resume audit sistem informasi
DESCRIPTION
resume audit sistem informasiTRANSCRIPT
INTRO
Audit adalah suatu proses pengumpulan dan pengevaluasian bukti informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang kompeten dan independen untuk dapat menentukan dan melaporkan derajat kesesuaian informasi dengan kriteria-kriteria yang telah ditetapkan serta mengkomunikasikan hasilnya kepada para pemakai yang berkepentingan.Perbedaan antara Audit Tradisional dengan Audit SI diantaranya sbb: Teknik audit -> menggunakan program khusus atau TABK Proses Audit -> Tidak sekuensial (DB->Modul2 Software Akuntansi) Pemahaman IC, audit IT menekankan kepada application control Keahlian tentang auditing dan akuntansi + keahlian tentang computerJika berbicara mengenai Audit IT (ASI) maka ada dua sudut pandang yaitu: Audit atas tata kelola IT itu sendiri dan Audit IT yang dilakukan dalam rangka Audit Keuangan (kesesuaian dengan SAK) -> yakni berkaitan dengan Teknik Audit Berbantuan Komputer dalam menilai pengendalian internal dalam memahami General dan khususnya Apllication Control, serta pengujian subtantif dalam ranah IT dengan database sistem akuntansi. The most important computer assisted audit techniques are: Test data, Integrated test facility, Parallel simulation, and On-line audit monitor.Simulasi sejajar(parallel simulation)adalah suatu teknik audit yang membandingkan pengolahan data yang dilakukan oleh dua program dengan tujuan untuk memperoleh keyakinan bahwa kedua program tersebut menghasilkan keluaran yang sama (identik). Teknik pemrosesan secara paralel dilaksanakan dengan clients data, auditors software. Maksudnya adalah pelaksanaan pemeriksaan dilakukan terhadap data sesungguhnya (data audit yang di-copy) dan diproses dengan software atau bahkan komputernya auditor. Trace-Forward from Source Document to Records-untuk cek asersi "Completeness" Vouch -Backward (From Records to Source Document)-cek assersi "Existence"
AUDITING AND INTERNAL CONTROL
A. Overview of Auditing a. External (Financial) Audits Suatu jasa (attestation/pengesahan) yang dilakukan oleh seorang ahli (auditor) yang kemudian memberikan suatu pendapat terhadap penyajian laporan keuangan. Biasanya dilakukan oleh CPA yang independen dari perusahaan yang di audit. CPA dalam hal ini mewakili kepentingan pihak eksternal seperti pemegang saham, kreditor, pemerintah dan masyarakat umum. Konsep penting dalam audit finansial adalah INDEPENDENSI. b. Attest Service versus Advisory ServicesBelakangan muncul suatu jasa yang diberikan auditor eksternal kepada perusahaan yakni advisory service. Untuk Jasa attestasi memerlukan beberapa persyaratan sbb : Adanya asersi tertulis (L/K) dan praktisi menulis laporan (LHP) Adanya kriteria pengukuran yang formal atau deskripsi dalam penyajiannya Terbatas pada pemeriksaan, review dan aplikasi yang telah disetujui prosedurnya
Sementara Advisory Service adalah jasa profesional oleh KAP untuk meningkatkan efektifitas dan efisiensi operasional perusahaan klien. Jasa tersebut meliputi misalnya saran aktuaria, saran bisnis, jasa penyelidikan kecurangan, design sistem informasi dan assesment terhadap pengendalian intern. Pada masa sebelom SOX jasa semacam ini diperbolehkan dilakukan sejalan dengan jasa audit, Saat ini hal tersebut tidak diperkenankan dan merupakan pelanggaran hukum. (US Law)c. Internal AuditsFungsi penilaian independen dalam suato organisasi untuk memeriksa dan mengevaluasi aktivitas sebagai suatu jasa bagi organisasi. Auditor internal melakukan berbagai aktivitas seperti pemerikasaan LK pemeriksaaan kesesuaian aktivitas dengan kebijakan perusahaan, evaluasi efisiensi operasional dan mendeteksi serta mencari kecurangan dalam perusahaan. Audit internal dapat pula dilakukan dari pihak luar organisasi. Auditor biasanya bertanggungjawab kepada komite audit. Gelarnya CISA/CIAd. External versus Internal AuditorsPerbedaan utamanya adalah kepada siapa auditor bertanggungjawab, auditor eksternal mewakili (merepresentasikan) pihak eksternal perusahaan sedang internal auditor mewakili kepentingan perusahaan. Dalam pelaksanaanya dapat bekerjasama, misal tes pengendalian intern dilakukan oleh internl auditor disupervisi oleh auditor eksternal. Dalam hal auditor internal tidak memiliki independensi kerjasama audit tidak diperkenankan standar. e. Fraud AuditsKecurangan sayangnya meningkat karena perilaku manajemen dan karyawan. Audit semacam ini dilakukan guna mencari bukti-buti yang dapat mengarah kepada tuntutan hukum. Dapat dilakukan atas permintaan perusahaan, dan dilakukan oleh seorang bersertifikat CFE.B. The Role of the Audit CommitteeSebelum SOX Law auditor dihire oleh Manajemen perusahaan, sekarang bertanggung jawabnya kepada Audit Committee yang salah seorang anggotanya memiliki Financial Expertise guna fungsi chek n balance.C. Financial Audit Components a. Auditing Standards
b. A Systematic ProcessSebuah kerangka kerja logis akan membantu auditor mengidentifikasi proses dan data penting. Dalam audit IT pengujian fisik yang dapat diverifikasi secara visual lebih sedikit sehingga akan lebih kompleks.c. Management Assertions and Audit Objectives L/K merupakan refleksi asersi manajemen tentang kesehatan keuangan entitas yang terdiri dari: Existance and Occurance (Nyata dan Terjadi) Completeness (Lengkap) Right and Obligations (Dimiliki and Kewajiban) Valluation and Allocation (sesuai dengan aturannya) Presentation and Disclosure (klasifikasi dan pengungkapan cukup)Auditor harus menentukan apakah L/K disajikan secara wajar sehingga procedure pengujian diarahkan untuk membuktikan kesesuaian asersi manajemen ini dengan standarnya.d. Obtaining Evidence Auditor mencari bukti guna dicocokan dengan asersi manajemen, dalam lingkup IT termasuk menilai kehandalan IT dan isi DB itu sendiri. Test Control dilanjutkan Subtantive Teste. Ascertaining Materiality Sepenuhnya merupakan Auditor judgment..dalam lingkup IT lebih complicated mengingat struktur IC juga lebih rumit.f. Communicating ResultsAudit report disampaikan kepada pihak yang berminat dan melapor kepada komite audit/pemegang saham dalam laporan didalamnya termasuk membuat opini audit.D. Audit Risk Resiko audit adalah probabilitas bahwa auditor akan memberikan status WTP yang pada kenyataanya secara material L/K tersebut salah saji. Acceptable Audit Risk (AR) terdiri dari:a. Inherent Risk adalah resiko audit yang merupakan karateristik unit bawaaan dari bisnis atau industri dari klien itu sendiri (ada juga yang bilang resiko level akun sebelum memperhatikan efektifitas pengendalian intern). Cannot reduce by Auditor. Control Risk disisi lain adalah adanya cacat pada ketiadaan atau ketidakcukupan SPI dalam mencegah error.b. Detection Risk adalah resiko yang dapat diterima auditor bahwa error yang gagal dicegah oleh pengendalian gagal juga dideteksi auditor. Subtantif tes akan semakin besar/dalam dilakukan ketika DR lebih kecil..auditor lebih konservatif/lebih hati2.c. Audit Risk Model AR=IRxCRxDR d. The Relationship Between Tests of Controls and Substantive Tests ..jika hasil uji awal menunjukkan hasil IC memiliki kelemahan/kekurangan maka berarti subtantive test akan lebih luas, sampel lebih banyak dan dalam. IC makin reliable, CR makin rendah, DR makin diturunkan,dan akhirnya Subtantif test akan semakin sedikit dan sempit. Jadi buat Mgt buatlah strong IC.E. The IT Audit a. The Structure of an IT Audit Audit Planning, pemahaman terhadap bisnis klien. Bisa melalui pengamatan, wawancara, review dokumentasi temukan kontrol yang beresiko. Test of Controls adalah phase penentuan apakah internal kontrol berfungsi dengan baik untuk dinilai kualitasnya karena akan menentukan fase berikutnya. Subtantive Testing Detail inspeksi pada akun-akun saldo dan transaksi, sebagian berupa pekerjaan fisik. Dalam lingkungan IT dibutuhkan bantuan pengolah data berupa CAATTs. Secara umum proses audit adalah sbb:
F. Internal Control COSO: IC adalah suatu proses, dipengaruhi oleh Dewan Direksi, Manajemen dan Personel lain, yang didesain untuk memberikan keyakinan yang memadai bahwa tujuan-tujuan berikut dapat tercapai : Efektifitas dan Efisiensi Operasi Reliabilitas Laporan Kepatuhan terhadap peraturan perundang-undangana. Brief History of Internal Control Legislation SEC Acts of 1933 and 1934, market crash->melarang frauds Copyright Law1976 Software Violations, Piracy IT Foreign Corrupt Practices Act (FCPA) of 1977 Record n IC Sarbanes-Oxley Act of 2002 enron, IC, COSOb. Internal Control Objectives, Principles, and Models Tujuan dari SPI: Menjaga aset perusahaan Memastikan accuracy dan reliabilitas catatan dan informasi Memprakarsai effisiensi operasi perusahaan Mengukur kepatuhan thd kebijakan yang telah ditetapkanc. Modifying Principles SPI merupakan tanggungjawab Mgt, bahkan kewajiban hukum Bentuk pemrosesan data apapun harus mendukung 4 tujuan Setiap sistem memiliki keterbatasan yang disebabkan oleh: Errors->No perfect sustem KKN personil Mgt mengabaikan control Kondisi dinamis dalam industri SPI harus memberikan jaminan yang memadai (Cost < Benefit)d. The PDC Model Preventive Controls merupakan kontrol pasif di design mengurangi frekuensi kejadian tidak diinginkan.cthnya pembatasan karakter entry misalnya. Detective Controls, alat atau teknik dan prosedur yang didesain mengidentifikasi dan mengekspos error yang lolos PC. Ada proses matching dan warning disitu, sistem mengkalkulasi atau mencocokan jika tidak sesuai uncul warning,pop up. Corective Controls melakukan koreksi jika ditemukan errors,hati2 terhadap otomatisasi perbaikan,bisa menyebabkan masalah baruingat MYOB pas entry akun unbalance dia otomatis perbaiki sesuai standarya sendiri..e. COSO Internal Control Framework Lingkungan Pengendalian, merupakan pondasi dari empat unsur lainnya. Elemennya: integritas, etika, value, struktur organisasi, partisipasi BoOfDir, filosopi, pemeriksaan pihak lain, HR policies dstSAS 109 mensyaratkan Auditor: memiliki pengetahuan yang cukup terhadap Manajemen khususnya tentang Integritasnya. Penilaian Resiko: identifikasi, analisa dan mengelola resiko yang relevan dengan pelaporan keuangan. Beberapa hal yang dapat menjadi resiko: perubahan dalam bisnis, personel baru, sistem baru, realokasi SD, adopsi standar baru dst. Informasi dan Komunikasi: kualitas SIM, Proses susun L/K Monitoring: Assesment SPI, Special modul di IT ,Laporan Manajerial Aktivitas PengendalianAktivitas pengendalian adalah kebijakan dan prosedur yang digunakan untuk memastikan bahwa tindakan yang tepat diambil untuk menghadapi risiko organisasi yang dapat diidentifikasi. Secara umum dapat diklasifikasikan sbb: Pengendalian Fisik (Manusia dalam Acc Sytem) Verifikasi Independen dan Otorisasi Transaksi Pemisahan Fungsi (Ruhnya IC), hakikatnya adalah mekanisme check and balance, saling kontrol sehingga untuk berbuat jahat perlu lebih banyak orang-> gagal oleh kolusi. Otorisasi vs Proses Transaksi Asset Custody vs Record Keeping Jika mau curangpun perlu minimal 2 orang. Supervisi , kompensasi dari kurangya pemisahan fungsi Catatan Akuntansi (Dokumen sumber, jurnal, ledger).. catatan dalam akuntansi ini mengandung jejak audit yang perlu dijaga (preserve) dalam rangka aktifitas operasional (routine dan monitoring transasksi dengan pelanggan/suplier) dan mengamankan audit trails. Audit Trails also called audit log is a security-relevant chronological record, set of records, and/or destination and source of records that provide documentary evidence of the sequence of activities that have affected at any time a specific operation, procedure, or event Merupakan jejak, utamanya dalam catatan kronologis akuntansi, yang dapat digunakan untuk menentukan apakah suatu peristiwa terjadi atau tidak terjadi yang dapat digunakan sebagai alat penelusuran dalam proses audit..misal paraf dalam dokumen, log acces editing data, nomor PO, nomor cek,no bukti,no jurnal dll yang bisa digunakan menelusur suatu informasi dari awal (source) sampai ke L/K. Kontrol Akses (Authorized Personel Only to acces asset/IT) Pengendalian IT Pengendalian Umum adalah pengendalian yang sifatnya membatasi akses dan mengamankan aplikasi dari yang tidak berhak mengakses, misal berbentuk kunci, password termasuk controls over IT governance, IT infrastructure, security and access kepada sistem operasi dan DB, application acquisition and development and prosedur perubahan program dll. Pengendalian Aplikasi merupakan pengendalian intern yang memastikan aplikasi spesifik dapat melakukan fungsinya dengan baik dan mengurangi terpaparnya aplikasi dari resiko potensial. Pengendalianya berupa cek digit, format yang memastikan validitas, kelengkapan dan akurasi transaksi bentuknya bisa cek digit, echo check, limit cek yang bertujuan untuk memastikan validitas, kelengkapan dan akurasi transaski dalam L/K. lebih lengkap di ch 7. Add:Terdapat dua pandangan mengenai Pengendalian Umum dan Pengendalian Aplikasi. Pendapat pertama menyatakan bahwa pengendalian umum dan aplikasi terpisah (GC merupakan pengendalian fisik (kunci, kartu) sedang AC pure aplikas. Pendapat kedua menyatakan bahwa GC dan AC merupakan bentuk pengendalian yang bersinggungan, karena pada dasarnya keduanya dilakukan oleh aplikasi, general controls pada dasarnya merupakan pengendalian yang selayaknya (pantas2nya) ada pada suatu sistem (mis Password), contoh pada mesin ATM. (Cek ch 7, IC pondasinya ASI)f. Audit Implications of SOX ActPemeriksaan SPI wajib, memperbesar mandat Eksternal Auditor agar mampu mendeteksi fraud dan menaruh perhatian besar pada SPI dalam mencegah fraud. Computer Fraud juga perlu diperhatikan karena relatif baru dan belum kuat proses hukumnya (UU ITE). Gunakan pendekatan berbasis resiko, karena masing-masing organisasi berbeda karakternya.
AUDITING IT GOVERNANCE CONTROLS
A. Information Technology Governance Tujuan utama dari tata kelola TI adalah untuk : mengurangi risiko memastikan bahwa investasi dalam sumber daya TI menambah nilai bagi perusahaan. Sebelum SOX Act, praktek umum mengenai investasi pada TI adalah menyerahkan semua keputusan kepada profesional TI. Sekarang semua elemen organisasi dituntut aktif berpartisipasi dalam perencanaan s.d pengembangan TI.a. IT Governance Controls Based on SOX dan COSO ada 3 isu tata kelola IT: Organizational structure of the IT function Computer center operations Disaster recovery planningB. Structure of the Information Technologya. Centralized Data Processing Berdasarkan model pengolahan data terpusat, semua pemrosesan data dilakukan oleh satu atau lebih komputer yang lebih besar bertempat di situs pusat yang melayani pengguna di seluruh organisasi. DBA: Central Location, Shared. DBA n teamnya responsible pada keamanan dan integritas database. Pemrosesan Data mengelola SDIT terdiri dari: Konversi Data: HardCopy to SoftCopy (inputable to computer) Operasi Komputer: memproses hasil konversi melalui suatu aplikasi Data Library: Storage offline data-> Real Time data Procesing dan direct acces mengurangi peran DL Sys Dev and Maintenis: Analisis kebutuhan, partisipasi dalam desain sistem baru (Profesional, End Users dan Stakeholder). Menjaga sistem beroperasi sesuai kebutuhan, 80-90% cost dalam IT biasanya ada pada maintanance (tidak hanya soal merawat/membersihkan HW namun lebih kepada tambal sulam SI.Masalah control yang harus diperhatikan dalam proses data tersentralisasi adalah pengamanan DB. Karena jika accesnya lemah maka seluruh informasi dapat terpapar resiko, bentuk topologi jaringan juga mempengaruhi keandalan data informasi. Hal ini akan lebih jelas di appendix.b. Segregation of Incompatible IT Functions
Pemisahan antara suatu fungsi tertentu demi menjaga IC yang baik: Sys Dev pisahkan dengan Operasional DBA fisahkan dari unit lain Sys Dev pisahkan dengan Maintanance (merupakan superior structure) karena adanya resiko: Inadequate Documentation: Programmer lebih suka mengembangkan sistem baru daripada mendokumentasikan kinerja sistem lama, juga soal job security perlu diperhatikan karena dpat menyusun program yang tidak sempurna biar ada kerjaan terus. Program Fraud: unauthorized change karena programer faham seluk beluk operasi normal.c. The Distributed Model Small, powerful, and inexpensive systems. DisDataProc (DDP) melibatkan reorganisasi fungsi IT pusat ke IT unit kecil yang ditempatkan di bawah kendali pengguna akhir (End Users). Unit IT dapat didistribusikan menurut fungsi bisnis, lokasi geografis, atau keduanya. Resikonya mnggunakan model DDP: tidak efisiennya penggunaan sumber daya, perusakan jejak audit, pemisahan tugas kurang memadai, meningkatkan potensi kesalahan pemrograman dan kegagalan sistem serta kurangnya standarisasi. Keuntungannya termasuk pengurangan biaya, peningkatan kontrol biaya, meningkatkan kepuasan pengguna, dan adanya fleksibilitas dalam backup sistem.d. Controlling the DDP Environment Central Testing of Commercial Software and Hardware diuji dipusat User Services-> ada Chat room, FAQ, Intranet support dll Standard-Setting Body -> untuk improve keseragaman prog and doc Personnel Review-> ada assesment.Audit Objective: Tujuan auditor adalah untuk memastikan bahwa struktur fungsi TI adalah sedemikian rupa sehingga individu di daerah yang tidak kompatibel dipisahkan sesuai dengan tingkat potensi risiko dan dengan suatu cara yang mempromosikan lingkungan kerja yang kondusif.Audit Procedures:Centralized Tinjau dokumentasi yang relevan, untuk menentukan apakah individu atau kelompok yang melakukan fungsi-fungsi yang tidak kompatibel. Review catatan pemeliharaan,verifikasi bahwa programmer pemeliharaan tertentu tidakmerangkap programer desain. Pastikan bahwa operator komputer tidak memiliki akses ke logic sistem dokumentasi, seperti sistem diagram alur, logika diagram alur, dan daftar kode program. Review akses programer untuk alasan selain kegagalan sistemDistributed Tinjau bagan organisasi saat ini , pernyataan misi , dan uraian tugas incompatible duties . Pastikan bahwa desain sistem ,dokumentasi,hardware dan perangkat lunak hasil akuisisi diterbitkan dan diberikan to unit TI. Pastikan kontrol kompensasi ->supervisi monitoring Dokumentasi sistem aplikasi , prosedur , dan databasesare dirancang dan berfungsi sesuai dengan standar perusahaan .Dalam sistem terdistribusi pemrosesan dan pengamanan data disebar ke berbagai titik, pengamanan menjadi di banyak pintu namun tersebar, resikonya tidak seluruh titik memiliki pengamanan yang sama. Dalam topologi STAR lebih aman karena kalo satu mati yg lain relatif tidak terganggu sedang pada Topologi BUS jika satu titik mati akan menggangu yang lain meskipun secara umum keunggulanya dia lebih cepat dan murah. Sayangnya sistem Bus akan rentan tabrakan data (lebih lengkap di appendix) fokus auditor adalah kepada seringnya sistem down atau kerusakan jaringan maupun software yang mengakibatkan gangguan komunikasi dan pada database, resiko ini berbeda2 dalam masing2 topologi jaringan. C. The Computer Center a. Physical Location : Antisipasi bencana alam maupun manusia cari lokasi yang aman.b. Construction : kontruksi fasilitas IT-> tunggal, acces terbatas dan filtrasi bagus.c. Access : LIMITEDd. Air Conditioning : Adequate untuk menjaga databasee. Fire Suppression : Automatic Alarm, Pemadam Api, Exit Doorf. Fault Tolerance : Toleransi kesalahan adalah kemampuan sistem untuk melanjutkan operasi ketika bagian dari sistem gagal (masih bisa running kalau ada sesuatu gangguan) karena kegagalan hardware, error program aplikasi, atau kesalahan operator. Redundant arrays of independent disks (RAID)->data UPS->Listrikg. Audit Objectives Tujuan auditor adalah untuk mengevaluasi kontrol yang mengatur keamanan pusat komputer . Secara khusus , auditor harus memastikan bahwa : kontrol keamanan fisik yang memadai untuk cukup melindungi organisasi dari eksposur fisik DAN cakupan asuransi pada peralatan memadai untuk mengkompensasi kerusakan pusat komputernyah. Audit Procedures Tests of Physical Construction. Fisik bangunan server, lokasi dan keamanan terhadap HAZARD EVENT. Tests of the Fire Detection System. Tests of Access Control. Tests of Raid, BU HD Tests of the Uninterruptible Power Supply. Tests for Insurance Coverage.D. Disaster Recovery Planning Dengan perencanaan kontinjensi yang hati-hati, dampak dari bencana dapat diredam dan organisasi dapat pulih dengan cepat. Untuk bertahan hidup dari peristiwa darurat seperti itu, perusahaan harus mengembangkan prosedur pemulihan dan meresmikan mereka ke dalam suatu rencana pemulihan bencana (DRP), suatu skema dalam menghadapi keadaan darurat.Prosesnya adalah sbb:a. Identify Critical Applications->Buat daftar aplikasi yang paling pentingb. Creating a Disaster Recovery Team ->buat Tim..langgar IC bolehc. Providing Second- Site Backup buat lokasi data cadangan (duplikasi) mutual aid pact->dua atau lebih, join SD IT pas bencana empty shell or cold site; ->sewa tempat pada penyedia backup recovery operations center or hot site; ->sewa full equipped backup internally provided backup->buat sendiri (mirroring di tmpt lain)Audit Objective: The auditor should verify that managements disaster recovery plan is adequate and feasible for dealing with a catastrophe that could deprive the organization of its computing resources. Audit Procedures memastikan hal2 dibawah ini berfungsi dengan baik Site Backuplokasi HW IT dll Daftar Aplikasi penting oke Software Backup. Data dan Dokumentasi Backup. Backup Supplies dan Source Documents. Disaster Recovery Team di testE. Outsourcing the IT Function Outsourcing IT kadangkala meningkatkan kinerja bisnis inti, meningkatkan Kinerja IT (karena keahlian vendor), dan mengurangi biaya TI. Logika yang mendasari outsourcing TI dari teori kompetensi inti, yang berpendapat bahwa organisasi harus fokus secara eksklusif pada kompetensi bisnis intinya saja, sementara outsourcing vendor memungkinkan untuk secara efisien mengelola daerah non-inti seperti fungsi TI (IT dianggap supporting). Premis ini, bagaimanapun, mengabaikan perbedaan penting antara komoditas dan aset TI yang spesifik. Commodity IT assets are not unique to a particular organization and are thus easily acquired in the marketplace sementara Specific IT assets dapat merupakan keunggulan strategis perusahaan. Transaction Cost Economics (TCE) theory is in conflict with the core competency school by suggesting that firms should retain certain specific noncore IT assets inhouse. Jadi disarankan boleh outsource pada SumberDaya IT yang bisa digantikan (SW/HW) atau tidak terlalu kritikal..SD IT yang penting dan unggulan bagi organisasi jangan.a. Risks Inherent to IT Outsourcing Failure to Perform Vendor Exploitation Outsourcing Costs Exceed Benefit Reduced Security Loss of Strategic Advantageb. Audit Implications of IT Outsourcing Manajemen boleh saja mengalihdayakan fungsi ITnya namun tidak dapat mengalihkan tanggungjawab manajemen pada penyediaan Pengendalian Intern yang memadai. SAS 70 merupakan standar yang mendefinisikan perlunya auditor mengetahui kontrol jika IT dilaksanakan oleh vendor pihak ketiga. Vendornya sendiri tentu diaudit oleh auditornya sehingga IT review dilaksanakan satu kali saja supaya praktis dan murah.
SECURITY PART I: AUDITING OPERATING SYSTEMS AND NETWORKS
A. Auditing Operating Systems OS adalah program pengendali komputer, OS memungkinkan user dan aplikasi berbagi dan mengakses sumberdaya yang sama seperti prosesor, memori, printer dan database. Semakin besar entitas maka sumber daya yang perlu diakses makin besar dan OS menjadi semakin penting.a. Operating System Objectives OS memiliki tiga fungsi yakni: Menterjemahkan bahasa tingkat tinggi COBOL C++ dll, menggunakan translatornya -> yakni Compiler dan Interpreters Ch 5 lbh lengkapnya Mengalokasikan SD kepada user, grup maupun aplikasi Mengelola pekerjaan dan banyak program->User/Jobs mengakses komputer melalui 3 cara: Directly, Job Ques dan Linksb. Operating System Security Kebijakan, prosedur dan pengendalian yang menentukan siapa yang dapat mengakses OS dan SD IT dan apa saja yang bisa dilakukannya. Prosedur Log-ON pertahanan pertama, salah brp x blokir misalnya. Token Akses -> mengandung KeyInfo:user ID, pass,previledge Acces Control List (daftar kesaktian user) Discretionary Acces Previledge->Super Admin (Highly Supervised)c. Threats to Operating System Integrity Previldeged personel menyalahgunakan otoritasnya Individual di dalam dan di luar entitas yang mencari celah sistem Individual sengaja atau tidak memasukan virus/bentuk program lain yg merusakd. Operating System Controls and Audit Tests Area-area yang perlu diperiksa adalah acces personil yang mendapat previledge, kontrol password (password sekali pakai dan berulangkali), kontrol virus dan aplikasi berbahaya dan kontrol pada jejak audit.System audit trails (sekumpulan log yang merekam aktivitas sistem, aplikasi, user)-> Detailed Individual Logs dan Event oriented LogsAudit prosedurnya: Pastikan fitur audit trails diaktifkan, Cari akses tanpa otorisasi, periode non aktif user, aktifitas user, waktu log in dan out Log on yang gagal (indikasi salah acces/coba2) Pantau Acces ke file tertentu yang penting Monitoring dan reporting pelanggaran keamanan ITB. Auditing Networks a. Intranet Risks Terdiri dari LANs dan WANs yang terdiri dari ratusan individual node. Ada beberapa resiko terkait Intranet misalnya Pesan dapat diintersepsi/disadap/dicegat, adanya resiko akses kepada DB entitas, personel yang memiliki previleged, mantan karyawan dllb. Internet Risks Resiko yang terkait dengan internet adalah adanya IP Spoofing (nyamar pake IP orang/palsu), DDOS attack yang membanjiri server sehingga lumpuh baik melalui SYN Flood maupun SMURF (tiga pihak ada perantara) dan Distributed Denial of Service Attack pake orang lain sebagai zombienya. Yang perlu diperhatikan adalah juga motivasi orang menyerang..bisa iseng..dendam atau menguji keandalan sistem. Selain itu resiko juga berkaitan dengan kegagalan peralatan dalam berkomunikasi baik LINE, HW dan SW.c. Controlling Networks Controlling Risks from Subversive Threats Menggunakan Firewall (umum) Pasang IPS dan Deep Packet Inspection cegah serangan DDOS Pake Enkripsi/sandi dlam pengiriman data TTD Digital dan Sertifikat Digital Pake Message Sequence Number dan Transaction Log serta punya Call Back Devices Audit Objectivenya adalah memastikan bahwa kontrol jaringan dapat mencegah dan mendeteksi akses illegal, mengurangi data yang tidak terpakai dan memadai untuk mempertahankan integritas data Controlling Risks from Equipment Failure cek aja alatnya baik2 saja..pake echo cek, parity cek dst C. Auditing Electronic Data Interchange (EDI) EDI merupakan suatu sistem yang memungkinkan mekanisme pertukaran data dan informasi bisnis antar komputer antar entitas dapat diproses oleh komputer secara mandiri dalam suatu bentuk komunikasi dengan format standar. Refer ke cerita american hospital atau EDI DJBC.a. EDI Standards ANSI, EDIFACT dllb. Benefits of EDI Data Keying, mengurangi entry data berulang Error Reduction, ga doble ngetik2, tapi kalo salah satu tapi di awal bisa salah semua sampai akhir. Mengurangi kertas Mengurangi biaya kirim dokumen Prosedur terotomasi..manajer mikirin yg lain saja (MBExcp) Pengurangan biaya Inventory melalui EOQ/JITc. Financial EDI Pake transfer elektronik dalam kirim uangd. EDI Controls (Validasi dan Otorisasi)Karena berkurangya peran manusia maka ada pengendalian yang unik dan berbeda dengan sistem manual utamanya adalah soal otorisasi dan validasi transaksi. Sehingga auditor harus memperhatikan: ID dan Password serta valid file dalam DB buat pembanding Cek validasi lagi sebelum pesan dikirim jalan tidak Aplikasi cek ke file referensi sebelum di prosese. Access Control Agar berjalan baik sayangya dalam sistem EDI perusahaan harus memberikan sejumlah akses kepada partnernya untuk mengakses DB perusahaan. Sehingga sangat penting untuk memiliki file valid vendor maupun valid customers, juga bisa dibatasi read only saja tidak bisa merubah data. Karena sudah paperless satu2nya audit trails bisa jadi Cuma file LOG saja..keep it safe.Audit Objektif: Semua transaski EDI telah diotorisasi dan divalidasi, tidak ada transaksi tanpa otorisasi yang running, acces hanya kepada data yang diperkenankan dan kontrol yang cukup dalam pengamanan Log file.Lebih lengkap lagi dapat merefer ke buku SIM McLeod..hal 49-62D. Auditing PC-Based Accounting Systems Aplikasi software akuntansi->wide range-> low cost product->kadang modular namun terintegrasi-> berbasis PCa. PC Systems Risks and Controls Ada resiko unik terkait Accounting software: Kelemahan Sistem Operasi dibanding Mainframe Model, PC keamanannya minimal untuk data dan program, memang bawaan PC yang dituntut portabel Akses Kontrol Lemah program tertentu bisa run tanpa akses HD (boot from CD) Pemisahan fungsi kurang, satu orang bisa memiliki banyak akses Multivel password control kasih user pass beda2 Resiko Kemalingan..small, handheld easy to theft. Prosedur Backup Lemah Resiko terpapar virus lebih besarAudit obj dan proc menyesuaikan dengan kelemahan2 tersebut.
APPENDIX CH 3TOPOLOGI JARINGANTJ adalah pengaturan fisik dari komponen jaringan (node, server, comlink,dll). Beberapa pengertian penting adalah sbb: LAN-> Konfigurasi jaringan dalam satu gedung hingga beberapa mil dan menghubungkan ratusan user, komputer yang terhubung ke LAN dinamakan Nodes. Ketika jaringan melampai kemampuan geografis LAN dia berubah menjadi WAN. Nodes dalam WAN termasuk komputer workstations, minicomputer,mainframe dan kumpulan LAN itu sendiri. Koneksi fisik dalam LAN dicapai melalui NIC (network interface card), salahsatu slot ekspansi dalam komputer (ya mungkin semacam colokan RJ45 buat kabel LAN, atau Wifi Receiver atau kartu didalam motherboard) NODES dalam LAN sering berbagi sumberdaya seperti program, data dan printer melalui suatu komputer yang ditujukan untuk itu yang dinamakan server.
Antar jaringan terhubung dengan suatu kombinasi HW dan SW yang dinamakan BRIDGES (menghubungkan LAN dalam satu tipe->IBM tokenring to IBM tokenring) dan GATEWAY (menghubungkan LAN dari berbagai type atau LAN ke WAN)
Berikut 5 macam Topologi Dasar yang perlu diketahui: STAR (mirip bintang?)
Jaringan dengan Pusat komputer yang besar (HOST) yang memiliki hubungan langsung dengan komputer/jaringan yang lebih kecil. Komunikasi dalam topologi ini diatur dan dikendalikan dari HOST. Biasanya digunakan dalam WAN, model DB yang umum adalah data2 lokal (contoh pinjaman, yg disimpan di masing2 kantor adalah data customersnya) disimpan di NODES2 (komputer kecilnya/jaringan lokal) sedangkan data yang umum (contoh jumlah tagihan, piutang) disimpan dipusat (HOST).Jika satuatau lebih nodes mati yang lain masih bisa running, kalo Hostnya yg down ya Cuma bisa operasi sendiri2 nodesnya. Akses antar nodes juga dimungkinkan, tergantung DBnya. HIRARKI
Satu komputer HOST terhubung dengan beberapa level komputer yang lebih rendah/lebih kecil dengan hubungan Juragan_Babu. Digunakan pada organisasi tersentralisasi, misal data order dari level bawah, dirangkum di level regional lalu dikirim ke pusat, pusat memerintahkan produksi ke regional, regional bagi lagi ke unit dibawahnya..semacam itula. RING (CINCIN..ya iyalah)
Tidak ada site pusat/central, semua nodes selevel dan manajemen komunikasi disistribusikan keseluruh nodes. Pergerakan data satu arah sehingga meminimalkan tabrakan data. Tiap nodes memiliki alamat berupa kode elektronik yang unik, jika mau kirim dari A ke D, lewat di B dan C hanya sebagai kolanding, (sunda:makcomblang) perantara, Cuma di terima, lalu dikirim lagi ke tujuan. Kebanyakan pake model ini masing2 nodes bisa manage program dan database secara lokal. Salahsatu nodes dapat menjadi penyimpan data pusat yang dapat diakses seluruh nodes. BUS bukan TransJ
Topologi LAN paling populer, seluruh nodes terhubung ke satu kabel utama yang dinamakan (The BUS). Satu atau lebih server mengendalikan komunikasi dan transfer data. Sama seperti di RING masing2 nodes memiliki alamat unik. Hanya satu nodes yang bisa transfer setiap waktu (make jalan/kabelnya gantian). Simple reliable dan murah. Terkait dengan ASI yang harus diperhatikan adalah kelemahan inheren di masing-masing jaringannya. Di sini rentan terjadi tabrakan data, concern auditor pada seringya tabrakan dan efeknya terhadap DB. CLIENT-SERVER
Istilah Client-Server sering disalahgunakan/disalahfahami sebagai seluruh tipe pengaturan jaringan. Padahal topologi ini punya karakteristik spesifik yang berbeda dengan topologi lainnya. Dalam jaringan DDP tradisional misalnya jika user ingin melihat satu record di DB pusat, komputer pusat akan mengunci dan memberikan seluruh DB ke user tersebut, ketika record diapdet baru DB itu dikirim lagi ke pusat.Client-Server model mendistribusikan pemrosesan antara user dan server dengan fungsi yang berbeda. Jadi program pencarian ada di server data manipulasi/perubahan diberikan ke client. Sehingga ketika ada permintaan satu record yang dikirim server ya saturecord itu saja, kalo sudah diapdet record dikirim ke pusat dan direstore ke DB. Sistem ini lebih efisien, mengurangi trafic dan akses ke satu file bisa dilakukan secara bersamaan. Dapat diaplikasikan ke seluruh Topologi lainnya.
PENGENDALIAN JARINGANTujuan dari pengendalian jaringan adalah agar supaya:a. Menyediakan suatu sesi komunikasi diantara pengirm dan penerima.b. Mengelola aliran data sepanjang jaringan.c. Mendeteksi dan menyelesaikan masalah tabrakan data antara nodes yang saling berkompetisi.d. Mendeteksi error dalam jaringan atau yang disebabkan karena sinyalHANYA ada satu node dalam suatu waktu yang bisa mengirimkan pesan, dua atau lebih pengiriman pesan secara bersamaan dapat mengakibatkan tabrakan data(collision) yang menghancurkan keduanya (meskipun kecepatannya dalam mili detik). Ada beberapa teknik untuk mengelola dan mengendalikan lalu lintas data, tiga varian dasarnya adalah sbb:
Polling, most popular dalam WAN. Satu site sebagai master menanyakan (POLLING) apakah site lain (budak) hendak kirim pesan atau tidak, untuk menentukan siapa yang bisa mengirim data dan menghalangi yang lain. Tabrakan dapat dicegah dan site yang penting dapat dikasih prioritas. Token Passing, mentransimiskan sinyal spesial (token) keseluruh jaringan dari node ke node. Jaringan yang mau ngirim pesan menangkap sinyal ini sebagai kunci, nodes yang tidak kirim akan melewatkan saja tokennya. digunakan di Bus dan Ring biasanya.
Carrier Sensing, biasanya dipake di Bus, nodes yang hendak kirim data mendengarkan (menyensor/scan/stalking) ke jaringan utama (kabel BUS) lagi kosong atau tidak. Agak masih beresiko tabrakan kalo stalkingya tidak akurat, ketika terjadi server akan memberikan kesempatan kepada nodes untuk mencoba lagi. Kalo jaringannya supersibuk akan mengakibatkan banyak delay. Eternet adalah salahsatu contoh pake model ini keunggulannya: simple, murah karena tidak perlu pasang dua kabel (RING pake twistpair cable supaya mantap), kartu jaringanya lebih murah dan pake bus lebih mudah dikembangkan.
Program2 berbahaya: Virus, suatu program yang menempelkan dirinya pada program yang sah untuk melakukan penetrasi kedalam sistem operasi dan menghancurkan aplikasi, data atau Osnya sendiri. Worm, istilahnya dipertukarkan dengan virus, program yang secara virtual mengubur diri dalam memorikomputer dan menduplikasi dirinya dalam area memori yang idle. Bedanya dengan virus worm ini kembaranya masih terhubung dengan induknya sementara virus berkembang independen. Logic Bomb, destruktif program yang diaktifkan melalui kejadian yang telah disetting sebelumnya misal tanggal tertentu/jam tertentu. Waspadai pegawai yang keluar dari organisasi dapat mensetting kerusakan sekian lama setelah dia berhenti. Back Door, program yang mengizinkan akses illegal masuk ke sistem tanpa melalui saluran prosedur yang normal (front door). Bisa digunakan untuk memantau sistem atau untuk fraud. Trojan Horse, menangkap ID dan password dari user dengan meniru prosedur log in normal.
SECURITY PART II: AUDITING DATABASE SYSTEMSA. Data Management Approaches a. The Flat-File Approach Data files yang mengandung record dengan tanpa memiliki hubungan yang terstruktur dengan file lain. Sering dihubungkan dengan legacy system (sistem warisan) udah jadul namun masih ada yang pakai. Pendekatannya single user, sistem mainframe yang besar user tidak berbagi data dengan end user lainnya. Format sesuai kebutuhan satu orang Ketika end user lain membutuhkan data yang sama untuk tujuan yang berbeda, mereka harus menyusun set data yang terpisah untuk memenuhi kebutuhan mereka. Replikasi-replikasi ini merupakan kelemahan model ini disebut data redudancy yang mengakibatkan masalah pada flat file: Data Storage: Data yang umum dan digunakan bersama disimpan sendiri2, terduplikasi diseluruh level organisasi..boros space Data Updating-:Banyak data pada file acuan dan file master yang memerlukan pembaharuan berkala, apdetnya harus satu2. Currency of Information: Kegagalan untuk membaharui semua file pemakai yang terpengaruh jika ada perubahan dalam status menghasilkan keputusan berdasar pada informasi ga uptodate. Task Data Dependency (Limited Access) ketidakmampuan pemakai untuk memperoleh informasi tambahan, ketika kebutuhannya berubah, informasi dibatasi oleh data yang dikuasai dan dikendalikannya saja.B. The Database Approach Pendekatannya menggunakan Database management system (DBMS) suatu software khusus yang diprogram untuk mengatur lalulintas DB dan menggunakan mekanisme otorisasi akses. Pendekatan ini memusatkan pengorganisasian data ke dalam database umum sehingga dapat dibagi dengan pemakai lainnya. Keunggulanya ya: mengatasi seluruh masalah dalam flat file diatas itu.C. Key Elements of the Database Environment Database Management System DBMS menyediakan pengendalian untuk membantu atau mencegah akses ke DB. Fiturnya: Program Development, berisi Aplikasi Pengembangan Program Perangkat Lunak Backup and Recovery, sejak memproses, secara periodik DBMS membuat backup copy di physical database Database Usage Reporting, ciri ini menyatakan data statistik apa yang digunakan, kapan mereka gunakan dan siapa yang menggunakan Database Access, ciri yang sangat penting yaitu memberikan ijin otorisasi untuk dapat mengakses, baik formal maupun informal database melalui 3 modul: Data Definition Language (DDL). DDL mengidentifikasikan nama dan hubungan semua unsur data, dokumen/catatan, dan file yang terdapat di dalam database. Database View Internal View/Physical View-> struktur catatan data, hubungan-hubungan antara sebuah file dan rencana physical dan rangkaian catatan dalam file Conceptual View/Logical View-> skema logical, abstrak External View/User View ->subskema pandangan dari user UsersFformal Access-App Interfaces: Ada dua jalan untuk pengguna mengakses database, salah satunya adalah dengan aplikasi formal interface, atau pake informal seperti Data Manipulation Language dan Structured Query Languange (mumet) The Database Administrator
The Physical Database Physical Database adalah level paling rendah dari database dan satu-satunya level yang ada dalam bentuk fisik.Physical database terdiri dari titik-titik magnetic pada magnetic disk. Data Structure, adalah bata dan semennya database, yang membolehkan catatn ditempatkan, disimpan, dipanggil, dan dimungkinkan dipindah dari catatan satu ke lainnya. Struktur data terdiri dari: Organisasi Data adalah cara pencatatan secara fisik yang diatur pada alat penyimpan secondary. Data Access Method adalah teknik yang digunakan untuk menempatkan catatan dan mengendalikan melalui database. DBMS Models Data model adalah suatu representasi abstrak data mengenai entitas, termasuk sumber (aset), kejadian (transaksi) dan agen (personalia atau customer) dan hubungan mereka dalam organisasi. Tujuan Data Model adalah menyajikan atribut entitas dengan cara yang mudah dipahami oleh pemakai. Ada tiga model data The Hierarchical Model (=struktur pohon/ayah anak ingat kan) Model ini sering disebut navigational database karena membuatan garis file diikuti pra penetapan jalur (path). Kelemahan: Parent dapat memiliki satu atau lebih catatan child. Tidak ada satupun catatan child memiliki parent lebih dari satu. Tidak mencerminkan kondisi sebenarnya satu catatan child dapat memiliki parent lebih dari satu Untuk mengatasi kelemahan ini biasanya catatan child diduplikasi sehingga menciptakan/menyajikan dua hirarki yang terpisah. The Network Model Model ini sama dengan hirarki juga merupakan navigational type, dengan suatu pengecualian dalam hubungan antara record dan file. perbedaannya model network mengijinkan catatan anak memiliki parent lebih dari satu. The Relation Model Perbedaan model relation dengan model pertama adalah cara hubungan data disajikan kepada user. Model ini menggambarkan data dalam tabel dua dimensi. Bagian kolom berisi atribut, sedangkan pertemuan column dan row membentuk tuples (record). Berisi kesatuan data yang sama tetapi tidak sama persis, untuk dicatat dalam sistem file flat. Tabel harus dinormalisasi dan masing2 atribut dalam row bergantung kepada primary key atau independen atribut yang lain. Kan lbh detail di ch 8Database Terminology (refer ke Ch M Mcleod dan Appendix A) Entity adalah representasi database akan suatu dari tiga hal ini yakni elemen lingkungan, sumberdaya atau transaksi/event yang penting dan harus didokumentasikan dalam bentuk data. Attribute adalah karakteristik dari suatu entitas, atribut yang unik dinamakan identifiers atribut lain yang menjelaskan entitas dinamakan descriptor. Data Attribute/Field adalah single item data seperti nama, alamat dll Record Type (table or File) kumpulan atribut data yang secara logis mendefinisikan entitas. Database kumpulan record type yang dibutuhkan organisasi untuk mendukung bisnis prosesnya. Associations/ Relationship adalah yang hubungan yang terjadi diantara suatu record atau entitas dengan yang lainnya. Bentuknya: One to One One to Many Many to ManyD. Databases in a Distributed Environment a. Centralized Databases
Penyimpanan DB di satu lokasi terpusat. Unit yang lain meminta akses dan proses lalu mentransmisikan ulang kembali ke DB. Data relatif terupdate dengan catatan harus dicegah dua akses dari dua user secara bersamaan. Biasanya menggunakan mekanisme penguncian.b. Distributed Databases Partitioned Databases Approach
Pendekatan partitioned database memecah database pusat menjadi segmen-segmen atau partisi-partisi yang didistribusikan ke pemakai data yang utama. Keuntungan pendekatan ini: Data yang tersimpan pada site lokal meningkatkan pengendalian user. Waktu respon pemrosesan transaksi ditingkatkan dengan mengijinkan akses lokal ke data dan mengurangi volume data yang harus dikirim antara unit IT. Database yang dipartisi/didistribusi dapat mengurangi efek potensial kerusakan. The Deadlock Phenomenon -> Pada lingkungan terdistribusi, dimungkinkan bagi site ganda saling mengunci satu sama lain dari database, sehingga mencegah masing-masing melakukan pemrosesan transaksinya. Untuk mengatasi deadlock pada umumnya melibatkan lebih dari satu pembatalan suatu transaksi untuk melengkapi pemrosesan transaksi lain pada deadlock. Concern auditor seberapa sering deadlock dan apakah antisipasinya oke. Replicated Databases
Database direplikasi dapat menjadi efektif pada perusahaan yang tingkat sharing datanya tinggi, tidak ada pemakai utama. Dengan mereplikasi data pada setiap bagian, akses data untuk tujuan query dapat dipastikan, dan lockuts dan keterlambatan akibat lalu lintas data dapat diminimalkan. Kelemahan pendekatan ini adalah menjaga (maintaining) dan updating versi terbaru dari masing-masing database.c. Concurrency (data integritas) Control Database concurrency adalah adanya kelengkapan dan keakuratan data pada semua lokasi data pengguna.Metode umumnya menggunakan transaksi yang diserialkan dengan melabeli transaksi dengan dua kriteria: Software khusus untuk mengelompokkan transaksi ke dalam kelas-kelas untuk mengidentifikasi konflik potensial. Time-stamp setiap transaksi. Ada jam yang mencatat transaksi dengan ID number khusus mengakomodoasi perbedaan waktu Jika muncul konflik maka transaksi dimasukkan ke dalam schedule serial sehingga data menjadi runut mengapdet database.Keputusan itu untuk mendistribusikan database harus penuh pertimbangan, ada beberapa trade-off yang harus dipertimbangkan. Pilihan ini berdampak pada kemampuan organisasi itu untuk memelihara integritas data. Penjagaan jejak audit dan ketelitian dari catatan akuntansi adalah kunci yang harus difahami juga oleh auditor.E. Controlling and Auditing Data Management Systems a. Access Controls Pengendalian DBMS dikelompokkan menjadi dua yaitu: pengendalian akses (access control) dan pengendalian backup. Access ControlsAdalah pengendalian yang dirancang untuk mencegah individu tanpa otorisasi menampilkan, memanggil, merusak, dan menghancurkan data entitas. User Views Adalah subset dari total database yang menegaskan domain data pemakai dan menyediakan akses ke database (tampilan yang diijinkan per user melihat (DB). Database Authorization Table Berisi aturan-aturan yang membatasi tindakan yang dapat diambil pemakai. Teknik ini sama dengan daftar pengendalian akses yang digunakan dalam sistem operasi. User-Defined Procedures, adalah prosedur yang mengijinkan pemakai untuk menciptakan program keamanan personalatau rutin untuk menciptakan identifikasi pemakai positif lebih daripada password tunggal. Data Encryption, data ecryption digunakan untuk melindungi data yang sifatnya sangat sensitif. Dengan prosedur data encryption maka penyusup data tidak dapat membaca data karena database di-scramble Biometric Devices adalah prosedur yang menggunakan alat biometrik untuk mengukur berbagai macam karakteristik personal, seperti sidik jari. Inference Controls, salah satu kemampuan database query adalah menyediakan ringkasan dan data statistik pengambilan keputusan bagi pengguna.
B. Backup ControlsAdalah pengendalian untuk memastikan bahwa kejadian kehilangan data akibat akses tanpa otorisasis, kegagalan perangkat, atau kerusakan fisik organisasi dapat diperbaiki oleh database tersebut. Backup Controls in the Flat-File Environment Teknik backup yang digunakan tergantung pada media atau struktur file. GPC Backup Technique Grant-parent-child backup adalah teknik yang digunakan dalam sistem batch file sekuensial. Prosedur backup dimulai ketika file master sekarang (parents) diproses terhadap file transaksi untuk memproduksi file master updated (child). Pada transaksi batch berikutnya, anak menjadi master file, file parent yang asli naik menjadi backup (grantparent) Direct Access file Backup Nilai data pada akses langsung diubah tempatnya dalam suatu proses yang dinamakan destructive replacement. Oleh karena itu, sekali data berubah, nilai asli dihancurkan, dan hanya meninggalkan satu versi terbaru. Off-Site Storage Adalah tempat penyimpanan backup baik pada GPC maupun pendekatan langsung rorpada tempat yang aman di luar site.Pengendalian backup untuk lingkungan database menyediakan sistem backup dan pemulihan sebagai berikut: Backup secara periodik untuk seluruh data. Transaction Log (Journal) The transaction log adalah fitur yang menyediakan jejak audit seluruh transaksi yang diproses. Checkpoint Feature Adalah fasilitas yang menunda seluruh proses sementara data sedang diperbaiki (proses pemulihan data) transaction log dan database mengubah log database. Recovery Module Modul ini menggunakan logs dan backup untuk memulai kembali setelah sistem mengalami kegagalan
SYSTEMS DEVELOPMENT AND PROGRAM CHANGE ACTIVITIES A. Participants in Systems Development Sistem profesional : sistem analis, systems engineers, dan programer. Membangun sistem->produknya Sistem Baru User : untuk siapa sistem itu dibuat, terdiri dari low sampe high level, saat bangun sistem primary user diikutsertakan. Stakeholder: didalam dan diluar organisasi namun berkepentingan terhadap sistem, internal auditor dan eksternal auditor, akuntan, steering komite. Akuntan dan Auditor: profesional yang concern pada pengendalian, akunting dan audit issue. dilibatkan Internal dan IT auditor, tidak termasuk eksternal auditor karena tidak dibolehkan SOX Law.a. Why Are Accountants and Auditors Involved with SDLC? SD dianalogikan sebagai proses manufaktur yang menghasilkan produk kompleks. Akuntan concern pada integritas proses tersebut, terutama pada proses yang berimplikasi pada sumber daya keuangan perusahaan. SDLC menghasilkan SIA. Kualitas informasi akuntansi yang diproduksi haruslah terjamin>>perlu kontrol oleh akuntan dan auditor supaya tepat dan sesuai aturan.b. How Are Accountants Involved with the SDLC? Sebagai user ,Sebagai Tim pengembang dan Sebagai auditor B. Information Systems Acquisition In-House Development Karakteristik industri berbeda, banyak juga yang mengembangkan sistem sendiri sesuai kebutuhan, memerlukan staff dan programer yang selalu stand by.a. Commercial Systems Beli dari vendor dengan empat pertimbangan: Relatif murah dari yg customized Vendor sudah mengakomodasi tipe industri Bisnis kecil yang terlalu kecil mengembangkan sistem sendiri Mulai munculnya organisasi otonomi yang terdesentralisasiJenis Commercial Systems: Turnkey System-> sistem sudah jadi dan siap implementasi General Accounting System->: sistem akuntansi secara umum untuk melayani berbagai macam user Special purpose System: sistem yang dibuat untuk segmen pasar tertentu, seperti: industri perbankan, bidang medis Office Automation System Backbone System: Basic struktur tinggal dikembangkan Vendor supported System Sistem hibrid antara custom dan comercial system.Keuntungan Commercial Systems Waktu implementasi cepat Cost rendah Reliabilitas (sudah dites dulu sebelum dirilis)KerugianCommercial Systems: Ketergantungan pada vendor dalam pengoperasian Sulit dikustomisasi. Commercial Systems biasanya terlalu umum dan kaku Pemeliharaan. Jika kebutuhan user berubah, sulit memodifikasi sistemC. The Systems Development Life Cycle Systems Development Life Cycle (SDLC): planning sistem, analisis sistem, desain konseptual sistem, seleksi sistem, desain rinci, implementasi sistem, pemeliharaan sistem adalah aktifitas logis dan berurutan yang secara umum diterima sebagai best practices pengembangan sistem.a. Systems PlanningPhase I Tujuan dari perencanaan adalah untuk menghubungkan proyek dan aplikasi kepada tujuan strategis organisasi. Pihak yang menyusun perencanaan biasanya adalah Steering comitee (CEO, CFO, senior manager, internal auditor) Perencanaan secara umum dibagi menjadi: Strategic Systems Planning -> alokasi sumber daya sistem di tingkat makro. Biasanya berkaitan dengan kerangka waktu 3 - 5 tahun Project Planning-> alokasi sumber daya di tingkat proyek individual atau aplikasi dalam frame perencanaan strategis. Peran auditor di tahap iniadalah memastikan bahwa perencanaan sistem memadai sehingga mengurangi risiko operasi tidak 3E.b. Systems AnalysisPhase II Systems Analysis adalah dua langkah melibatkan suatu survey terhadap sistem saat ini dan menganalisis kebutuhan user. Keuntungan melakukan survei: identifikasi aspek sistem lama yang ingin dipertahankan, memaksa sistem analis memahami betul sistemnya, sistem analis dapat mengisolasi akar masalah karena paham sistem. Kerugiannya adalah analis terjebak dalam survey dan tidak move ON atau bahkan merasa sistem saat ini masih bagus. Dilakukan dengan mengumpulkan fakta: data source, user, data store, proses, data flow, control, dll. Pertimbangkan memasang modul audit di sistem baru.c. Conceptual Systems DesignPhase III Menghasilkan beberapa alternatif konseptual sistem yang memenuhi persyaratan sistem yang diidentifikasi selama analisis sistem. Ada 2 Pendekatan: The Structured Design Approach-> merancang sistem dari atas ke bawah. Biasanya memakai DFD untuk menggambarkan bisnis proses dan Struktur diagram untuk menggambarkan dekomposisi top-down The Object-Oriented Approach-> membangun sistem informasi dari reusable komponen standar atau objeck. Peran auditor di tahap ini adalah mengusahakan agar fitur audit masuk rancangan selagi desain konseptual dibuat.d. System Evaluation and SelectionPhase IV Untuk evaluasi dan seleksi serta mengidentifikasi sistem yang terbaik Dilakukan dengan 2 proses: Detailed Feasibility Studies, meliputi: Technical feasibility engidentifikasi apakah sistem bisa dikembangkan dengan technologi saat ini atau butuh teknologi baru Economic feasibility mengidentifikasi kecukupan dana untuk menyelesaikan proyek Legal feasibility mengidentifikasi segala konflik antara sistem konseptual dan kemampuan perusahaan untuk melaksanakan tanggung jawab hukumnya Operational feasibility menunjukan tingkat kesesuaian antara prosedur yang dimiliki perusahaan, keterampilan personil dan operasional yang diminta oleh sistem baru Schedul feasibility kemampuan perusahaan untuk menyelesaikan proyek tepat pada waktunya Analisis cost and benefit Identifikasi Biaya baik yang satu kali : perolehan hardware dan software, persiapan tempat, sistem design, programing dan testing, data konversi, training. Maupun yang berulang maintenance, insurance, supplies, personel cos Identifikasi Benefit baik yang tangible benefit : increase revenue (sales naik di existing market, market expansion) dan reduce cost (labor, operating, inventory turun, equipment mahal berkurang, maintenance cost turun) dan intangible benefit (kepuasan customer naik, kepuasan pekerja naik, decision making semakin baik, operasi lebih efisien) Bandingkan Cost n Benefit Menggunakan analisis:, NPV, Payback method (break even analysis):Peran auditor di tahap ini memastikan kelayakan ekonomis atas usulan system diukur dengan seakurat mungkin.e. Detailed DesignPhase V Untuk menghasilkan penjelasan rinci proposed system yang baik memenuhi persyaratan sistem yang diidentifikasi selama analisis sistem dan sesuai dengan desain konseptual. Akan diadakan walkthrough dan quality assurance.f. Application Programming and TestingPhase VI Memilih program dan aplikasi dari berbagai pilihan yang sesuai ada COBOL, event-driven languages: Visual Basic, or object-oriented programming (OOP) languages like Java or C++.Kemudian melakukan test untuk setiap program modules Metodologi testing: Testing Offline Before Deploying Online dan Test Datag. System ImplementationPhase VII Struktur database dibuat dan diisi data, peralatan dibeli dan diinstal, pegawai dilatih dan sistem didokumentasikan dan digunanakan. Testing the Entire System : melakukan test semua modules sebagai satu kesatuan. Documenting the System : Designer and Programmer Documentation, Operator Documentation (dokumennya disebut run manual), User Documentation, User handbook, Tutorial, dll Converting the Database yaitu transfer data dari bentuk yang sekarang ke format atau media yang diperlukan oleh sistem baru. Konversi data sangat berisiko sehingga perlu tindakan pencegahan: Validation, Reconciliation, Backup. Converting to the New System Proses konversi dari old system ke new system disebut Cutover Ada 3 pendekatan system cutover: Cold Turkey Cutover (Big Bang), perpindahan dilakukan secara simultan (sekaligus), pendekatan paling mudah dan murah untuk sistem sederhana namun pendekatan paling berisiko untuk sistem kompleks Phased Cutover (Bertahap)Membagi seluruh system dalam beberapa modul, menjalankan sistem baru secara bertahap, bisa menimbulkan incompatibilitas antara sistem baru dan sistem lama yang belum digantikan Parallel Operation Cutover menjalankan sistem lama dan sistem baru secara bersamaan untuk jangka waktu tertentu, banyak menghabiskan waktu dan biaya Tidak efisien karena mengelola dua kali dokumen sumber, dua kali waktu pemrosesan, dua kali database, dan dua kali output produksi Keuntungan: memungkinkan melakukan rekonsiliasi antar sistem sebelum menjalankan sistem baru secara independen. Peran auditor internal dalam system implementation: Provide Technical Expertise Specify Documentation Standards Verify Control Adequacy and Compliance with SOX. Post-Implementation Review Meliputi reviu: Systems Design Adequacy. Accuracy of Time, Cost, and Benefit Estimatesh. Systems MaintenancePhase VIII Setelah sistem diimplementasikan, memasuki tahap akhir dalam siklus hidupnya. Pemeliharaan sistem adalah proses formal di mana program aplikasi mengalami perubahan untuk mengakomodasi perubahan kebutuhan pengguna. D. Controlling and Auditing the SDLC Dalam lingkungan sistem informasi berbasis komputer, data keuangan diproses (akses, simpan, update) melalui aplikasi komputer. Akurasi dan integrritas dari program tersebut secara langsung mempengaruhi akurasi data keuangan klien. Kesalahan aplikasi yang material dapat menyebabkan data hilang/corrupted dan menyebabkan salah saji dalam laporan keuangan. Controlling New Systems Development Tujuan Audit terkait New Systems Development: a. Systems Authorization Activities >> All systems must be properly authorized to ensure their economic justification and feasibility. User Specification Activities >> Users must be actively involved in the systems development process Technical Design Activities Internal Audit Participation User Test and Acceptance Procedures The Controlling Systems Maintenance Mendeteksi pemeliharaan program yang dilakukan tanpa otorisasi.
COMPUTER-ASSISTED AUDIT TOOLS AND TECHNIQUES
A. Application Controls Prosedur program pengendalian intern yang didesain untuk mengatasi terpaparnya sistem dari resiko potensial pada aplikasi spesifik seperti pembayaran gaji, pembelian dan pengeluaran uang. App controls terdiri dari:a. Input Controls Bertugas untuk membawa data dari ke dalam sistem untuk diproses, IC didesain untuk memastikan bahwa transasksi valid, akurat dan lengkap. Dapat dipicu oleh batch maupun secara langsung (direct). Dalam dokumen sumber biasanya melibatkan manusia dan oleh karenanya rentah kesalahan klerikal yang sering tidak terdeteksi nanti ada opsi data realtime. Beberapa jenis pengendalian dalam input control adalah sbb: Source document controls Pengendalian terhadap dokumen sumber karena dapat dipalsukan dan masuk sistem lalu menghilangkan aset perusahaan control : PreNumbered SD, Sequence Limited Acces, Periodic audit/spot cek Data coding controls Cek integritas kode data dalam pemrosesan-Nomor rek Customers, Nomor Inventory, No Akun dll Errors-> Transkripsi (penambahan, pengurangan,subtitusi) dan Transposisi (two/multiple number kebalik2) Control: Check Digit (penjumlahan atau menggunakan modulus 11) tapi makan Space (nambah record), baiknya untuk yg penting saja) Batch controls Rekonsiliasi antara input dan output pada transaski dengan volume tinggi guna memastikan seluruh data terekam, tidak dobel entry dan jejak audit terjaga (inc proses n output control). Dengan mengumpulkan tipe input yang sama dalam satu batch (bundel) lalu mengontrol batch ini dalam prosesnya. Elemen: No Batch, tgl, Kode transaksi, Jumlah Rec, Nilainya, Jumlah data non financial ( Hash totalbuat alat kontrol aja, tidak bernilai) Validation controls Deteksi error sblm transaksi diproses, bisa memerlukan untuk merefer ke master file sebaiknya sedekat mungkin dengan sumber transaksi. Controlnya ada 3 level: Field Interogation: melakukan validasi di level karakter dalam Field jenis checknya: Missing data check (blank) cek apakah ada field yg kosong Numeric-alphabetic->isi field apakah huruf/bilangan Zero value->isi field 0 untuk pengendalian Limit check->cek nilai field apakah melebihi standarnya Range check->batas atas dan bawah Validity check->bandingkan dengan data master Check digit->sama dengan diatas itu pake modulus 11 Record Interogation: validasi seluruh catatan dengan menguji hubungan nilai fieldnya. Contohnya: Reasonbleness Checks->->cek dengan master filenya Sign Check-> tanda +/- sudah tepat digunakan? Sequence Checks-> urutan (batch) sudah sesuai atntrian? File Interogation: Memastikan bahwa file yang benar yang diproses sistem sangat penting untuk master files yg menyimpan data relatif permanen. Internal Label Checks->label disk di dalam (bukan diluar) Version Checks->versi filenya apakah sesuai..1.0? beta? Expiration date checks->cek file ga kepake,agar tidak kedelete sembarangan Dalam sistem batch ketika ada Input error perlu dilakukan correction, ada tiga jenis penanganan error yang umum dalam proses input: Correct Immidiately->kasih warning ke user Create an Error File-> delayed, pisahkan dari sistem buat laporan sistemnya bahwa data tsb error Reject Entire Batch-> tolak sluruh batch untuk diproses Generalized data input systemsGDIS menstandarisasi validasi input dengan level kontrol tinggi. Ada 3 keuntungan pake GDIS: Improve control melalui satu sistem validasi umum yang sama Memastikan setiap aplikasi menerapkan standar yg sama Meningkatkan efisiensi sistem Elemennya: GDIS module, Data File Tervalidasi, Error File, Error Reports, Log Transaksi.b. Processing Controls Run-to-Run ControlsMenggunakan batch untuk memonitor batch ketika dia bergerak dari satu prosedur program ke prosedur program lain. Kontrol ini memastikan setiap pergerakan memproses batch dengan benar dan lengkap. Jenis2nya: Recalculate Control Totals-mengecek kembali nilai2 dalam batch, has total dibandingkan dengan data master. Transaction Codes-> hanya transaksi yg benar yg diijinkan Sequence Checks Operators Intervention ControlsOperator kadang diperlukan dalam mengintervensi suatu kegiatan dan hal ini meningkatkan potensi human error. Sistem sedapat mungkin memmbatasi intervensi manusia, jika tidak dapat dilakukan supervisi. Audit Trails ControlsDalam sistem terkomputerisasi jejak audit akan terpecah-pecah dan lebih sulit diikuti. Sehinga dokumentasi sistem sangat diperlukan untuk dijaga. Beberapa cara menjaga jejak audit : Transactions Logs-mencatat seluruh aktivitas sistem Log of Automatic Transactions Listing of Automatics Transactions->EOQ/reorder harus diperhatikan Unique Transaction Identifiers Error Listings-Laporkan agar diperbaikic. Output Controls Output controls adalah SPI yang memastikan bahwa hasil keluaran sistem tidak hilang, salah sasaran, berkurang/rusak atau melanggar privasi. Kegagalan dalam menjaga output dapat mengakibatkan dampak serius bagi perusahaan seperti kehilangan SD ekonomi, penurunan citra bahkan tuntutan hukum. Otput controls menyesuakan dengan proses pengolahan dokumennya, secara umum terbagi dua yakni Batch Control System (lebih rentan karena adanya intervensi operator/program) dan Realtime System. Controlling Batch System OutputDalam Batch System, output biasanya berupa HardCopy (Cek, Laporan, PO,dll) dan dalam prosesnya sebagaimana bagan diatas, memerlukan perantara baik manusia maupun program dari mulai proses sampai dengan distribusi. Output Spooling Dalam pengolahan data skala besar-> terjadi backlogged, hasil pengolahan sistem mengantri untuk dicetak (bottleneck)-> sistem membuat suatu file output dalam disk daripada membebani memori printers (spooling). Dalam tahap ini output file rentan diacces oleh penjahat cyber yang dapat mengubah, mengcopy secara illegal atau bahkan menghapus file sebelum dicetak. Harus ada akses kontrol yang baik dan backup file output Print Setelah spooling, dan SD printer tersedia -> printer akan mencetak, biasanya ada intervensi operator berupa mengganti kertas, mengatur mempause, menyesuaikan margin, tinta dsb Resiko :Operators copy secara illegal/membaca data rahasia Controlnya: Prenumbered untuk memastikan seluruh cetakan lengkap, supervisi, gunakan kertas multipart berkarbon (gesek dulu baru terbaca->pin ATM) Bursting Hasil cetakan dipilah-pilah dan disusun ulang, ada Operator Risk-> Illegal copy, menghilangkan halaman, baca data rahasia Control-> Supervisi atau bursting di end user saja Waste Cetakan yg tidak sempurna, karbon copy dibuang Ceroboh-> dapt dimanfaatkan , ada akes data teknis dan informasi penting lainnya dalam dokumen rusak sekalipun Control-> Penghancur kertas/ dibakar Data Control Group Tim verifikasi sebelum HardCopy didistribusikan cek akurasi kelengkapan, legalitas, dll Risk dan controls = print dan bursting Distributions Rawan pencurian, hilang, salah tujuan Nama dan alamat tercetak jelas, hati2 akses ke file master nama dan alamat Untuk data sensitive dapat menggunakan tas berpengaman kunci/pin, dikawal petugas keamanan atau End User sendiri yang ambil End Users Cek kembali dokumen yg diterima, jika ada kejanggalan laporkan bisa jadi errornya karena sistem Data digunakan dan disimpan perhatikan ruang yang aman, perhatikan waktu retensi sesuai hukum (pajakk) jika tidak digunakan hancurkan dengan baik. Controlling RTSHasil output tampil langsung dilayar.,terminal atau printernya end user. Menghilangkan berbagai perantara baik program maupun manusia. Ancaman terbesarnya sama seperti resiko dalam internet dan intranet yaitu: Equipment Failures (HW, SW maupun LINES Comm) Subversive Act ( Interception, Illegal Acces, Previledged Employes)B. Testing Computer Application Controls a. Black-Box Approach (Around Computer)Tidak menguji berdasarkan pada pengetahuan mendetail mengenai logika dibalik aplikasi yang di audit (gak perlu faham MYOBnya) . Lebih kepada memahami flowchart, wawancara dengan client dsb. Dengan pemahaman itu auditor mengetes sendiri dokumen input dan direkonsiliasi dengan outputnya sehingga dapat memperkirakan programnya sudah complince atau belum. Aplikasinya sendiri kurang diperhatikan detilnya. Umumnya pada aplikasi yang sederhana.b. White-Box Approach (Through Computer)Harus memiliki pemahaman mengenai aplikasinya secara mendalam (pengetahuan MYOBnya dalam juga) hingga ke logika dalam aplikasi. Beberapa tesnya: Authenticity Tes-> user ID, Password, valid vendor codes dan bagan otoritas Accuracy Test-> range test, filed test limit test Completeness Test-> field test, rec sequence test, hash totals Redundancy Test-> recoknsiliasi batch, record count, hash totals Acces Test-> pass, bagan otoritas, data enkripsi, inference control Audit Trail Test-> transaction log, error file ttp disimpan, Rounding Error Tets->pembulatan bunga bank, salami fraud (bagi kecil2, large number victim, immaterial to each)C. Computer-aided Audit Tools and Techniques for Testing Controls a. Test Data Method Membuat aplikasi terintegrasi dengan memproses data yang sudah dipersiapkan melalui aplikasi yang sedang direview. Lalu dibandingkan dengan nilai/hasil yang seharusnya. Copy dulu aplikasinya buat file transaksi dan masternya lalu coba melalui berbagi input (tape, disc, usb, terminal dll) lihat hasilnya bandingkan dengan rport yang diharapkan sebelumnya. Buat Data Tes Base Case Sys Evaluations Tracing Advanced Test Data Disadvantagesb. The Integrated Test Facility (ITF)Teknik otomatis yang memungkinkan auditor menguji logika dan kontrol aplikasi dalam operasi normal. Dicangkokkan dalam sistem ketikda dalam tahap pengembangan nani pas running akan membuat semacam duplikasi tertentu dari data namun tidak mengganggu aplikasi. Keuntungan Kerugianc. Parallel Simulation Auditor menulis program yang mensimulasikan fitur dan proses kunci dari aplikasi yang direview. Lalu digunakan untuk memproses ulang transaski yang sudah diproses aplikasi yg direview lalu dibandingkan hasilnya. Auditor harus faham betul aplikasinya, identidikasi proses dan controlnya Buat simulasi pake 4GL atau Generalized Audit Software (GAS) Coba simulasikan dengan sampel terpilih Evaluasi (apakah yg error simulator atau memang Real)
COBITInformasi adalah sumber daya kunci bagi semua perusahaan. Diciptakan, digunakan, disimpan, ditampilkan, dan dihancurkan dengan menggunakan teknologi sebagai pemeran kuncinya. Teknologi menjadi bagian dari seluruh aspek bisnis dan individu. Pendekatan penyusunan tata kelola IT saat ini dinilai harus dipandang sebagai salhsatu sumberdaya strategis dan direncanakan dengan pendekatan manajemen strategis pula.Cobit merupakan suatu framework yang komprehensif yang membantu perusahaan dalam mencapai tujuannya dan menyampaikan nilai melalui tata kelola (strategis) dan manajemen (operasional) Teknologi Informasi Perusahaan. Governance ensure ->Evaluation,Direction and Monitoring. Manajemen->Plan Build Runs and Monitoring. COBIT 5 brings together the five principles that allow the enterprise to build an effective governance and management framework based on a holistic set of seven enablers that optimises information and technology investment and use for the benefit of stakeholders.Cobit 5 didasarkan pada 5 prinsip kunci tatakelola dan manajemen TI perusahaan yaitu :a. Pemenuhan kebutuhan Stakeholderb. Melindungi titik-titik penting perusahaanc. Penggunaan satu framework terintegrasid. Memungkinkan pendekatan secara holistike. Meminsahkan tatakelola dengan manajemenCOBIT 5 mendeskripsikan 7 kategori yang berperan sebagai penggerak yaitu :a. Prinsip-prinsip, kebijakan-kebijakan, dan framework, adalah sarana untuk menerjemahkan tingkah laku yang diinginkan ke dalam petunjuk praktek untuk pelaksanaan manajemen harian.b. Proses, menjelaskan kumpulan terorganisasi dari praktek-praktek dan aktifitas-aktiftas untuk mencapai tujuan yang telah ditentukan dan menghasilkan sekumpulan keluaran di dalam dukungan pencapaian seluruh sasaran TIc. Struktur organisasi, entitas pembuatan keputusan kunci di dalam perusahaand. Budaya, etika, dan tingkah laku, merupakan kebiasaan dari individu dan perusahaan yang sering dianggap sebagai faktor penghambat kesuksesan di dalam aktifitas tatakelola dan manajemen.e. Informasi, adalah sebuah kebutuhan untuk memastikan agar organisasi tetap berjalan dan dapat dikelola dengan baik. Tetapi di tingkat operasional, informasi seringnya digunakan sebagai hasil dari proses perusahaanf. Layanan, infrastruktur dan aplikasi, menyediakan layanan dan proses teknologi informasi bagi perusahaang. Orang, keterampilan dan kemampuan, dibutuhkan untuk menyelesaikan semua aktifitas dan membuat keputusan yang tepat serta mengambil aksi-aksi perbaikan.