312893709-resume-audit-sistem-informasi.docx

  • Uploaded by: Arina Galih Sulistyarini
  • 0
  • 0
  • November 2019
  • PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA


Overview

Download & View 312893709-resume-audit-sistem-informasi.docx as PDF for free.

More details

  • Words: 4,538
  • Pages: 8
CHAPTER 1 AUDITING, ASSURANCE, DAN INTERNAL CONTROL BERBAGAI JENIS AUDIT Definisi Audit:  proses sistematis dari memperoleh dan mengevaluasi bukti secara objektif  pernyataan yang tegas mengenai tindakan dan kejadian ekonomi  untuk memastikan derajat hubungan antara pernyataan tersebut dan membangun kriteria, dan  mengkomunikasikan hasilnya kepada pihak yang berkepentingan Audit Internal:  Fungsi penilaian independen dalam suatu organisasi untuk memeriksa dan mengevaluasi aktivitas sebagai suatu jasa bagi organisasi  Auditor internal melakukan berbagai aktivitas seperti pemeriksaan keuangan, ketaatan aktivitas operasi dengan kebijakan perusahaan, evaluasi efisiensi operasional, mendeteksi serta mencari kecurangan dalam organisasi, dan melakukan audit teknologi informasi (TI)  Dapat pula dilakukan dari pihak luar organisasi  Auditor biasanya bertanggungjawab kepada komite audit  Sertifikasi auditor: CISA (Certified Information System Auditor) atau CIA (Certified Internal Auditor)  Standar, petunjuk, dan sertifikasi diatur oleh Institute of Internal Auditor (IIA) dan Information System Audit and Conttrol Association (ISACA) Audit TI:  Menyediakan jasa audit dimana proses atau data atau keduanya melekat dalam berbagai bentuk teknologi  Subjek: kode etik, SOP, dan standar profesi (jika tersertifikasi)  Standar, petunjuk, dan sertifikasi diatur oleh Information System Audit and Conttrol Association (ISACA)  Tergabung dengan internal, eksternal, dan fraud audit  Lingkup audit TI semakin berkembang, dengan ciri digunakannya Computer Assisted Audit Tools and Techniques (CAATTs)  IT Governance merupakan bagian dari Corporate Governance Fraud Audit  Menyediakan jasa investigasi dimana diduga terdapat anomali, mengembangkan bukti untuk mendukung atau menolak tindak kecurangan  Auditor lebih seperti detektif, tidak ada materialitas, tujuannya adalah kepastian/hukuman jika ada bukti yang cukup dari kecurangan  Sertifikasi auditor: CFE ( Certified Fraud Examiner)  Standar, petunjuk, dan sertifikasi diatur oleh Association of Certified Fraud Examiners (ACFE) Audit Eksternal:

 Tujuannya adalah bahwa pada semua hal yang material, Laporan Keuangan (LK) disajikan secara wajar dari transaksi dan catatan perusahaan/ organisasi  SEC’s role, SOA, FASB, PCAOB  Sertifikasi auditor: CPA ( Certified Public Accountant)  Standar, petunjuk, dan sertifikasi diatur oleh American Institute of Certified Public Accountants (AICPA) Perbedaan Audit Eksternal dan Internal No.

Audit Eksternal

1

Independent auditor (CPA) Independensi diterapkan oleh SEC’s, SOA, AICPA

2 3 4

5 6

Diwajibkan oleh SEC untuk perusahaan perdagangan public Merupakan audit keuangan Mewakili kepentingan pihak luar/public(misal: stockholders) Standar, petunjuk, sertifikasi oleh AICPA, FASB, PCAOB (didelegasikan oleh SEC)

Audit Internal Auditor (CIA/CISA) Independensi diterapkan dari pribadi masing2 Opsional sesuai kebutuhan manajemen Lebih luas dari sekedar audit keuangan (operasional dll) Mewakili kepentingan organisasi (intern) Standar, petunjuk, sertifikasi oleh IIA dan ISACA

AUDIT KEUANGAN Definisi Audit Keuangan:  Atestasi independen oleh auditor (CPA) yang menggambarkan opini terkait penyajian LK  Produk formal berupa opini tentang reliabilitas asersi dalam LK dan kesesuaiannya dengan GAAP  Pernyataan opini auditor merupakan puncak dari proses audit yang sistematis dan melibatkan 3 tahapan konseptual, yaitu pengendalian terhadap organisasi bisnis, evaluasi dan pengujian internal control, dan menilai reliabilitas data keuangan Hubungan antara Assurance Service dan Attest Service:

Attest Service  Definisi: perjanjian dimana seorang praktisi yang dikontrak untuk mengeluarkan atau telah mengeluarkan sebuah komunikasi tertulis yang menyatakan suatu kesimpulan mengenai keandalan sebuah penilaian tertulis yang merupakan tanggung jawab pihak lainnya

Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]

1

 Persyaratan yang berlaku untuk jasa atestasi: adanya pernyataan tertulis dan laporan tertulis dari praktisi terkait, penyusunan formal kriteria pengukuran atau deskripsi dalam penyajiannya, dan terbatas pada pemeriksaan, reviu, penerapan prosedur yang disepakati sebelumnya Assurance  Jasa professional yang dirancang untuk mengembangkan kualitas informasi, baik finansial maupun non finansial, digunakan oleh para pengambil keputusan  Unit organisasional yang bertanggung jawab untuk melakukan audit TI biasanya disebut sebagai IT Risk Management, IS Risk Management, Operational System Risk Management, Technology and Security Risk Service, dan biasanya merupakan divisi dari jasa assurance Standard Auditing  Disusun oleh AICPA  Terdiri dari: 10 Generally Accepted Auditing Standards (GAAS) yang dikelompokkan dalam 3 kategori: Standard Umum, Standard of Field Work, dan Standard Pelaporan  Pernyataan standard auditing (SAS’s = Statements on Auditing Standards) disusun sebagai interpretasi legal atas GAAS

Asersi manajemen: 1. Eksistensi (existence or occurance) 2. Kelengkapan (completeness) 3. hak dan kewajiban (rights and obligations) 4. penilaian/alokasi (valuation or allocation) 5. penyajian dan pengungkapan (presentation and disclosure)

level akun sebelum memperhatikan efektifitas pengendalian intern) 2. Control Risk (CR): disisi lain adalah adanya cacat pada ketiadaan atau ketidakcukupan sistem pengendalian intern dalam mencegah error 3. Detection Risk (DR): risiko yang dapat diterima auditor bahwa error yang gagal dicegah oleh pengendalian gagal juga dideteksi auditor. Subtantif tes akan semakin besar/dalam dilakukan ketika DR lebih kecil, auditor lebih konservatif/lebih hati-hati.  Audit Risk Model, AR = IR x CR x DR PERAN KOMITE AUDIT  Dipilih dari dewan direksi  Biasanya terdiri dari tiga anggota  Outsiders (SOX sekarang memerlukan itu)  Tanggung jawab fidusia kepada pemegang saham  Melakukan check and balance yang independen  Berinteraksi dengan auditor internal  Berinteraksi dengan auditor eksternal  Penyelesaian konflik dari GAAP antara auditor eksternal dan manajemen AUDIT TI  Berfokus pada berbagai aspek berbasis computer dalam system informasi perusahaan  Meliputi penilaian implementasi, operasi, dan pengendalian berbagai sumber daya computer yang tepat Lingkungan TI  Selalu ada kebutuhan untuk sistem pengendalian internal yang efektif  Desain dan pengawasan dari sistem tersebut biasanya menjadi tanggung jawab akuntan  Lingkungan TI mempersulit desain pengendalian internal yang efektif untuk sistem berbasis komputer jika dibandingkan dengan sistem manual, yaitu: 1. Adanya konsentrasi data 2. Perluasan akses dan hubungan 3. Peningkatan kegiatan berbahaya di sistem vs manual 4. Peluang yang dapat menyebabkan penipuan manajemen (yaitu, override) Struktur Audit TI: 1. Perencanaan 2. Pengujian pengendalian 3. Pengujian substantive

RISIKO AUDIT  Audit Risk (AR): kemungkinan auditor memberikan opini wajar atas LK, dimana pada kenyataannya LK berisi kesalahan material dalam penyajian yang tidak ditemukan auditor  3 komponen Audit Risk: 1. Inherent Risk (IR): risiko audit yang merupakan karateristik unit bawaaan dari bisnis atau industri dari klien itu sendiri (ada juga yang bilang risiko

Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]

2

INTERNAL CONTROL  SEC menyatakan bahwa pembentukan dan pemeliharaan sistem pengendalian internal adalah kewajiban pihak manajemen yang penting  Sistem pengendalian internal (SPI) terdiri atas kebijakan, praktik, dan prosedur, yang digunakan oleh perusahaan untuk mencapai 4 tujuan umum: 1. Menjaga aset perusahaan 2. Memastikan akurasi dan reliabilitas catatan dan informasi akuntansi 3. Memprakarsai efisiensi operasi perusahaan 4. Mengukur kepatuhan terhadap kebijakan dan prosedur yang telah ditetapkan oleh pihak manajemen Sejarah Pengendalian Internal:  SEC Acts Tahun 1933 dan 1934  Copyright Law Tahun 1976  Foreign Corrupt Practices Act (FCPA) Tahun 1977  Committee of Sponsoring Organizations (COSO) Tahun 1992  Sarbanes-Oxley Act Tahun 2002 Asumsi Penjelas:  Tanggung jawab pihak manajemen, pembentukan dan pemeliharaan SPI merupakan tanggungjawab manajemen, bahkan kewajiban hukum  Jaminan yang wajar (Reasonable Assurance), keempat tujuan umum pengendalian internal terpenuhi. Kewajaran artinya tidak ada SPI yang sempurna, dan biaya untuk mencapainya tidak lebih dari manfaatnya  Metode pemrosesan data, apapun metodenya (manual, berbasis computer atau berbasis web) harus mewujudkan keempat tujuan pengendalian internal.  Keterbatasan, dalam hal efektivitas meliputi: 1. Kemungkinan terjadinya errors, No perfect system 2. Circumvention, misal KKN personil 3. Manajemen mengabaikan control 4. Kondisi dinamis (berubah-ubah) dalam industry Exposure dan Risiko  Exposure: kelemahan pengendalian  Risiko: potensi ancaman yang dapat membahayakan penggunaan atau nilai berbagai asset perusahaan The PDC Model:  Preventive Controls merupakan kontrol pasif di design mengurangi frekuensi kejadian tidak diinginkan. Contoh: pembatasan karakter entry  Detective Controls merupakan alat atau teknik dan prosedur yang didesain untuk mengidentifikasi dan mengekspos peristiwa yang tidak diinginkan yang lolos dari preventive control.  Corective Controls yaitu membalikkan pengaruh negative dari kesalahan yang telah dideteksi (memperbaiki masalahnya). Otomatisasi perbaikan, bisa menyebabkan masalah baru. Contoh pada MYOB, ketika entry akun unbalance, dia otomatis memperbaiki sesuai standardnya sendiri.

Statement on Auditing Standards (SAS) No.78  Sesuai dengan rekomendasi COSO, Pengendalian internal terdiri dari 5 komponen: 1. Lingkungan Pengendalian, merupakan pondasi dari empat unsur lainnya. Elemennya: integritas dan etika pihak manajemen, struktur organisasi, partisipasi Dewan Komisaris dan Komite Audit (jika ada), filosofi manajemen dan gaya operasi, prosedur mendelegasikan tanggung jawab dan wewenang, metode pihak manajemen untuk menilai kinerja, pengaruh eksternal (missal pemeriksaan oleh lembaga yang berwenang), serta kebijakan dan praktik perusahaan untuk mengelola SDM nya. 2. Penilaian Resiko, untuk mengidentifikasi, menganalisis dan mengelola resiko yang relevan dengan pelaporan keuangan. Beberapa hal yang dapat menjadi resiko: perubahan dalam bisnis, personel baru, sistem baru, teknologi baru, lini baru, restrukturisasi organisasi, adopsi standar baru dll. 3. Informasi dan Komunikasi: kualitas SIM, Proses susun L/K 4. Monitoring: Assesment SPI, Special modul di IT, Laporan Manajerial 5. Aktivitas Pengendalian adalah kebijakan dan prosedur yang digunakan untuk memastikan bahwa tindakan yang tepat diambil untuk menghadapi risiko organisasi yang dapat diidentifikasi. Klasifikasi aktivitas pengendalian 1. Pegendalian Komputer a. Pengendalian Umum, pengendalian yang sifatnya membatasi akses dan mengamankan aplikasi dari yang tidak berhak mengakses, misal berbentuk kunci, password termasuk controls over IT governance, IT infrastructure, security and access kepada sistem operasi dan DB, application acquisition and development and prosedur perubahan program dll. b. Pengendalian Aplikasi, pengendalian intern yang memastikan aplikasi spesifik dapat melakukan fungsinya dengan baik dan mengurangi terpaparnya aplikasi dari resiko potensial. Pengendalianya berupa cek digit, format yang memastikan validitas, kelengkapan dan akurasi transaksi bentuknya bisa cek digit, echo check, limit cek yang bertujuan untuk memastikan validitas, kelengkapan dan akurasi transaski dalam L/K. 2. Pengendalian Fisik  Berhubungan dengan system akuntansi tradisional yang menggunakan prosedur manual  6 kategori aktivitas pengendalian tradisional: a. Otorisasi transaksi b. Pemisahan tugas c. Supervisi d. Catatan akuntansi e. Pengendalian akses f. Verifikasi independen CHAPTER 2

Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]

3

AUDITING IT GOVERNANCE CONTROLS INFORMATION TECHNOLOGY GOVERNANCE Tujuan utama dari tata kelola TI:  mengurangi risiko  memastikan bahwa investasi dalam sumber daya TI menambah nilai bagi perusahaan IT Governance Controls  3 isu tata kelola IT berdasarkan SOX dan COSO: 1. Organizational structure of the IT function 2. Computer center operations 3. Disaster recovery planning STRUCTURE OF THE INFORMATION TECHNOLOGY Centralized Data Processing :  semua pemrosesan data dilakukan oleh satu atau lebih komputer yang lebih besar bertempat di situs pusat yang melayani pengguna di seluruh organisasi.  DBA: Central Location, Shared. DBA dan timnya responsible pada keamanan dan integritas database.  Pemrosesan Data mengelola SDIT terdiri dari: 1. Konversi Data: HardCopy to SoftCopy (inputable to computer) 2. Operasi Komputer: memproses hasil konversi melalui suatu aplikasi 3. Data Library: Storage offline data-> Real Time data Procesing dan direct acces mengurangi peran DL  Sys Dev and Maintenis: Analisis kebutuhan, partisipasi dalam desain sistem baru (Profesional, End Users dan Stakeholder). Menjaga sistem beroperasi sesuai kebutuhan, 80-90% cost dalam IT biasanya ada pada maintanance (tidak hanya soal merawat/ membersihkan HW namun lebih kepada tambal sulam SI.  Masalah control yang harus diperhatikan dalam proses data tersentralisasi adalah pengamanan DB. Karena jika accesnya lemah maka seluruh informasi dapat terpapar resiko, bentuk topologi jaringan juga mempengaruhi keandalan data informasi. Hal ini akan lebih jelas di appendix. Segregation of Incompatible IT Functions

Pemisahan antara suatu fungsi tertentu demi menjaga IC yang baik:  Sys Dev pisahkan dengan Operasional  DBA fisahkan dari unit lain  Sys Dev pisahkan dengan Maintanance (merupakan superior structure) karena adanya resiko:

Inadequate Documentation: Programmer lebih suka mengembangkan sistem baru daripada mendokumentasikan kinerja sistem lama, juga soal job security perlu diperhatikan karena dpat menyusun program yang tidak sempurna biar ada kerjaan terus.  Program Fraud: unauthorized change karena programer faham seluk beluk operasi normal. a. The Distributed Model Small, powerful, and inexpensive systems. DisDataProc (DDP) melibatkan reorganisasi fungsi IT pusat ke IT unit kecil yang ditempatkan di bawah kendali pengguna akhir (End Users). Unit IT dapat didistribusikan menurut fungsi bisnis, lokasi geografis, atau keduanya.  Resikonya mnggunakan model DDP: tidak efisiennya penggunaan sumber daya, perusakan jejak audit, pemisahan tugas kurang memadai, meningkatkan potensi kesalahan pemrograman dan kegagalan sistem serta kurangnya standarisasi.  Keuntungannya termasuk pengurangan biaya, peningkatan kontrol biaya, meningkatkan kepuasan pengguna, dan adanya fleksibilitas dalam backup sistem. b. Controlling the DDP Environment  Central Testing of Commercial Software and Hardware diuji dipusat  User Services-> ada Chat room, FAQ, Intranet support dll  Standard-Setting Body -> untuk improve keseragaman prog and doc  Personnel Review-> ada assesment. 

Audit Objective: Tujuan auditor adalah untuk memastikan bahwa struktur fungsi TI adalah sedemikian rupa sehingga individu di daerah yang tidak kompatibel dipisahkan sesuai dengan tingkat potensi risiko dan dengan suatu cara yang mempromosikan lingkungan kerja yang kondusif. Audit Procedures: Centralized  Tinjau dokumentasi yang relevan, untuk menentukan apakah individu atau kelompok yang melakukan fungsi-fungsi yang tidak kompatibel.  Review catatan pemeliharaan,verifikasi bahwa programmer pemeliharaan tertentu tidakmerangkap programer desain.  Pastikan bahwa operator komputer tidak memiliki akses ke logic sistem dokumentasi, seperti sistem diagram alur, logika diagram alur, dan daftar kode program.  Review akses programer untuk alasan selain kegagalan sistem Distributed  Tinjau bagan organisasi saat ini , pernyataan misi , dan uraian tugas  incompatible duties . • Pastikan bahwa desain sistem ,dokumentasi,hardware dan perangkat lunak hasil akuisisi diterbitkan dan diberikan to unit TI. • Pastikan kontrol kompensasi ->supervisi monitoring

Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]

4

• Dokumentasi sistem aplikasi , prosedur , dan databasesare dirancang dan berfungsi sesuai dengan standar perusahaan . Dalam sistem terdistribusi pemrosesan dan pengamanan data disebar ke berbagai titik, pengamanan menjadi di banyak pintu namun tersebar, resikonya tidak seluruh titik memiliki pengamanan yang sama. Dalam topologi STAR lebih aman karena kalo satu mati yg lain relatif tidak terganggu sedang pada Topologi BUS jika satu titik mati akan menggangu yang lain meskipun secara umum keunggulanya dia lebih cepat dan murah. Sayangnya sistem Bus akan rentan tabrakan data (lebih lengkap di appendix) fokus auditor adalah kepada seringnya sistem down atau kerusakan jaringan maupun software yang mengakibatkan gangguan komunikasi dan pada database, resiko ini berbeda2 dalam masing2 topologi jaringan. The Computer Center a. Physical Location : Antisipasi bencana alam maupun manusia cari lokasi yang aman. b. Construction : kontruksi fasilitas IT-> tunggal, acces terbatas dan filtrasi bagus. c. Access : LIMITED d. Air Conditioning : Adequate untuk menjaga database e. Fire Suppression : Automatic Alarm, Pemadam Api, Exit Door f. Fault Tolerance : Toleransi kesalahan adalah kemampuan sistem untuk melanjutkan operasi ketika bagian dari sistem gagal (masih bisa running kalau ada sesuatu gangguan) karena kegagalan hardware, error program aplikasi, atau kesalahan operator.  Redundant arrays of independent disks (RAID)->data  UPS->Listrik g. Audit Objectives Tujuan auditor adalah untuk mengevaluasi kontrol yang mengatur keamanan pusat komputer . Secara khusus , auditor harus memastikan bahwa : kontrol keamanan fisik yang memadai untuk cukup melindungi organisasi dari eksposur fisik DAN cakupan asuransi pada peralatan memadai untuk mengkompensasi kerusakan pusat komputernya h. Audit Procedures  Tests of Physical Construction. Fisik bangunan server, lokasi dan keamanan terhadap HAZARD EVENT.  Tests of the Fire Detection System.  Tests of Access Control.  Tests of Raid, BU HD  Tests of the Uninterruptible Power Supply.  Tests for Insurance Coverage. Disaster Recovery Planning Dengan perencanaan kontinjensi yang hati-hati, dampak dari bencana dapat diredam dan organisasi dapat pulih dengan cepat. Untuk bertahan hidup dari peristiwa darurat seperti itu, perusahaan harus mengembangkan prosedur pemulihan dan meresmikan mereka ke dalam suatu rencana pemulihan bencana (DRP), suatu skema dalam menghadapi keadaan darurat.Prosesnya adalah sbb: a. Identify Critical Applications->Buat daftar aplikasi yang paling penting

b. Creating a Disaster Recovery Team ->buat Tim..langgar IC boleh c. Providing Second- Site Backup buat lokasi data cadangan (duplikasi)  mutual aid pact->dua atau lebih, join SD IT pas bencana  empty shell or cold site; ->sewa tempat pada penyedia backup  recovery operations center or hot site; ->sewa full equipped backup  internally provided backup->buat sendiri (mirroring di tmpt lain) Audit Objective: The auditor should verify that management’s disaster recovery plan is adequate and feasible for dealing with a catastrophe that could deprive the organization of its computing resources. Audit Procedures memastikan hal2 dibawah ini berfungsi dengan baik  Site Backup…lokasi HW IT dll  Daftar Aplikasi penting oke  Software Backup.  Data dan Dokumentasi Backup.  Backup Supplies dan Source Documents.  Disaster Recovery Team di test Outsourcing the IT Function Outsourcing IT kadangkala meningkatkan kinerja bisnis inti, meningkatkan Kinerja IT (karena keahlian vendor), dan mengurangi biaya TI. Logika yang mendasari outsourcing TI dari teori kompetensi inti, yang berpendapat bahwa organisasi harus fokus secara eksklusif pada kompetensi bisnis intinya saja, sementara outsourcing vendor memungkinkan untuk secara efisien mengelola daerah non-inti seperti fungsi TI (IT dianggap supporting). Premis ini, bagaimanapun, mengabaikan perbedaan penting antara komoditas dan aset TI yang spesifik. Commodity IT assets are not unique to a particular organization and are thus easily acquired in the marketplace sementara Specific IT assets dapat merupakan keunggulan strategis perusahaan. Transaction Cost Economics (TCE) theory is in conflict with the core competency school by suggesting that firms should retain certain specific non–core IT assets inhouse. Jadi disarankan boleh outsource pada SumberDaya IT yang bisa digantikan (SW/HW) atau tidak terlalu kritikal..SD IT yang penting dan unggulan bagi organisasi jangan. a. Risks Inherent to IT Outsourcing  Failure to Perform  Vendor Exploitation  Outsourcing Costs Exceed Benefit  Reduced Security  Loss of Strategic Advantage b. Audit Implications of IT Outsourcing Manajemen boleh saja mengalihdayakan fungsi ITnya namun tidak dapat mengalihkan tanggungjawab manajemen pada penyediaan Pengendalian Intern yang memadai. SAS 70 merupakan standar yang mendefinisikan perlunya auditor mengetahui kontrol jika IT dilaksanakan oleh vendor pihak ketiga. Vendornya sendiri tentu diaudit oleh auditornya

Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]

5

sehingga IT review dilaksanakan satu kali saja supaya praktis dan murah. CHAPTER3 SECURITY PART I: AUDITING OPERATING SYSTEMS AND NETWORKS Auditing Operating Systems OS adalah program pengendali komputer, OS memungkinkan user dan aplikasi berbagi dan mengakses sumberdaya yang sama seperti prosesor, memori, printer dan database. Semakin besar entitas maka sumber daya yang perlu diakses makin besar dan OS menjadi semakin penting. Operating System Objectives OS memiliki tiga fungsi yakni:  Menterjemahkan bahasa tingkat tinggi COBOL C++ dll, menggunakan translatornya -> yakni Compiler dan Interpreters –Ch 5 lbh lengkapnya  Mengalokasikan SD kepada user, grup maupun aplikasi  Mengelola pekerjaan dan banyak program>User/Jobs mengakses komputer melalui 3 cara: Directly, Job Ques dan Links a. Operating System Security Kebijakan, prosedur dan pengendalian yang menentukan siapa yang dapat mengakses OS dan SD IT dan apa saja yang bisa dilakukannya.  Prosedur Log-ON pertahanan pertama, salah brp x blokir misalnya.  Token Akses -> mengandung KeyInfo:user ID, pass,previledge  Acces Control List (daftar kesaktian user)  Discretionary Acces Previledge->Super Admin (Highly Supervised) b. Threats to Operating System Integrity  Previldeged personel menyalahgunakan otoritasnya  Individual di dalam dan di luar entitas yang mencari celah sistem  Individual sengaja atau tidak memasukan virus/bentuk program lain yg merusak c. Operating System Controls and Audit Tests Area-area yang perlu diperiksa adalah acces personil yang mendapat previledge, kontrol password (password sekali pakai dan berulangkali), kontrol virus dan aplikasi berbahaya dan kontrol pada jejak audit. System audit trails (sekumpulan log yang merekam aktivitas sistem, aplikasi, user)-> Detailed Individual Logs dan Event oriented Logs Audit prosedurnya:  Pastikan fitur audit trails diaktifkan,  Cari akses tanpa otorisasi, periode non aktif user, aktifitas user, waktu log in dan out  Log on yang gagal (indikasi salah acces/coba2)  Pantau Acces ke file tertentu yang penting  Monitoring dan reporting pelanggaran keamanan IT Auditing Networks a. Intranet Risks

Terdiri dari LANs dan WANs yang terdiri dari ratusan individual node. Ada beberapa resiko terkait Intranet misalnya Pesan dapat diintersepsi/disadap/dicegat, adanya resiko akses kepada DB entitas, personel yang memiliki previleged, mantan karyawan dll b. Internet Risks Resiko yang terkait dengan internet adalah adanya IP Spoofing (nyamar pake IP orang/palsu), DDOS attack yang membanjiri server sehingga lumpuh baik melalui SYN Flood maupun SMURF (tiga pihak ada perantara) dan Distributed Denial of Service Attack pake orang lain sebagai zombienya. Yang perlu diperhatikan adalah juga motivasi orang menyerang..bisa iseng..dendam atau menguji keandalan sistem. Selain itu resiko juga berkaitan dengan kegagalan peralatan dalam berkomunikasi baik LINE, HW dan SW. c. Controlling Networks  Controlling Risks from Subversive Threats  Menggunakan Firewall (umum)  Pasang IPS dan Deep Packet Inspection cegah serangan DDOS  Pake Enkripsi/sandi dlam pengiriman data  TTD Digital dan Sertifikat Digital  Pake Message Sequence Number dan Transaction Log serta punya Call Back Devices  Audit Objectivenya adalah memastikan bahwa kontrol jaringan dapat mencegah dan mendeteksi akses illegal, mengurangi data yang tidak terpakai dan memadai untuk mempertahankan integritas data  Controlling Risks from Equipment Failure cek aja alatnya baik2 saja..pake echo cek, parity cek dst Auditing Electronic Data Interchange (EDI) EDI merupakan suatu sistem yang memungkinkan mekanisme pertukaran data dan informasi bisnis antar komputer antar entitas dapat diproses oleh komputer secara mandiri dalam suatu bentuk komunikasi dengan format standar. Refer ke cerita american hospital atau EDI DJBC. a. EDI Standards –ANSI, EDIFACT dll b. Benefits of EDI  Data Keying, mengurangi entry data berulang  Error Reduction, ga doble ngetik2, tapi kalo salah satu tapi di awal bisa salah semua sampai akhir.  Mengurangi kertas  Mengurangi biaya kirim dokumen  Prosedur terotomasi..manajer mikirin yg lain saja (MBExcp)  Pengurangan biaya Inventory melalui EOQ/JIT c. Financial EDI –Pake transfer elektronik dalam kirim uang d. EDI Controls (Validasi dan Otorisasi) Karena berkurangya peran manusia maka ada pengendalian yang unik dan berbeda dengan sistem manual utamanya adalah soal otorisasi dan validasi transaksi. Sehingga auditor harus memperhatikan:  ID dan Password serta valid file dalam DB buat pembanding  Cek validasi lagi sebelum pesan dikirim jalan tidak  Aplikasi cek ke file referensi sebelum di proses e. Access Control

Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]

6

Agar berjalan baik sayangya dalam sistem EDI perusahaan harus memberikan sejumlah akses kepada partnernya untuk mengakses DB perusahaan. Sehingga sangat penting untuk memiliki file valid vendor maupun valid customers, juga bisa dibatasi read only saja tidak bisa merubah data. Karena sudah paperless satu2nya audit trails bisa jadi Cuma file LOG saja..keep it safe. Audit Objektif: Semua transaski EDI telah diotorisasi dan divalidasi, tidak ada transaksi tanpa otorisasi yang running, acces hanya kepada data yang diperkenankan dan kontrol yang cukup dalam pengamanan Log file. Auditing PC-Based Accounting Systems Aplikasi software akuntansi->wide range-> low cost product->kadang modular namun terintegrasi-> berbasis PC a. PC Systems Risks and Controls Ada resiko unik terkait Accounting software:  Kelemahan Sistem Operasi dibanding Mainframe Model, PC keamanannya minimal untuk data dan program, memang bawaan PC yang dituntut portabel  Akses Kontrol Lemah program tertentu bisa run tanpa akses HD (boot from CD)  Pemisahan fungsi kurang, satu orang bisa memiliki banyak akses  Multivel password control kasih user pass beda2  Resiko Kemalingan..small, handheld easy to theft.  Prosedur Backup Lemah  Resiko terpapar virus lebih besar Audit obj dan proc menyesuaikan dengan kelemahan2 tersebut. CHAPTER 7 COMPUTER-ASSISTED AUDIT TOOLS AND TECHNIQUES (CAATTs) PENGENDALIAN APLIKASI  prosedur terprogram yang didesain untuk aplikasi tertentu seperti payroll, purchases, cash disbursement system.  Terdiri dari pengendalian input, pengendalian proses, dan pengendalian output PENGENDALIAN INPUT  Untuk meyakinkan bahwa transaksi valid, akurat, dan lengkap.  Source document input: ada campur tangan manusia, banyak clerical errors, beberapa error tidak bisa terdeteksi dan dikoreksi dalam tahap input data sehingga harus dikonfirmasi ke pihak ketiga.  Direct input: menggunakan teknik editing real-time untuk mengidentifikasi dan mengoreksi kesalahan sesegera mungkin, sehingga mengurangi kesalahan yang masuk sistem.  Jenis pengendalian input: 1. Pengendalian dokumen sumber 2. Pengendalian pengkodean data 3. Pengendalian batch 4. Pengendalian validasi 5. Perbaikan kesalahan input 6. GDIS (Generalized Data Input System)

Pengendalian dokumen sumber:  Menggunakan dokumen sumber yang diberi nomor terlebih dahulu  Menggunakan dokumen sumber secara berurutan  Mengaudit dokumen sumber secara berkala Pengendalian pengkodean data:  3 jenis kesalahan yang dapat merusak data: 1. Kesalahan transkripsi: a. Kesalahan penambahan b. Kesalahan pengurangan c. Kesalahan subtitusi 2. Kesalahan transposisi tunggal 3. Kesalahan transposisi jamak  Angka pemeriksa Pengendalian batch:  Tujuan: merekonsiliasi output yang dihasilkan oleh sistem dengan input yang dimasukkan ke dalam sistem terkait  Tidak efektif dalam mengelola volume data transaksi yang besar dalam system  Memberikan kepastian bahwa semua record dalam batch diproses, tidak ada record yang diproses lebih dari sekali, dan adanya jejak audit transaksi mulai dari tahap input, pemrosesan sampai output.  Hash total Pengendalian validasi:  Tujuan: mendeteksi berbagai kesalahan dalam data transaksi sebelum data tersebut diproses  3 level pengendalian validasi input: 1. Field interrogation a. Pemeriksaan datayang hilang b. Pemeriksaan data numeric-alfabetis c. Pemeriksaan nilai nol d. Pemeriksaan batas e. Pemeriksaan kisaran f. Pemeriksaan validasi 2. Record interrogation a. Pemeriksaan kewajaran b. Pemeriksaan tanda c. Pemeriksaan urutan 3. File iterogation a. Pemeriksaan label internal b. Pemeriksaan versi c. Pemeriksaan tanggal kadaluwarsa Perbaikan kesalahan input:  Teknik umum untuk memperbaiki kesalahan: 1. Memperbaiki segera 2. Membuat file kesalahan 3. Menolak keseluruhan batch GDIS:  Meliputi berbagai prosedur terpusat yang mengelola input data untuk semua system pemrosesan transaksi di perusahaan  Kelebihan: 1. Memperbaiki pengendalian dengan membuat sebuah system yang sama untuk melakukan semua validasi data

Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]

7

2. Memastikan bahwa tiap aplikasi SIA menggunakan standar secara konsisten untuk validasi data 3. Memperbaiki efisiensi pengembangan sistem  5 Komponen utama GDIS: 1. Generalized Validation Module (GVM) 2. Validated data file 3. Error file 4. Error report 5. Transaction log PENGENDALIAN PROSES 1. Pengendalian “Run-to-Run”  Untuk meyakinkan bahwa perpindahan batch dari satu program ke program lainnya dilakukan dengan benar dan lengkap.  Kegunaan: Recalculate Control Totals, Transaction Codes, Sequence Checks  Penggunaan secara spesifik meliputi: a. Perhitungan ulang total pengendali b. Kode transaksi c. Pemeriksaan urutan 2. Pengendalian intervensi operator  Memasukkan total pengendali, memasukkan nilai parameter  Sistem yang membatasi intervensi operator lebih sedikit kemungkinan menimbulkan kesalahan pemrosesan 3. Pengendalian Audit Trails  Dalam sistem akuntansi, setiap transaksi harus bias ditelusuri dari sumber hingga laporan keuangan.  Contoh teknik yang digunakan untuk mempertahankan audit trail: a. Transaction Logs: setiap transaksi yang diproses disimpan dalam transaction log yang disajikan dalam JURNAL. Alasan dibuat: transc log adalah permanent record dari transaksi, dan tidak semua record yang divalidasi berhasil diproses. b. Log of Automatic Transactions: beberapa transaksi diproses secara internal oleh system (Ex: ketika inventory menyentuh titik bawah, system akan otomatis membuat purchase order). c. Listing of Automatic Transactions: untuk pengendalian atas transaksi otomatis oleh system, user harus menerima daftarnya. d. Unique Transaction Identifiers: setiap transaksi yang diproses harus diidentifikasi secara unik dengan nomor transaksi. e. Error Listing: daftar record yang salah harus diserahkan kepada user yang berhak untuk koreksi error.

a. Mengendalikan Output Sistem Batch b. Mengendalikan Output Sistem Real Time Mengendalikan output sistem batch  Output Spooling  Program pencetakan  Pemilahan  Sampah  Pengendali data  Distribusi laporan  Pengendalian pengguna akhir MENGUJI BERBAGAI PENGENDALIAN APLIKASI KOMPUTER 1. Pendekatan Black Box (Kotak Hitam)  Audit di sekitar komputer 2. Pendekatan White Box (Kotak Putih)  Audit melalui computer  Jenis pengendalian yang umumnya ditentukan: a. Uji autentikasi b. Uji akurasi c. Uji kelengkapan d. Uji redundansi e. Uji akses f. Uji audit trails g. Uji kesalahan pembulatan (Rounding error test) CAATT UNTUK MENGUJI PENGENDALIAN 1. Test Data Method 2. Base Case System Evaluation (BCSE) 3. Tracing 4. Iintegrated Test Facility (ITF) 5. Paralel Simulation

PENGENDALIAN OUTPUT  Untuk meyakinkan bahwa output dari sistem tidak hilang, misdirected, rusak, atau privasi terganggu  Jika hal tsb terjadi, akan mengakibatkan gangguan dalam operasi dan kerugian finansial bagi perusahaan.  Metode pengendalian output:

Diana Setiawati/ 8A Reguler/ 10 [Resume Audit Sistem Informasi-James Hall ]

8

More Documents from "Arina Galih Sulistyarini"