Audit adalah suatu proses pengumpulan dan adalah pelaksanaan pemeriksaan dilakukan terhadap
Fungsi penilaian independen dalam suato organisasi Sebuah kerangka kerja logis akan membantu auditor
untuk memeriksa dan mengevaluasi aktivitas sebagai mengidentifikasi proses dan data penting. Dalam audit
suatu jasa bagi organisasi. Auditor internal melakukan IT pengujian fisik yang dapat diverifikasi secara visual
berbagai aktivitas seperti pemerikasaan LK lebih sedikit sehingga akan lebih kompleks.
perusahaan. Dalam pelaksanaanya dapat Auditor harus menentukan apakah L/K disajikan
bekerjasama, misal tes pengendalian intern secara wajar sehingga procedure pengujian
dilakukan oleh internl auditor disupervisi oleh diarahkan untuk membuktikan kesesuaian asersi
auditor eksternal. Dalam hal auditor internal tidak manajemen ini dengan standarnya.
Kecurangan sayangnya meningkat karena perilaku kehandalan IT dan isi DB itu sendiri. Test Control
F. Internal Control
COSO: IC adalah suatu proses, dipengaruhi oleh
Dewan Direksi, Manajemen dan Personel lain, yang
didesain untuk memberikan keyakinan yang
memadai bahwa tujuan-tujuan berikut dapat tercapai :
• Efektifitas dan Efisiensi
Operasi
• SEC Acts of 1933 and 1934, market crash->melarang
frauds
• Copyright Law–1976 Software Violations, Piracy IT
• Foreign Corrupt Practices Act (FCPA) of 1977 Record n
IC
• Sarbanes-Oxley Act of 2002 enron, IC, COSO
b.Internal Control Objectives, Principles, and Models
Tujuan dari SPI:
• Menjaga aset perusahaan
• Memastikan accuracy dan reliabilitas catatan dan
informasi
• Memprakarsai effisiensi operasi perusahaan
• Mengukur kepatuhan thd kebijakan yang telah
ditetapkan
c. Modifying Principles
• SPI merupakan tanggungjawab Mgt, bahkan
kewajiban hukum
• Bentuk pemrosesan data apapun harus mendukung 4
tujuan
• Setiap sistem memiliki keterbatasan yang disebabkan
oleh:
Errors->No perfect sustem
KKN personil
Mgt mengabaikan control
Kondisi dinamis dalam industri
• SPI harus memberikan jaminan yang memadai (Cost <
Benefit)
d.The PDC Model
Preventive Controls merupakan kontrol pasif di design
mengurangi frekuensi kejadian tidak diinginkan.cthnya
pembatasan karakter entry misalnya. Detective
Controls, alat atau teknik dan prosedur yang didesain
mengidentifikasi dan mengekspos error yang lolos PC.
Ada proses matching dan warning disitu, sistem
mengkalkulasi atau mencocokan jika tidak sesuai uncul
warning,pop up. Corective Controls melakukan koreksi
jika ditemukan errors,hati2 terhadap otomatisasi
perbaikan,bisa menyebabkan masalah baru…ingat
MYOB pas entry akun unbalance dia otomatis perbaiki
sesuai standarya sendiri..
e.COSO Internal Control Framework
• Lingkungan Pengendalian, merupakan pondasi dari
empat unsur lainnya. Elemennya: integritas, etika,
value, struktur organisasi, partisipasi BoOfDir, sequence of activities that have affected at any
filosopi, pemeriksaan pihak lain, HR policies dst time a specific operation, procedure, or event”
AUDITING IT GOVERNANCE
CONTROLS
• Prosedur Log-ON pertahanan pertama, salah brp pake orang lain sebagai zombienya. Yang perlu
• Token Akses -> mengandung KeyInfo:user ID, menyerang..bisa iseng..dendam atau menguji
• Acces Control List (daftar kesaktian user) dengan kegagalan peralatan dalam
APPENDIX CH 3
TOPOLOGI
JARINGAN
TJ adalah pengaturan fisik dari komponen jaringan
(node, server, comlink,dll). Beberapa pengertian
penting adalah sbb:
LAN-> Konfigurasi jaringan dalam satu gedung hingga
beberapa mil dan menghubungkan ratusan user,
komputer yang terhubung ke LAN dinamakan Nodes.
Ketika jaringan melampai kemampuan geografis
LAN dia berubah menjadi WAN. Nodes dalam
WAN termasuk komputer
workstations, minicomputer,mainframe dan
kumpulan LAN itu sendiri.
Koneksi fisik dalam LAN dicapai melalui NIC (network
interface card), salahsatu slot ekspansi dalam
komputer (ya mungkin semacam colokan RJ45 buat
kabel LAN, atau Wifi Receiver atau kartu didalam
motherboard)
NODES dalam LAN sering berbagi sumberdaya
seperti program, data dan printer melalui suatu
komputer yang ditujukan untuk itu yang dinamakan
server.
PENGENDALIAN
JARINGAN
Tujuan dari pengendalian jaringan adalah agar
supaya:
a.Menyediakan suatu sesi komunikasi diantara
pengirm dan penerima.
b.Mengelola aliran data sepanjang
jaringan.
c. Mendeteksi dan menyelesaikan masalah
tabrakan data antara nodes yang saling
berkompetisi.
d.Mendeteksi error dalam jaringan atau yang
disebabkan karena sinyal
HANYA ada satu node dalam suatu waktu yang bisa
mengirimkan pesan, dua atau lebih pengiriman pesan
secara bersamaan dapat mengakibatkan tabrakan
data(collision) yang menghancurkan keduanya
(meskipun kecepatannya dalam mili detik). Ada
beberapa teknik untuk mengelola dan mengendalikan
lalu lintas data, tiga varian dasarnya adalah sbb:
(budak) hendak kirim pesan atau tidak, untuk dengan induknya sementara virus berkembang
menentukan siapa yang bisa mengirim data dan independen.
menghalangi yang lain. Tabrakan dapat dicegah dan
site yang penting dapat dikasih prioritas.
Token Passing, mentransimiskan sinyal spesial
(token) keseluruh jaringan dari node ke node.
Jaringan yang mau ngirim pesan menangkap sinyal
ini sebagai kunci, nodes yang tidak kirim akan
melewatkan saja tokennya. digunakan di Bus dan
Ring biasanya.
Program2 berbahaya:
♥ Virus, suatu program yang menempelkan dirinya
pada program yang sah untuk melakukan penetrasi
kedalam sistem operasi dan menghancurkan aplikasi,
data atau Osnya sendiri.
♥ Worm, istilahnya dipertukarkan dengan virus,
program yang secara virtual mengubur diri
dalam memorikomputer dan menduplikasi dirinya
dalam area memori yang idle. Bedanya dengan
virus worm ini kembaranya masih terhubung
informasi tambahan, ketika kebutuhannya berubah,
♥ Logic Bomb, destruktif program yang diaktifkan
informasi dibatasi oleh data yang dikuasai dan
melalui kejadian yang telah disetting sebelumnya
dikendalikannya saja.
misal tanggal tertentu/jam tertentu. Waspadai
pegawai yang keluar dari organisasi dapat
mensetting kerusakan sekian lama setelah dia
berhenti.
♥ Back Door, program yang mengizinkan akses illegal
masuk ke sistem tanpa melalui saluran prosedur
yang normal (front door). Bisa digunakan untuk
memantau sistem atau untuk fraud.
♥ Trojan Horse, menangkap ID dan password dari
user dengan meniru prosedur log in normal.
B. Backup Controls
Adalah pengendalian untuk memastikan
bahwa kejadian kehilangan data akibat
akses tanpa otorisasis, kegagalan perangkat,
atau kerusakan fisik organisasi dapat diperbaiki oleh
database tersebut. Backup Controls in the Flat-File
Environment Teknik backup yang digunakan
tergantung pada media atau struktur file.
GPC Backup Technique Grant-parent-child backup
adalah teknik yang digunakan dalam sistem batch
transaksi batch berikutnya, anak menjadi master file,
file parent yang asli naik menjadi backup (grantparent)
Direct Access file Backup Nilai data pada akses
langsung diubah tempatnya dalam suatu proses
yang dinamakan destructive replacement. Oleh
karena itu, sekali data berubah, nilai asli dihancurkan,
dan hanya meninggalkan satu versi terbaru.
Off-Site Storage Adalah tempat penyimpanan backup
baik pada GPC maupun pendekatan langsung
rorpada tempat yang aman di luar site.
Pengendalian backup untuk lingkungan
database
menyediakan sistem backup dan pemulihan
sebagai berikut:
Backup secara periodik untuk seluruh data.
Transaction Log (Journal) The transaction log adalah
fitur yang menyediakan jejak audit seluruh transaksi
yang diproses.
Checkpoint Feature Adalah fasilitas yang menunda
seluruh proses sementara data sedang diperbaiki
(proses pemulihan data) transaction log dan
database mengubah log database.
Recovery Module Modul ini menggunakan logs dan
backup untuk memulai kembali setelah sistem
mengalami kegagalan
Parallel Operation Cutover menjalankan sistem • User Test and Acceptance Procedures
A. Application Controls
Prosedur program pengendalian intern yang
didesain untuk mengatasi terpaparnya sistem
dari resiko potensial pada aplikasi spesifik
seperti pembayaran gaji, pembelian dan
pengeluaran uang. App controls terdiri dari:
a.Input Controls
Bertugas untuk membawa data dari ke dalam
sistem untuk diproses, IC didesain untuk
memastikan bahwa transasksi valid, akurat dan
lengkap. Dapat dipicu oleh batch maupun secara
langsung (direct). Dalam dokumen sumber
biasanya melibatkan manusia dan oleh karenanya
rentah kesalahan klerikal yang sering tidak
terdeteksi nanti ada opsi data realtime. Beberapa
jenis pengendalian dalam input control adalah sbb:
Source document controls
• Pengendalian terhadap dokumen sumber
karena dapat dipalsukan dan masuk sistem
lalu menghilangkan aset perusahaan
• control : PreNumbered SD, Sequence Limited
Acces, Periodic audit/spot cek
Data coding controls
• Cek integritas kode data dalam pemrosesan-
Nomor rek Customers, Nomor Inventory, No Akun
dll
• Errors-> Transkripsi (penambahan,
pengurangan,subtitusi) dan Transposisi
(two/multiple number kebalik2)
• Control: Check Digit (penjumlahan atau
menggunakan modulus 11) tapi makan Space
(nambah record), baiknya untuk yg penting saja)
Batch controls
• Rekonsiliasi antara input dan output pada
transaski dengan volume tinggi guna memastikan
seluruh data terekam, tidak dobel entry dan jejak
audit terjaga (inc proses n output control). Dengan
Generalized data input systems
• Elemen: No Batch, tgl, Kode transaksi, Jumlah Rec,
GDIS menstandarisasi validasi input dengan
Nilainya, Jumlah data non financial ( Hash totalbuat
level kontrol tinggi. Ada 3 keuntungan pake GDIS:
alat kontrol aja, tidak bernilai)
Validation controls
• Deteksi error sblm transaksi diproses, bisa
memerlukan untuk merefer ke master file sebaiknya
sedekat mungkin dengan sumber transaksi.
• Controlnya ada 3 level:
Field Interogation: melakukan validasi di level
karakter dalam Field jenis checknya:
♥ Missing data check (blank) cek apakah ada field
yg kosong
♥ Numeric-alphabetic->isi field apakah huruf/bilangan
♥ Zero value->isi field 0 untuk pengendalian
♥ Limit check->cek nilai field apakah melebihi
standarnya
♥ Range check->batas atas dan bawah
♥ Validity check->bandingkan dengan data master
♥ Check digit->sama dengan diatas itu pake modulus
11
Record Interogation: validasi seluruh catatan dengan
menguji hubungan nilai fieldnya. Contohnya:
♥ Reasonbleness Checks->->cek dengan master
filenya
♥ Sign Check-> tanda +/- sudah tepat digunakan?
♥ Sequence Checks-> urutan (batch) sudah sesuai
atntrian?
File Interogation: Memastikan bahwa file yang benar
yang diproses sistem sangat penting untuk master
files yg menyimpan data relatif permanen.
♥ Internal Label Checks->label disk di dalam (bukan
diluar)
♥ Version Checks->versi filenya apakah
sesuai..1.0?
beta?
♥ Expiration date checks->cek file ga kepake,agar
tidak kedelete sembarangan
Dalam sistem batch ketika ada Input error perlu
dilakukan correction, ada tiga jenis penanganan
error yang umum dalam proses input:
• Correct Immidiately->kasih warning ke user
• Create an Error File-> delayed, pisahkan dari sistem
buat laporan sistemnya bahwa data tsb error
• Reject Entire Batch-> tolak sluruh batch untuk
diproses
serius bagi perusahaan seperti kehilangan SD
• Improve control melalui satu sistem validasi umum
ekonomi, penurunan citra bahkan tuntutan hukum.
yang sama
• Memastikan setiap aplikasi menerapkan standar yg
sama
• Meningkatkan efisiensi sistem
• Elemennya: GDIS module, Data File Tervalidasi, Error
File, Error Reports, Log Transaksi.
b.Processing Controls
Run-to-Run Controls
Menggunakan batch untuk memonitor batch ketika dia
bergerak dari satu prosedur program ke prosedur
program lain. Kontrol ini memastikan setiap
pergerakan memproses batch dengan benar dan
lengkap. Jenis2nya:
• Recalculate Control Totals-mengecek kembali nilai2
dalam batch, has total dibandingkan dengan data
master.
• Transaction Codes-> hanya transaksi yg benar yg
diijinkan
• Sequence Checks
Operators Intervention Controls
Operator kadang diperlukan dalam mengintervensi
suatu kegiatan dan hal ini meningkatkan potensi
human error. Sistem sedapat mungkin memmbatasi
intervensi manusia, jika tidak dapat dilakukan
supervisi.
Audit Trails Controls
Dalam sistem terkomputerisasi jejak audit akan
terpecah-pecah dan lebih sulit diikuti. Sehinga
dokumentasi sistem sangat diperlukan untuk dijaga.
Beberapa cara menjaga jejak audit :
• Transactions Logs-mencatat seluruh aktivitas sistem
• Log of Automatic Transactions
• Listing of Automatics Transactions->EOQ/reorder
harus diperhatikan
• Unique Transaction Identifiers
• Error Listings-Laporkan agar diperbaiki
c.Output Controls
Output controls adalah SPI yang memastikan bahwa
hasil keluaran sistem tidak hilang, salah sasaran,
berkurang/rusak atau melanggar privasi. Kegagalan
dalam menjaga output dapat mengakibatkan dampak
Otput controls menyesuakan dengan proses ♥ Ceroboh-> dapt dimanfaatkan , ada akes data teknis
pengolahan dokumennya, secara umum terbagi dua dan informasi penting lainnya dalam dokumen rusak
yakni Batch Control System (lebih rentan karena sekalipun
adanya intervensi operator/program) dan Realtime
System.
Controlling Batch System Output
Dalam Batch System, output biasanya berupa
HardCopy (Cek, Laporan, PO,dll) dan dalam
prosesnya sebagaimana bagan diatas, memerlukan
perantara baik manusia maupun program dari mulai
proses sampai dengan distribusi.
• Output Spooling
♥ Dalam pengolahan data skala besar-> terjadi
backlogged, hasil pengolahan sistem mengantri
untuk dicetak (bottleneck)-> sistem membuat
suatu file output dalam disk daripada membebani
memori printers (spooling).
♥ Dalam tahap ini output file rentan diacces oleh
penjahat cyber yang dapat mengubah, mengcopy
secara illegal atau bahkan menghapus file sebelum
dicetak.
♥ Harus ada akses kontrol yang baik dan backup
file output
Print
♥ Setelah spooling, dan SD printer tersedia -> printer
akan mencetak, biasanya ada intervensi operator
berupa mengganti kertas, mengatur mempause,
menyesuaikan margin, tinta dsb
♥ Resiko :Operators copy secara illegal/membaca
data rahasia
♥ Controlnya: Prenumbered untuk memastikan
seluruh cetakan lengkap, supervisi, gunakan kertas
multipart berkarbon (gesek dulu baru terbaca->pin
ATM)
• Bursting
♥ Hasil cetakan dipilah-pilah dan disusun ulang,
ada
Operato
r
♥ Risk-> Illegal copy, menghilangkan halaman, baca
data rahasia
♥ Control-> Supervisi atau bursting di end user saja
• Waste
♥ Cetakan yg tidak sempurna, karbon copy dibuang
♥ Control-> Penghancur kertas/ dibakar juga) hingga ke logika dalam aplikasi. Beberapa
tesnya:
• Data Control Group
♥ Tim verifikasi sebelum HardCopy didistribusikan cek
akurasi kelengkapan, legalitas, dll
♥ Risk dan controls = print dan bursting
• Distributions
♥ Rawan pencurian, hilang, salah tujuan
♥ Nama dan alamat tercetak jelas, hati2 akses ke
file master nama dan alamat
♥ Untuk data sensitive dapat menggunakan tas
berpengaman kunci/pin, dikawal petugas keamanan
atau End User sendiri yang ambil
• End Users
♥ Cek kembali dokumen yg diterima, jika ada
kejanggalan laporkan bisa jadi errornya karena sistem
♥ Data digunakan dan disimpan perhatikan ruang yang
aman, perhatikan waktu retensi sesuai hukum
(pajakk) jika tidak digunakan hancurkan dengan baik.
Controlling RTS
Hasil output tampil langsung dilayar.,terminal atau
printernya end user. Menghilangkan berbagai
perantara baik program maupun manusia. Ancaman
terbesarnya sama seperti resiko dalam internet dan
intranet yaitu:
• Equipment Failures (HW, SW maupun LINES Comm)
• Subversive Act ( Interception, Illegal Acces,
Previledged Employes)
B. Testing Computer Application
Controls a.Black-Box Approach (Around
Computer)
Tidak menguji berdasarkan pada pengetahuan
mendetail mengenai logika dibalik aplikasi yang
di audit (gak perlu faham MYOBnya) . Lebih
kepada memahami flowchart, wawancara dengan
client dsb. Dengan pemahaman itu auditor
mengetes sendiri dokumen input dan direkonsiliasi
dengan outputnya sehingga dapat memperkirakan
programnya sudah complince atau belum.
Aplikasinya sendiri kurang diperhatikan detilnya.
Umumnya pada aplikasi yang sederhana.
b.White-Box Approach (Through Computer)
Harus memiliki pemahaman mengenai aplikasinya
secara mendalam (pengetahuan MYOBnya dalam
sudah diproses aplikasi yg direview lalu
• Authenticity Tes-> user ID, Password, valid vendor
dibandingkan hasilnya.
codes dan bagan otoritas
• Accuracy Test-> range test, filed test limit test
• Completeness Test-> field test, rec sequence test,
hash totals
• Redundancy Test-> recoknsiliasi batch, record
count, hash totals
• Acces Test-> pass, bagan otoritas, data enkripsi,
inference control
• Audit Trail Test-> transaction log, error file ttp
disimpan,
• Rounding Error Tets->pembulatan bunga bank,
salami fraud (bagi kecil2, large number victim,
immaterial to each)
C. Computer-aided Audit Tools and Techniques
for Testing Controls
a.Test Data Method
Membuat aplikasi terintegrasi dengan memproses
data yang sudah dipersiapkan melalui aplikasi yang
sedang direview. Lalu dibandingkan dengan
nilai/hasil yang seharusnya. Copy dulu aplikasinya
buat file transaksi dan masternya lalu coba melalui
berbagi input (tape, disc, usb, terminal dll) lihat
hasilnya bandingkan dengan rport yang diharapkan
sebelumnya.
• Buat Data Tes
• Base Case Sys Evaluations
• Tracing
• Advanced Test Data
• Disadvantages
b.The Integrated Test Facility (ITF)
Teknik otomatis yang memungkinkan auditor
menguji logika dan kontrol aplikasi dalam operasi
normal. Dicangkokkan dalam sistem ketikda dalam
tahap pengembangan nani pas running akan
membuat semacam duplikasi tertentu dari data
namun tidak mengganggu aplikasi.
• Keuntungan
• Kerugian
c.Parallel Simulation
Auditor menulis program yang mensimulasikan fitur
dan proses kunci dari aplikasi yang direview. Lalu
digunakan untuk memproses ulang transaski yang
a.Prinsip-prinsip, kebijakan-kebijakan, dan
• Auditor harus faham betul aplikasinya, identidikasi
framework, adalah sarana untuk menerjemahkan
proses dan controlnya
tingkah laku yang diinginkan ke dalam petunjuk
• Buat simulasi pake 4GL atau Generalized Audit
praktek untuk pelaksanaan manajemen harian.
Software (GAS)
• Coba simulasikan dengan sampel
terpilih
• Evaluasi (apakah yg error simulator atau memang
Real)
COBIT
Informasi adalah sumber daya kunci bagi semua
perusahaan. Diciptakan, digunakan, disimpan,
ditampilkan, dan dihancurkan dengan menggunakan
teknologi sebagai pemeran kuncinya. Teknologi
menjadi bagian dari seluruh aspek bisnis dan
individu. Pendekatan penyusunan tata kelola IT saat
ini dinilai harus dipandang sebagai salhsatu
sumberdaya strategis dan direncanakan dengan
pendekatan manajemen strategis pula.
Cobit merupakan suatu framework yang komprehensif
yang membantu perusahaan dalam mencapai
tujuannya dan menyampaikan nilai melalui tata kelola
(strategis) dan manajemen (operasional) Teknologi
Informasi Perusahaan. Governance ensure -
>Evaluation,Direction and Monitoring. Manajemen-
>Plan Build Runs and Monitoring. COBIT 5 brings
together the five principles that allow the enterprise
to build an effective governance and management
framework based on a holistic set of seven
enablers that optimises information and
technology investment and use for the benefit of
stakeholders.
Cobit 5 didasarkan pada 5 prinsip kunci tatakelola dan
manajemen TI perusahaan yaitu :
a.Pemenuhan kebutuhan
Stakeholder
b.Melindungi titik-titik penting
perusahaan c. Penggunaan satu
framework terintegrasi
d.Memungkinkan pendekatan secara
holistik
e.Meminsahkan tatakelola dengan
manajemen
COBIT 5 mendeskripsikan 7 kategori yang berperan
sebagai penggerak yaitu :
b.Proses, menjelaskan kumpulan terorganisasi dari
praktek-praktek dan aktifitas-aktiftas untuk
mencapai tujuan yang telah ditentukan dan
menghasilkan sekumpulan keluaran di dalam
dukungan pencapaian seluruh sasaran TI
c. Struktur organisasi, entitas pembuatan keputusan
kunci di dalam perusahaan
d.Budaya, etika, dan tingkah laku, merupakan
kebiasaan dari individu dan perusahaan yang sering
dianggap sebagai faktor penghambat kesuksesan
di dalam aktifitas tatakelola dan manajemen.
e.Informasi, adalah sebuah kebutuhan untuk
memastikan agar organisasi tetap berjalan dan
dapat dikelola dengan baik. Tetapi di tingkat
operasional, informasi seringnya digunakan
sebagai hasil dari proses perusahaan
f. Layanan, infrastruktur dan aplikasi, menyediakan
layanan dan proses teknologi informasi bagi
perusahaan
g.Orang, keterampilan dan kemampuan, dibutuhkan
untuk menyelesaikan semua aktifitas dan membuat
keputusan yang tepat serta mengambil aksi-
aksi perbaikan.