RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

CHAPTER 5_FRAUD _WEEK 1

4 hal yang menyebabkan ancaman dalam sistem informasi

1. Natural and Political disaster
= Sesuatu yang terjadi yang bukan karena kehendak kita , misalnya bencana alam
2. Software error and equipment malfunction
= jadi ada kesalaham dalam sistem yang dipakai perusahaan
3. Unintenional acts
= tindakan yang disebabkan oleh kelalaian si SDM
4. Intentional acts (computer crimes)
= sabotase, hacks dll

FRAUD
= berbagai Tindakan/cara yang dilakukan orang untuk mendapatkan keuntungan bagi dirinya
sendiri dengan mengorbankan orang lain yaitu :
 False statement, representation or disclosure
 A material fact, which induces a victim to act
 An intent to deceive
 Victim relied on the misrepresentation
 Injury or loss was suffered by the victim
Fraud adalah white-collar crime

Two Categories of Fraud

1. Misssappropriation of asset = employee fraud
= mengambil asset atau mencuri sesuatu asset perusahaan yang dilakukan oleh
karyawan tersebut
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

2. Fraudulent financial reporting = pemalsuan laporan keuangan

= hal ini biasanya berkaitan dengan kepentingan management
Mis : untuk tax planning/menarik investor

Tiga hal yang mendorong orang melakukan fraud ( Fraud Triangle )

 
COMPUTER FRAUD
= setiap kecurangan yang dilakukan melalui teknologi seperti :
a. Pencurian data, akses dan modifikasi data tanpa ijin
b. Pencurian data melalui database computer
c. Mengumpulkan informasi secara ilegal melalui komp/teknologi

Klasifikasi Computer Fraud

1. Input fraud : m engubah inputan dalam komputer
2. Processor fraud : pencurian waktu dan jasa komp
3. Computer instruction fraud : merusak data perusahaan pengembangan dan
penggunaan tanpa ijin
4. Data fraud : mengubah dan merusak data perusahaan
5. Output fraud

Hal yang dilakukan untuk mencegah dan mendeteksi fraud

a. Buat kecurangan minim untuk terjadi
b. Meningkatkan kesulitan untuk melakukan kecurangan
c. Meningkatkan metode deteksi
d. Mengurangi kerugian atas kecurangan

PROSES FRAUD
1. Lapping
Skema gali lubang tutup lubang , pelaku mencuri uang yang diterima untuk
membayar utang ke yang lainnya
2. Kitting
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

Perputaran dimana pelaku menutupi pencuriannya dengan cara menciptakan uang

melalui transfer antar bank

TANDA TERJADINYA FRAUD

 Managemen senior yang mendominasi
 Kemerosotan/kemunduran dari mutu pendapatan
 Kondisi usaha yang dapat menciptakan tekanan yang tidak biasa
 Struktur korporat yang rumit
 Lokasi usaha yang menyebar secara luas disertai manajemen yang desentralisasi
secara ketat
 Lembur yang tinggi
 Perputaran tinggi pada posisi keuangan
 Sering terjadi perubahan auditor atau penasihat hukum
 Kelemahan material dalam pengendalian internal
 Terdapat transaksi yang material dengan pihak yang mempunyai hub istimewa
 Pengumuman yang terlalu cepat atas hasil operasi 
 Fluktuasi yang signifikan
 Transaksi besar yang tidak biasa, khususnya akhir tahun
 Pembayaran besar yang tidak biasa
 Kesulitan dalam memperoleh bukti audit
 Adanya masalah-masalah yang tidak dapat diramalkan

Identifikasi Gejala Fraud

1. Accounting anomalies = Tidak Diterapkannya prinsip akuntansi/Matching Cost Again
2. Internal control weaknesses  = Kelemahan Pengendalian Internal
3. Analytical anomalies = Sesuatu yang tidak wajar
4. Extravagant lifestyle = Gaya Hidup Boros
5. Unusual behavior = Sikap yang tidak biasa
6. Tips and complaints = Kabar burung, Surat kaleng, Rumor tertentu

CYBERCRIME
= mengacu kepada aktivitas kejahatan dengan menggunakan komp atau jaringan komp
sebagai alat , sasaran/tempat terjadinya kejahatan tersebut

Cybercrime dideteksi dari dua sudut pandang :

 Kejahatan yang Menggunakan Teknologi Informasi sebagai Fasilitas, contohnya:
pencurian Account Internet, penipuan lewat Email (Fraud), pemalsuan/pencurian Kartu
Kredit, pembajakan, pornografi, Email Spam, perjudian online, terorisme, isu sara, situs
yang menyesatkan dan lain sebagainya.
 Kejahatan yang Menjadikan Sistem Teknologi Informasi sebagai sasaran,
contohnya: cyberwar, pembobolan/pembajakan situs,pembuatan/penyebaran virus
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

komputer, pencurian abstracts pribadi, Denial of Service (DOS), kejahatan berhubungan

dengan nama domain, dan lain sebagainya.
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

CHAPTER 6 _ COMPUTER FRAUD and ABUSE TECHNIQUES _WEEK 2

Internet menjadi salah satu kebutuhan utama bagi semua orang. semua komputer
umumnya terkoneksi dengan internet.
namun, kecurangan dan kejahatan dalam Dunia Maya ini menjadi masalah besar bagi dunia.
Ada bbrp Serangan Komputer, IT dan Jaringan yg kita pelajari:
1. Hacking
= Menerobos masuk dalam sebuah Program komputer milik seseorang Hacker
disebutnya sebagai orang yg gemar mengoprek komputer dan dikatakan ahli dalam
membuat, membaca sebuah Program. Hacking juga bisa disebut akses tidak sah,
modifikasi, atau penggunaan perangkat elektronik atau beberapa elemen dari sistem
komputer.

2. Hijacking
= memperoleh kendali atas komputer untuk melakukan aktivitas terlarang
 Botnet ( robot network )
= jaringan kuat dan berbahaya dari komputer yang dibajak, digunakan untuk
menyerang sistem
 Zombie
= komputer yang terbajak, yaitu bagian dari botnet yang digunakan untuk
meluncurkan berbagai serangan internet
 Bot Herder
= orang yang menciptakan botnet dengan cara menginstall software pada PC
yang merespon pada instruksi elektronik Bot Herder
 Denial of Service (DoS) attack
= penyerangan komputer dimana penyerang mengirimkan sangat banyak email
bomb/web page request. Biasanya dari alamat palsu yang dibuat secara acak,
yang server email penyedia layanan / server web overloaded dan shut down

3. Spamming
= serentak mengirimkan pesan yang sama kepada banyak orang, seringkali dalam
upaya untuk menjual sesuatu kepada mereka.
 Dictionary Attack
= menggunakan software special untuk menebak alamat email dan
mengirimkan mereka email kosong, email yang tidak dikembalikan biasanya
adalah alamat email valid yang bisa masuk ke list si spammer
 Splog
= spam blog yang dibuat untuk meningkatkan website Google PageRank yang
mana biasanya web direferensikan oleh web lain.

4. Spoofing
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

= membuat komunikasi terlihat seperti orang lain yang mengirimkannya untuk

mendapatkan informasi
 Email Spoofing
= membuat alamat pengirim dan part lain dari header seolah dari sumber yang
berbeda
 Caller ID Spoofing
= menunjukan nomor yang salah untuk merahasiakan identitas si penelepon
 IP Address Spoofing
= membuat paket protocol internet dengan IP yang dilupakan untuk
merahasiakan identitas pengirim
 Address Resolution Protocol (ARP) Spoofing
= mengirim pesan ARP palsu ke Ethernet LAN , ARP adalah jaringan
komputer protokol untuk menentukan perangkat keras host jaringan alamat
ketika hanya IP atau jaringannya alamat diketahui.
o MAC Address
Media Access Control adalah alamat perangkat keras yang secara unik
mengidentifikasi setiap simpul di jaringan.
 SMS Spoofing
= yaitu menggunakan SMS (Short Message Service) untuk mengganti nama
atau nomor pesan yang dikirimkan
 Web-Page Spoofing
= disebut juga phising
 DNS spoofing
= DNS spoofing mengendus ID dari Sistem Nama Domain (DNS, “buku
telepon” dari Internet yang mengubah domain, atau nama situs web, menjadi
alamat IP) permintaan dan balasan sebelum server DNS yang sebenarnya bisa
melakukannya

5. A Zero day Attack

=Serangan antara waktu kerentanan perangkat lunak baru ditemukan dan "dilepaskan
ke alam liar" dan waktu menjadi pengembang perangkat lunas merilis tambalan untuk
memperbaiki masalah.
 Patch
= Kode yang dirilis oleh perangkat lunak pengembang yang memperbaiki
kerentanan perangkat lunak tertentu.

6. XSS
= Cross-site Scripting (XSS) adalah kerentanan di halaman web dinamis yang
memungkinkan penyerang untuk melewati keamanan mekanisme browser dan
meninstruksikan browser korban untuk dieksekusi kodenya, mengira itu berasal dari
website yang diinginkan.

7. Buffer Overflow Attack

 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

= ketika sejumlah data masuk kedalam program yang lebih besar dari jumlah buffer
input,input tersebut akan overflow dan menimpa instruksi komputer berikutnya yang
menyebabkan sistem macet. Peretas akan memanfaatkan hal ini dengan menyusupkan
input sehingga luapan berisi kode yang memberitahu komputer apa yang harus
dilakukan selanjutnya. Kode ini bisa membuka pintu belakang/ back door ke sistem.

8. SQL Injection Attack

= Memasukkan pertanyaan SQL yang berbahaya dalam masukan sehingga diteruskan
ke dan dieksekusi oleh program aplikasi. Ini memungkinkan seorang hacker untuk
meyakinkan aplikasi untuk menjalankan kode SQL yang bukan dimaksudkan untuk
dieksekusi

9. MITM Attack
= Man in the Middle yaitu peretas yang menempatkan dirinya diantar client dan host
untuk mengganggu komunikasi diantara mereka

10. Masquerading atau peniruan

= mendapatkan akses ke sistem dengan berpura pura menjadi authorized user

11. Piggybacking
 Penggunaan jaringan Wi-Fi tetangga secara diam-diam; ini dapat dicegah
dengan mengaktifkan fitur keamanan di jaringan nirkabel.
 Memanfaatkan jalur komunikasi dan secara elektronik menghubungkan ke
pengguna yang sah sebelum pengguna memasuki sistem yang aman; pengguna
yang sah tanpa sadar membawa pelaku ke dalam sistem.
 Orang yang tidak berwenang mengikuti orang yang berwenang melalui pintu
yang aman, melewati kontrol keamanan fisik seperti keypad, kartu ID, atau
pemindai identifikasi biometrik.

12. Password Cracking

= menembus pertahanan sistem, mencuri file yang berisi sandi valid, mendekripsinya,
dan menggunakannya untuk mendapatkan akses ke program, file, dan data.

13. War Dialing

= Pemrograman komputer untuk memanggil ribuan saluran telepon mencari jalur
modem. Hacker akan meretas ke PC yang terpasang ke modem dan akses jaringan
yang terhubung.
 War Driving
= berkeliling ke sekitar untuk mencari rumah atau perusahaan yang tidak
terlindungi jaringannya

 War Rocketing
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

= menggunakan rocket untuk melepaskan titik akses nirkabel yang melekat

pada parasut yang digunakan untuk mendeteksi jaringan nirkabel tidak aman.

14. Phreaking
= menyerang sistem ponsel untuk mendapatkan akses saluran ponsel gratis,
menggunakan saluran ponsel untuk menyebarkan malware dan untuk mengakses,
mencuri dan menghancurkan data

15. Data Diddling

= mengubah data sebelum atau saat memasuki sistem komputer untuk menghapus,
mengubah, menambah atau mengupdate kunci sistem data yang salah

16. Podslurping
= menggunakan alat kecil dengan kapasitas (ipod, flashdisk) untuk mendownload data
yang tidak terautorisasi dari komputer

17. Salami Technique

= mencuri sedikit uang dari berbagai akun yang berbeda
 Round Down Fraud
= menginstruksikan komputer untuk membulatkan semua bunga menjadi 2
angka dibelakang koma. Pecahan dari setiap nilai yang dibulatkan kebawah
dimasukan kedalam akun programer

18. Economic Espionage

= pencurian informasi, rahasia dagang, dan properti intelektual

19. Cyber Extortion

= mengancam untuk membahayakan perusahaan atau seseorang jika sejumlah uang
tidak diberikan/dibayarkan

20. Cyber-bullying
= menggunakan teknologi komputer untuk mendukung perilaku yang disengaja,
berulang, dan bermusuhan yang menyiksa, mengancam, melecehkan mempermalukan
atau merugikan orang lain.

21. Sexting
= Bertukar secara seksual pesan teks eksplisit dan mengungkapkan gambar dengan
orang lain melalui telepon

22. Internet Terrorism

= menggunakan internet untuk mengganggu e commerce dan membahayakan
komputer dan komunikasi

23. Internet Misinformation

 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

= menggunakan internet untuk menyebarkan informasi yang palsu atau menyesatkan

24. Email Threat

= yaitu ancaman yang dikirimkan dengan email. Ancaman tersebut biasanya meminta
untuk melakukan action berkelanjutan, biasanya membebani korban

25. Internet Auction Fraud

= menggunakan situs lelang internet untuk melakukan kecurangan kepada orang lain

26. Internet Pump-and-Dump Fraud

= menggunakan internet untuk memompa harga saham dengan tinggi lalu menjualnya

27. Click Fraud

= memanipulasi jumlah iklan yang diklik untuk meningkatkan biaya periklanan

28. Web Cramming

= menawarkan website gratis untuk sebulan, mengembangkan website yang tidak
bernilai dan menekan biaya dari orang yang menerima tawaran tersebut, sekalipun
mereka ingin lanjut menggunakannya ataupun tidak

29. Software Piracy

= penyalinan atau pendistribusian perangkat lunak berhakcipta tanpa izin.
Tiga bentuk pembajakan perangkat lunak yang sering terjadi meliputi:
 menjual komputer dengan perangkat lunak ilegal yang dimuat sebelumnya,
 menginstal salinan lisensi tunggal di beberapa mesin
 memuat perangkat lunak di jaringan erver dan mengizinkan akses tidak
terbatas ke sana yang melanggar perjanjian lisensi perangkat lunak.

SOCIAL ENGINEERING 
Mengacu kepada Teknik
atau Trik ygdigunakan untuk mendapatkan akses yg dibutuhkan atas sebuah sistem dan
mendapatkan data-data penting. 
 
7 Hal yg dimanfaatkan dalam diri seseorang utk mendapatkan informasi: 
A. Compassion 
= keinginan untuk menolong seseorang yang seolah olah sedang membutuhkan
pertolongan anda 
B. Greed 
= orang lebih cenderung bekerja sama jika mereka mendapatkan sesuatu secara gratis
atau berpikir mereka akan mendapatkan kesempatan sekali seumur hidup 
C. Sex appeal 
= orang lebih cenderung bekerja sama dengan orang yang genit atau menarik  
D. Sloth 
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

= hanya sedikit orang yang ingin melakukan sesuatu dengan cara yang sulit,
membuang-buang waktu, atau melakukan sesuatu yang tidak menyenangkan, penipu
akan memanfaatkan kebiasaan ini 
E. Trust 
= orang cenderung bekerja sama dengan seseorang yang mendapatkan kepercayaan
mereka 
F. Urgency 
= kepepet atau kebutuhan mendesak yang membuat orang lebih koperatif dan
akomodatif 
G. Vanity 
= orang cenderung bekerja sama jika anda memancing mereka bahwa mereka akan
menjadi lebih sukses atau popular 
 
Menetapkan kebijakan dan prosedur berikut serta melatih orang untuk mengikutinya
dapat membantu meminimalkan manipulasi psikologis : 
a) Jangan biarkan orang mengikuti anda kedalam gedung terlarang 
b) Jangan pernah login untuk orang lain di komputer , terutama jika anda memiliki akses
administrative 
c) Jangan pernah memberikan informasi sensitive melalui telepon atau email 
d) Jangan pernah membagikan kata sandi atau ID pengguna 
e) Berhati-hatilah terhadap siapa pun yang tidak anada kenal yang mencoba
mendapatkan akses melalui anda 
 
Pengingat dari bagian ini adalah untuk mendiskusikan berbagai social engineering issues and
techniques yaitu : 
1. Identity theft 
= mengasumsikan identitas seseorang , biasanya untuk keuntungan ekonomi, dengan
mendapatkan dan menggunakan informasi rahasia secara illegal 

2. Pretexting 
= menggunakan scenario yang ditemukan untuk meningkatkan kemungkinan korban
akan membocorkan informasi atau mendapatkan sesuatu 

3. Posing  
= membuat bisnis yang tampak sah, mengumpulkan informasi pribadi sambil
melakukan penjualan, dan tidak pernah mengirimkan produk 

4. Phishing 
=mengirim pesan elektronik dengan berpura-pura menjadi perusahaan yang sah ,
biasanya lembaga keuangan, dan meminta informasi atau verivikasi informasi dan
sering memperingatkan konsekuensi jika tidak diberikan 

5. Vishing 
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

= seperti phishing, yang membedakan adalah korban memasukan data rahasia melalui
telepon 

6. Carding 
= mengacu pada aktivitas yang dilakukan pada kartu kredit curian 

7. Pharming 
= mengarahkan lalu lintas situs web ke situs web palsu 

8. Evil twin 
= jaringan nirkabel dengan nama yang sama (disebut Service Set Identifier,
atau SSID) sebagai titik akses nirkabel yang sah. Pengguna terhubung ke kembar
karena ini memiliki sinyal nirkabel yang lebih kuat atau si kembar mengganggu atau
melumpuhkan jalur akses yang sah. Pengguna tidak menyadari bahwa
mereka terhubung ke kembaran jahat dan pelaku memantau lalu
lintas untuk  mencari informasi rahasia. 

9. Typosquatting, atau URL hijacking 

= adalah menyiapkan situs dengan nama yang mirip sehingga pengguna membuat
kesalahan ketik saat memasukkan nama situs web dikirim ke situs yang tidak valid 

10. QR Barcode Replacement 

= penipu penutupi valid QR Code dengan stiker yang berisi QR lain untuk menipu
orang ke situs yang tidak diinginkan untuk menginfeksi ponsel merka dengan
malware 

11. Tabnapping 
= dengan diam diam mengganti browser yang sudah terbuka untuk mendapatkan user
ID dan password saat korban log back ke situs 

12. Scavenging, or dumpster diving 

= mencari dokumen dan record untuk mendapatkan akses ke informasi yang sensitive,
mereka mencari di tempat sampah 

13. Shoulder surfing 

= penipu melihat dari tempat public seperti atm untuk mengetahui pin korban
misalnya, melihat password hp dan lainnya 
 Lebanese looping 
= pelaku memasukkan sleeve ke dalam ATM yang menghalangi ATM
tersebut dari mengeluarkan kartu. Ketika sudah jelas kartu itu terjebak, pelaku
mendekat korban dan berpura-pura membantu, menipu orang tersebut agar
memasukkan PIN-nya lagi 

14. Skimming 
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

= yaitu melakukan double swiping kartu kredit 

15. Chipping  
= menanamkan chip kecil untuk merecord transaksi data yang dilakukan kartu kredit 

16. Eavesdropping 
= mendengar pembicaraan privat atau memanfaatkan transmisi data 
 
MALWARE 
Berbagai Softaware yg digunakan utk melakukan kejahatan atau sesuatu yang merugikan 
Diantaranya yang termasuk malware adalah : 

1. Spyware 
= software yang diam-diam memantau dan mengumpulkan informasi pribadi tentang
pengguna dan mengirimnya ke untuk orang lain. 

2. Adware 
= adalah spyware yang pop up banner dan iklan di layar, mengumpulkan informasi
mengenai apa yang pengguna cari / butuhkan, dan mengirimkannya ke pencipta
adware 

3. Torpedo software 
= software yang menghancurkan malware lain, bagi sesama pengguna malware 

4. Scareware 
= berbagai software yang tidak berguna yang dijual dengan menggunakan taktik
menakut nakuti 

5. Ransomware 
= Perangkat lunak yang mengenkripsi program dan data hingga tebusan dibayarkan
untuk menghapusnya. 

6. Keylogger 
= software yang merekam aktivitas komputer, seperti penekanan tombol pengguna,
email yang dikirim dan diterima, situs web yang dikun jungi dan kegiatan obrolan
pada sebuah aplikasi untuk berkomunikasi 

7. Trojan Horse 
= sebuah software berbahaya yang dapat merusak sebuah sistem atau jaringan,
tujuannya adalah memperolah informasi dari target dan mengendalikan target 

8. Time bombs/logic bombs 

 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

= sebuah program yang akan bereaksi pada saat ada keadaan maupun waktu tertentu,
saat sudah bereaksi, program akan menyabotase dengan cara menghancurkan program
atau data 

9. Trapdoor / backdoor 
= jebakan yang digunakan untuk menjebak administrator agar menjalankan perintah
tertentu yang nantinya dengan perintah tersebut penyusup bisa mendapatkan jalan
untuk mendapatkan akses  

10. Packet sniffers 

= tindak kejahatan penyadapan yang dilakukan menggunakan jaringan internet
dengan tujuan utama yaitu mengambil data dan informasi sensitive secara ilegal 

11. Steganography program

= sebuah program yang dapat menggabungkan informasi rahasia dengan file yang
tampaknya tidak berbahaya, sandi melindungi file, dan mengirimkannya ke mana saja
di dunia, di mana file tidak terkunci dan informasi rahasia dipasang kembali File host
masih dapat didengar atau dilihat karena manusia tidak cukup sensitif untuk
merasakan sedikit penurunan kualitas gambar atau suara

12. Rootkit
= kumpulan software yang dirancang untuk menyembunyikan proses, file dan data
sistem yang berjalan di latar belakang dari sebuah operating sistem

13. Superzapping
= penggunaan tanpa izin atas sistem program khusus untuk memotong pengendalian
sistem regular dan melakukan tindakan ilegal

14. Virus
= sebuah segmen dari kode yang dapat dieksekusi yang melekatkan dirinya ke sebuah
file, program atau beberapa komponen sistem lainnya yang dapat dieksekusi. Ketika
program tersembunyi terpicu, virus membuat perubahan tanpa izin agar sebuah sistem
beroperasi

15. Worm
= sebuah program komputer yang dapat menggandakan dirinya sendiri dalam
komputer

Perbedaan worm dengan virus :

 Virus adalah segmen kode yang tersembunyi di dalam atau dilampirkan ke
suatu program yang dapat dijalankan sedangkan worm adalah program yang
berdiri sendiri
 Virus mengharuskan manusia untuk melakukan sesuatu ( menjalankan
program, membuka file, dll) untuk mereplikasi dirinya sendiri, sedangkan
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

worm tidak dan secara aktif berusaha mengirim salinan dirinya ke perangkat
jaringan lain
 Worm merusak jaringan , virus merusak data di komputer

16. Bluesnarfing
= akses tidak sah dari perangkat nirkabel melalui sambungan bluetooth

17. Bluebugging
= memanfaatkan celah keamanan perangkat korban untuk mengambilalih alih ponsel
korban yang terkoneksi bluetooth melalui backdoor tanpa diketahui oleh korban

Segala sesuatu yang terjadi dan terkait dengan keamanan dan Informasi penting sekali
diperhatikan oleh beberapa pihak supaya dapat meminimkan terjadinya Serangan2 dan Hal2
Lainnya yg dpt merugikan User di masa yg akan datang.

Jaga Keamanan Data

Jaga Keamanan Informasi
Pastikan Tidak Lengah
Dan Memastikan Data terjaga Privasinya
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

CHAPTER 7_CONTROL AND ACCOUNTING INFORMATION SYSTEMS_WEEK

3

Salah satu peranan dari Sistem Informasi Akuntansi adalah untuk mengendalikan jalannya
sebuah perusahaan dan untuk itu management perusahaan harus menjamin bahwa tujuan
bisnisnya bisa mencapai dengan mengendalikan hal-hal penting supaya tujuan organisasi
dapat tercapai

Apa yang diharapkan perusahaan terhadap seorang Akuntan dewasa ini?

Internal Control : Proses yang dilakukan oleh Board of Directors management dan mereka
yang berada dalam penunjukkan pihak kepentingan dalam sebuah organisasi untuk
memastikan semua tujuan organisasi dapat tercapai dan berjalan dengan benar yang terdiri
dari :
 Menjaga Aset 
 Menyediakan informasi dengan akurat terkait dengan asset
yang dimiliki perusahaan dengan benar dan sewajarnya 
 Menyediakan informasti yang akurat dan dapat diandalkan 
 Menyediakan Laporan Keuangan sesuai dengan kriteria perusahaan 
 Meningkatkan efisiensi dan efektifitas perusahaan 
 Kepatuhan terhadap kebijakan managerial yang ditentukan 
 Mematuhi peraturan dan hukum yang berlaku 

Internal Control terdiri dari 3 fungsi :

1. Preventive
= yaitu mendeteksi masalah sebelum terjadi
2. Detective
= yaitu pengendalian yang dibuat untuk menemukan masalah yang tidak dapat
dicegah
3. Corrective
= mengindentifikasi dan mengoreksi masalah dengan memperbaiki dan memperbarui
kesalahan yang terjadi

Internal Control dibagi kedalam 2 kategori :

1. General Control
= memastikan pengendalian di lingkungan tersebut stabil dan tertata
2. Application Control
= mencegah, mendeteksi, dan mengoreksi transaksi yang error dan kecurangan dalam
program pengaplikasian

Ada 4 levers of control yaitu :

1. Belief system
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

= sistem yang mendeskripsikan bagaimana sebuah perusahaan menciptakan value,

membantu karyawan untuk mengerti visi management, mengkomunikasikan
company core values, dan menginspirasi karyawan untuk hidup dari nilai nilai
tersebut
2. Boundary systems
= membantu karyawan bertindak etis dengan menerapkan batas pada kebiasaan
karyawan
3. Diagnostic control systems
= sistem yang mengukur , memonitor dan membandingkan progress perusahaan
aktual dalam pembiayaan dan performance goals
4. Interactive control systems
= sistem yang membantu manager untuk fokus pada perhatian bawahannya sebagai
kunci strategic issue dan lebih terlibat dalam keputusan mereka

Control Framework
COBIT ( Control Objectives for Information and Related Technology) adalah kerangka kerja
yang mengatur sistem keamanan data dan informasi yang berlaku umum yang dapay
membantu auditor, manajemen dan pengguna untuk menjembatani pemisah antara resiko
bisnis, kebutuhan kontrol, dan permasalahan-permasalahan teknis

Ada 4 Bagian dalam COBIT : 
 Planning Organization  (APO = Align, Plan, and Organize)
 Acquire & Implementation ( BAI = Build, Acquire, and Implement)
 Deliver & Support ( DSS = Deliver, Service and Support)
 Monitor & Evaluate ( MEA = Monitor, Evaluate, dan Assess )
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

5 Bagian dalam COSO : 
 Control Environment
= ini adalah dasar untuk semua komponen lain dari pengendalian internal. Inti dari
setiap bisnis adalah orangnya, seperti integritas, kedisiplinan, nilai ethicsnya,
kompetensi dan lingkungan dimana mereka bekerja, mereka adalah mesin yang
mengendalikan organisasi dan dasar dari hal hal lainnya
 Risk Assesments 
= organisasi harus mengidentifikasi, menganalisis, dan memanage resiko.
 Control Activities 
= kebijakan dan prosedur kontrol membantu agar tindakan yang dilkukan dapat
teridentifikasi dengan manajemen resiko untuk mencapai tujuan perusahaan
 Information & Communications 
= sistem informasi dan komunikasi menangkao dan mengubah informasi yang
dibutuhkan untuk melakukan pengelolaan dan pengendalian operasi
 Monitoring 
= seluruh proses harus dimonitoring dan dimodifikasi sesuai dengan apa yang
dibutuhkan

Internal Environtment
= budaya perusahaan yang mempengaruhi bagaimana perusahaan menetapkan strategi dan
tujuan ; aktivitas structure bisnis ; mengidentifikasi, mengakses dan merespon pada resiko.

Internal Environtment terdiri dari :

1. Management’s philosophy, operating style, and risk appetite
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

= risk appetite yaitu jumlah resiko yang perusahaan mau terima untuk mencapai
tujuannya
2. Commitment to integrity, ethical values, and competence
3. Internal control oversight by the board of directors
4. Organizational structure
5. Methods of assigning authority and responsibility
6. Human resource standards that attract, develop, and retain competent individuals
= kebijakan dan prosedur yang harus diterapkan HR
a. Hiring
b. Compensating , evaluating and promoting
c. Training
d. Managing disgruntled employees ( mengatur karyawan yang tidak puas)
e. Discharging (pemakaian)
f. Vacations and rotation of duties
g. Confidentially agreements and fidelity bond insurance (kontrak perjanjian)
h. Prosecute and incarcerate perpetrators ( mengadili dan menahan pelaku)
7. External influences

Objective Setting
= pengaturan tujuan adalah komponen ERM yang kedua, management menentukan apa yang
ingin dicapai perusahaan yang mengacu pada visi dan misi perusahaan
 Strategic Objectives
= sasaran tingkat tinggi yang selaras dengan dan mendukung misi perusahaan dan
menciptakan nilai shareholder
 Operations Objectives
= yang mana berkaitan dengan efekifitas dan efisiensi operasi perusahaan da
menentukan bagaimana cara mengalokasi sumber daya
 Reporting Objectives
= memastikan akurasi kelengkapan dan reliabilitas laporan perusahaan, meningkatkan
decision making, memonitor aktivitas dan kinerja perusahaan
 Compliance Objectives
= membantu perusahaan mematuhi semua hukum dan peraturan yang berlaku

Event Identification
= event adalah peristiwa atau kejadian positif atau negatif dari sumber internal atau eksternal
yang mempengaruhi implementasi strategi atau pencapaian tujuan.

Risk Assestment and Risk Response

 Inherent Risk
= kerentanan serangkaian akun atau transaksi terhadap masalah pengendalian
signifikan tanpa adanya pengendalian internal.
 Residual risk
= resiko yang tersisa setelah manajemen menerapkan pengendalian internal atau
respons lainnya terhadap risiko.
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

Management dapat merespon resiko dengan 4 langkah dibawah ini :

 Reduce (mengurangi)
 Accept (menerima)
 Share ( membaginya misalnya membeli asuransi,, transaksi hedging dll)
 Avoid

Strategi untuk merespon resiko :

 Mengidentifikasi event/threat yang membahayakan perusahaan
 Mengestimasi kemungkinan dan bertindak
 Mengidentifikasi control
 Mengestimasi biaya dan manfaat
 Menentukan biaya/manfaat yang lebih efektif
 Mengimplementasikan 4 cara diatas (reduce, accept, share, avoid)

Control Activities
= adalah kebijakan, prosedur, dan aturan yang memberikan keyakinan memadai bahwa tujuan
pengendalian terpenuhi dan respons risiko dijalankan.
Management harus memastikan bahwa :
 Kontrol dipilih dan dikembangkan untuk membantu mengurangi risiko ke tingkat
yang dapat diterima.
 Pengendalian umum yang tepat dipilih dan dikembangkan melalui teknologi.
 Kegiatan pengendalian dilaksanakan dan diikuti sebagaimana ditentukan dalam
kebijakan dan prosedur perusahaan.

Prosedur pengendalian termasuk dalam kategori berikut:

1. Otorisasi transaksi dan aktivitas yang tepat
 Authorization
Menetapkan kebijakan untuk diikuti karyawan dan kemudian memberdayakan
mereka untuk menjalankan fungsi organisasi tertentu. Otorisasi sering kali
didokumentasikan dengan menandatangani, menginisialisasi, atau
memasukkan kode otorisasi pada dokumen atau catatan.
 Digital Signature
Cara menandatangani dokumen secara elektronik dengan data yang tidak
dapat dipalsukan.
 Spesific Authorization
Persetujuan khusus yang dibutuhkan karyawan agar diizinkan menangani
transaksi.
 General Authorization
Otorisasi yang diberikan kepada karyawan untuk menangani transaksi rutin
tanpa persetujuan khusus.

2. Pemisahan tugas
 Authorization — menyetujui transaksi dan keputusan
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

 Recording — menyiapkan dokumen sumber; memasukkan data ke dalam

sistem komputer; dan memelihara jurnal, buku besar, file, atau database
 Custody— menangani uang tunai, peralatan, inventaris, atau aset tetap;
menerima cek pelanggan yang masuk; menulis cek

Otoritas dan tanggung jawab harus dibagi sesuai fungsi masing-masing :

a. Sistem administrasi
= Administrator sistem memastikan semua komponen sistem informasi
beroperasi dengan lancar dan efisien.
b. Manajemen jaringan
= Manajer jaringan memastikan bahwa perangkat ditautkan ke jaringan
internal dan eksternal organisasi dan jaringan tersebut beroperasi dengan baik.
c. Manajemen keamanan
= Manajemen keamanan memastikan bahwa sistem aman dan terlindungi dari
ancaman internal dan eksternal.
d. Manajemen perubahan
= Manajemen perubahan adalah proses untuk memastikan perubahan
dilakukan dengan lancar dan efisien dan tidak berdampak negatif pada
keandalan, keamanan, kerahasiaan, integritas, dan ketersediaan sistem.
e. Pengguna
= Pengguna mencatat transaksi, mengotorisasi data untuk diproses, dan
menggunakan keluaran sistem.
f. Analisis sistem
= Analis sistem membantu pengguna menentukan kebutuhan informasi
mereka dan merancang sistem untuk memenuhi kebutuhan tersebut.
g. Pemrograman
= Pemrogram mengambil desain dan mengembangkan analis, membuat kode,
dan menguji program komputer.
h. Operasi komputer
= Operator komputer menjalankan perangkat lunak di komputer perusahaan.
Mereka memastikan bahwa data dimasukkan dengan benar, diproses dengan
benar, dan bahwa keluaran yang dibutuhkan dihasilkan.
i. Perpustakaan sistem informasi
= Pustakawan sistem informasi memelihara database perusahaan, file, dan
program di tempat penyimpanan terpisah yang disebut informasi
perpustakaan sistem.
j. Pengendalian data
= Grup kontrol data memastikan bahwa data sumber telah disetujui dengan
benar, memantau aliran pekerjaan melalui komputer, mendamaikan input dan
output, memelihara catatan kesalahan input untuk memastikan koreksi dan
pengiriman ulang, dan mendistribusikan output sistem.

3. Pengembangan proyek dan pengendalian akuisisi

Kontrol pengembangan sistem penting meliputi yang berikut ini:
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

- Komite pengarah memandu dan mengawasi pengembangan dan akuisisi sistem.

- Rencana induk strategis dikembangkan dan diperbarui setiap tahun untuk
menyelaraskan sistem informasi organisasi dengan strategi bisnisnya.
- Sebuah rencana pengembangan proyek menunjukkan tugas-tugas yang harus
dilakukan, siapa yang akan melaksanakannya, biaya proyek, tanggal penyelesaian,
dan tonggak proyek
- Jadwal pemrosesan data menunjukkan kapan setiap tugas harus dilakukan.
- Pengukuran kinerja sistem dibuat untuk mengevaluasi sistem. Pengukuran umum
meliputi throughput (output per unit waktu), pemanfaatan (persentase waktu
sistem digunakan), dan waktu respons (berapa lama sistem merespons).
- Tinjauan pasca-implementasi dilakukan setelah proyek pembangunan selesai
untuk menentukan apakah manfaat yang diantisipasi telah tercapai.

4. Ubah kendali manajemen

5. Desain dan penggunaan dokumen dan catatan
6. Menjaga aset, catatan, dan data
 Membuat kebijakan dan prosedur
 Memaintain laporan aset
 Mengurangi akses ke aset
 Melindungi laporan dan dokumen
7. Pemeriksaan independen atas kinerja
 Top level review
 Analytical reviews
 Reconciliation of independently maintained records
 Comparison of actual quantities with recorded amounts
 Double entry accounting
 Independent review

Communicate Information and Monitor Control Processes

Informasi dan komunikasi
Audit Trail = suatu langkah yang mengijinkan transaksi untuk di lacak melalui data
processing system dari point of origin ke output dan sebaliknya

Ada 3 prinsip yang diaplikasikan pada informasi dan komunikasi yaitu :

o Mendapatkan atau menghasilkan informasi yang relevan dan berkualitas tinggi untuk
mendukung pengendalian internal
o Mengkomunikasikan informasi secara internal, termasuk tujuan dan tanggung jawab,
yang diperlukan untuk mendukung komponen pengendalian internal lainnya
o Mengkomunikasikan masalah pengendalian internal yang relevan kepada pihak
eksternal
Monitoring
1. PERFORM INTERNAL CONTROL EVALUATIONS
2. IMPLEMENT EFFECTIVE SUPERVISION
3. USE RESPONSIBILITY ACCOUNTING SYSTEMS
4. MONITOR SYSTEM ACTIVITIES
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

5. TRACK PURCHASED SOFTWARE AND MOBILE DEVICES

6. CONDUCT PERIODIC AUDITS
7. EMPLOY A COMPUTER SECURITY OFFICER AND A CHIEF COMPLIANCE
OFFICER
8. ENGAGE FORENSIC SPECIALISTS
9. INSTALL FRAUD DETECTION SOFTWARE
10. IMPLEMENT A FRAUD HOTLINE
= nomor telepon yang karyawan dapat hubungi untuk melaporkan fraud
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

CHAPTER 8_ CONTROLS FOR INFORMATION SECURITY_WEEK 4

5 Prinsip Dasar yang memberikan kontribusi terhadap keseluruhan Reliabilitas sebuah

sistem :
1. Security
= akses (baik fisik maupun logis) ke sistem dan datanya dikontrol dan dibatasi untuk
pengguna yang sah
2. Confidentiality
= informasi sensitif perusahaan seperti rencana marketing, rahasia dagang , yang
dilindungi dari pengungkapan yang tidak sah
3. Privacy
= personal information tentang customer, karyawan, supplier, atau partner bisnis yang
dikumpulkan, digunakan, diungkapkan, dan dipertahankan hanya sesuai dengan
kebijakan internal dan persyaratan peraturan eksternal dan dilindungi dari
pengungkapan yang tidak sah.
4. Processing Integrity
= data diproses secara akurat, lengkap, tepat waktu, dan hanya dengan otorisasi yang
tepat
5. Availability
= sistem dan informasinya tersedia untuk memenuhi operasional dan kontrak
kewajiban

Two Fundamental Information Security Concepts

1. Security is a management issue, not just a technology issue
4 Tahapan dalam Siklus Keamanan :
a. Menilai ancaman terhadap keamanan informasi yang dihadapi organisasi dan
memberikan respon yang sesuai
b. Mengembangkan Kebijakan keamanan informasi dan komunikasikan kepada
seluruh karyawan
c. Implementasikan Tool teknologi yang terkait
d. Mengawasi kinerja untuk mengevaluasi keefektifan dari program keamanan
informasi di sebuah organisasi

2. The time-based model of information security

= yaitu model yang digunakan dalam kombinasi penerapan preventive, detective dan
corrective untuk melindungi informasi aset cukup lama untuk organisasi mendeteksi
bahwa serangan sedang terjadi dan untuk mengambil langkah tepat waktu untuk
menggagalkan serangan tersebut.

P>D+R

P = waktu yang dibutuhkan penyerang untuk menerobos berbagai kontrol yang

melindungi informasi aset perusahaan
D = waktu yang dibutuhkan perusahaan untuk mendeteksi jika serangan sedang
terjadi
R = waktu yang dibutuhkan untuk merespon dan menghentikan serangan

Understanding Targeted Attacks

langkah dasar yang dilakukan penjahat untuk menyerang sistem informasi perusahaan :
1. Conduct Reconnaissance (Lakukan pengintaian)
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

= Misalnya mau rampok bank itu kan ga langsung dirampok, tapi dicek dlu segala
macem biar tau gimana cara yang pas buat nyerang bank tsb
2. Attempt social engineering
= yaitu menggunakan penipuan untuk mendapatkan akses tidak sah ke sumber
informasi, jadi pake orang dalem , si orang dalem ga nyadar/lengah kalo dia ditipu
agar memberikan akses
3. Scan and map a target
= jika penyerang tidak berhasil menembus sistem target melalui social engineering,
maka penyerang akan melakukan pengintaian yang lebih detail untuk
mengidentifikasi titik potensial untuk remote entry atau serangan jarak jauh
4. Research ( penelitian )
= penyerang akan melakukan penelitian untuk menemukan kerentanan dan
mempelajari kerentanan program untuk menyerang
5. Execute the attack
= penyerang yang telah mempelajari kerentanan program akan memanfaatkan hal
tersebut untuk mendapatkan akses tidak sah ke informasi target
6. Cover tracks
= setelah menembus sistem informasi korban, sebagian penyerang mencoba untuk
menutupi jejak mereka dan menciptakan “back door” yang dapat mereka gunakan
untuk mendapatkan akses jika serangan mereka ditemukan dan kontrol
diimplementasikan untuk memblokir metode masuk tersebut

Protecting Information Resources

3 Hal dalam melindungi informasi yang dimiliki organisasi :
a. Preventive
 People
1. Creation of a “security-aware” culture
2. Training
 Process ( user access controls ( authentication and authorization)
1. Authentication
=memverifikasi identitas orang atau device yang mencoba
mengakses sistem
2. Authorization
= proses membatasi akses dari pengguna yang terautentifikasi
ke bagian tertentu dari sistem dan membatasi tindakan apa yang
diijinkan untuk dilakukan
 Penetration testing
= upaya resmi baik oleh tim audit internal ataupun eksternal untuk
menerobos masuk ke sistem informasi organisasi
 Change Management
= proses formal yang digunakan untuk memastikan bahwa modifikasi
pada hardware, software atau proses tidak mengurangi kemampuan
sistem ( sstems reliability)
 IT Solution
1. Antimalware controls
2. Network access control
3. Device and software hardening controls
4. Encryption
 Physical Security
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

b. Detective
 Log Analysis
= proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan
serangan.
 IDSs (Intrusion Detection Systems)
= Sebuah sistem yang menciptakan log dari semua lalu lintas jaringan
itu diizinkan melewati firewalldan kemudian menganalisisnya untuk
tanda-tanda percobaan atau intrusi sukses.
 Continuous Monitoring
c. Corrective
 CIRT ( Computer Incident Response Teams)
= team yang bertanggung jawab untuk menangani urusan insiden
keamanan. Ada 4 langkah yang dilakukan yaitu
1. Recognition
= menyadari bahwa ada masalah yang sedang terjadi
2. Containment
= penahanan masalah, yaitu menahan kerusakan yang mungkin
akan terjadi
3. Recovery ( pemulihan )
4. Follow-up (Tindak lanjut)
 CISO ( Chief Information Security Officer )
 Patch Management

Peluang untuk meningkatkan Keseluruhan keamanan informasi sbb :

 Implementasikan Pengendalian akses dalam cloud/penyimpanan dan
menggunakan autentifikasi
 Internet of Things
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

Chapter 11_“Auditing Computer Based Information Systems”_WEEK 5

beberapa jenis tipe Internal Audit :

1. Financial Audit
= memeriksa keandalan dan integritas transaksi keuangan, akuntansi
catatan, dan laporan keuangan.
2. Information System Audit
=meninjau kontrol SIA untuk menilai kepatuhannya terhadap kebijakan dan prosedur
pengendalian internal serta efektivitasnya dalam menjaga aset. Audit biasanya
mengevaluasi input dan output sistem, pemrosesan kontrol, rencana pencadangan dan
pemulihan, keamanan sistem, dan fasilitas komputer.
3. Operational Audit
= berkaitan dengan penggunaan sumber daya yang ekonomis dan efisien dan
pencapaian tujuan dan sasaran yang ditetapkan.
4. Compliance Audit
= menentukan apakah entitas mematuhi hukum yang berlaku, peraturan, kebijakan,
dan prosedur. Audit ini seringkali menghasilkan rekomendasi untuk meningkatkan
proses dan kontrol yang digunakan untuk memastikan kepatuhan terhadap peraturan
5. Investigative Audit
= memeriksa insiden kemungkinan penipuan, penyalahgunaan aset, pemborosan dan
penyalahgunaan, atau aktivitas pemerintah yang tidak tepat.

4 Tahapan yang dilakukan dalam Aktifitas Audit :

1. Audit Planning
= Menentukan Kenapa, Bagaimana, kapan sebuah proses audit akan dijalankan
Ada tiga tipe resiko audit :
 Inherent Risk
= kerentanan terhadap masalah kontrol yang signifikan diakibatkan karena
tidak adanya pengendalian internal
 Control Risk
= risiko kesalahan penyajian material melalui struktur pengendalian internal
dan ke dalam laporan keuangan
 Detection Risk
= risiko auditor dan proses auditnya gagal mendeteksi suatu kesalahan
material atau salah saji

2. Collection Audit Evidence

= yaitu mengumpulkan bukti audit
Ada beberapa langkah umum yang paling sering digunakan untuk mengumpulkan
bukti audit yaitu :
 Observation
= pengamatan atas aktivitas yang diaudit , misalnya mengamati bagaimana
personel kontrol data menangani pemrrosesan data saat diterima
 Review of documentation
= untuk memahami bagaimana proses tertentu atau sistem pengendalian
internal seharusnya berfungsi
 Discussions
= diskusi dengan karyawan tentang pekerjaan mereka dan tentang bagaimana
mereka melaksanakan prosedurnya
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

 Questionnaires
= untuk mengumpulkan data
 Physical examination
= yaitu pemeriksaan fisik terhadap kuantitas atau kondisi aset berwujud
 Confirmation
= yaitu konfirmasi keakuratan informasi misalnya saldo rekening pelanggan
melalui komunikasi dengan pihak independent ketiga (bank misalnya)
 Reperformance
= reperformance dari perhitungan untuk memverifikasi informasi kuantitatif,
misalnya ngitung ulang penyusutan
 Vouching
= yaitu memvalidasi transaksi dengan memeriksa dokumen pendukung
misalnya faktur, laporan penerimaan dll
 Analitycal review
= pengujian atas hubungan antara kumpulan data yang berbeda, abnormal atau
hubungan yang tidak biasa

3. Evaluation Of Audit Evidence

= auditor mengevaluasi bukti yang terkumpul dan memutuskan apakah mendukung
kesimpulan yang menguntungkan atau tidak menguntungkan, jika tidak meyakinkan
maka auditor akan melakukan prosedur tambahan yang cukup untuk mencapai
kesimpulan yang pasti.
Karena kesalahan ada di sebagian besar sistem, auditor fokus pada mendeteksi
dan melaporkannya yang secara signifikan memengaruhi interpretasi manajemen atas
temuan audit. Menentukan materiality , apa yang penting dan tidak penting dalam
suatu audit adalah masalah pertimbangan profesional. Materialitas lebih penting bagi
audit eksternal dimana penekanannya adalah keadilan finansial pernyataan, daripada
audit internal yang fokusnya adalah kepatuhan terhadap manajemen kebijakan

Materiality = jumlah error, fraud atau kelalaian yang dapat mempengaruhi keputusan
penggunan informasi keuangan

Auditor mencari reasonable assurance bahwa tidak ada kesalahan material

dalam informasi atau proses di audit
Reasonable assurance = memperoleh jaminan lengkap bahwa informasi benar sangat
mahal, sehingga auditor menerima tingkat risiko yang wajar bahwa kesimpulan audit
salah

4. Communicate the audit results

= auditor submit laporan tertulis temuan audit dan rekomendasi kepada manjemen,
komite audit, dewan direksi dan pihak lain yang sesuai
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

The Risk Based Audit Approach

1. Determine the threat( fraud and errors) facing the company
2. Identify the control procedures that prevent, detect, or correct the threats
3. Evaluate control procedures
Control dievaluasi dengan dua cara
a. A system review
= menentukan apakah prosedur pengendalian benar-benar ada
b. Test of controls
= menentukan apakah pengendalian yang ada berfungsi sebagaimana mestinya
4. Evaluate control weaknesses to determine their effect on the nature, timing, or extent
of auditing procedures
= jika auditor menentukan bahwa control risk terlalu tinggi karena control systemnya
tidak memadai, auditor harus mengumpulkan lebih banyak bukti, bukti yang lebih
baik, dan bukti yang lebih tepat waktu. Mengontrol kelemahan di satu area mungkin
bisa diterima jika ada compensating controls di area lain
Compensating controls = prosedur yang mengimbangi defisiensi pada kontrol lain.

Information Systems Audit

= Tujuannya untuk mereview dan evaluasi pengendalian internal yang melindungi sebuah
sistem
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

Yang diperhatikan sbb :

A. Security Provisions ( ketentuan keamanan )
B. Program Development & Acquisition ( program pengembangan dan akuisisi)
C. Program Modification (modifikasi program)
D. Processing of Transactions (pemrosesan transaksi)
E. Source data (sumber data)
F. Computer data files (file data komputer)
RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

Ada tiga cara auditor menguji perubahan program yang tidak sah:
a) Setelah menguji program baru, auditor menyimpan salinan kode sumbernya. Auditor
menggunakan Source code comparison program untuk membandingkan versi
program saat ini dengan sumbernya kode. Jika tidak ada perubahan yang diizinkan,
kedua versi tersebut harus identik; ada perbedaan harus diselidiki. Jika perbedaannya
adalah perubahan resmi, auditor memeriksa program mengubah spesifikasi untuk
memastikan bahwa perubahan tersebut diotorisasi dan dimasukkan dengan benar.

Source code comparison program = Software yang membandingkan versi saat ini dari
program dengan kode sumbernya; perbedaan seharusnya diotorisasi dengan benar dan
tergabung.

b) Dalam teknik reprocessing, auditor memproses ulang data menggunakan source code
dan membandingkan keluaran dengan keluaran perusahaan. Perbedaan output
diselidiki.

Reprocessing - Menggunakan sumber kode untuk memproses ulang data dan

membandingkan output dengan keluaran perusahaan; perbedaan yang diselidiki untuk
melihat apakah perubahan program yang tidak sah telah dibuat.

c) Dalam Parallel simulation, auditor menulis program alih-alih menggunakan kode

sumber, membandingkan output, dan menyelidiki perbedaan apa pun. Simulasi paralel
dapat digunakan untuk menguji program selama proses implementasi.
Parallel simulation – Menggunakan perangkat lunak tertulis auditor untuk
memproses data dan membandingkan output dengan keluaranperusahaan perbedaan
diselidiki untuk melihat apakah ada perubahan program dibuat tidak sah
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

Ada beberapa data yang membantu menyiapkan Preparing Test Data

G. A list of actual transaction
H. The test transactions the company used to test the program
I. A test data generator, which prepares test data based on program specification
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

Concurrent audit techniques = software yang secara terus menerus memonitor sistem saat
memproses data langsung dan mengumpulkan , mengevaluasi, dan melaporkan informasi
tentang keandalan sistem

Embedded audit modules = segmen kode yang melakukan fungsi audit, uji laporan hasil dan
menyimpan bukti

5 hal yang dilakukan oleh Auditor dalam teknis audit :

a) ITF (Integrated test facility)
= menyisipkan catatan fiktif yang mewakili divisi fiktif, departemen pelanggan, atau
pemasok dalam file induk perusahaan. Memproses uji transaksi untuk mengupdate
mereka tidak akan mempengaruhi record sebenarnya
b) Snapshot technique
= menandai transaksi dengan kode spesial, merekam mereka dan master data mereka
sebelum dan sesudah processing, lalu menyimpan data untuk nanti di verivikasi
bahwa semua processing stepnya sudah dilakukan
c) System control audit review file (SCARF)
= menggunakan embedded audit modules untuk memonitor aktifias transaksi,
mengumpulkan data dari transaksi dengan audit signifikan spesial dan menyimpannya
di SCARF file atau audit log. Audit log adalah file yang berisi transaksi yang
memiliki signifikansi audit
d) Audit hooks
= rutinitas audit yang memberitahu auditor tentang transaksi yang meragukan dan
sesering mungkin saat itu terjadi
e) CIS (Continuous and intermittent simulation)
= Menyematkan audit dalam module in database management system (DBMS) yang
menggunakan kriteria tertentu untuk memeriksa semua transaksi yang memperbarui
database.

Analysis of program logic

= jika auditor mencurigai bahwa suatu program berisi kode tidak sah atau kesalahan yang
serius, analisis rinci dari logika program mungkin diperlukan. Software yang digunakan yaitu
:
J. Automated flowcharting programs
= software yang mengintepretasikan sumber kode dan menghasilkan flowchart dari
logika program
K. Automated decision table programs
= software yang mengintepretasikan sumber kode dan menghasilkan tabel decision
L. Scanning routines
= software yang mencari program untuk semua kemunculan item tertentu
M. Mapping programs
= software yang mengidentifikasi kode program yang tidak dijalankan
N. Program tracing
= program yang secara berurut mencetak semua langkah program yang dijalankan
saat program berjalan, bercampur dengan output reguler sehingga urutan kejadian
eksekusi program dapat diamati
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

Computer Audit Software

Banyak sekali Program Komputer yang digunakan oleh perusahaan untuk melakukan audit :
1. CAAT (Computer Assisted Audit Techniques)
= software audit yang menggunakan spesifikasi yang disediakan auditpr untuk
menghasilkan program yang melakukan fungsi audit
2. ACL (Audit Control Language)
3. IDEA ( Interactive Data Extraction and Analysis)

Teknik dan Prosedur yang digunakan dalam Audit Operasional :

a. Review Kebijakan Operasional & Dokumentasi
b. Konfirm prosedur dengan management dan personil ops
c. Observasi fungsi operasional dan aktifitas
d. Memeriksa Laporan Keuangan dan Rencana Operasional
e. Test terhadap keakuratan informasi operasional
f. Test of Control
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

SIA II
Senin, 18.30
Group Discussion

I. DISCUSSION
A. Masa Pandemic COVID-19 memberikan dampak besar kepada banyak perusahaan/pelaku
bisnis, bukan hanya perusahaan, banyak sekali karyawan yang terkena dampak dari wabah
ini, yaitu pemutusan hubungan kerja, atau bahkan pemotongan gaji yang diterima.
Dalam situasi ini, banyak sekali penipu mencoba memanfaatkan penipuan pekerjaan online
untuk mencuri informasi personal terhadap mereka yang melamar pekerjaan. Salah satunya
dengan menggunakan email “Phising” dengan menggunakan teknik manipulasi psikologis
untuk mengelabui pengguna agar mengungkapkan informasi mereka.
a. Jelaskan Fraud yang terjadi dalam kasus diatas!
Fraud yang terjadi yaitu phising, dimana dalam fraud ini pengirim berpura pura
menjadi perusahaan yang sah dan memberikan ancaman apabila tidak dituruti

b. Bagaimana cara untuk menghindari dan mengantisipasi terjadinya kecurangan itu?

1. selalu update informasi yang berkaitan tentang Phising
2. jangan asal klik link yang di terima
3. pastikan keamanan website yang di akses
4. gunakan browser versi terbaru
5. waspada ketika di mintai data pribadi

B. Dari kasus-kasus dibawah ini sebutkan dan jelaskan Ancaman dalam sistem informasi
yang terjadi:
 Seorang Bank Programer salah dalam menghitung bunga untuk masing-masing bulan
menggunakan 31 hari , hal ini menyebabkan kesalahan dalam penagihan pembayaran
bunga ke customer dan mengalami kelebihan penagihan.
Ancaman = unintenional acts ( karena kelalaian sumber daya manusia)

 Kasir dalam sebuah restaurant menginput 2 kali tagihan kepada pelanggan yang
memesan makanan karena adanya Kesalahan dalam sistem POS yang digunakan
Ancaman = software error and equipment malfuncion ( karena kesalahan sistem)

 Serangan teroris, banjir bandang dan kebakaran yang menghilangkan banyak sekali
data/informasi dalam perusahaan
Ancaman = natural and political disaster ( karena tidak dapat dihindari, seperti
bencana alam)

C. Identifikasikan jenis Computer Fraud yang digunakan dalam kasus dibawah ini :
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

Computer fraud itu berhubungan dengan personal information, sesuatu yang confidential ,
kyk identitas, nomor rekening, dll
o After graduating from college with a communications degree, Rado Ionesco
experienced some difficulty in finding full-time employment. He freelanced as a
writer during the summer and then started a blog in the fall. Shortly thereafter he was
contacted by SitePromoter Inc., who offered to pay him to promote their clients in his
blog. He set up several more blogs for this purpose and is now generating a
reasonable level of income.
Fraud = tidak termasuk fraud

o On weekends, Thuy Nguyen climbs into her Toyota Camry and drives around the city
of Las Vegas looking for unprotected wireless networks to exploit.
Fraud = phising

o You visit a bar one Friday evening and use its ATM to withdraw $50 before placing
your order. However, as you complete your withdrawal, your card gets jammed in the
ATM machine. The individual waiting in line behind you approaches you and
suggests re-entering your PIN number, which you do. However, your card remains
jammed. You step away from the ATM to call your bank to report the incident.
However, after you stepped away, the individual who offered to help you removed a
sleeve he inserted in the ATM to jam your card. He now has your ATM card and PIN
number.
Fraud = piggybacking

o Rina Misra, a first-time computer user, purchased a brand new PC two months ago. In
this period, she accessed the Internet every day and installed a variety of free
software. The computer is now operating much more slowly and sluggishly.
Fraud = Virus

o Wassim Masood works in the information technology department of TMV. One

Monday morning, he arrived at work, scanned his identity card, and entered his code.
At that moment, a lady in a delivery uniform came up behind Wassim with a bunch of
boxes. Although Wassim held the door for the delivery lady, he later wondered if the
delivery lady was engaged in some kind of fraud.
Fraud = piggybacking
D. Menurut kalian apakah menggunakan social media seperti Facebook, Twitter, Linkedin
memiliki potensi risiko terjadinya serangan computer atau kecurangan? Bagaimana dengan
penggunaan Smartphone sendiri? Apa potensi yang mungkin terjadi?
menggunakan social media seperti Facebook, Twitter,Linkedin sangat berrpontenti
memiliki resiko, karena banyakk kasus yang sudah terjadi bahwa beberapa social media dapat
di hack, serta dapat dicuri datanya karena social media tersebut bahkan menyediakan untuk
menampilkan profile kita. sehingga potensi yg terjadi adalah terkena hacking, identify
theft,posing, carding
E. Apa itu Internal Control? Apa pentingnya Internal control dalam sebuah Organisasi? Jika
anda adalah Internal Audit dalam Lembaga Kesehatan Pemerintahan yang menangani
Masalah COVID yang terjadi di Indonesia, hal apa yang akan anda lakukan?
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

Internal control adalah proses yang di lakukan dalam sebuah organisasi management untuk
memastikan semua tujuan organisasi dapat tercapai dan berjalan dengan benar.

internal control sangatlah penting dalam sebuah organisasi karena selain membantu
perusahaan mencapai tujuan juga internal control ini dapat mengantisipasi adanya fraud atau
kecurangan yang akan terjadi di organisasi.
Yang akan saya lakukan jika saya seorang internal audit dalam kesehatan pemerintah untuk
menangani COVID di Indonesia adalah dengan mengajak seluruh masyarakat untuk rapid test
dan menyediakan vitamin c untuk masyarakat indonesia, Mengikuti himbauan yang di
anjurkan WHO untuk memakai masker, mencuci tangan, berjaga jarak
F. You are performing an information system audit to evaluate internal controls in Aardvark
Wholesalers’ (AW) computer system. From an AW manual, you have obtained the following
job descriptions for key personnel:
- Director of information systems: Responsible for defining the mission of the information
systems division and for planning, staffing, and managing the IS department.
- Manager of systems development and programming: Reports to director of information
systems. Responsible for managing the systems analysts and programmers who design,
program, test, implement, and maintain the data processing systems. Also responsible for
establishing and monitoring documentation standards.
- Manager of operations: Reports to director of information systems. Responsible for
management of computer center operations, enforcement of processing standards, and
systems programming, including implementation of operating system upgrades.
- Data entry supervisor: Reports to manager of operations. Responsible for supervision of
data entry operations and monitoring data preparation standards.
- Operations supervisor: Reports to manager of operations. Responsible for supervision of
computer operations staff and monitoring processing standards.
- Data control clerk: Reports to manager of operations. Responsible for logging and
distributing computer input and output, monitoring source data control procedures, and
custody of programs and data files.
A. Buatkan Organizational Chart untuk Divisi Sistem Informasi dalam AW
 RANGKUMAN SIA 2 – HERIYANTO – MATERI UTS

B. Apa saja kelemahan dan kelebihan dari Struktur organisasi tersebut

kelebihannya
1. struktur kerja rapi
2. job desc setiap bagian jelas
3. tidak ada tumpang tindih dalam melakukan pekerjaan

kelemahan:
1. direktur hanya menerima hasil laporan dari bawahannya tanpa melihat secara
langsung, hal ini bisa jadi celah terjadinya fraud
C. Hal apa saja yang anda akan sarankan sebelum membuat keputusan akhir bagi
perusahaan AW
Sekalipun seperti ini sudah lumayan bagus, tetapi kami sarankan director jg mengecek
dengan membandingkan laporan dari manager of operation dengan data entry
supervisor, operation supervisor dan data control

G. Apa yang menjadi Motivasi orang-orang melakukan Hacking? Kenapa tindakan

hacking menjadi begitu banyak terjadi di tahun-tahun terakhir ini? Apakah itu
termasuk tindak criminal? Jelaskan tanggapanmu!

Hacking itu tergantung motivasinya, untuk apa dulu, apakah untuk mengembangkan
suatu hal atau tujuannya merugikan. Tindakan hacking begitu banyak terjadi di tahun
terakhir karena semakin pesat perkembangan teknologi dan semakin banyak orang
yang menggunakan teknologi. Namun dari sekian banyak orang, tidak sedikit yang
lengah akan keamanan data mereka. Termasuk tindakan criminal jika merugikan
orang lain