor seberapa sering deadlock dan apakah

antisipasinya oke.

 Replicated Databases

D. Databases in a Distributed Environment

a. Centralized Databases

Database direplikasi dapat menjadi efektif pada perusahaan yang

tingkat sharing datanya tinggi, tidak ada pemakai utama. Dengan

mereplikasi data pada setiap bagian, akses data untuk tujuan

query dapat dipastikan, dan lockuts dan keterlambatan akibat lalu

lintas data dapat diminimalkan. Kelemahan pendekatan ini adalah

Penyimpanan DB di satu lokasi terpusat. Unit yang lain meminta menjaga (maintaining) dan updating versi terbaru dari masing-
akses dan proses lalu mentransmisikan ulang kembali ke DB. Data masing database.
relatif terupdate dengan catatan harus dicegah dua akses dari c. Concurrency (data integritas) Control
dua user secara bersamaan. Biasanya menggunakan mekanisme Database concurrency adalah adanya kelengkapan dan keakuratan
penguncian database Lockout. data pada semua lokasi data pengguna.Metode umumnya
b. Distributed Databases menggunakan transaksi yang diserialkan dengan melabeli
 Partitioned Databases Approach transaksi dengan dua kriteria:

 Software khusus untuk mengelompokkan transaksi ke dalam

kelas-kelas untuk mengidentifikasi konflik potensial.

 Time-stamp setiap transaksi. Ada jam yang mencatat transaksi

dengan ID number khusus mengakomodoasi perbedaan waktu Jika

muncul konflik maka transaksi dimasukkan ke dalam schedule

serial sehingga data menjadi runut mengapdet database.

Keputusan itu untuk mendistribusikan database harus penuh

pertimbangan, ada beberapa trade-off yang harus dipertimbangkan.

Pendekatan partitioned database memecah database pusat
menjadi segmen-segmen atau partisi-partisi yang didistribusikan
ke pemakai data yang utama. Keuntungan pendekatan ini:
 Data yang tersimpan pada site lokal meningkatkan pengendalian
user.
Pilihan ini berdampak pada kemampuan organisasi itu untuk
memelihara integritas data. Penjagaan jejak audit dan ketelitian
dari catatan akuntansi adalah kunci yang harus difahami juga oleh
auditor.
E. Controlling and Auditing Data Management Systems
a. Access Controls terhadap file transaksi untuk memproduksi file master updated

Pengendalian DBMS dikelompokkan menjadi dua yaitu: pengendalian (child). Pada transaksi batch berikutnya, anak menjadi master

akses (access control) dan pengendalian backup. file, file parent yang asli naik menjadi backup (grantparent)

o Access Controls  Direct Access file Backup Nilai data pada akses langsung diubah

Adalah pengendalian yang dirancang untuk mencegah individu tempatnya dalam suatu proses yang dinamakan destructive

tanpa otorisasi menampilkan, memanggil, merusak, dan replacement. Oleh karena itu, sekali data berubah, nilai asli

menghancurkan data entitas. Fitur: dihancurkan, dan hanya meninggalkan satu versi terbaru.

 User Views Adalah subset dari total database yang  Off-Site Storage Adalah tempat penyimpanan backup baik pada

menegaskan domain data pemakai dan menyediakan akses ke GPC maupun pendekatan langsung rorpada tempat yang aman di

database (tampilan yang diijinkan per user melihat (DB). luar site.

 Database Authorization Table Berisi aturan-aturan yang Tujuan Audit:

membatasi tindakan yang dapat diambil pemakai. Teknik ini Verifikasi bahwa pengendalian pembuat cadangan berfungsi

sama dengan daftar pengendalian akses yang digunakan dalam efektif dalam melindungi file dari kerusakan fisik, kehilangan,

sistem operasi. penghapusan, kegagalan sistem, dan kesalahan program.

 User-Defined Procedures, adalah prosedur yang mengijinkan

pemakai untuk menciptakan program keamanan personalatau Pengendalian backup untuk lingkungan database menyediakan sistem

rutin untuk menciptakan identifikasi pemakai positif lebih backup dan pemulihan sebagai berikut (lebih rawan):

daripada password tunggal.  Backup secara periodik untuk seluruh data.

 Data Encryption, data ecryption digunakan untuk melindungi  Transaction Log (Journal) The transaction log adalah fitur yang

data yang sifatnya sangat sensitif. Dengan prosedur data menyediakan jejak audit seluruh transaksi yang diproses.

encryption maka penyusup data tidak dapat membaca data  Checkpoint Feature Adalah fasilitas yang menunda seluruh proses

karena database di-scramble sementara data sedang diperbaiki (proses pemulihan data)

 Biometric Devices adalah prosedur yang menggunakan alat transaction log dan database mengubah log database.

biometrik untuk mengukur berbagai macam karakteristik  Recovery Module Modul ini menggunakan logs dan backup untuk

personal, seperti sidik jari. memulai kembali setelah sistem mengalami kegagalan

 Inference Controls, salah satu kemampuan database query Tujuan Audit:

adalah menyediakan ringkasan dan data statistik pengambilan Verifikasi bahwa pengendalian atas sumber daya data memadai

keputusan bagi pengguna. untuk menjaga integritas dan keamanan fisik basis data.

Berusaha mencegah 3 jenis kompromi:

- Kompromi positif (x menentukan nilai tertentu)

- Kompromi negatif (x memastikan sesuatu tdk punya data)

- Kompromi perkiraan COMPUTER-ASSISTED AUDIT TOOLS AND TECHNIQUES

Tujuan Audit:

Verifikasi bahwa otoritas akses basis data dan hak khusus diberikan A. Application Controls

kepada pengguna sesuai dengan kebutuhan logis mereka. Prosedur program pengendalian intern yang didesain untuk

mengatasi terpaparnya sistem dari resiko potensial pada aplikasi

B. Backup Controls spesifik seperti pembayaran gaji, pembelian dan pengeluaran

Adalah pengendalian untuk memastikan bahwa kejadian kehilangan uang. App controls terdiri dari:

data akibat akses tanpa otorisasis, kegagalan perangkat, atau a. Input Controls

kerusakan fisik organisasi dapat diperbaiki oleh database Bertugas untuk membawa data dari ke dalam sistem untuk

tersebut. diproses, IC didesain untuk memastikan bahwa transasksi valid,

Backup Controls in the Flat-File Environment Teknik backup yang akurat dan lengkap. Dapat dipicu oleh batch maupun secara

digunakan tergantung pada media atau struktur file. langsung (direct). Dalam dokumen sumber biasanya melibatkan

 GPC Backup Technique Grant-parent-child backup adalah teknik manusia dan oleh karenanya rentah kesalahan klerikal yang sering

yang digunakan dalam sistem batch file sekuensial. Prosedur tidak terdeteksi nanti ada opsi data realtime. Beberapa jenis

backup dimulai ketika file master sekarang (parents) diproses pengendalian dalam input control adalah sbb:
 Source document controls  Expiration date checks->cek file ga kepake,agar tidak kedelete

 Pengendalian terhadap dokumen sumber karena dapat dipalsukan sembarangan

dan masuk sistem lalu menghilangkan aset perusahaan  Dalam sistem batch ketika ada Input error perlu dilakukan

 control : PreNumbered SD, Sequence Limited Acces, Periodic correction, ada tiga jenis penanganan error yang umum dalam

audit/spot cek proses input:

 Data coding controls  Correct Immidiately->kasih warning ke user

 Cek integritas kode data dalam pemrosesan-Nomor rek  Create an Error File-> delayed, pisahkan dari sistem buat laporan

Customers, Nomor Inventory, No Akun dll sistemnya bahwa data tsb error

 Errors-> Transkripsi (penambahan, pengurangan,subtitusi) dan  Reject Entire Batch-> tolak sluruh batch untuk diproses

Transposisi (two/multiple number kebalik2)  Generalized data input systems

 Control: Check Digit (penjumlahan atau menggunakan modulus 11) GDIS menstandarisasi validasi input dengan level kontrol tinggi.

tapi makan Space (nambah record), baiknya untuk yg penting Ada 3 keuntungan pake GDIS:

saja)  Improve control melalui satu sistem validasi umum yang sama

 Batch controls  Memastikan setiap aplikasi menerapkan standar yg sama

 Rekonsiliasi antara input dan output pada transaski dengan  Meningkatkan efisiensi sistem

volume tinggi guna memastikan seluruh data terekam, tidak dobel  Elemennya: GDIS module, Data File Tervalidasi, Error File, Error

entry dan jejak audit terjaga (inc proses n output control). Reports, Log Transaksi.

Dengan mengumpulkan tipe input yang sama dalam satu batch b. Processing Controls

(bundel) lalu mengontrol batch ini dalam prosesnya.  Run-to-Run Controls

 Elemen: No Batch, tgl, Kode transaksi, Jumlah Rec, Nilainya, Menggunakan batch untuk memonitor batch ketika dia bergerak

Jumlah data non financial ( Hash totalbuat alat kontrol aja, dari satu prosedur program ke prosedur program lain. Kontrol ini

tidak bernilai) memastikan setiap pergerakan memproses batch dengan benar

 Validation controls dan lengkap. Jenis2nya:

 Deteksi error sblm transaksi diproses, bisa memerlukan untuk  Recalculate Control Totals-mengecek kembali nilai2 dalam batch,

merefer ke master file sebaiknya sedekat mungkin dengan has total dibandingkan dengan data master.

sumber transaksi.  Transaction Codes-> hanya transaksi yg benar yg diijinkan

 Controlnya ada 3 level:  Sequence Checks

 Field Interogation: melakukan validasi di level karakter dalam  Operators Intervention Controls

Field jenis checknya: Operator kadang diperlukan dalam mengintervensi suatu kegiatan

 Missing data check (blank) cek apakah ada field yg kosong dan hal ini meningkatkan potensi human error. Sistem sedapat

 Numeric-alphabetic->isi field apakah huruf/bilangan mungkin memmbatasi intervensi manusia, jika tidak dapat

 Zero value->isi field 0 untuk pengendalian dilakukan supervisi.

 Limit check->cek nilai field apakah melebihi standarnya  Audit Trails Controls

 Range check->batas atas dan bawah Dalam sistem terkomputerisasi jejak audit akan terpecah-pecah

 Validity check->bandingkan dengan data master dan lebih sulit diikuti. Sehinga dokumentasi sistem sangat

 Check digit->sama dengan diatas itu pake modulus 11 diperlukan untuk dijaga. Beberapa cara menjaga jejak audit :

 Record Interogation: validasi seluruh catatan dengan menguji  Transactions Logs-mencatat seluruh aktivitas sistem

hubungan nilai fieldnya. Contohnya:  Log of Automatic Transactions

 Reasonbleness Checks->->cek dengan master filenya  Listing of Automatics Transactions->EOQ/reorder harus

 Sign Check-> tanda +/- sudah tepat digunakan? diperhatikan

 Sequence Checks-> urutan (batch) sudah sesuai atntrian?  Unique Transaction Identifiers

 File Interogation: Memastikan bahwa file yang benar yang  Error Listings-Laporkan agar diperbaiki

diproses sistem sangat penting untuk master files yg menyimpan c. Output Controls

data relatif permanen. Output controls adalah SPI yang memastikan bahwa hasil

 Internal Label Checks->label disk di dalam (bukan diluar) keluaran sistem tidak hilang, salah sasaran, berkurang/rusak

 Version Checks->versi filenya apakah sesuai..1.0? beta? atau melanggar privasi. Kegagalan dalam menjaga output dapat
 mengakibatkan dampak serius bagi perusahaan seperti kehilangan  Untuk data sensitive dapat menggunakan tas berpengaman

SD ekonomi, penurunan citra bahkan tuntutan hukum. Otput kunci/pin, dikawal petugas keamanan atau End User sendiri yang

controls menyesuakan dengan proses pengolahan dokumennya, ambil

secara umum terbagi dua yakni Batch Control System (lebih  End Users

rentan karena adanya intervensi operator/program) dan Realtime  Cek kembali dokumen yg diterima, jika ada kejanggalan laporkan

System. bisa jadi errornya karena sistem

 Controlling Batch System Output  Data digunakan dan disimpan perhatikan ruang yang aman,

Dalam Batch System, output biasanya berupa HardCopy (Cek, perhatikan waktu retensi sesuai hukum (pajakk) jika tidak

Laporan, PO,dll) dan dalam prosesnya sebagaimana bagan diatas, digunakan hancurkan dengan baik.

memerlukan perantara baik manusia maupun program dari mulai  Controlling RTS

proses sampai dengan distribusi. Hasil output tampil langsung dilayar.,terminal atau printernya end

 Output Spooling user. Menghilangkan berbagai perantara baik program maupun

 Dalam pengolahan data skala besar-> terjadi backlogged, hasil manusia. Ancaman terbesarnya sama seperti resiko dalam

pengolahan sistem mengantri untuk dicetak (bottleneck)-> sistem internet dan intranet yaitu:

membuat suatu file output dalam disk daripada membebani  Equipment Failures (HW, SW maupun LINES Comm)

memori printers (spooling).  Subversive Act ( Interception, Illegal Acces, Previledged

 Dalam tahap ini output file rentan diacces oleh penjahat cyber Employes)

yang dapat mengubah, mengcopy secara illegal atau bahkan B. Testing Computer Application Controls

menghapus file sebelum dicetak. a. Black-Box Approach (Around Computer)

 Harus ada akses kontrol yang baik dan backup file output Tidak menguji berdasarkan pada pengetahuan mendetail mengenai

 Print logika dibalik aplikasi yang di audit (gak perlu faham MYOBnya) .

 Setelah spooling, dan SD printer tersedia -> printer akan Lebih kepada memahami flowchart, wawancara dengan client dsb.

mencetak, biasanya ada intervensi operator berupa mengganti Dengan pemahaman itu auditor mengetes sendiri dokumen input

kertas, mengatur mempause, menyesuaikan margin, tinta dsb dan direkonsiliasi dengan outputnya sehingga dapat

 Resiko :Operators copy secara illegal/membaca data rahasia memperkirakan programnya sudah complince atau belum.

 Controlnya: Prenumbered untuk memastikan seluruh cetakan Aplikasinya sendiri kurang diperhatikan detilnya. Umumnya pada

lengkap, supervisi, gunakan kertas multipart berkarbon (gesek aplikasi yang sederhana.

dulu baru terbaca->pin ATM) Keunggulan :

 Bursting - Aplikasi tidak perlu dipindahkan dari fungsi pelayanannya

 Hasil cetakan dipilah-pilah dan disusun ulang, ada Operator - Diuji secara langsung

 Risk-> Illegal copy, menghilangkan halaman, baca data rahasia - Tidak perlu paham aplikasi tsb

 Control-> Supervisi atau bursting di end user saja Kelemahan :

 Waste - Terbatas hanya aplikasi yg sederhana saja.

 Cetakan yg tidak sempurna, karbon copy dibuang b. White-Box Approach (Through Computer)

 Ceroboh-> dapt dimanfaatkan , ada akes data teknis dan Harus memiliki pemahaman mengenai aplikasinya secara mendalam

informasi penting lainnya dalam dokumen rusak sekalipun (pengetahuan MYOBnya dalam juga) hingga ke logika dalam

 Control-> Penghancur kertas/ dibakar aplikasi. Beberapa tesnya:

 Data Control Group  Authenticity Tes-> user ID, Password, valid vendor codes dan

 Tim verifikasi sebelum HardCopy didistribusikan cek akurasi bagan otoritas

kelengkapan, legalitas, dll  Accuracy Test-> range test, filed test limit test

 Risk dan controls = print dan bursting  Completeness Test-> field test, rec sequence test, hash totals

 Distributions  Redundancy Test-> recoknsiliasi batch, record count, hash totals

 Rawan pencurian, hilang, salah tujuan  Acces Test-> pass, bagan otoritas, data enkripsi, inference

 Nama dan alamat tercetak jelas, hati2 akses ke file master nama control

dan alamat  Audit Trail Test-> transaction log, error file ttp disimpan,
 Rounding Error Tets->pembulatan bunga bank, salami fraud (bagi  Auditor harus faham betul aplikasinya,

kecil2, large number victim, immaterial to each)  identidikasi proses dan controlnya

C. Computer-aided Audit Tools and Techniques for Testing  Buat simulasi pake 4GL atau Generalized Audit Software (GAS)

Controls  Coba simulasikan dengan sampel terpilih

a. Test Data Method  Evaluasi (apakah yg error simulator atau memang Real)

Membuat aplikasi terintegrasi dengan memproses data yang

sudah dipersiapkan melalui aplikasi yang sedang direview. Lalu

dibandingkan dengan nilai/hasil yang seharusnya. Copy dulu

aplikasinya buat file transaksi dan masternya lalu coba melalui

berbagi input (tape, disc, usb, terminal dll) lihat hasilnya

bandingkan dengan rport yang diharapkan sebelumnya.

 Buat Data Tes

 Base Case Sys Evaluations

Dengan serangkaian data yang berisi semua kemungkinan jenis

transaksi, diproses melalui iterasi berulang-ulang.

 Tracing

Penjelajahan elektronik melalui logika internal aplikasi terkait.

 Advanced Test Data

- Menggunakan komputer, memberi auditor bukti eksplisit

atas fungsi app tsb

- Meninmbulkan gangguan yang minimum

- Membutuhkan keahlian komputer yang minimal dari auditor

 Disadvantages

- Auditor sgt bergantung pada personel layanan app (bukti

dg cara independen lebih andal)

- Tidak memberikan gambaran yg statis atas integrasi

aplikasi pada suatu titik

- Berbiaya tinggi

b. The Integrated Test Facility (ITF)

Teknik otomatis yang memungkinkan auditor menguji logika dan

kontrol aplikasi dalam operasi normal. Dicangkokkan dalam sistem

ketikda dalam tahap pengembangan nanti pas running akan

membuat semacam duplikasi tertentu dari data namun tidak

mengganggu aplikasi.

 Keuntungan

- Mendukung pengawasn berlanjut

- Aplikasi yang meiliki ITF dapat secara ekonomis diuji

tanpa mengganggu operasi pengguna

 Kerugian

- Potensi rusaknya file data perusahaan karena data uji

(dapat diatasi dengan AJP dan sofware pemindai)

c. Parallel Simulation

Auditor menulis program yang mensimulasikan fitur dan proses

kunci dari aplikasi yang direview. Lalu digunakan untuk memproses

ulang transaski yang sudah diproses aplikasi yg direview lalu

dibandingkan hasilnya. Cara: