INTRO Teknik pemrosesan secara paralel dilaksanakan

dengan “client’s data, auditor’s software.” Maksudnya

Audit adalah suatu proses pengumpulan dan adalah pelaksanaan pemeriksaan dilakukan terhadap

pengevaluasian bukti informasi yang dapat diukur data

mengenai suatu entitas ekonomi yang dilakukan

seorang yang kompeten dan independen untuk
dapat menentukan dan melaporkan derajat
kesesuaian informasi dengan kriteria-kriteria yang
telah ditetapkan serta mengkomunikasikan hasilnya
kepada para pemakai yang berkepentingan.
Perbedaan antara Audit Tradisional dengan Audit
SI
diantaranya
sbb:
Teknik audit -> menggunakan program khusus atau
TABK
Proses Audit -> Tidak sekuensial (DB->Modul2
Software
Akuntansi)
Pemahaman IC, audit IT menekankan kepada
application control
Keahlian tentang auditing dan akuntansi + keahlian
tentang computer
Jika berbicara mengenai Audit IT (ASI) maka ada
dua sudut pandang yaitu:
Audit atas tata kelola IT itu sendiri dan
Audit IT yang dilakukan dalam rangka Audit
Keuangan (kesesuaian dengan SAK) -> yakni
berkaitan dengan Teknik Audit Berbantuan
Komputer dalam menilai pengendalian internal dalam
memahami General dan khususnya Apllication
Control, serta pengujian subtantif dalam ranah IT
dengan database sistem akuntansi.
The most important computer assisted audit
techniques are:
• Test data,
• Integrated test facility,
• Parallel simulation,
and
• On-line audit monitor.
Simulasi sejajar (parallel simulation) adalah suatu
teknik audit yang membandingkan pengolahan data
yang dilakukan oleh dua program dengan tujuan
untuk memperoleh keyakinan bahwa kedua program
tersebut menghasilkan keluaran yang sama (identik).
 sesungguhnya (data audit yang di-copy) dan diperbolehkan dilakukan sejalan dengan jasa audit,
diproses dengan software atau bahkan komputernya Saat ini hal tersebut tidak diperkenankan dan
auditor. merupakan pelanggaran hukum. (US Law)
• Trace-Forward from Source Document to
Records- untuk cek asersi "Completeness"
• Vouch -Backward (From Records to Source
Document)- cek assersi
"Existence"

AUDITING AND INTERNAL

CONTROL A. Overview of Auditing

a.External (Financial) Audits
Suatu jasa (attestation/pengesahan) yang dilakukan
oleh seorang ahli (auditor) yang kemudian
memberikan suatu pendapat terhadap penyajian
laporan keuangan. Biasanya dilakukan oleh CPA
yang independen dari perusahaan yang di audit.
CPA dalam hal ini mewakili kepentingan pihak
eksternal seperti pemegang saham, kreditor,
pemerintah dan masyarakat umum. Konsep
penting dalam audit finansial adalah INDEPENDENSI.
b.Attest Service versus Advisory Services
Belakangan muncul suatu jasa yang diberikan
auditor eksternal kepada perusahaan yakni
advisory service. Untuk Jasa attestasi memerlukan
beberapa persyaratan sbb :
• Adanya asersi tertulis (L/K) dan praktisi
menulis laporan (LHP)
• Adanya kriteria pengukuran yang formal atau
deskripsi dalam penyajiannya
• Terbatas pada pemeriksaan, review dan aplikasi
yang telah disetujui prosedurnya

Sementara Advisory Service adalah jasa

profesional oleh KAP untuk meningkatkan efektifitas
dan efisiensi operasional perusahaan klien. Jasa
tersebut meliputi misalnya saran aktuaria, saran
bisnis, jasa penyelidikan kecurangan, design sistem
informasi dan assesment terhadap pengendalian
intern. Pada masa sebelom SOX jasa semacam ini
 c. Internal b.A Systematic
Audits Process

Fungsi penilaian independen dalam suato organisasi Sebuah kerangka kerja logis akan membantu auditor

untuk memeriksa dan mengevaluasi aktivitas sebagai mengidentifikasi proses dan data penting. Dalam audit

suatu jasa bagi organisasi. Auditor internal melakukan IT pengujian fisik yang dapat diverifikasi secara visual

berbagai aktivitas seperti pemerikasaan LK lebih sedikit sehingga akan lebih kompleks.

pemeriksaaan kesesuaian aktivitas dengan kebijakan c. Management Assertions and Audit

Objectives
perusahaan, evaluasi efisiensi operasional dan
L/K merupakan refleksi asersi manajemen tentang
mendeteksi serta mencari kecurangan dalam
kesehatan keuangan entitas yang terdiri dari:
perusahaan. Audit internal dapat pula dilakukan dari
• Existance and Occurance (Nyata dan
pihak luar organisasi. Auditor biasanya Terjadi)
bertanggungjawab kepada komite audit. Gelarnya • Completeness
(Lengkap)
CISA/CIA
• Right and Obligations (Dimiliki and
d.External versus Internal
Kewajiban)
Auditors
Perbedaan utamanya adalah kepada siapa auditor • Valluation and Allocation (sesuai dengan

bertanggungjawab, auditor eksternal mewakili aturannya)

(merepresentasikan) pihak eksternal perusahaan • Presentation and Disclosure (klasifikasi dan

sedang internal auditor mewakili kepentingan pengungkapan cukup)

perusahaan. Dalam pelaksanaanya dapat Auditor harus menentukan apakah L/K disajikan

bekerjasama, misal tes pengendalian intern secara wajar sehingga procedure pengujian

dilakukan oleh internl auditor disupervisi oleh diarahkan untuk membuktikan kesesuaian asersi

auditor eksternal. Dalam hal auditor internal tidak manajemen ini dengan standarnya.

memiliki independensi kerjasama audit tidak d.Obtaining

Evidence
diperkenankan standar.
Auditor mencari bukti guna dicocokan dengan asersi
e.Fraud
Audits manajemen, dalam lingkup IT termasuk menilai

Kecurangan sayangnya meningkat karena perilaku kehandalan IT dan isi DB itu sendiri. Test Control

manajemen dan karyawan. Audit semacam ini dilanjutkan Subtantive Test

dilakukan guna mencari bukti-buti yang dapat e.Ascertaining

Materiality
mengarah kepada tuntutan hukum. Dapat dilakukan
Sepenuhnya merupakan Auditor judgment..dalam
atas permintaan perusahaan, dan dilakukan oleh
lingkup IT lebih complicated mengingat struktur IC juga
seorang bersertifikat CFE.
lebih rumit.
B. The Role of the Audit Committee
f. Communicating
Sebelum SOX Law auditor dihire oleh Manajemen Results
perusahaan, sekarang bertanggung jawabnya Audit report disampaikan kepada pihak yang berminat
kepada Audit Committee yang salah seorang dan melapor kepada komite audit/pemegang saham
anggotanya memiliki Financial Expertise guna fungsi dalam laporan didalamnya termasuk membuat opini
chek n balance. audit.
C. Financial Audit Components D. Audit Risk
a.Auditing Resiko audit adalah probabilitas bahwa auditor akan
Standards
memberikan status WTP yang pada kenyataanya
secara material L/K tersebut salah saji. Acceptable
Audit Risk (AR) terdiri dari:
a.Inherent Risk adalah resiko audit yang merupakan
karateristik unit bawaaan dari bisnis atau industri dari
klien itu sendiri (ada juga yang bilang resiko level akun
sebelum memperhatikan efektifitas pengendalian
intern). Cannot reduce by Auditor. Control Risk disisi
 • Reliabilitas
lain adalah adanya cacat pada ketiadaan atau
Laporan
ketidakcukupan SPI dalam mencegah error.
• Kepatuhan terhadap peraturan perundang-
b.Detection Risk adalah resiko yang dapat diterima
undangan a.Brief History of Internal Control
auditor bahwa error yang gagal dicegah oleh
Legislation
pengendalian gagal juga dideteksi auditor. Subtantif
tes akan semakin besar/dalam dilakukan ketika DR
lebih kecil..auditor lebih konservatif/lebih hati2.
c. Audit Risk Model
AR=IRxCRxDR
d.The Relationship Between Tests of Controls and
Substantive Tests ..jika hasil uji awal menunjukkan
hasil IC memiliki kelemahan/kekurangan maka
berarti subtantive test akan lebih luas, sampel lebih
banyak dan dalam. IC makin reliable, CR makin
rendah, DR makin diturunkan,dan akhirnya
Subtantif test akan semakin sedikit dan sempit.
Jadi buat Mgt buatlah strong IC.
E. The IT Audit
a.The Structure of an IT
Audit
Audit Planning, pemahaman terhadap bisnis klien.
Bisa melalui pengamatan, wawancara, review
dokumentasi temukan kontrol yang beresiko. Test of
Controls adalah phase penentuan apakah internal
kontrol berfungsi dengan baik untuk dinilai
kualitasnya karena akan menentukan fase
berikutnya. Subtantive Testing Detail inspeksi pada
akun-akun saldo dan transaksi, sebagian berupa
pekerjaan fisik. Dalam lingkungan IT dibutuhkan
bantuan pengolah data berupa CAATTs. Secara
umum proses audit adalah sbb:

F. Internal Control
COSO: IC adalah suatu proses, dipengaruhi oleh
Dewan Direksi, Manajemen dan Personel lain, yang
didesain untuk memberikan keyakinan yang
memadai bahwa tujuan-tujuan berikut dapat tercapai :
• Efektifitas dan Efisiensi
Operasi
• SEC Acts of 1933 and 1934, market crash->melarang
frauds
• Copyright Law–1976 Software Violations, Piracy IT
• Foreign Corrupt Practices Act (FCPA) of 1977 Record n
IC
• Sarbanes-Oxley Act of 2002 enron, IC, COSO
b.Internal Control Objectives, Principles, and Models
Tujuan dari SPI:
• Menjaga aset perusahaan
• Memastikan accuracy dan reliabilitas catatan dan
informasi
• Memprakarsai effisiensi operasi perusahaan
• Mengukur kepatuhan thd kebijakan yang telah
ditetapkan
c. Modifying Principles
• SPI merupakan tanggungjawab Mgt, bahkan
kewajiban hukum
• Bentuk pemrosesan data apapun harus mendukung 4
tujuan
• Setiap sistem memiliki keterbatasan yang disebabkan
oleh:
Errors->No perfect sustem
KKN personil
Mgt mengabaikan control
Kondisi dinamis dalam industri
• SPI harus memberikan jaminan yang memadai (Cost <
Benefit)
d.The PDC Model
Preventive Controls merupakan kontrol pasif di design
mengurangi frekuensi kejadian tidak diinginkan.cthnya
pembatasan karakter entry misalnya. Detective
Controls, alat atau teknik dan prosedur yang didesain
mengidentifikasi dan mengekspos error yang lolos PC.
Ada proses matching dan warning disitu, sistem
mengkalkulasi atau mencocokan jika tidak sesuai uncul
warning,pop up. Corective Controls melakukan koreksi
jika ditemukan errors,hati2 terhadap otomatisasi
perbaikan,bisa menyebabkan masalah baru…ingat
MYOB pas entry akun unbalance dia otomatis perbaiki
sesuai standarya sendiri..
e.COSO Internal Control Framework
• Lingkungan Pengendalian, merupakan pondasi dari
empat unsur lainnya. Elemennya: integritas, etika,
 value, struktur organisasi, partisipasi BoOfDir, sequence of activities that have affected at any

filosopi, pemeriksaan pihak lain, HR policies dst time a specific operation, procedure, or event”

SAS 109 mensyaratkan Auditor: memiliki Merupakan jejak, utamanya dalam

pengetahuan catatan kronologis akuntansi, yang dapat
yang cukup terhadap Manajemen khususnya digunakan untuk
tentang
Integritasnya
.
• Penilaian Resiko: identifikasi, analisa dan mengelola
resiko yang relevan dengan pelaporan keuangan.
Beberapa hal yang dapat menjadi resiko: perubahan
dalam bisnis, personel baru, sistem baru, realokasi
SD, adopsi standar baru dst.
• Informasi dan Komunikasi: kualitas SIM, Proses
susun L/K
• Monitoring: Assesment SPI, Special modul di
IT
,Laporan
Manajerial
• Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan
prosedur yang digunakan untuk memastikan bahwa
tindakan yang tepat diambil untuk menghadapi risiko
organisasi yang dapat diidentifikasi. Secara
umum dapat diklasifikasikan sbb:
Pengendalian Fisik (Manusia dalam Acc Sytem)
Verifikasi Independen dan Otorisasi Transaksi
Pemisahan Fungsi (Ruhnya IC), hakikatnya adalah
mekanisme check and balance, saling kontrol
sehingga untuk berbuat jahat perlu lebih banyak
orang-> gagal oleh kolusi.
Otorisasi vs Proses Transaksi
Asset Custody vs Record Keeping
Jika mau curangpun perlu minimal 2 orang.
Supervisi , kompensasi dari kurangya pemisahan
fungsi
Catatan Akuntansi (Dokumen sumber, jurnal,
ledger).. catatan dalam akuntansi ini mengandung
jejak audit yang perlu dijaga (preserve) dalam
rangka aktifitas operasional (routine dan
monitoring transasksi dengan
pelanggan/suplier) dan mengamankan audit
trails. Audit Trails “also called audit log is a
security-relevant chronological record, set of
records, and/or destination and source of records
that provide documentary evidence of the
 menentukan apakah suatu peristiwa terjadi atau
tidak terjadi yang dapat digunakan sebagai alat
penelusuran dalam proses audit..misal paraf
dalam dokumen, log acces editing data, nomor PO,
nomor cek,no bukti,no jurnal dll yang bisa
digunakan menelusur suatu informasi dari awal
(source) sampai ke L/K.
Kontrol Akses (Authorized Personel Only to acces
asset/IT)
Pengendalian IT
Pengendalian Umum adalah pengendalian yang
sifatnya membatasi akses dan mengamankan
aplikasi dari yang tidak berhak mengakses, misal
berbentuk kunci, password termasuk controls over
IT governance, IT infrastructure, security and
access kepada sistem operasi dan DB,
application acquisition and development and
prosedur perubahan program dll.
Pengendalian Aplikasi merupakan pengendalian
intern yang memastikan aplikasi spesifik dapat
melakukan fungsinya dengan baik dan mengurangi
terpaparnya aplikasi dari resiko potensial.
Pengendalianya berupa cek digit, format yang
memastikan validitas, kelengkapan dan akurasi
transaksi bentuknya bisa cek digit, echo check, limit
cek yang bertujuan untuk memastikan validitas,
kelengkapan dan akurasi transaski dalam L/K. lebih
lengkap di ch 7.
Add:
Terdapat dua pandangan mengenai
Pengendalian Umum dan Pengendalian
Aplikasi. Pendapat pertama menyatakan bahwa
pengendalian umum dan aplikasi terpisah
(GC merupakan pengendalian fisik (kunci,
kartu) sedang AC pure aplikas. Pendapat kedua
menyatakan bahwa GC dan AC merupakan
bentuk pengendalian yang bersinggungan, karena
pada dasarnya keduanya dilakukan oleh
aplikasi, general controls pada dasarnya
merupakan pengendalian yang selayaknya
(pantas2nya) ada pada suatu sistem (mis
Password), contoh pada mesin ATM. (Cek ch
7, IC pondasinya
ASI)
 f. Audit Implications of SOX Act suatu
aplikasi
Pemeriksaan SPI wajib, memperbesar mandat
Data Library: Storage offline data-> Real Time data
Eksternal Auditor agar mampu mendeteksi fraud dan
Procesing dan direct acces mengurangi peran
menaruh perhatian besar pada SPI dalam mencegah DL
fraud. Computer Fraud juga perlu diperhatikan • Sys Dev and Maintenis: Analisis kebutuhan,
karena relatif baru dan belum kuat proses partisipasi dalam desain sistem baru (Profesional,
hukumnya (UU ITE). Gunakan pendekatan berbasis End Users dan Stakeholder). Menjaga sistem
resiko, karena masing-masing organisasi berbeda beroperasi sesuai
karakternya.

AUDITING IT GOVERNANCE
CONTROLS

A. Information Technology Governance

Tujuan utama dari tata kelola TI adalah untuk
:
mengurangi risiko
memastikan bahwa investasi dalam sumber daya TI
menambah nilai bagi
perusahaan.
Sebelum SOX Act, praktek umum mengenai
investasi pada TI adalah menyerahkan semua
keputusan kepada profesional TI. Sekarang
semua elemen organisasi dituntut aktif
berpartisipasi dalam perencanaan s.d
pengembangan TI.
a.IT Governance Controls
Based on SOX dan COSO ada 3 isu tata kelola
IT:
• Organizational structure of the IT function
• Computer center operations
• Disaster recovery planning
B. Structure of the Information
Technology a.Centralized Data Processing
Berdasarkan model pengolahan data terpusat,
semua pemrosesan data dilakukan oleh satu
atau lebih komputer yang lebih besar bertempat di
situs pusat yang melayani pengguna di seluruh
organisasi.
• DBA: Central Location, Shared. DBA n teamnya
responsible pada keamanan dan integritas database.
• Pemrosesan Data mengelola SDIT terdiri dari:
Konversi Data: HardCopy to SoftCopy (inputable to
computer)
Operasi Komputer: memproses hasil konversi melalui
 kebutuhan, 80-90% cost dalam IT biasanya ada pada potensi kesalahan pemrograman dan kegagalan
maintanance (tidak hanya soal sistem serta kurangnya standarisasi.
merawat/membersihkan HW namun lebih kepada
tambal sulam SI.
Masalah control yang harus diperhatikan dalam
proses data tersentralisasi adalah pengamanan DB.
Karena jika accesnya lemah maka seluruh
informasi dapat terpapar resiko, bentuk topologi
jaringan juga mempengaruhi keandalan data
informasi. Hal ini akan lebih jelas di appendix.
b.Segregation of Incompatible IT Functions

Pemisahan antara suatu fungsi tertentu demi

menjaga
IC yang baik:
Sys Dev pisahkan dengan Operasional
DBA fisahkan dari unit lain
Sys Dev pisahkan dengan Maintanance (merupakan
superior structure) karena adanya resiko:
Inadequate Documentation: Programmer lebih suka
mengembangkan sistem baru daripada
mendokumentasikan kinerja sistem lama, juga
soal job security perlu diperhatikan karena
dpat menyusun program yang tidak sempurna biar
ada kerjaan terus.
Program Fraud: unauthorized change karena
programer faham seluk beluk operasi normal.
c. The Distributed Model
Small, powerful, and inexpensive systems.
DisDataProc (DDP) melibatkan reorganisasi fungsi
IT pusat ke IT unit kecil yang ditempatkan di
bawah kendali pengguna akhir (End Users). Unit
IT dapat didistribusikan menurut fungsi bisnis, lokasi
geografis, atau keduanya.
• Resikonya mnggunakan model DDP: tidak efisiennya
penggunaan sumber daya, perusakan jejak audit,
pemisahan tugas kurang memadai, meningkatkan
 • Dokumentasi sistem aplikasi , prosedur , dan
• Keuntungannya termasuk pengurangan biaya,
databasesare dirancang dan berfungsi sesuai
peningkatan kontrol biaya, meningkatkan kepuasan
dengan standar perusahaan .
pengguna, dan adanya fleksibilitas dalam backup
Dalam sistem terdistribusi pemrosesan dan
sistem.
pengamanan data disebar ke berbagai titik,
d.Controlling the DDP Environment
• Central Testing of Commercial Software and
Hardware diuji dipusat
• User Services-> ada Chat room, FAQ, Intranet
support dll
• Standard-Setting Body -> untuk improve
keseragaman prog and doc
• Personnel Review-> ada assesment.
Audit Objective: Tujuan auditor adalah untuk
memastikan bahwa struktur fungsi TI adalah
sedemikian rupa sehingga individu di daerah yang
tidak kompatibel dipisahkan sesuai dengan tingkat
potensi risiko dan dengan suatu cara yang
mempromosikan lingkungan kerja yang kondusif.
Audit
Procedures:
Centralized
• Tinjau dokumentasi yang relevan, untuk menentukan
apakah individu atau kelompok yang melakukan
fungsi-fungsi yang tidak kompatibel.
• Review catatan pemeliharaan,verifikasi bahwa
programmer pemeliharaan tertentu tidakmerangkap
programer desain.
• Pastikan bahwa operator komputer tidak memiliki
akses ke logic sistem dokumentasi, seperti sistem
diagram alur, logika diagram alur, dan daftar kode
program.
• Review akses programer untuk alasan selain
kegagalan sistem
Distribute
d
• Tinjau bagan organisasi saat ini , pernyataan misi
, dan uraian tugasincompatible duties .
• Pastikan bahwa desain sistem
,dokumentasi,hardware dan perangkat lunak hasil
akuisisi diterbitkan dan diberikan to unit TI.
• Pastikan kontrol kompensasi ->supervisi monitoring
 pengamanan menjadi di banyak pintu namun
• Tests of Access Control.
tersebar, resikonya tidak seluruh titik memiliki
• Tests of Raid, BU HD
pengamanan yang sama. Dalam topologi STAR lebih
• Tests of the Uninterruptible Power Supply.
aman karena kalo satu mati yg lain relatif tidak
terganggu sedang pada Topologi BUS jika satu
titik mati akan menggangu yang lain meskipun
secara umum keunggulanya dia lebih cepat dan
murah. Sayangnya sistem Bus akan rentan tabrakan
data (lebih lengkap di appendix) fokus auditor
adalah kepada seringnya sistem down atau
kerusakan jaringan maupun software yang
mengakibatkan gangguan komunikasi dan pada
database, resiko ini berbeda2 dalam masing2
topologi jaringan.
C. The Computer Center
a.Physical Location : Antisipasi bencana alam maupun
manusia cari lokasi yang aman.
b.Construction : kontruksi fasilitas IT-> tunggal, acces
terbatas dan filtrasi bagus.
c. Access : LIMITED
d.Air Conditioning : Adequate untuk menjaga database
e.Fire Suppression : Automatic Alarm, Pemadam Api,
Exit Door
f. Fault Tolerance : Toleransi kesalahan adalah
kemampuan sistem untuk melanjutkan operasi
ketika bagian dari sistem gagal (masih bisa running
kalau ada sesuatu gangguan) karena kegagalan
hardware, error program aplikasi, atau kesalahan
operator.
• Redundant arrays of independent disks (RAID)->data
• UPS->Listrik
g.Audit Objectives
Tujuan auditor adalah untuk mengevaluasi kontrol
yang mengatur keamanan pusat komputer . Secara
khusus , auditor harus memastikan bahwa : kontrol
keamanan fisik yang memadai untuk cukup
melindungi organisasi dari eksposur fisik DAN
cakupan asuransi pada peralatan memadai untuk
mengkompensasi kerusakan pusat komputernya
h.Audit Procedures
• Tests of Physical Construction. Fisik bangunan
server, lokasi dan keamanan terhadap HAZARD
EVENT.
• Tests of the Fire Detection System.
 mendasari outsourcing TI dari teori kompetensi
• Tests for Insurance
Coverage. inti, yang berpendapat bahwa organisasi harus
D. Disaster Recovery Planning fokus secara eksklusif pada kompetensi bisnis
Dengan perencanaan kontinjensi yang hati-hati, intinya saja, sementara outsourcing vendor
dampak dari bencana dapat diredam dan organisasi memungkinkan untuk
dapat pulih dengan cepat. Untuk bertahan hidup
dari peristiwa darurat seperti itu, perusahaan harus
mengembangkan prosedur pemulihan dan meresmikan
mereka ke dalam suatu rencana pemulihan bencana
(DRP), suatu skema dalam menghadapi keadaan
darurat.Prosesnya adalah sbb:
a.Identify Critical Applications->Buat daftar aplikasi
yang paling penting
b.Creating a Disaster Recovery Team ->buat
Tim..langgar IC
boleh
c. Providing Second- Site Backup buat lokasi
data cadangan (duplikasi)
• mutual aid pact->dua atau lebih, join SD IT
pas bencana
• empty shell or cold site; ->sewa tempat pada
penyedia backup
• recovery operations center or hot site; ->sewa
full equipped backup
• internally provided backup->buat sendiri (mirroring
di tmpt lain)
Audit Objective: The auditor should verify that
management’s disaster recovery plan is adequate
and feasible for dealing with a catastrophe that
could deprive the organization of its computing
resources. Audit Procedures memastikan hal2
dibawah ini berfungsi dengan baik
• Site Backup…lokasi HW IT dll
• Daftar Aplikasi penting oke
• Software
Backup.
• Data dan Dokumentasi
Backup.
• Backup Supplies dan Source
Documents.
• Disaster Recovery Team di test
E. Outsourcing the IT Function
Outsourcing IT kadangkala meningkatkan kinerja
bisnis inti, meningkatkan Kinerja IT (karena keahlian
vendor), dan mengurangi biaya TI. Logika yang
secara efisien mengelola daerah non-inti seperti memori, printer dan database. Semakin besar entitas
fungsi
maka sumber daya yang perlu diakses makin besar
TI (IT dianggap
supporting). dan OS menjadi semakin penting.

Premis ini, bagaimanapun, mengabaikan perbedaan a.Operating System

Objectives
penting antara komoditas dan aset TI yang spesifik.
Commodity IT assets are not unique to a particular
organization and are thus easily acquired in the
marketplace sementara Specific IT assets dapat
merupakan keunggulan strategis perusahaan.
Transaction Cost Economics (TCE) theory is in
conflict with the core competency school by
suggesting that firms should retain certain specific
non–core IT assets inhouse. Jadi disarankan boleh
outsource pada SumberDaya IT yang bisa
digantikan (SW/HW) atau tidak terlalu kritikal..SD IT
yang penting dan unggulan bagi organisasi jangan.
a.Risks Inherent to IT
Outsourcing
• Failure to Perform
• Vendor
Exploitation
• Outsourcing Costs Exceed
Benefit
• Reduced Security
• Loss of Strategic
Advantage
b.Audit Implications of IT
Outsourcing
Manajemen boleh saja mengalihdayakan fungsi ITnya
namun tidak dapat mengalihkan tanggungjawab
manajemen pada penyediaan Pengendalian Intern
yang memadai. SAS 70 merupakan standar
yang mendefinisikan perlunya auditor mengetahui
kontrol jika IT dilaksanakan oleh vendor pihak ketiga.
Vendornya sendiri tentu diaudit oleh auditornya
sehingga IT review dilaksanakan satu kali saja supaya
praktis dan murah.

SECURITY PART I: AUDITING OPERATING

SYSTEMS AND NETWORKS

A. Auditing Operating Systems

OS adalah program pengendali komputer, OS
memungkinkan user dan aplikasi berbagi dan
mengakses sumberdaya yang sama seperti prosesor,
 OS memiliki tiga fungsi yakni:
• Menterjemahkan bahasa tingkat tinggi COBOL C++
dll, menggunakan translatornya -> yakni Compiler
dan Interpreters –Ch 5 lbh lengkapnya
• Mengalokasikan SD kepada user, grup maupun
aplikasi
• Mengelola pekerjaan dan banyak
>User/Jobs mengakses komputer melalui 3 cara:
Directly, Job Ques dan Links
a.Intranet
Risks
Terdiri dari LANs dan WANs yang terdiri dari ratusan
individual node. Ada beberapa resiko terkait Intranet
misalnya Pesan dapat diintersepsi/disadap/dicegat,
adanya resiko akses kepada DB entitas, personel yang
memiliki previleged, mantan karyawan dll
program-
b.Internet
Risks
Resiko yang terkait dengan internet adalah adanya

b.Operating System Security IP Spoofing (nyamar pake IP orang/palsu), DDOS

Kebijakan, prosedur dan pengendalian yang attack yang membanjiri server sehingga lumpuh baik
menentukan siapa yang dapat mengakses OS dan melalui SYN Flood maupun SMURF (tiga pihak ada
SD IT dan apa saja yang bisa dilakukannya. perantara) dan Distributed Denial of Service Attack

• Prosedur Log-ON pertahanan pertama, salah brp pake orang lain sebagai zombienya. Yang perlu

x blokir misalnya. diperhatikan adalah juga motivasi orang

• Token Akses -> mengandung KeyInfo:user ID, menyerang..bisa iseng..dendam atau menguji

pass,previledge keandalan sistem. Selain itu resiko juga berkaitan

• Acces Control List (daftar kesaktian user) dengan kegagalan peralatan dalam

• Discretionary Acces Previledge->Super Admin berkomunikasi baik LINE, HW dan SW.

(Highly c. Controlling
Supervised) Networks

c. Threats to Operating System Integrity • Controlling Risks from Subversive

Threats
• Previldeged personel menyalahgunakan otoritasnya
Menggunakan Firewall (umum)
• Individual di dalam dan di luar entitas yang mencari
Pasang IPS dan Deep Packet Inspection cegah
celah sistem
serangan DDOS
• Individual sengaja atau tidak memasukan
Pake Enkripsi/sandi dlam pengiriman data
virus/bentuk program lain yg merusak
TTD Digital dan Sertifikat Digital
d.Operating System Controls and Audit Tests
Pake Message Sequence Number dan Transaction
Area-area yang perlu diperiksa adalah acces
Log serta punya Call Back
personil yang mendapat previledge, kontrol Devices
password (password sekali pakai dan berulangkali), • Audit Objectivenya adalah memastikan bahwa
kontrol virus dan aplikasi berbahaya dan kontrol kontrol jaringan dapat mencegah dan mendeteksi
pada jejak audit. System audit trails (sekumpulan akses illegal, mengurangi data yang tidak terpakai
log yang merekam aktivitas sistem, aplikasi, dan memadai untuk mempertahankan integritas data
user)-> Detailed Individual Logs dan Event oriented • Controlling Risks from Equipment Failure cek
Logs aja alatnya baik2 saja..pake echo cek, parity cek dst
Audit prosedurnya: C. Auditing Electronic Data Interchange (EDI)
Pastikan fitur audit trails diaktifkan, EDI merupakan suatu sistem yang memungkinkan
Cari akses tanpa otorisasi, periode non aktif user, mekanisme pertukaran data dan informasi bisnis
aktifitas user, waktu log in dan out antar komputer antar entitas dapat diproses oleh
Log on yang gagal (indikasi salah acces/coba2) komputer secara mandiri dalam suatu bentuk
Pantau Acces ke file tertentu yang penting komunikasi dengan format standar. Refer ke
Monitoring dan reporting pelanggaran keamanan IT cerita american hospital atau EDI DJBC.
B. Auditing Networks
a.EDI Standards –ANSI, EDIFACT
dll b.Benefits of EDI
• Data Keying, mengurangi entry data
berulang
• Error Reduction, ga doble ngetik2, tapi kalo salah satu
tapi di awal bisa salah semua sampai akhir.
 Akses Kontrol Lemah program tertentu bisa run
• Mengurangi kertas
tanpa akses HD (boot from CD)
• Mengurangi biaya kirim dokumen
• Prosedur terotomasi..manajer mikirin yg lain
saja
(MBExcp
)
• Pengurangan biaya Inventory melalui EOQ/JIT
c. Financial EDI –Pake transfer elektronik dalam
kirim uang
d.EDI Controls (Validasi dan Otorisasi)
Karena berkurangya peran manusia maka ada
pengendalian yang unik dan berbeda dengan sistem
manual utamanya adalah soal otorisasi dan validasi
transaksi. Sehingga auditor harus memperhatikan:
ID dan Password serta valid file dalam DB buat
pembanding
Cek validasi lagi sebelum pesan dikirim jalan tidak
Aplikasi cek ke file referensi sebelum di proses
e.Access Control
Agar berjalan baik sayangya dalam sistem EDI
perusahaan harus memberikan sejumlah akses
kepada partnernya untuk mengakses DB
perusahaan. Sehingga sangat penting untuk
memiliki file valid vendor maupun valid customers,
juga bisa dibatasi read only saja tidak bisa merubah
data. Karena sudah paperless satu2nya audit trails
bisa jadi Cuma file LOG saja..keep it safe.
Audit Objektif: Semua transaski EDI telah diotorisasi
dan divalidasi, tidak ada transaksi tanpa otorisasi
yang running, acces hanya kepada data
yang diperkenankan dan kontrol yang cukup
dalam pengamanan Log file.
Lebih lengkap lagi dapat merefer ke buku SIM
McLeod..hal 49-62
D. Auditing PC-Based Accounting Systems
Aplikasi software akuntansi->wide range-> low
cost product->kadang modular namun
terintegrasi-> berbasis PC
a.PC Systems Risks and Controls
Ada resiko unik terkait Accounting
software:
Kelemahan Sistem Operasi dibanding Mainframe
Model, PC keamanannya minimal untuk data dan
program, memang bawaan PC yang dituntut portabel
Pemisahan fungsi kurang, satu orang bisa memiliki
banyak akses
Multivel password control kasih user pass beda2
Resiko Kemalingan..small, handheld easy to theft.
Prosedur Backup Lemah
Resiko terpapar virus lebih besar
Audit obj dan proc menyesuaikan dengan
kelemahan2 tersebut.

APPENDIX CH 3
TOPOLOGI
JARINGAN
TJ adalah pengaturan fisik dari komponen jaringan
(node, server, comlink,dll). Beberapa pengertian
penting adalah sbb:
LAN-> Konfigurasi jaringan dalam satu gedung hingga
beberapa mil dan menghubungkan ratusan user,
komputer yang terhubung ke LAN dinamakan Nodes.
Ketika jaringan melampai kemampuan geografis
LAN dia berubah menjadi WAN. Nodes dalam
WAN termasuk komputer
workstations, minicomputer,mainframe dan
kumpulan LAN itu sendiri.
Koneksi fisik dalam LAN dicapai melalui NIC (network
interface card), salahsatu slot ekspansi dalam
komputer (ya mungkin semacam colokan RJ45 buat
kabel LAN, atau Wifi Receiver atau kartu didalam
motherboard)
NODES dalam LAN sering berbagi sumberdaya
seperti program, data dan printer melalui suatu
komputer yang ditujukan untuk itu yang dinamakan
server.

Antar jaringan terhubung dengan suatu kombinasi HW

dan SW yang dinamakan BRIDGES
(menghubungkan LAN dalam satu tipe->IBM
tokenring to IBM tokenring) dan GATEWAY
(menghubungkan LAN dari berbagai type atau LAN
ke WAN)
 ♥ RING (CINCIN..ya iyalah)

Berikut 5 macam Topologi Dasar yang perlu

diketahui:
♥ STAR (mirip bintang?)
Tidak ada site pusat/central, semua nodes selevel
dan manajemen komunikasi disistribusikan
keseluruh nodes. Pergerakan data satu arah
sehingga meminimalkan tabrakan data. Tiap nodes
memiliki alamat berupa kode elektronik yang unik,
jika mau kirim dari A ke D, lewat di B dan C hanya
Jaringan dengan Pusat komputer yang besar sebagai kolanding, (sunda:makcomblang) perantara,
(HOST) yang memiliki hubungan langsung Cuma di terima, lalu dikirim lagi ke tujuan.
dengan komputer/jaringan yang lebih kecil. Kebanyakan pake model ini masing2 nodes bisa
Komunikasi dalam topologi ini diatur dan manage program dan database secara lokal.
dikendalikan dari HOST. Biasanya digunakan Salahsatu nodes dapat menjadi penyimpan data
dalam WAN, model DB yang umum adalah data2 pusat yang dapat diakses seluruh nodes.
lokal (contoh pinjaman, yg disimpan di ♥ BUS bukan TransJ
masing2 kantor adalah data customersnya)
disimpan di NODES2 (komputer kecilnya/jaringan
lokal) sedangkan data yang umum (contoh jumlah
tagihan, piutang) disimpan dipusat (HOST).
Jika satuatau lebih nodes mati yang lain masih bisa
running, kalo Hostnya yg down ya Cuma bisa operasi Topologi LAN paling populer, seluruh nodes
sendiri2 nodesnya. Akses antar nodes juga terhubung ke satu kabel utama yang dinamakan (The
dimungkinkan, tergantung DBnya. BUS). Satu atau lebih server mengendalikan
♥ HIRARKI komunikasi dan transfer data. Sama seperti di
RING masing2 nodes memiliki alamat unik. Hanya
satu nodes yang bisa transfer setiap waktu (make
jalan/kabelnya gantian). Simple reliable dan murah.
Terkait dengan ASI yang harus diperhatikan adalah
kelemahan inheren di masing-masing jaringannya.
Satu komputer HOST terhubung dengan beberapa Di sini rentan terjadi tabrakan data, concern auditor
level komputer yang lebih rendah/lebih kecil dengan pada seringya tabrakan dan efeknya terhadap DB.
hubungan Juragan_Babu. Digunakan pada ♥ CLIENT-SERVER
organisasi tersentralisasi, misal data order dari
level bawah, dirangkum di level regional lalu dikirim
ke pusat, pusat memerintahkan produksi ke regional,
regional bagi lagi ke unit dibawahnya..semacam itula.
 Istilah Client-Server sering
disalahgunakan/disalahfahami sebagai seluruh Polling, most popular dalam WAN. Satu site
tipe pengaturan jaringan. Padahal topologi ini sebagai master menanyakan (POLLING) apakah
punya karakteristik spesifik yang berbeda dengan site lain
topologi lainnya. Dalam jaringan DDP tradisional
misalnya jika user ingin melihat satu record di DB
pusat, komputer pusat akan mengunci dan
memberikan seluruh DB ke user tersebut, ketika
record diapdet baru DB itu dikirim lagi ke pusat.
Client-Server model mendistribusikan
pemrosesan antara user dan server dengan fungsi
yang berbeda. Jadi program pencarian ada di
server data manipulasi/perubahan diberikan ke
client. Sehingga ketika ada permintaan satu record
yang dikirim server ya saturecord itu saja, kalo
sudah diapdet record dikirim ke pusat dan direstore
ke DB. Sistem ini lebih efisien, mengurangi trafic dan
akses ke satu file bisa dilakukan secara bersamaan.
Dapat diaplikasikan ke seluruh Topologi lainnya.

PENGENDALIAN
JARINGAN
Tujuan dari pengendalian jaringan adalah agar
supaya:
a.Menyediakan suatu sesi komunikasi diantara
pengirm dan penerima.
b.Mengelola aliran data sepanjang
jaringan.
c. Mendeteksi dan menyelesaikan masalah
tabrakan data antara nodes yang saling
berkompetisi.
d.Mendeteksi error dalam jaringan atau yang
disebabkan karena sinyal
HANYA ada satu node dalam suatu waktu yang bisa
mengirimkan pesan, dua atau lebih pengiriman pesan
secara bersamaan dapat mengakibatkan tabrakan
data(collision) yang menghancurkan keduanya
(meskipun kecepatannya dalam mili detik). Ada
beberapa teknik untuk mengelola dan mengendalikan
lalu lintas data, tiga varian dasarnya adalah sbb:
 (budak) hendak kirim pesan atau tidak, untuk dengan induknya sementara virus berkembang
menentukan siapa yang bisa mengirim data dan independen.
menghalangi yang lain. Tabrakan dapat dicegah dan
site yang penting dapat dikasih prioritas.
Token Passing, mentransimiskan sinyal spesial
(token) keseluruh jaringan dari node ke node.
Jaringan yang mau ngirim pesan menangkap sinyal
ini sebagai kunci, nodes yang tidak kirim akan
melewatkan saja tokennya. digunakan di Bus dan
Ring biasanya.

Carrier Sensing, biasanya dipake di Bus, nodes yang

hendak kirim data mendengarkan
(menyensor/scan/stalking) ke jaringan utama (kabel
BUS) lagi kosong atau tidak. Agak masih beresiko
tabrakan kalo stalkingya tidak akurat, ketika terjadi
server akan memberikan kesempatan kepada nodes
untuk mencoba lagi. Kalo jaringannya supersibuk akan
mengakibatkan banyak delay. Eternet adalah
salahsatu contoh pake model ini keunggulannya:
simple, murah karena tidak perlu pasang dua kabel
(RING pake twistpair cable supaya mantap), kartu
jaringanya lebih murah dan pake bus lebih mudah
dikembangkan.

Program2 berbahaya:
♥ Virus, suatu program yang menempelkan dirinya
pada program yang sah untuk melakukan penetrasi
kedalam sistem operasi dan menghancurkan aplikasi,
data atau Osnya sendiri.
♥ Worm, istilahnya dipertukarkan dengan virus,
program yang secara virtual mengubur diri
dalam memorikomputer dan menduplikasi dirinya
dalam area memori yang idle. Bedanya dengan
virus worm ini kembaranya masih terhubung
 informasi tambahan, ketika kebutuhannya berubah,
♥ Logic Bomb, destruktif program yang diaktifkan
informasi dibatasi oleh data yang dikuasai dan
melalui kejadian yang telah disetting sebelumnya
dikendalikannya saja.
misal tanggal tertentu/jam tertentu. Waspadai
pegawai yang keluar dari organisasi dapat
mensetting kerusakan sekian lama setelah dia
berhenti.
♥ Back Door, program yang mengizinkan akses illegal
masuk ke sistem tanpa melalui saluran prosedur
yang normal (front door). Bisa digunakan untuk
memantau sistem atau untuk fraud.
♥ Trojan Horse, menangkap ID dan password dari
user dengan meniru prosedur log in normal.

SECURITY PART II: AUDITING

DATABASE SYSTEMS
A. Data Management
Approaches a.The Flat-File
Approach
Data files yang mengandung record dengan tanpa
memiliki hubungan yang terstruktur dengan file lain.
Sering dihubungkan dengan legacy system (sistem
warisan) udah jadul namun masih ada yang pakai.
Pendekatannya single user, sistem mainframe yang
besar user tidak berbagi data dengan end user
lainnya. Format sesuai kebutuhan satu orang Ketika
end user lain membutuhkan data yang sama untuk
tujuan yang berbeda, mereka harus menyusun set
data yang terpisah untuk memenuhi kebutuhan
mereka. Replikasi-replikasi ini merupakan
kelemahan model ini disebut data redudancy yang
mengakibatkan masalah pada flat file:
o Data Storage: Data yang umum dan digunakan
bersama disimpan sendiri2, terduplikasi diseluruh
level organisasi..boros space
o Data Updating-:Banyak data pada file acuan dan
file master yang memerlukan pembaharuan
berkala, apdetnya harus satu2.
o Currency of Information: Kegagalan untuk
membaharui semua file pemakai yang terpengaruh
jika ada perubahan dalam status menghasilkan
keputusan berdasar pada informasi ga uptodate.
o Task Data Dependency (Limited Access)
ketidakmampuan pemakai untuk memperoleh
B. The Database Approach atau pake informal seperti Data Manipulation
Pendekatannya menggunakan Database Language dan Structured Query Languange
management system (DBMS) suatu software (mumet)
khusus yang diprogram untuk mengatur The Database Administrator
lalulintas DB dan menggunakan mekanisme
otorisasi akses. Pendekatan ini memusatkan
pengorganisasian data ke dalam database umum
sehingga dapat dibagi dengan pemakai lainnya.
Keunggulanya ya: mengatasi seluruh masalah dalam
flat file diatas itu.
C. Key Elements of the Database Environment
Database Management System
DBMS menyediakan pengendalian untuk membantu
atau mencegah akses ke DB. Fiturnya:
Program Development, berisi Aplikasi Pengembangan
Program Perangkat
Lunak
Backup and Recovery, sejak memproses, secara
periodik DBMS membuat backup copy di physical
database
Database Usage Reporting, ciri ini menyatakan data
statistik apa yang digunakan, kapan mereka gunakan
dan siapa yang menggunakan
Database Access, ciri yang sangat penting yaitu
memberikan ijin otorisasi untuk dapat mengakses,
baik formal maupun informal database melalui 3
modul:
• Data Definition Language (DDL). DDL
mengidentifikasikan nama dan hubungan semua
unsur data, dokumen/catatan, dan file yang
terdapat di dalam database.
• Database View
Internal View/Physical View-> struktur catatan
data, hubungan-hubungan antara sebuah file
dan rencana physical dan rangkaian catatan
dalam file
Conceptual View/Logical View-> skema
logical, abstrak
External View/User View ->subskema
pandangan dari user
• Users
Fformal Access-App Interfaces: Ada dua jalan
untuk pengguna mengakses database, salah
satunya adalah dengan aplikasi formal interface,
 • The Network Model Model ini sama dengan hirarki
juga merupakan navigational type, dengan
suatu

The Physical Database

Physical Database adalah level paling rendah dari
database dan satu-satunya level yang ada dalam
bentuk fisik.Physical database terdiri dari titik-
titik magnetic pada magnetic disk.
• Data Structure, adalah bata dan semennya
database, yang membolehkan catatn ditempatkan,
disimpan, dipanggil, dan dimungkinkan dipindah
dari catatan satu ke lainnya. Struktur data terdiri
dari:
Organisasi Data adalah cara pencatatan
secara fisik yang diatur pada alat penyimpan
secondary.
Data Access Method adalah teknik yang
digunakan untuk menempatkan catatan
dan mengendalikan melalui database.
DBMS Models
Data model adalah suatu representasi abstrak data
mengenai entitas, termasuk sumber (aset), kejadian
(transaksi) dan agen (personalia atau customer) dan
hubungan mereka dalam organisasi. Tujuan Data
Model adalah menyajikan atribut entitas dengan
cara yang mudah dipahami oleh pemakai. Ada tiga
model data
• The Hierarchical Model (=struktur pohon/ayah
anak ingat kan…) Model ini sering disebut
navigational database karena membuatan garis
file diikuti pra penetapan jalur (path). Kelemahan:
Parent dapat memiliki satu atau lebih catatan
child. Tidak ada satupun catatan child memiliki
parent lebih dari satu. Tidak mencerminkan
kondisi sebenarnya satu catatan child dapat
memiliki parent lebih dari satu Untuk mengatasi
kelemahan ini biasanya catatan child diduplikasi
sehingga menciptakan/menyajikan dua hirarki yang
terpisah.
 pengecualian dalam hubungan antara record dan
file. perbedaannya model network mengijinkan
catatan anak memiliki parent lebih dari satu.
• The Relation Model Perbedaan model relation
dengan model pertama adalah cara hubungan data
disajikan kepada user. Model ini menggambarkan
data dalam tabel dua dimensi. Bagian kolom berisi
atribut, sedangkan pertemuan column dan row
membentuk tuples (record). Berisi kesatuan data
yang sama tetapi tidak sama persis, untuk dicatat
dalam sistem file flat. Tabel harus dinormalisasi dan
masing2 atribut dalam row bergantung kepada
primary key atau independen atribut yang lain. Kan
lbh detail di ch 8
Database Terminology (refer ke Ch M Mcleod
dan
Appendix A)
Entity adalah representasi database akan suatu dari
tiga hal ini yakni elemen lingkungan, sumberdaya atau
transaksi/event yang penting dan harus
didokumentasikan dalam bentuk data.
Attribute adalah karakteristik dari suatu entitas, atribut
yang unik dinamakan identifiers atribut lain yang
menjelaskan entitas dinamakan descriptor.
Data Attribute/Field adalah single item data seperti
nama, alamat dll
Record Type (table or File) kumpulan atribut data yang
secara logis mendefinisikan entitas.
Database kumpulan record type yang dibutuhkan
organisasi untuk mendukung bisnis prosesnya.
Associations/ Relationship adalah yang hubungan
yang terjadi diantara suatu record atau entitas dengan
yang lainnya. Bentuknya:
• One to One
• One to Many
• Many to Many
D. Databases in a Distributed
Environment a.Centralized Databases
 Penyimpanan DB di satu lokasi terpusat. Unit yang
lain meminta akses dan proses lalu mentransmisikan
ulang kembali ke DB. Data relatif terupdate dengan
catatan harus dicegah dua akses dari dua user
secara bersamaan. Biasanya menggunakan
mekanisme penguncian.
b.Distributed Databases
Database direplikasi dapat menjadi efektif pada
Partitioned Databases Approach
perusahaan yang tingkat sharing datanya tinggi,
tidak ada pemakai utama. Dengan mereplikasi data
pada setiap bagian, akses data untuk tujuan query
dapat dipastikan, dan lockuts dan keterlambatan
akibat lalu lintas data dapat diminimalkan.
Kelemahan pendekatan ini adalah menjaga
(maintaining) dan updating versi terbaru dari masing-
masing database.
Pendekatan partitioned database memecah c.Concurrency (data integritas)
Control
database pusat menjadi segmen-segmen atau
Database concurrency adalah adanya kelengkapan
partisi-partisi yang didistribusikan ke pemakai data
dan keakuratan data pada semua lokasi data
yang utama. Keuntungan pendekatan ini:
pengguna.Metode umumnya menggunakan
• Data yang tersimpan pada site lokal meningkatkan
transaksi yang diserialkan dengan melabeli
pengendalian user.
transaksi dengan dua kriteria:
• Waktu respon pemrosesan transaksi ditingkatkan
• Software khusus untuk mengelompokkan
dengan mengijinkan akses lokal ke data dan
transaksi ke dalam kelas-kelas untuk
mengurangi volume data yang harus dikirim antara
mengidentifikasi konflik potensial.
unit IT.
• Time-stamp setiap transaksi. Ada jam yang mencatat
• Database yang dipartisi/didistribusi dapat
transaksi dengan ID number khusus
mengurangi efek potensial kerusakan.
mengakomodoasi perbedaan waktu Jika muncul
The Deadlock Phenomenon -> Pada lingkungan
konflik maka transaksi dimasukkan ke dalam
terdistribusi, dimungkinkan bagi site ganda saling
schedule serial sehingga data menjadi runut
mengunci satu sama lain dari database, sehingga
mengapdet database.
mencegah masing-masing melakukan pemrosesan
Keputusan itu untuk mendistribusikan database harus
transaksinya. Untuk mengatasi deadlock pada
penuh pertimbangan, ada beberapa trade-off yang
umumnya melibatkan lebih dari satu pembatalan
harus dipertimbangkan. Pilihan ini berdampak
suatu transaksi untuk melengkapi pemrosesan
pada kemampuan organisasi itu untuk memelihara
transaksi lain pada deadlock. Concern auditor
integritas data. Penjagaan jejak audit dan ketelitian
seberapa sering deadlock dan apakah antisipasinya
dari catatan akuntansi adalah kunci yang harus
oke.
difahami juga oleh auditor.
Replicated Databases
E. Controlling and Auditing Data Management
System
s
a.Access
Controls
Pengendalian DBMS dikelompokkan menjadi dua
yaitu: pengendalian akses (access control) dan
pengendalian backup.
 file sekuensial. Prosedur backup dimulai ketika file
o Access Controls
master sekarang (parents) diproses terhadap file
Adalah pengendalian yang dirancang untuk
transaksi untuk memproduksi file master updated
mencegah individu tanpa otorisasi menampilkan,
(child). Pada
memanggil, merusak, dan menghancurkan data
entitas.
• User Views Adalah subset dari total database yang
menegaskan domain data pemakai dan
menyediakan akses ke database (tampilan yang
diijinkan per user melihat (DB).
• Database Authorization Table Berisi aturan-aturan
yang membatasi tindakan yang dapat diambil
pemakai. Teknik ini sama dengan daftar
pengendalian akses yang digunakan dalam sistem
operasi.
• User-Defined Procedures, adalah prosedur yang
mengijinkan pemakai untuk menciptakan program
keamanan personalatau rutin untuk menciptakan
identifikasi pemakai positif lebih daripada
password tunggal.
• Data Encryption, data ecryption digunakan untuk
melindungi data yang sifatnya sangat sensitif.
Dengan prosedur data encryption maka penyusup
data tidak dapat membaca data karena database
di- scramble
• Biometric Devices adalah prosedur yang
menggunakan alat biometrik untuk mengukur
berbagai macam karakteristik personal, seperti
sidik jari.
• Inference Controls, salah satu kemampuan
database query adalah menyediakan ringkasan
dan data statistik pengambilan keputusan bagi
pengguna.

B. Backup Controls
Adalah pengendalian untuk memastikan
bahwa kejadian kehilangan data akibat
akses tanpa otorisasis, kegagalan perangkat,
atau kerusakan fisik organisasi dapat diperbaiki oleh
database tersebut. Backup Controls in the Flat-File
Environment Teknik backup yang digunakan
tergantung pada media atau struktur file.
GPC Backup Technique Grant-parent-child backup
adalah teknik yang digunakan dalam sistem batch
 transaksi batch berikutnya, anak menjadi master file,
file parent yang asli naik menjadi backup (grantparent)
Direct Access file Backup Nilai data pada akses
langsung diubah tempatnya dalam suatu proses
yang dinamakan destructive replacement. Oleh
karena itu, sekali data berubah, nilai asli dihancurkan,
dan hanya meninggalkan satu versi terbaru.
Off-Site Storage Adalah tempat penyimpanan backup
baik pada GPC maupun pendekatan langsung
rorpada tempat yang aman di luar site.
Pengendalian backup untuk lingkungan
database
menyediakan sistem backup dan pemulihan
sebagai berikut:
Backup secara periodik untuk seluruh data.
Transaction Log (Journal) The transaction log adalah
fitur yang menyediakan jejak audit seluruh transaksi
yang diproses.
Checkpoint Feature Adalah fasilitas yang menunda
seluruh proses sementara data sedang diperbaiki
(proses pemulihan data) transaction log dan
database mengubah log database.
Recovery Module Modul ini menggunakan logs dan
backup untuk memulai kembali setelah sistem
mengalami kegagalan

SYSTEMS DEVELOPMENT AND

PROGRAM CHANGE ACTIVITIES
A. Participants in Systems Development
Sistem profesional : sistem analis, systems engineers,
dan programer. Membangun sistem->produknya
Sistem Baru
User : untuk siapa sistem itu dibuat, terdiri dari low
sampe high level, saat bangun sistem primary user
diikutsertakan.
Stakeholder: didalam dan diluar organisasi namun
berkepentingan terhadap sistem, internal auditor
dan eksternal auditor, akuntan, steering komite.
Akuntan dan Auditor: profesional yang concern pada
pengendalian, akunting dan audit issue. dilibatkan
Internal dan IT auditor, tidak termasuk eksternal
auditor karena tidak dibolehkan SOX Law.
a.Why Are Accountants and Auditors Involved
with
SDLC?
 • Reliabilitas (sudah dites dulu sebelum
SD dianalogikan sebagai proses manufaktur yang
dirilis) KerugianCommercial Systems:
menghasilkan produk kompleks. Akuntan concern
pada integritas proses tersebut, terutama pada • Ketergantungan pada vendor dalam
pengoperasian
proses yang berimplikasi pada sumber daya
keuangan perusahaan.
SDLC menghasilkan SIA. Kualitas informasi akuntansi
yang diproduksi haruslah terjamin>>perlu kontrol
oleh akuntan dan auditor supaya tepat dan sesuai
aturan.
b.How Are Accountants Involved with the
SDLC?
Sebagai user ,Sebagai Tim pengembang dan Sebagai
auditor
B. Information Systems Acquisition
In-House Development Karakteristik industri
berbeda, banyak juga yang mengembangkan
sistem sendiri sesuai kebutuhan, memerlukan staff
dan programer yang selalu stand by.
a.Commercial
Systems
Beli dari vendor dengan empat pertimbangan:
Relatif murah dari yg customized
Vendor sudah mengakomodasi tipe industri
Bisnis kecil yang terlalu kecil mengembangkan
sistem sendiri
Mulai munculnya organisasi otonomi yang
terdesentralisasi
Jenis Commercial Systems:
Turnkey System-> sistem sudah jadi dan siap
implementasi
• General Accounting System->: sistem akuntansi
secara umum untuk melayani berbagai macam user
• Special purpose System: sistem yang dibuat untuk
segmen pasar tertentu, seperti: industri perbankan,
bidang medis
• Office Automation System
Backbone System: Basic struktur tinggal
dikembangkan
Vendor supported System Sistem hibrid antara custom
dan comercial system.
Keuntungan Commercial
Systems
• Waktu implementasi cepat
• Cost rendah
 • Sulit dikustomisasi. Commercial Systems Menghasilkan beberapa alternatif konseptual
biasanya terlalu umum dan kaku sistem yang memenuhi persyaratan sistem yang
• Pemeliharaan. Jika kebutuhan user berubah, diidentifikasi selama analisis sistem. Ada 2
sulit memodifikasi sistem Pendekatan:
C. The Systems Development Life Cycle
Systems Development Life Cycle (SDLC): planning
sistem, analisis sistem, desain konseptual sistem,
seleksi sistem, desain rinci, implementasi sistem,
pemeliharaan sistem adalah aktifitas logis dan
berurutan yang secara umum diterima sebagai best
practices pengembangan sistem.
a.Systems Planning—Phase
I
Tujuan dari perencanaan adalah untuk
menghubungkan proyek dan aplikasi kepada tujuan
strategis organisasi. Pihak yang menyusun
perencanaan biasanya adalah Steering comitee (CEO,
CFO, senior manager, internal auditor) Perencanaan
secara umum dibagi menjadi:
• Strategic Systems Planning -> alokasi sumber daya
sistem di tingkat makro. Biasanya berkaitan dengan
kerangka waktu 3 - 5 tahun
• Project Planning-> alokasi sumber daya di tingkat
proyek individual atau aplikasi dalam frame
perencanaan strategis. Peran auditor di tahap
iniadalah memastikan bahwa perencanaan sistem
memadai sehingga mengurangi risiko operasi tidak
3E.
b.Systems Analysis—Phase
II
Systems Analysis adalah dua langkah melibatkan
suatu survey terhadap sistem saat ini dan
menganalisis kebutuhan user. Keuntungan
melakukan survei: identifikasi aspek sistem lama
yang ingin dipertahankan, memaksa sistem analis
memahami betul sistemnya, sistem analis dapat
mengisolasi akar masalah karena paham sistem.
Kerugiannya adalah analis terjebak dalam survey dan
tidak move ON atau bahkan merasa sistem saat ini
masih bagus. Dilakukan dengan mengumpulkan
fakta: data source, user, data store, proses, data
flow, control, dll. Pertimbangkan memasang modul
audit di sistem baru.
c. Conceptual Systems Design—Phase
III
 Bandingkan Cost n Benefit Menggunakan analisis:,
• The Structured Design Approach-> merancang
NPV, Payback method (break even analysis):
sistem dari atas ke bawah. Biasanya memakai DFD
untuk menggambarkan bisnis proses dan Struktur
diagram untuk menggambarkan dekomposisi top-
down
• The Object-Oriented Approach-> membangun sistem
informasi dari reusable komponen standar atau
objeck. Peran auditor di tahap ini adalah
mengusahakan agar fitur audit masuk rancangan
selagi desain konseptual dibuat.
d.System Evaluation and Selection—Phase IV
Untuk evaluasi dan seleksi serta
mengidentifikasi sistem yang terbaik Dilakukan
dengan 2 proses:
• Detailed Feasibility Studies, meliputi:
Technical feasibility engidentifikasi apakah sistem
bisa dikembangkan dengan technologi saat ini
atau butuh teknologi baru
Economic feasibility mengidentifikasi kecukupan
dana untuk menyelesaikan proyek
Legal feasibility mengidentifikasi segala konflik
antara sistem konseptual dan kemampuan
perusahaan untuk melaksanakan tanggung jawab
hukumnya
Operational feasibility menunjukan tingkat
kesesuaian antara prosedur yang dimiliki
perusahaan, keterampilan personil dan
operasional yang diminta oleh sistem baru
Schedul feasibility kemampuan perusahaan untuk
menyelesaikan proyek tepat pada waktunya
• Analisis cost and benefit
Identifikasi Biaya baik yang satu kali : perolehan
hardware dan software, persiapan tempat, sistem
design, programing dan testing, data konversi,
training. Maupun yang berulang maintenance,
insurance, supplies, personel cos
Identifikasi Benefit baik yang tangible benefit : increase
revenue (sales naik di existing market, market
expansion) dan reduce cost (labor, operating,
inventory turun, equipment mahal berkurang,
maintenance cost turun) dan intangible benefit
(kepuasan customer naik, kepuasan pekerja naik,
decision making semakin baik, operasi lebih efisien)
 Peran auditor di tahap ini memastikan kelayakan
ekonomis atas usulan system diukur dengan seakurat
mungkin.
e.Detailed Design—Phase V
Untuk menghasilkan penjelasan rinci proposed system
yang baik memenuhi persyaratan sistem yang
diidentifikasi selama analisis sistem dan sesuai
dengan desain konseptual. Akan diadakan
walkthrough dan quality assurance.
f. Application Programming and Testing—Phase VI
Memilih program dan aplikasi dari berbagai
pilihan yang sesuai ada COBOL, event-driven
languages: Visual Basic, or object-oriented
programming (OOP) languages like Java or C++.
Kemudian melakukan test untuk setiap program
modules Metodologi testing: Testing Offline Before
Deploying Online dan Test Data
g.System Implementation—Phase VII
Struktur database dibuat dan diisi data, peralatan dibeli
dan diinstal, pegawai dilatih dan sistem
didokumentasikan dan digunanakan.
• Testing the Entire System : melakukan test semua
modules sebagai satu kesatuan.
• Documenting the System : Designer and Programmer
Documentation, Operator Documentation
(dokumennya disebut run manual), User
Documentation, User handbook, Tutorial, dll
• Converting the Database yaitu transfer data dari
bentuk yang sekarang ke format atau media yang
diperlukan oleh sistem baru. Konversi data sangat
berisiko sehingga perlu tindakan pencegahan:
Validation, Reconciliation, Backup.
• Converting to the New System Proses konversi dari
old system ke new system disebut Cutover Ada 3
pendekatan system cutover:
Cold Turkey Cutover (Big Bang), perpindahan
dilakukan secara simultan (sekaligus), pendekatan
paling mudah dan murah untuk sistem sederhana
namun pendekatan paling berisiko untuk sistem
kompleks
Phased Cutover (Bertahap)Membagi seluruh system
dalam beberapa modul, menjalankan sistem baru
secara bertahap, bisa menimbulkan incompatibilitas
 antara sistem baru dan sistem lama yang belum • Technical Design Activities

digantikan • Internal Audit Participation

Parallel Operation Cutover menjalankan sistem • User Test and Acceptance Procedures

lama dan sistem baru secara bersamaan untuk

jangka waktu tertentu, banyak menghabiskan
waktu dan biaya Tidak efisien karena mengelola
dua kali dokumen sumber, dua kali waktu
pemrosesan, dua kali database, dan dua kali
output produksi Keuntungan: memungkinkan
melakukan rekonsiliasi antar sistem sebelum
menjalankan sistem baru secara independen.
Peran auditor internal dalam system
implementation:
• Provide Technical
Expertise
• Specify Documentation
Standards
• Verify Control Adequacy and Compliance with
SOX. Post-Implementation Review Meliputi reviu:
• Systems Design
Adequacy.
• Accuracy of Time, Cost, and Benefit
Estimates h.Systems Maintenance—Phase VIII
Setelah sistem diimplementasikan, memasuki
tahap akhir dalam siklus hidupnya. Pemeliharaan
sistem adalah proses formal di mana program
aplikasi mengalami perubahan untuk
mengakomodasi perubahan kebutuhan pengguna.
D. Controlling and Auditing the SDLC
Dalam lingkungan sistem informasi berbasis
komputer, data keuangan diproses (akses, simpan,
update) melalui aplikasi komputer. Akurasi dan
integrritas dari program tersebut secara langsung
mempengaruhi akurasi data keuangan klien.
Kesalahan aplikasi yang material dapat menyebabkan
data hilang/corrupted dan menyebabkan salah saji
dalam laporan keuangan.
Controlling New Systems Development
Tujuan Audit terkait New Systems Development: a.
• Systems Authorization Activities >> All systems
must be properly authorized to ensure their
economic justification and feasibility.
• User Specification Activities >> Users must
be actively involved in the systems
development process
The Controlling Systems Maintenance mengumpulkan tipe input yang sama dalam satu
Mendeteksi pemeliharaan program yang batch (bundel) lalu mengontrol batch ini dalam
dilakukan tanpa otorisasi. prosesnya.

COMPUTER-ASSISTED AUDIT TOOLS

AND TECHNIQUES

A. Application Controls
Prosedur program pengendalian intern yang
didesain untuk mengatasi terpaparnya sistem
dari resiko potensial pada aplikasi spesifik
seperti pembayaran gaji, pembelian dan
pengeluaran uang. App controls terdiri dari:
a.Input Controls
Bertugas untuk membawa data dari ke dalam
sistem untuk diproses, IC didesain untuk
memastikan bahwa transasksi valid, akurat dan
lengkap. Dapat dipicu oleh batch maupun secara
langsung (direct). Dalam dokumen sumber
biasanya melibatkan manusia dan oleh karenanya
rentah kesalahan klerikal yang sering tidak
terdeteksi nanti ada opsi data realtime. Beberapa
jenis pengendalian dalam input control adalah sbb:
Source document controls
• Pengendalian terhadap dokumen sumber
karena dapat dipalsukan dan masuk sistem
lalu menghilangkan aset perusahaan
• control : PreNumbered SD, Sequence Limited
Acces, Periodic audit/spot cek
Data coding controls
• Cek integritas kode data dalam pemrosesan-
Nomor rek Customers, Nomor Inventory, No Akun
dll
• Errors-> Transkripsi (penambahan,
pengurangan,subtitusi) dan Transposisi
(two/multiple number kebalik2)
• Control: Check Digit (penjumlahan atau
menggunakan modulus 11) tapi makan Space
(nambah record), baiknya untuk yg penting saja)
Batch controls
• Rekonsiliasi antara input dan output pada
transaski dengan volume tinggi guna memastikan
seluruh data terekam, tidak dobel entry dan jejak
audit terjaga (inc proses n output control). Dengan
 Generalized data input systems
• Elemen: No Batch, tgl, Kode transaksi, Jumlah Rec,
GDIS menstandarisasi validasi input dengan
Nilainya, Jumlah data non financial ( Hash totalbuat
level kontrol tinggi. Ada 3 keuntungan pake GDIS:
alat kontrol aja, tidak bernilai)
Validation controls
• Deteksi error sblm transaksi diproses, bisa
memerlukan untuk merefer ke master file sebaiknya
sedekat mungkin dengan sumber transaksi.
• Controlnya ada 3 level:
Field Interogation: melakukan validasi di level
karakter dalam Field jenis checknya:
♥ Missing data check (blank) cek apakah ada field
yg kosong
♥ Numeric-alphabetic->isi field apakah huruf/bilangan
♥ Zero value->isi field 0 untuk pengendalian
♥ Limit check->cek nilai field apakah melebihi
standarnya
♥ Range check->batas atas dan bawah
♥ Validity check->bandingkan dengan data master
♥ Check digit->sama dengan diatas itu pake modulus
11
Record Interogation: validasi seluruh catatan dengan
menguji hubungan nilai fieldnya. Contohnya:
♥ Reasonbleness Checks->->cek dengan master
filenya
♥ Sign Check-> tanda +/- sudah tepat digunakan?
♥ Sequence Checks-> urutan (batch) sudah sesuai
atntrian?
File Interogation: Memastikan bahwa file yang benar
yang diproses sistem sangat penting untuk master
files yg menyimpan data relatif permanen.
♥ Internal Label Checks->label disk di dalam (bukan
diluar)
♥ Version Checks->versi filenya apakah
sesuai..1.0?
beta?
♥ Expiration date checks->cek file ga kepake,agar
tidak kedelete sembarangan
Dalam sistem batch ketika ada Input error perlu
dilakukan correction, ada tiga jenis penanganan
error yang umum dalam proses input:
• Correct Immidiately->kasih warning ke user
• Create an Error File-> delayed, pisahkan dari sistem
buat laporan sistemnya bahwa data tsb error
• Reject Entire Batch-> tolak sluruh batch untuk
diproses
 serius bagi perusahaan seperti kehilangan SD
• Improve control melalui satu sistem validasi umum
ekonomi, penurunan citra bahkan tuntutan hukum.
yang sama
• Memastikan setiap aplikasi menerapkan standar yg
sama
• Meningkatkan efisiensi sistem
• Elemennya: GDIS module, Data File Tervalidasi, Error
File, Error Reports, Log Transaksi.
b.Processing Controls
Run-to-Run Controls
Menggunakan batch untuk memonitor batch ketika dia
bergerak dari satu prosedur program ke prosedur
program lain. Kontrol ini memastikan setiap
pergerakan memproses batch dengan benar dan
lengkap. Jenis2nya:
• Recalculate Control Totals-mengecek kembali nilai2
dalam batch, has total dibandingkan dengan data
master.
• Transaction Codes-> hanya transaksi yg benar yg
diijinkan
• Sequence Checks
Operators Intervention Controls
Operator kadang diperlukan dalam mengintervensi
suatu kegiatan dan hal ini meningkatkan potensi
human error. Sistem sedapat mungkin memmbatasi
intervensi manusia, jika tidak dapat dilakukan
supervisi.
Audit Trails Controls
Dalam sistem terkomputerisasi jejak audit akan
terpecah-pecah dan lebih sulit diikuti. Sehinga
dokumentasi sistem sangat diperlukan untuk dijaga.
Beberapa cara menjaga jejak audit :
• Transactions Logs-mencatat seluruh aktivitas sistem
• Log of Automatic Transactions
• Listing of Automatics Transactions->EOQ/reorder
harus diperhatikan
• Unique Transaction Identifiers
• Error Listings-Laporkan agar diperbaiki
c.Output Controls
Output controls adalah SPI yang memastikan bahwa
hasil keluaran sistem tidak hilang, salah sasaran,
berkurang/rusak atau melanggar privasi. Kegagalan
dalam menjaga output dapat mengakibatkan dampak
 Otput controls menyesuakan dengan proses ♥ Ceroboh-> dapt dimanfaatkan , ada akes data teknis
pengolahan dokumennya, secara umum terbagi dua dan informasi penting lainnya dalam dokumen rusak
yakni Batch Control System (lebih rentan karena sekalipun
adanya intervensi operator/program) dan Realtime
System.
Controlling Batch System Output
Dalam Batch System, output biasanya berupa
HardCopy (Cek, Laporan, PO,dll) dan dalam
prosesnya sebagaimana bagan diatas, memerlukan
perantara baik manusia maupun program dari mulai
proses sampai dengan distribusi.
• Output Spooling
♥ Dalam pengolahan data skala besar-> terjadi
backlogged, hasil pengolahan sistem mengantri
untuk dicetak (bottleneck)-> sistem membuat
suatu file output dalam disk daripada membebani
memori printers (spooling).
♥ Dalam tahap ini output file rentan diacces oleh
penjahat cyber yang dapat mengubah, mengcopy
secara illegal atau bahkan menghapus file sebelum
dicetak.
♥ Harus ada akses kontrol yang baik dan backup
file output
Print
♥ Setelah spooling, dan SD printer tersedia -> printer
akan mencetak, biasanya ada intervensi operator
berupa mengganti kertas, mengatur mempause,
menyesuaikan margin, tinta dsb
♥ Resiko :Operators copy secara illegal/membaca
data rahasia
♥ Controlnya: Prenumbered untuk memastikan
seluruh cetakan lengkap, supervisi, gunakan kertas
multipart berkarbon (gesek dulu baru terbaca->pin
ATM)
• Bursting
♥ Hasil cetakan dipilah-pilah dan disusun ulang,
ada
Operato
r
♥ Risk-> Illegal copy, menghilangkan halaman, baca
data rahasia
♥ Control-> Supervisi atau bursting di end user saja
• Waste
♥ Cetakan yg tidak sempurna, karbon copy dibuang
♥ Control-> Penghancur kertas/ dibakar juga) hingga ke logika dalam aplikasi. Beberapa
tesnya:
• Data Control Group
♥ Tim verifikasi sebelum HardCopy didistribusikan cek
akurasi kelengkapan, legalitas, dll
♥ Risk dan controls = print dan bursting
• Distributions
♥ Rawan pencurian, hilang, salah tujuan
♥ Nama dan alamat tercetak jelas, hati2 akses ke
file master nama dan alamat
♥ Untuk data sensitive dapat menggunakan tas
berpengaman kunci/pin, dikawal petugas keamanan
atau End User sendiri yang ambil
• End Users
♥ Cek kembali dokumen yg diterima, jika ada
kejanggalan laporkan bisa jadi errornya karena sistem
♥ Data digunakan dan disimpan perhatikan ruang yang
aman, perhatikan waktu retensi sesuai hukum
(pajakk) jika tidak digunakan hancurkan dengan baik.
Controlling RTS
Hasil output tampil langsung dilayar.,terminal atau
printernya end user. Menghilangkan berbagai
perantara baik program maupun manusia. Ancaman
terbesarnya sama seperti resiko dalam internet dan
intranet yaitu:
• Equipment Failures (HW, SW maupun LINES Comm)
• Subversive Act ( Interception, Illegal Acces,
Previledged Employes)
B. Testing Computer Application
Controls a.Black-Box Approach (Around
Computer)
Tidak menguji berdasarkan pada pengetahuan
mendetail mengenai logika dibalik aplikasi yang
di audit (gak perlu faham MYOBnya) . Lebih
kepada memahami flowchart, wawancara dengan
client dsb. Dengan pemahaman itu auditor
mengetes sendiri dokumen input dan direkonsiliasi
dengan outputnya sehingga dapat memperkirakan
programnya sudah complince atau belum.
Aplikasinya sendiri kurang diperhatikan detilnya.
Umumnya pada aplikasi yang sederhana.
b.White-Box Approach (Through Computer)
Harus memiliki pemahaman mengenai aplikasinya
secara mendalam (pengetahuan MYOBnya dalam
 sudah diproses aplikasi yg direview lalu
• Authenticity Tes-> user ID, Password, valid vendor
dibandingkan hasilnya.
codes dan bagan otoritas
• Accuracy Test-> range test, filed test limit test
• Completeness Test-> field test, rec sequence test,
hash totals
• Redundancy Test-> recoknsiliasi batch, record
count, hash totals
• Acces Test-> pass, bagan otoritas, data enkripsi,
inference control
• Audit Trail Test-> transaction log, error file ttp
disimpan,
• Rounding Error Tets->pembulatan bunga bank,
salami fraud (bagi kecil2, large number victim,
immaterial to each)
C. Computer-aided Audit Tools and Techniques
for Testing Controls
a.Test Data Method
Membuat aplikasi terintegrasi dengan memproses
data yang sudah dipersiapkan melalui aplikasi yang
sedang direview. Lalu dibandingkan dengan
nilai/hasil yang seharusnya. Copy dulu aplikasinya
buat file transaksi dan masternya lalu coba melalui
berbagi input (tape, disc, usb, terminal dll) lihat
hasilnya bandingkan dengan rport yang diharapkan
sebelumnya.
• Buat Data Tes
• Base Case Sys Evaluations
• Tracing
• Advanced Test Data
• Disadvantages
b.The Integrated Test Facility (ITF)
Teknik otomatis yang memungkinkan auditor
menguji logika dan kontrol aplikasi dalam operasi
normal. Dicangkokkan dalam sistem ketikda dalam
tahap pengembangan nani pas running akan
membuat semacam duplikasi tertentu dari data
namun tidak mengganggu aplikasi.
• Keuntungan
• Kerugian
c.Parallel Simulation
Auditor menulis program yang mensimulasikan fitur
dan proses kunci dari aplikasi yang direview. Lalu
digunakan untuk memproses ulang transaski yang
 a.Prinsip-prinsip, kebijakan-kebijakan, dan
• Auditor harus faham betul aplikasinya, identidikasi
framework, adalah sarana untuk menerjemahkan
proses dan controlnya
tingkah laku yang diinginkan ke dalam petunjuk
• Buat simulasi pake 4GL atau Generalized Audit
praktek untuk pelaksanaan manajemen harian.
Software (GAS)
• Coba simulasikan dengan sampel
terpilih
• Evaluasi (apakah yg error simulator atau memang
Real)

COBIT
Informasi adalah sumber daya kunci bagi semua
perusahaan. Diciptakan, digunakan, disimpan,
ditampilkan, dan dihancurkan dengan menggunakan
teknologi sebagai pemeran kuncinya. Teknologi
menjadi bagian dari seluruh aspek bisnis dan
individu. Pendekatan penyusunan tata kelola IT saat
ini dinilai harus dipandang sebagai salhsatu
sumberdaya strategis dan direncanakan dengan
pendekatan manajemen strategis pula.
Cobit merupakan suatu framework yang komprehensif
yang membantu perusahaan dalam mencapai
tujuannya dan menyampaikan nilai melalui tata kelola
(strategis) dan manajemen (operasional) Teknologi
Informasi Perusahaan. Governance ensure -
>Evaluation,Direction and Monitoring. Manajemen-
>Plan Build Runs and Monitoring. COBIT 5 brings
together the five principles that allow the enterprise
to build an effective governance and management
framework based on a holistic set of seven
enablers that optimises information and
technology investment and use for the benefit of
stakeholders.
Cobit 5 didasarkan pada 5 prinsip kunci tatakelola dan
manajemen TI perusahaan yaitu :
a.Pemenuhan kebutuhan
Stakeholder
b.Melindungi titik-titik penting
perusahaan c. Penggunaan satu
framework terintegrasi
d.Memungkinkan pendekatan secara
holistik
e.Meminsahkan tatakelola dengan
manajemen
COBIT 5 mendeskripsikan 7 kategori yang berperan
sebagai penggerak yaitu :
b.Proses, menjelaskan kumpulan terorganisasi dari
praktek-praktek dan aktifitas-aktiftas untuk
mencapai tujuan yang telah ditentukan dan
menghasilkan sekumpulan keluaran di dalam
dukungan pencapaian seluruh sasaran TI
c. Struktur organisasi, entitas pembuatan keputusan
kunci di dalam perusahaan
d.Budaya, etika, dan tingkah laku, merupakan
kebiasaan dari individu dan perusahaan yang sering
dianggap sebagai faktor penghambat kesuksesan
di dalam aktifitas tatakelola dan manajemen.
e.Informasi, adalah sebuah kebutuhan untuk
memastikan agar organisasi tetap berjalan dan
dapat dikelola dengan baik. Tetapi di tingkat
operasional, informasi seringnya digunakan
sebagai hasil dari proses perusahaan
f. Layanan, infrastruktur dan aplikasi, menyediakan
layanan dan proses teknologi informasi bagi
perusahaan
g.Orang, keterampilan dan kemampuan, dibutuhkan
untuk menyelesaikan semua aktifitas dan membuat
keputusan yang tepat serta mengambil aksi-
aksi perbaikan.