INTRO AUDITING AND INTERNAL CONTROL. A. Overview of Auditing

INTRO

b.

Audit adalah suatu proses pengumpulan dan pengevaluasian bukti informasi yang dapat diukur mengenai suatu entitas ekonomi

yang

dilakukan

seorang

yang

kompeten

dan

Attest Service versus Advisory Services Belakangan muncul suatu jasa yang

diberikan

auditor

eksternal kepada perusahaan yakni advisory service. Untuk Jasa attestasi memerlukan beberapa persyaratan sbb :  Adanya asersi tertulis (L/K) dan praktisi menulis laporan (LHP)  Adanya kriteria pengukuran yang formal atau deskripsi dalam

independen untuk dapat menentukan dan melaporkan derajat kesesuaian

informasi

dengan

kriteria-kriteria

penyajiannya telah  Terbatas pada pemeriksaan, review dan aplikasi yang telah

yang

disetujui prosedurnya

ditetapkan serta mengkomunikasikan hasilnya kepada para pemakai yang berkepentingan. Perbedaan

antara

Audit

Tradisional

dengan

Audit

SI

diantaranya sbb:  Teknik audit -> menggunakan program khusus atau TABK  Proses Audit -> Tidak sekuensial (DB->Modul2 Software

Sementara Advisory Service adalah jasa profesional oleh KAP

Akuntansi)  Pemahaman IC, audit IT menekankan kepada application

untuk meningkatkan efektifitas dan efisiensi operasional perusahaan klien. Jasa tersebut meliputi misalnya saran

control  Keahlian tentang auditing dan akuntansi + keahlian tentang

aktuaria, saran bisnis, jasa penyelidikan kecurangan, design

computer

sistem

informasi

Jika berbicara mengenai Audit IT (ASI) maka ada dua sudut

intern.

Pada

pandang yaitu:

diperbolehkan dilakukan sejalan dengan jasa audit, Saat ini hal

 Audit atas tata kelola IT itu sendiri dan  Audit IT yang dilakukan dalam rangka Audit

dan

masa

assesment sebelom

terhadap

SOX

jasa

pengendalian semacam

ini

tersebut tidak diperkenankan dan merupakan pelanggaran

Keuangan

(kesesuaian dengan SAK) -> yakni berkaitan dengan Teknikc.

hukum. (US Law) Internal Audits

Audit Berbantuan Komputer

Fungsi penilaian independen dalam suato organisasi untuk

dalam menilai pengendalian khususnya

memeriksa dan mengevaluasi aktivitas sebagai suatu jasa

Apllication Control, serta pengujian subtantif dalam ranah IT

bagi organisasi. Auditor internal melakukan berbagai aktivitas

internal

dalam

memahami

General

dan

seperti pemerikasaan LK pemeriksaaan kesesuaian aktivitas

dengan database sistem akuntansi.  The most important computer assisted audit techniques are:  Test data,  Integrated test facility,  Parallel simulation, and  On-line audit monitor.

dengan kebijakan perusahaan, evaluasi efisiensi operasional dan mendeteksi serta mencari kecurangan dalam perusahaan. Audit internal dapat pula dilakukan dari pihak luar organisasi. Auditor biasanya bertanggungjawab kepada komite audit.

Simulasi sejajar (parallel simulation) adalah suatu teknik audit

Gelarnya CISA/CIA yang membandingkan pengolahan data yang dilakukan oleh d. External versus Internal Auditors Perbedaan utamanya adalah dua program dengan tujuan untuk memperoleh keyakinan bahwa kedua program tersebut menghasilkan keluaran yang

bertanggungjawab,

sama

(merepresentasikan)

(identik).

Teknik

pemrosesan

secara

paralel

auditor pihak

kepada

siapa

eksternal

eksternal

perusahaan

auditor mewakili sedang

auditor’s

software.”

internal auditor mewakili kepentingan perusahaan. Dalam

pemeriksaan

dilakukan

pelaksanaanya dapat bekerjasama, misal tes pengendalian

terhadap data sesungguhnya (data audit yang di-copy) dan

intern dilakukan oleh internl auditor disupervisi oleh auditor

diproses dengan software atau bahkan komputernya auditor.

eksternal.

dilaksanakan Maksudnya

dengan adalah

“client’s

data,

pelaksanaan

Dalam

hal

auditor

internal

tidak

memiliki

independensi kerjasama audit tidak diperkenankan standar.  Trace-Forward from Source Document to Records-untuk cek e. Fraud Audits asersi "Completeness" Kecurangan sayangnya meningkat karena perilaku  Vouch -Backward (From Records to Source Document)- cek manajemen dan karyawan. Audit semacam ini dilakukan guna assersi "Existence" mencari bukti-buti yang dapat mengarah kepada tuntutan hukum. Dapat dilakukan atas permintaan perusahaan, dan

AUDITING AND INTERNAL CONTROL B. A. a.

dilakukan oleh seorang bersertifikat CFE. The Role of the Audit Committee

Overview of Auditing External (Financial) Audits Suatu jasa (attestation/pengesahan) yang dilakukan oleh

Sebelum SOX Law auditor dihire oleh Manajemen perusahaan,

seorang ahli (auditor) yang kemudian memberikan suatu

yang salah seorang anggotanya memiliki Financial Expertise

pendapat terhadap penyajian laporan keuangan. Biasanya dilakukan oleh CPA yang independen dari perusahaan yang diC.

guna fungsi chek n balance.

audit. CPA dalam hal ini mewakili kepentingan pihak eksternal seperti

pemegang

saham,

kreditor,

pemerintah

dan

masyarakat umum. Konsep penting dalam audit finansial adalah INDEPENDENSI.

sekarang bertanggung jawabnya kepada Audit Committee

Financial Audit Components a. Auditing Standards

akhirnya Subtantif test akan semakin sedikit dan sempit. Jadi buat Mgt buatlah strong IC. E.The IT Audit a. The Structure of an IT Audit Audit Planning, pemahaman terhadap bisnis klien. Bisa melalui pengamatan,

wawancara,

kontrol

beresiko.

yang

review

Test

of

dokumentasi Controls

temukan

adalah

phase

penentuan apakah internal kontrol berfungsi dengan baik untuk dinilai kualitasnya karena akan menentukan fase berikutnya. Subtantive Testing Detail inspeksi pada akun-akun saldo dan transaksi, sebagian berupa pekerjaan fisik. Dalam

b. A Systematic Process Sebuah kerangka kerja

logis

akan

membantu

auditor

mengidentifikasi proses dan data penting. Dalam audit IT

lingkungan IT dibutuhkan bantuan pengolah data berupa CAATTs. Secara umum proses audit adalah sbb:

pengujian fisik yang dapat diverifikasi secara visual lebih sedikit sehingga akan lebih kompleks. c. Management Assertions and Audit Objectives L/K merupakan refleksi asersi manajemen tentang kesehatan     

keuangan entitas yang terdiri dari: Existance and Occurance (Nyata dan Terjadi) Completeness (Lengkap) Right and Obligations (Dimiliki and Kewajiban) Valluation and Allocation (sesuai dengan aturannya) F. Presentation and Disclosure (klasifikasi dan pengungkapan cukup)

Internal Control COSO: IC adalah suatu proses, dipengaruhi oleh Dewan Direksi, Manajemen dan Personel lain, yang didesain untuk

Auditor harus menentukan apakah L/K disajikan secara wajar

memberikan keyakinan yang memadai bahwa tujuan-tujuan

sehingga procedure pengujian diarahkan untuk membuktikan

berikut dapat tercapai :  Efektifitas dan Efisiensi Operasi  Reliabilitas Laporan  Kepatuhan terhadap peraturan perundang-undangan a. Brief History of Internal Control Legislation  SEC Acts of 1933 and 1934, market crash->melarang frauds  Copyright Law–1976 Software Violations, Piracy IT  Foreign Corrupt Practices Act (FCPA) of 1977 Record n IC  Sarbanes-Oxley Act of 2002 enron, IC, COSO b. Internal Control Objectives, Principles, and Models Tujuan dari SPI:  Menjaga aset perusahaan  Memastikan accuracy dan reliabilitas catatan dan informasi  Memprakarsai effisiensi operasi perusahaan  Mengukur kepatuhan thd kebijakan yang telah ditetapkan c. Modifying Principles  SPI merupakan tanggungjawab Mgt, bahkan kewajiban hukum  Bentuk pemrosesan data apapun harus mendukung 4 tujuan  Setiap sistem memiliki keterbatasan yang disebabkan oleh:  Errors->No perfect sustem  KKN personil  Mgt mengabaikan control  Kondisi dinamis dalam industri  SPI harus memberikan jaminan yang memadai (Cost <

kesesuaian asersi manajemen ini dengan standarnya. d. Obtaining Evidence Auditor mencari bukti

guna

dicocokan

dengan

asersi

manajemen, dalam lingkup IT termasuk menilai kehandalan IT dan isi DB itu sendiri. Test Control dilanjutkan Subtantive Test e. Ascertaining Materiality Sepenuhnya merupakan Auditor judgment..dalam lingkup IT lebih complicated mengingat struktur IC juga lebih rumit. f. Communicating Results Audit report disampaikan kepada pihak yang berminat dan melapor kepada komite audit/pemegang saham dalam laporan didalamnya termasuk membuat opini audit. D. Audit Risk Resiko

audit

adalah

probabilitas

bahwa

auditor

akan

memberikan status WTP yang pada kenyataanya secara material L/K tersebut salah saji. Acceptable Audit Risk (AR) terdiri dari: a. Inherent

Risk

adalah

resiko

audit

yang

merupakan

karateristik unit bawaaan dari bisnis atau industri dari klien

Benefit) d. The PDC Model memperhatikan efektifitas pengendalian intern). Cannot Preventive Controls merupakan kontrol pasif di design reduce by Auditor. Control Risk disisi lain adalah adanya mengurangi frekuensi kejadian tidak diinginkan.cthnya cacat pada ketiadaan atau ketidakcukupan SPI dalam pembatasan karakter entry misalnya. Detective Controls, itu sendiri (ada juga yang bilang resiko level akun sebelum

mencegah error. b. Detection Risk adalah resiko yang dapat diterima auditor bahwa error yang gagal dicegah oleh pengendalian gagal juga

dideteksi

auditor.

Subtantif

tes

akan

semakin

besar/dalam dilakukan ketika DR lebih kecil..auditor lebih konservatif/lebih hati2. c. Audit Risk Model AR=IRxCRxDR d. The Relationship Between Tests of Controls and Substantive Tests ..jika hasil uji awal menunjukkan hasil IC memiliki

alat atau teknik dan prosedur yang didesain mengidentifikasi dan mengekspos error yang lolos PC. Ada proses matching dan warning disitu, sistem mengkalkulasi atau mencocokan jika tidak sesuai uncul warning,pop up. Corective Controls melakukan

koreksi

jika

ditemukan

errors,hati2

terhadap

otomatisasi perbaikan,bisa menyebabkan masalah baru…ingat MYOB pas entry akun unbalance dia otomatis perbaiki sesuai

standarya sendiri.. kelemahan/kekurangan maka berarti subtantive test akan e. COSO Internal Control Framework  Lingkungan Pengendalian, merupakan pondasi dari empat lebih luas, sampel lebih banyak dan dalam. IC makin unsur lainnya. Elemennya: integritas, etika, value, struktur reliable, CR makin rendah, DR makin diturunkan,dan

organisasi, partisipasi BoOfDir, filosopi, pemeriksaan pihak

akurasi transaksi bentuknya bisa cek digit, echo check,

lain, HR policies dst SAS 109 mensyaratkan Auditor: memiliki pengetahuan yang

limit cek

cukup

terhadap

Manajemen

khususnya

yang bertujuan untuk memastikan validitas,

kelengkapan dan akurasi transaski dalam L/K. lebih

tentang

Integritasnya.  Penilaian Resiko: identifikasi, analisa dan mengelola resiko



lengkap di ch 7. Add: Terdapat dua

pandangan

mengenai

Pengendalian

yang relevan dengan pelaporan keuangan. Beberapa hal

Umum dan Pengendalian Aplikasi. Pendapat pertama

yang

bisnis,

menyatakan bahwa pengendalian umum dan aplikasi

personel baru, sistem baru, realokasi SD, adopsi standar

terpisah (GC merupakan pengendalian fisik (kunci,

dapat

menjadi

resiko:

perubahan

dalam

kartu)

baru dst.  Informasi dan Komunikasi: kualitas SIM, Proses susun L/K  Monitoring: Assesment SPI, Special modul di IT ,Laporan

sedang

AC

pure

aplikas.

Pendapat

kedua

menyatakan bahwa GC dan AC merupakan bentuk pengendalian

Manajerial  Aktivitas Pengendalian Aktivitas pengendalian adalah kebijakan dan prosedur yang

yang

bersinggungan,

karena

pada

dasarnya keduanya dilakukan oleh aplikasi, general controls pada dasarnya merupakan pengendalian yang

digunakan untuk memastikan bahwa tindakan yang tepat

selayaknya (pantas2nya) ada pada suatu sistem (mis

diambil untuk menghadapi risiko organisasi yang dapat

Password), contoh pada mesin ATM. (Cek ch 7, IC

diidentifikasi. Secara umum dapat diklasifikasikan sbb: pondasinya ASI)  Pengendalian Fisik (Manusia dalam Acc Sytem) f. Audit Implications of SOX Act  Verifikasi Independen dan Otorisasi Transaksi Pemeriksaan SPI wajib, memperbesar mandat Eksternal  Pemisahan Fungsi (Ruhnya IC), hakikatnya adalah Auditor agar mampu mendeteksi fraud dan menaruh mekanisme check and balance, saling kontrol sehingga perhatian besar pada SPI dalam mencegah fraud. Computer untuk berbuat jahat perlu lebih banyak orang-> gagal Fraud juga perlu diperhatikan karena relatif baru dan belum     

oleh kolusi. Otorisasi vs Proses Transaksi Asset Custody vs Record Keeping Jika mau curangpun perlu minimal 2 orang. Supervisi , kompensasi dari kurangya pemisahan fungsi Catatan Akuntansi (Dokumen sumber, jurnal, ledger).. catatan dalam akuntansi ini mengandung jejak audit yang

kuat proses hukumnya (UU ITE). Gunakan pendekatan berbasis resiko, karena masing-masing organisasi berbeda karakternya. AUDITING IT GOVERNANCE CONTROLS

Information Technology Governance Tujuan utama dari tata kelola TI adalah untuk : (routine dan monitoring transasksi dengan  mengurangi risiko  memastikan bahwa investasi dalam sumber daya TI pelanggan/suplier) dan mengamankan audit trails. Audit menambah nilai bagi perusahaan. Trails “also called audit log is a security-relevant Sebelum SOX Act, praktek umum mengenai investasi pada perlu dijaga (preserve) dalam rangka aktifitas operasional

A.

chronological record, set of records, and/or destination

TI

and source of records that provide documentary evidence

profesional TI. Sekarang semua elemen organisasi dituntut

of the sequence of activities that have affected at any

aktif berpartisipasi dalam perencanaan s.d pengembangan

adalah

menyerahkan

semua

keputusan

time a specific operation, procedure, or event” TI. Merupakan jejak, utamanya dalam catatan kronologis a.IT Governance Controls Based on SOX dan COSO ada 3 isu tata kelola IT: akuntansi, yang dapat digunakan untuk menentukan  Organizational structure of the IT function apakah suatu peristiwa terjadi atau tidak terjadi yang  Computer center operations dapat digunakan sebagai alat penelusuran dalam proses  Disaster recovery planning audit..misal paraf dalam dokumen, log acces editing data, B. Structure of the Information Technology a. Centralized Data Processing nomor PO, nomor cek,no bukti,no jurnal dll yang bisa Berdasarkan model pengolahan data terpusat, digunakan menelusur suatu informasi dari awal (source)

kepada

semua

pemrosesan data dilakukan oleh satu atau lebih komputer

sampai ke L/K. yang lebih besar bertempat di situs pusat yang melayani  Kontrol Akses (Authorized Personel Only to acces asset/IT) pengguna di seluruh organisasi.  Pengendalian IT  DBA: Central Location, Shared. DBA n teamnya responsible  Pengendalian Umum adalah pengendalian yang sifatnya pada keamanan dan integritas database. membatasi akses dan mengamankan aplikasi dari yang  Pemrosesan Data mengelola SDIT terdiri dari: tidak berhak mengakses, misal berbentuk kunci, password  Konversi Data: HardCopy to SoftCopy (inputable to computer) termasuk controls over IT governance, IT infrastructure,  Operasi Komputer: memproses hasil konversi melalui suatu security and access kepada sistem operasi dan DB, application acquisition and development and prosedur 

aplikasi  Data Library: Storage offline data-> Real Time data Procesing

dan direct acces mengurangi peran DL perubahan program dll.  Sys Dev and Maintenis: Analisis kebutuhan, partisipasi dalam Pengendalian Aplikasi merupakan pengendalian intern desain sistem baru (Profesional, End Users dan yang memastikan aplikasi spesifik dapat melakukan Stakeholder). Menjaga sistem beroperasi sesuai kebutuhan, fungsinya dengan baik dan mengurangi terpaparnya 80-90% cost dalam IT biasanya ada pada maintanance aplikasi dari resiko potensial. Pengendalianya berupa cek (tidak hanya soal merawat/membersihkan HW namun lebih digit, format yang memastikan validitas, kelengkapan dan kepada tambal sulam SI.

Masalah control yang harus diperhatikan dalam proses data tersentralisasi

adalah

pengamanan

DB.

Karena

 Review catatan pemeliharaan,verifikasi bahwa programmer

jika

pemeliharaan tertentu tidakmerangkap programer desain. accesnya lemah maka seluruh informasi dapat terpapar  Pastikan bahwa operator komputer tidak memiliki akses ke logic sistem dokumentasi, seperti sistem diagram alur, resiko, bentuk topologi jaringan juga mempengaruhi keandalan data informasi. Hal ini akan lebih jelas di appendix. b.Segregation of Incompatible IT Functions

logika diagram alur, dan daftar kode program.  Review akses programer untuk alasan selain kegagalan sistem Distributed  Tinjau bagan organisasi saat ini , pernyataan misi , dan uraian tugas  incompatible duties . • Pastikan bahwa desain sistem ,dokumentasi,hardware dan perangkat lunak hasil akuisisi diterbitkan dan diberikan to unit TI. • Pastikan kontrol kompensasi ->supervisi monitoring • Dokumentasi sistem aplikasi , prosedur , dan databasesare dirancang

dan

berfungsi

sesuai

dengan

standar

perusahaan . Pemisahan antara suatu fungsi tertentu demi menjaga IC yang baik:  Sys Dev pisahkan dengan Operasional  DBA fisahkan dari unit lain  Sys Dev pisahkan dengan Maintanance (merupakan superior structure) karena adanya resiko:  Inadequate Documentation: Programmer mengembangkan

sistem

baru

mendokumentasikan kinerja sistem lama,

suka

daripada juga soal job

data disebar ke berbagai titik, pengamanan menjadi di banyak pintu namun tersebar, resikonya tidak seluruh titik memiliki pengamanan yang sama. Dalam topologi STAR lebih aman karena kalo satu mati yg lain relatif tidak terganggu sedang pada Topologi BUS jika satu titik mati akan

menggangu

yang

lain

meskipun

secara

umum

keunggulanya dia lebih cepat dan murah. Sayangnya sistem

menyusun

Bus akan rentan tabrakan data (lebih lengkap di appendix)

program yang tidak sempurna biar ada kerjaan terus. Program Fraud: unauthorized change karena programer

fokus auditor adalah kepada seringnya sistem down atau

security 

lebih

Dalam sistem terdistribusi pemrosesan dan pengamanan

perlu

diperhatikan

karena

dpat

faham seluk beluk operasi normal. c. The Distributed Model Small, powerful, and inexpensive systems. DisDataProc

kerusakan jaringan maupun software yang mengakibatkan gangguan

komunikasi

dan

pada

database,

resiko

ini

berbeda2 dalam masing2 topologi jaringan.

(DDP) melibatkan reorganisasi fungsi IT pusat ke IT unit kecil C.The Computer Center a. Physical Location : Antisipasi bencana alam maupun manusia yang ditempatkan di bawah kendali pengguna akhir (End cari lokasi yang aman. Users). Unit IT dapat didistribusikan menurut fungsi bisnis, b. Construction : kontruksi fasilitas IT-> tunggal, acces terbatas lokasi geografis, atau keduanya.  Resikonya mnggunakan model DDP:

dan filtrasi bagus. efisiennya c. Access : LIMITED d. Air Conditioning : Adequate untuk menjaga database penggunaan sumber daya, perusakan jejak audit, e. Fire Suppression : Automatic Alarm, Pemadam Api, Exit Door pemisahan tugas kurang memadai, meningkatkan potensi f. Fault Tolerance : Toleransi kesalahan adalah kemampuan tidak

kesalahan pemrograman dan kegagalan sistem

serta

sistem untuk melanjutkan operasi ketika bagian dari sistem

kurangnya standarisasi.  Keuntungannya termasuk pengurangan biaya, peningkatan

gagal (masih bisa running kalau ada sesuatu gangguan)

kontrol biaya, meningkatkan kepuasan pengguna, dan

kesalahan operator.  Redundant arrays of independent disks (RAID)->data  UPS->Listrik g. Audit Objectives Tujuan auditor adalah untuk mengevaluasi kontrol yang

adanya fleksibilitas dalam backup sistem. d. Controlling the DDP Environment  Central Testing of Commercial Software and Hardware diuji dipusat  User Services-> ada Chat room, FAQ, Intranet support dll  Standard-Setting Body -> untuk improve keseragaman prog and doc  Personnel Review-> ada assesment. Audit Objective: Tujuan auditor adalah untuk memastikan bahwa struktur fungsi TI adalah sedemikian rupa sehingga

karena kegagalan hardware, error program aplikasi, atau

mengatur keamanan pusat komputer . Secara khusus , auditor harus memastikan bahwa : kontrol keamanan fisik yang memadai untuk cukup melindungi organisasi dari eksposur memadai

fisik

DAN

untuk

cakupan

asuransi

mengkompensasi

pada

kerusakan

peralatan pusat

komputernya individu di daerah yang tidak kompatibel dipisahkan sesuai h. Audit Procedures dengan tingkat potensi risiko dan dengan suatu cara yang  Tests of Physical Construction. Fisik bangunan server, lokasi dan keamanan terhadap HAZARD EVENT. mempromosikan lingkungan kerja yang kondusif.  Tests of the Fire Detection System. Audit Procedures:  Tests of Access Control. Centralized  Tests of Raid, BU HD  Tinjau dokumentasi yang relevan, untuk menentukan apakah  Tests of the Uninterruptible Power Supply.  Tests for Insurance Coverage. individu atau kelompok yang melakukan fungsi-fungsi yang D. Disaster Recovery Planning tidak kompatibel.

Dengan perencanaan kontinjensi yang hati-hati, dampak dari

Manajemen boleh saja mengalihdayakan fungsi ITnya namun

bencana dapat diredam dan organisasi dapat pulih dengan

tidak dapat mengalihkan tanggungjawab manajemen pada

cepat. Untuk bertahan hidup dari peristiwa darurat seperti itu,

penyediaan Pengendalian Intern yang memadai. SAS 70

perusahaan harus mengembangkan prosedur pemulihan dan

merupakan standar yang mendefinisikan perlunya auditor

meresmikan mereka ke dalam suatu rencana pemulihan

mengetahui kontrol jika IT dilaksanakan oleh vendor pihak

bencana (DRP), suatu skema dalam menghadapi keadaan

ketiga. Vendornya sendiri tentu diaudit oleh auditornya

darurat.Prosesnya adalah sbb:

sehingga IT review dilaksanakan satu kali saja supaya praktis

a. Identify Critical Applications->Buat daftar aplikasi yang paling

dan murah.

penting b. Creating a Disaster Recovery Team ->buat Tim..langgar IC boleh c. Providing Second- Site Backup buat lokasi data

SECURITY PART I: AUDITING OPERATING SYSTEMS AND NETWORKS

cadangan

(duplikasi)  mutual aid pact->dua atau lebih, join SD IT pas bencana  empty shell or cold site; ->sewa tempat pada penyedia

A.

Auditing Operating Systems

OS adalah program pengendali komputer, OS memungkinkan user dan aplikasi berbagi dan mengakses sumberdaya yang

backup  recovery operations center or hot site; ->sewa full equipped

sama

backup  internally provided backup->buat sendiri (mirroring di tmpt

makin besar dan OS menjadi semakin penting.

lain) Audit

Objective:

The

auditor

should

verify

that

management’s disaster recovery plan is adequate and feasible for dealing with a catastrophe that could deprive the

organization

of

its

computing

resources.

Audit

Procedures memastikan hal2 dibawah ini berfungsi dengan baik  Site Backup…lokasi HW IT dll  Daftar Aplikasi penting oke  Software Backup.  Data dan Dokumentasi Backup.  Backup Supplies dan Source Documents.  Disaster Recovery Team di test E.Outsourcing the IT Function

seperti

prosesor,

memori,

printer

dan

database.

Semakin besar entitas maka sumber daya yang perlu diakses a.Operating System Objectives OS memiliki tiga fungsi yakni:  Menterjemahkan bahasa tingkat tinggi COBOL C++ dll, menggunakan

translatornya

->

yakni

Compiler

dan

Interpreters –Ch 5 lbh lengkapnya  Mengalokasikan SD kepada user, grup maupun aplikasi  Mengelola pekerjaan dan banyak program->User/Jobs mengakses komputer melalui 3 cara: Directly, Job Ques dan Links b. Operating System Security Kebijakan, prosedur dan pengendalian yang menentukan siapa yang dapat mengakses OS dan SD IT dan apa saja yang bisa dilakukannya.  Prosedur Log-ON pertahanan pertama, salah brp x blokir

misalnya. Outsourcing IT kadangkala meningkatkan kinerja bisnis inti,  Token Akses -> mengandung KeyInfo:user ID, pass,previledge  Acces Control List (daftar kesaktian user) meningkatkan Kinerja IT (karena keahlian vendor), dan  Discretionary Acces Previledge->Super Admin (Highly mengurangi biaya TI. Logika yang mendasari outsourcing TI Supervised) dari teori kompetensi inti, yang berpendapat bahwa c. Threats to Operating System Integrity organisasi harus fokus secara eksklusif pada kompetensi bisnis  Previldeged personel menyalahgunakan otoritasnya  Individual di dalam dan di luar entitas yang mencari celah intinya saja, sementara outsourcing vendor memungkinkan sistem untuk secara efisien mengelola daerah non-inti seperti fungsi  Individual sengaja atau tidak memasukan virus/bentuk TI (IT dianggap supporting). program lain yg merusak Premis ini, bagaimanapun, mengabaikan perbedaan penting d. Operating System Controls and Audit Tests Area-area yang perlu diperiksa adalah acces personil yang antara komoditas dan aset TI yang spesifik. Commodity IT mendapat previledge, kontrol password (password sekali assets are not unique to a particular organization and are pakai dan berulangkali), kontrol virus dan aplikasi thus easily acquired in the marketplace sementara Specific IT berbahaya dan kontrol pada jejak audit. assets dapat merupakan keunggulan strategis perusahaan. System audit trails (sekumpulan log yang merekam aktivitas Transaction Cost Economics (TCE) theory is in conflict with sistem, aplikasi, user)-> Detailed Individual Logs dan Event the core competency school by suggesting that firms should oriented Logs retain certain specific non–core IT assets inhouse. Jadi Audit prosedurnya:  Pastikan fitur audit trails diaktifkan, disarankan boleh outsource pada SumberDaya IT yang bisa  Cari akses tanpa otorisasi, periode non aktif user, aktifitas digantikan (SW/HW) atau tidak terlalu kritikal..SD IT yang user, waktu log in dan out penting dan unggulan bagi organisasi jangan.  Log on yang gagal (indikasi salah acces/coba2)  Pantau Acces ke file tertentu yang penting a. Risks Inherent to IT Outsourcing  Monitoring dan reporting pelanggaran keamanan IT  Failure to Perform B. Auditing Networks  Vendor Exploitation a. Intranet Risks  Outsourcing Costs Exceed Benefit Terdiri dari LANs dan WANs yang terdiri dari ratusan individual  Reduced Security  Loss of Strategic Advantage node. Ada beberapa resiko terkait Intranet misalnya Pesan b. Audit Implications of IT Outsourcing dapat diintersepsi/disadap/dicegat, adanya resiko akses

kepada DB entitas, personel yang memiliki previleged, mantan karyawan dll

Lebih lengkap lagi dapat merefer ke buku SIM McLeod..hal D.

b. Internet Risks Resiko yang terkait dengan internet adalah adanya IP

49-62 Auditing PC-Based Accounting Systems Aplikasi software akuntansi->wide range->

low

cost

product->kadang modular namun terintegrasi-> berbasis PC Spoofing (nyamar pake IP orang/palsu), DDOS attack yang a. PC Systems Risks and Controls Ada resiko unik terkait Accounting software: membanjiri server sehingga lumpuh baik melalui SYN Flood  Kelemahan Sistem Operasi dibanding Mainframe Model, PC maupun SMURF (tiga pihak ada perantara) dan Distributed keamanannya minimal untuk data dan program, memang Denial of Service Attack pake orang lain sebagai zombienya. bawaan PC yang dituntut portabel Yang perlu diperhatikan adalah juga motivasi orang  Akses Kontrol Lemah program tertentu bisa run tanpa akses menyerang..bisa

iseng..dendam atau menguji keandalan HD (boot from CD) sistem. Selain itu resiko juga berkaitan dengan kegagalan  Pemisahan fungsi kurang, satu orang bisa memiliki banyak akses peralatan dalam berkomunikasi baik LINE, HW dan SW.  Multivel password control kasih user pass beda2 c. Controlling Networks  Resiko Kemalingan..small, handheld easy to theft.  Controlling Risks from Subversive Threats  Prosedur Backup Lemah  Menggunakan Firewall (umum)  Resiko terpapar virus lebih besar  Pasang IPS dan Deep Packet Inspection cegah serangan DDOS Audit obj dan proc menyesuaikan dengan kelemahan2  Pake Enkripsi/sandi dlam pengiriman data tersebut.  TTD Digital dan Sertifikat Digital  Pake Message Sequence Number dan Transaction Log serta APPENDIX CH 3 punya Call Back Devices TOPOLOGI JARINGAN  Audit Objectivenya adalah memastikan bahwa kontrol jaringan dapat mencegah dan mendeteksi akses illegal, mengurangi

TJ adalah pengaturan fisik dari komponen jaringan (node,

data

server, comlink,dll). Beberapa pengertian penting adalah

yang

tidak

terpakai

dan

memadai

untuk

mempertahankan integritas data  Controlling Risks from Equipment Failure cek aja alatnya baik2

sbb:  LAN->

Konfigurasi

jaringan

dalam

satu

gedung

hingga

saja..pake echo cek, parity cek dst C.Auditing Electronic Data Interchange (EDI) EDI merupakan suatu sistem yang memungkinkan

beberapa mil dan menghubungkan ratusan user, komputer

mekanisme pertukaran data dan informasi bisnis antar

melampai kemampuan geografis LAN dia berubah menjadi

komputer antar entitas dapat diproses oleh komputer secara

WAN. Nodes dalam WAN termasuk komputer workstations,

mandiri dalam suatu bentuk komunikasi dengan format

minicomputer,mainframe dan kumpulan LAN itu sendiri.  Koneksi fisik dalam LAN dicapai melalui NIC (network interface

standar. Refer ke cerita american hospital atau EDI DJBC. a. EDI Standards –ANSI, EDIFACT dll b. Benefits of EDI  Data Keying, mengurangi entry data berulang  Error Reduction, ga doble ngetik2, tapi kalo salah satu tapi di awal bisa salah semua sampai akhir.  Mengurangi kertas  Mengurangi biaya kirim dokumen  Prosedur terotomasi..manajer mikirin yg lain saja (MBExcp)  Pengurangan biaya Inventory melalui EOQ/JIT c. Financial EDI –Pake transfer elektronik dalam kirim uang d. EDI Controls (Validasi dan Otorisasi) Karena berkurangya peran manusia maka ada pengendalian

yang terhubung ke LAN dinamakan Nodes. Ketika jaringan

card),

salahsatu

slot

ekspansi

dalam

komputer

(ya

mungkin semacam colokan RJ45 buat kabel LAN, atau Wifi Receiver atau kartu didalam motherboard)  NODES dalam LAN sering berbagi sumberdaya

seperti

program, data dan printer melalui suatu komputer yang ditujukan untuk itu yang dinamakan server.

yang unik dan berbeda dengan sistem manual utamanya adalah soal otorisasi dan validasi transaksi. Sehingga auditor harus memperhatikan:  ID dan Password serta valid file dalam DB buat pembanding  Cek validasi lagi sebelum pesan dikirim jalan tidak  Aplikasi cek ke file referensi sebelum di proses  Antar jaringan terhubung dengan suatu kombinasi HW dan SW e. Access Control Agar berjalan baik sayangya dalam sistem EDI perusahaan yang dinamakan BRIDGES (menghubungkan LAN dalam harus memberikan sejumlah akses kepada partnernya untuk satu tipe->IBM tokenring to IBM tokenring) dan GATEWAY mengakses DB perusahaan. Sehingga sangat penting untuk

(menghubungkan LAN dari berbagai type atau LAN ke WAN)

memiliki file valid vendor maupun valid customers, juga bisa dibatasi read only saja tidak bisa merubah data. Karena sudah paperless satu2nya audit trails bisa jadi Cuma file LOG saja..keep it safe. Audit Objektif: Semua transaski EDI telah diotorisasi dan divalidasi, tidak ada transaksi tanpa otorisasi yang running, acces hanya kepada data yang diperkenankan dan kontrol yang cukup dalam pengamanan Log file.

Berikut 5 macam Topologi Dasar yang perlu diketahui:  STAR (mirip bintang?)

 BUS bukan TransJ

Jaringan dengan Pusat komputer yang besar (HOST) yang memiliki hubungan langsung dengan komputer/jaringan yang lebih kecil. Komunikasi dalam topologi ini diatur dan dikendalikan dari HOST. Biasanya digunakan dalam WAN, model DB yang umum adalah data2 lokal (contoh pinjaman, yg disimpan di masing2 kantor adalah data customersnya) disimpan di NODES2 (komputer kecilnya/jaringan lokal) sedangkan data yang umum (contoh jumlah tagihan, piutang) disimpan dipusat (HOST). Jika satuatau lebih nodes mati yang lain masih bisa running, kalo Hostnya yg down ya Cuma bisa operasi sendiri2 nodesnya.

Akses

antar

nodes

juga

dimungkinkan,

Topologi LAN paling populer, seluruh nodes terhubung ke satu kabel utama yang dinamakan (The BUS). Satu atau lebih server mengendalikan komunikasi dan transfer data. Sama seperti di RING masing2 nodes memiliki alamat unik. Hanya satu nodes yang bisa transfer setiap waktu (make jalan/kabelnya gantian). Simple reliable dan murah. Terkait dengan ASI yang harus diperhatikan adalah kelemahan inheren di masing-masing jaringannya. Di sini rentan terjadi tabrakan data, concern auditor pada seringya tabrakan dan efeknya terhadap DB.  CLIENT-SERVER

tergantung DBnya.  HIRARKI

Istilah Client-Server sering Satu komputer HOST terhubung dengan beberapa level komputer yang lebih rendah/lebih kecil dengan hubungan Juragan_Babu. Digunakan pada organisasi tersentralisasi, misal data order dari level bawah, dirangkum di level regional

lalu

produksi

ke

dikirim

ke

regional,

pusat,

pusat

regional

bagi

memerintahkan lagi

ke

unit

dibawahnya..semacam itula.

disalahgunakan/disalahfahami

sebagai seluruh tipe pengaturan jaringan. Padahal topologi ini punya karakteristik spesifik yang berbeda dengan topologi lainnya. Dalam jaringan DDP tradisional misalnya jika user ingin melihat satu record di DB pusat, komputer pusat akan mengunci dan memberikan seluruh DB ke user tersebut, ketika record diapdet baru DB itu dikirim lagi ke pusat. Client-Server model mendistribusikan pemrosesan antara

 RING (CINCIN..ya iyalah)

user dan server dengan fungsi yang berbeda. Jadi program pencarian

ada

di

server

data

manipulasi/perubahan

diberikan ke client. Sehingga ketika ada permintaan satu record yang dikirim server ya saturecord itu saja, kalo sudah diapdet record dikirim ke pusat dan direstore ke DB. Sistem ini lebih efisien, mengurangi trafic dan akses ke satu file bisa dilakukan secara bersamaan. Dapat diaplikasikan ke seluruh Topologi lainnya. Tidak ada site pusat/central, semua nodes selevel dan manajemen komunikasi disistribusikan keseluruh nodes. Pergerakan

data

satu

arah

sehingga

meminimalkan

tabrakan data. Tiap nodes memiliki alamat berupa kode

PENGENDALIAN JARINGAN Tujuan dari pengendalian jaringan adalah agar supaya: a. Menyediakan suatu sesi komunikasi diantara pengirm dan

penerima. elektronik yang unik, jika mau kirim dari A ke D, lewat di B b. Mengelola aliran data sepanjang jaringan. c. Mendeteksi dan menyelesaikan masalah tabrakan data antara dan C hanya sebagai kolanding, (sunda:makcomblang) nodes yang saling berkompetisi. perantara, Cuma di terima, lalu dikirim lagi ke tujuan. d. Mendeteksi error dalam jaringan atau yang disebabkan karena Kebanyakan pake model ini masing2 nodes bisa manage sinyal program dan database secara lokal. Salahsatu nodes dapat HANYA ada satu node dalam suatu waktu yang bisa menjadi penyimpan data pusat yang dapat diakses seluruh mengirimkan pesan, dua atau lebih pengiriman pesan secara nodes.

bersamaan dapat mengakibatkan tabrakan data(collision)  Logic Bomb, destruktif program yang diaktifkan melalui yang menghancurkan keduanya (meskipun kecepatannya

kejadian yang telah disetting sebelumnya misal tanggal

dalam mili detik). Ada beberapa teknik untuk mengelola dan

tertentu/jam tertentu. Waspadai pegawai yang keluar dari

mengendalikan lalu lintas data, tiga varian dasarnya adalah

organisasi dapat mensetting kerusakan sekian lama setelah

sbb:

dia berhenti.  Back Door, program yang mengizinkan akses illegal masuk ke sistem tanpa melalui saluran prosedur yang normal (front door). Bisa digunakan untuk memantau sistem atau untuk fraud.  Trojan Horse, menangkap ID dan password dari user dengan meniru prosedur log in normal.

SECURITY PART II: AUDITING DATABASE SYSTEMS A. Data Management Approaches menanyakan (POLLING) apakah site lain (budak) hendak a.The Flat-File Approach Data files yang mengandung record dengan tanpa memiliki kirim pesan atau tidak, untuk menentukan siapa yang bisa hubungan yang terstruktur dengan file lain. Sering mengirim data dan menghalangi yang lain. Tabrakan dapat

 Polling, most popular dalam WAN. Satu site sebagai master

dicegah dan site yang penting dapat dikasih prioritas.  Token Passing, mentransimiskan sinyal spesial (token)

dihubungkan dengan legacy system (sistem warisan) udah

keseluruh jaringan dari node ke node. Jaringan yang mau

user, sistem mainframe yang besar user tidak berbagi data

ngirim pesan menangkap sinyal ini sebagai kunci, nodes

dengan end user lainnya. Format sesuai kebutuhan satu

yang tidak kirim akan melewatkan saja tokennya. digunakan

orang Ketika end user lain membutuhkan data yang sama

di Bus dan Ring biasanya.

untuk tujuan yang berbeda, mereka harus menyusun set

jadul namun masih ada yang pakai. Pendekatannya single

data yang terpisah untuk memenuhi kebutuhan mereka. Replikasi-replikasi ini merupakan kelemahan model ini disebut data redudancy yang mengakibatkan masalah pada flat file: o Data Storage: Data yang umum dan digunakan bersama  Carrier Sensing, biasanya dipake di Bus, nodes yang hendak

disimpan

sendiri2,

terduplikasi

diseluruh

level

kirim data mendengarkan (menyensor/scan/stalking) ke

organisasi..boros space o Data Updating-:Banyak data pada file acuan dan file master

jaringan utama (kabel BUS) lagi kosong atau tidak. Agak

yang memerlukan pembaharuan berkala, apdetnya harus

masih beresiko tabrakan kalo stalkingya tidak akurat, ketika terjadi server akan memberikan kesempatan kepada nodes

satu2. o Currency of Information: Kegagalan untuk membaharui

untuk mencoba lagi. Kalo jaringannya supersibuk akan

semua file pemakai yang terpengaruh jika ada perubahan

mengakibatkan banyak delay. Eternet adalah salahsatu

dalam

contoh pake model ini keunggulannya: simple, murah karena tidak perlu pasang dua kabel (RING pake twistpair

status

menghasilkan

keputusan

berdasar

pada

informasi ga uptodate. o Task Data Dependency (Limited Access) ketidakmampuan pemakai untuk memperoleh informasi tambahan, ketika

cable supaya mantap), kartu jaringanya lebih murah dan

kebutuhannya berubah, informasi dibatasi oleh data yang

pake bus lebih mudah dikembangkan. B.

dikuasai dan dikendalikannya saja. The Database Approach Pendekatannya

menggunakan

Database

management

system (DBMS) suatu software khusus yang diprogram untuk mengatur lalulintas DB dan menggunakan mekanisme otorisasi

akses.

Pendekatan

ini

memusatkan

pengorganisasian data ke dalam database umum sehingga  Program2 berbahaya:  Virus, suatu program yang menempelkan dirinya pada

dapat dibagi dengan pemakai lainnya. Keunggulanya ya: mengatasi seluruh masalah dalam flat file diatas itu.

program yang sah untuk melakukan penetrasi kedalam C.Key Elements of the Database Environment  Database Management System sistem operasi dan menghancurkan aplikasi, data atau DBMS menyediakan pengendalian untuk membantu atau Osnya sendiri. mencegah akses ke DB. Fiturnya:  Worm, istilahnya dipertukarkan dengan virus, program yang secara virtual mengubur diri dalam memorikomputer dan

 Program Development, berisi Aplikasi Pengembangan Program

menduplikasi dirinya dalam area memori yang idle. Bedanya

Perangkat Lunak  Backup and Recovery, sejak memproses, secara periodik

dengan virus worm ini kembaranya masih terhubung dengan induknya sementara virus berkembang independen.

DBMS membuat backup copy di physical database

 Database Usage Reporting, ciri ini menyatakan data statistik

(path). Kelemahan: Parent dapat memiliki satu atau lebih

apa yang digunakan, kapan mereka gunakan dan siapa

catatan child. Tidak ada satupun catatan child memiliki

yang menggunakan  Database Access, ciri yang sangat penting yaitu memberikan

parent lebih dari satu. Tidak mencerminkan kondisi

ijin otorisasi untuk dapat mengakses, baik formal maupun

dari satu Untuk mengatasi kelemahan ini biasanya

informal database melalui 3 modul:  Data Definition Language

(DDL).



child

diduplikasi

sehingga

menciptakan/menyajikan dua hirarki yang terpisah. The Network Model Model ini sama dengan hirarki juga

data, dokumen/catatan, dan file yang terdapat di dalam

merupakan navigational type, dengan suatu pengecualian

database. Database View  Internal View/Physical

dalam hubungan antara record dan file. perbedaannya View->

struktur

model network mengijinkan catatan anak memiliki parent

catatan

data, hubungan-hubungan antara sebuah file dan



catatan

DDL

mengidentifikasikan nama dan hubungan semua unsur



sebenarnya satu catatan child dapat memiliki parent lebih



lebih dari satu. The Relation Model Perbedaan model relation dengan



rencana physical dan rangkaian catatan dalam file Conceptual View/Logical View-> skema logical, abstrak External View/User View ->subskema pandangan

kepada user. Model ini menggambarkan data dalam tabel



dari user Users Fformal Access-App Interfaces: Ada dua jalan untuk

pertemuan column dan row membentuk tuples (record).

pengguna mengakses database, salah satunya adalah dengan aplikasi formal interface, atau pake informal seperti Data Manipulation Language dan Structured

model pertama adalah cara hubungan data disajikan dua dimensi. Bagian kolom berisi atribut, sedangkan Berisi kesatuan data yang sama tetapi tidak sama persis, untuk

dicatat

dalam

sistem

file

flat.

Tabel

harus

dinormalisasi dan masing2 atribut dalam row bergantung kepada primary key atau independen atribut yang lain. Kan lbh detail di ch 8

Query Languange (mumet)  The Database Administrator

Database Terminology (refer ke Ch

M Mcleod dan

Appendix A)  Entity adalah representasi database akan suatu dari tiga hal ini

yakni

elemen

lingkungan,

sumberdaya

atau

transaksi/event yang penting dan harus didokumentasikan dalam bentuk data.  Attribute adalah karakteristik dari suatu entitas, atribut yang unik dinamakan identifiers atribut lain yang menjelaskan entitas dinamakan descriptor.  Data Attribute/Field adalah single item data seperti nama, alamat dll  Record Type (table or File) kumpulan atribut data yang secara  The Physical Database Physical Database adalah level paling rendah dari database dan satu-satunya level yang ada dalam bentuk fisik.Physical database terdiri dari titik-titik magnetic pada magnetic disk. 

Data Structure, adalah bata dan semennya database,

logis mendefinisikan entitas.  Database kumpulan record type yang dibutuhkan organisasi untuk mendukung bisnis prosesnya.  Associations/ Relationship adalah yang hubungan yang terjadi diantara suatu record atau entitas dengan yang lainnya.

Bentuknya:  One to One  One to Many dipanggil, dan dimungkinkan dipindah dari catatan satu  Many to Many ke lainnya. Struktur data terdiri dari: D. Databases in a Distributed Environment  Organisasi Data adalah cara pencatatan secara a.Centralized Databases fisik yang diatur pada alat penyimpan secondary.  Data Access Method adalah teknik yang digunakan yang

membolehkan

catatn

ditempatkan,

disimpan,

untuk menempatkan catatan dan mengendalikan melalui database.  DBMS Models Data

model

adalah

mengenai

entitas,

(transaksi)

dan

suatu

termasuk

representasi sumber

abstrak

(aset),

agen (personalia atau

data

kejadian

customer) dan

hubungan mereka dalam organisasi. Tujuan Data Model adalah menyajikan atribut entitas dengan cara yang mudah dipahami oleh pemakai. Ada tiga model data 

The Hierarchical Model (=struktur pohon/ayah anak ingat

Penyimpanan DB di satu lokasi terpusat. Unit yang lain meminta akses dan proses lalu mentransmisikan ulang kembali ke DB. Data relatif terupdate dengan catatan harus

kan…) Model ini sering disebut navigational database

dicegah dua akses dari dua user secara bersamaan.

karena membuatan garis file diikuti pra penetapan jalur

Biasanya menggunakan mekanisme penguncian.

 Time-stamp

b.Distributed Databases  Partitioned Databases Approach

setiap

transaksi.

Ada

jam

yang

mencatat

transaksi dengan ID number khusus mengakomodoasi perbedaan

waktu

dimasukkan

ke

Jika

muncul

dalam

konflik

schedule

maka

serial

transaksi

sehingga

data

menjadi runut mengapdet database. Keputusan itu untuk mendistribusikan database harus penuh pertimbangan,

ada

beberapa

trade-off

yang

harus

dipertimbangkan. Pilihan ini berdampak pada kemampuan organisasi itu untuk memelihara integritas data. Penjagaan jejak audit dan ketelitian dari catatan akuntansi adalah kunci yang harus difahami juga oleh auditor. E.Controlling and Auditing Data Management Systems Pendekatan partitioned database memecah database pusat a.Access Controls menjadi segmen-segmen atau partisi-partisi yang Pengendalian DBMS dikelompokkan menjadi dua yaitu: didistribusikan ke pemakai data yang utama. Keuntungan pendekatan ini:  Data

yang

tersimpan

pada

site

lokal

pengendalian

data yang harus dikirim antara unit IT.  Database yang dipartisi/didistribusi dapat mengurangi efek ->

Pada

dan menghancurkan data entitas. 

lingkungan

satu sama lain dari database, sehingga mencegah masingpemrosesan

User Views Adalah subset dari total database yang akses ke database (tampilan yang diijinkan per user

transaksinya.



transaksi

untuk

melengkapi

pemrosesan transaksi lain pada deadlock. Concern auditor

melihat (DB). Database Authorization Table Berisi aturan-aturan yang membatasi tindakan yang dapat diambil pemakai. Teknik

Untuk

ini

mengatasi deadlock pada umumnya melibatkan lebih dari suatu

pengendalian

individu tanpa otorisasi menampilkan, memanggil, merusak,

terdistribusi, dimungkinkan bagi site ganda saling mengunci

pembatalan

dan

menegaskan domain data pemakai dan menyediakan

potensial kerusakan. The Deadlock Phenomenon

satu

control)

Adalah pengendalian yang dirancang untuk mencegah

mengijinkan akses lokal ke data dan mengurangi volume

melakukan

(access

backup. meningkatkan o Access Controls

pengendalian user.  Waktu respon pemrosesan transaksi ditingkatkan dengan

masing

akses



sama

dengan

pengendalian

digunakan dalam sistem operasi. User-Defined Procedures, adalah mengijinkan

seberapa sering deadlock dan apakah antisipasinya oke.  Replicated Databases

daftar

keamanan

pemakai

untuk

personalatau



tunggal. Data Encryption,

data

prosedur

menciptakan

rutin

identifikasi pemakai positif

akses

untuk

lebih

yang

program

menciptakan

daripada

ecryption

yang

password

digunakan

untuk

melindungi data yang sifatnya sangat sensitif. Dengan prosedur data encryption maka penyusup data tidak 

dapat membaca data karena database di-scramble Biometric Devices adalah prosedur yang menggunakan alat



biometrik

untuk

mengukur

berbagai

macam

karakteristik personal, seperti sidik jari. Inference Controls, salah satu kemampuan database

Database direplikasi dapat menjadi efektif pada perusahaan

query adalah menyediakan ringkasan dan data statistik

yang tingkat sharing datanya tinggi, tidak ada pemakai

pengambilan keputusan bagi pengguna.

utama. Dengan mereplikasi data pada setiap bagian, akses data untuk tujuan query dapat dipastikan, dan lockuts dan keterlambatan akibat lalu lintas data dapat diminimalkan. Kelemahan pendekatan ini adalah menjaga (maintaining)

B. Backup Controls

dan updating versi terbaru dari masing-masing database.

Adalah pengendalian untuk memastikan bahwa kejadian

c. Concurrency (data integritas) Control

kehilangan data akibat akses tanpa otorisasis, kegagalan

Database concurrency adalah adanya kelengkapan dan

perangkat, atau kerusakan fisik organisasi dapat diperbaiki

keakuratan data pada semua lokasi data pengguna.Metode

oleh database tersebut.

umumnya menggunakan transaksi yang diserialkan dengan

Backup Controls in the Flat-File Environment Teknik backup

melabeli transaksi dengan dua kriteria: 

yang digunakan tergantung pada media atau struktur file. Grant-parent-child backup adalah Software khusus untuk mengelompokkan transaksi ke  GPC Backup Technique dalam

kelas-kelas

potensial.

untuk

mengidentifikasi

konflik

teknik yang digunakan dalam sistem batch file sekuensial. Prosedur

backup

dimulai

ketika

file

master

sekarang

(parents)

diproses

terhadap

file

transaksi

untuk



memproduksi file master updated (child). Pada transaksi

Mulai

munculnya

organisasi

otonomi

yang

terdesentralisasi

batch berikutnya, anak menjadi master file, file parent yang

Jenis Commercial Systems:

asli naik menjadi backup (grantparent)  Turnkey System-> sistem sudah jadi dan siap implementasi  Direct Access file Backup Nilai data pada akses langsung  General Accounting System->: sistem akuntansi secara diubah tempatnya dalam suatu proses yang dinamakan destructive replacement. Oleh karena itu, sekali data



umum untuk melayani berbagai macam user Special purpose System: sistem yang dibuat untuk segmen

berubah, nilai asli dihancurkan, dan hanya meninggalkan

pasar tertentu, seperti:

industri perbankan,

bidang medis  Office Automation System  Backbone System: Basic struktur tinggal dikembangkan pada GPC maupun pendekatan langsung rorpada tempat  Vendor supported System Sistem hibrid antara custom dan yang aman di luar site. comercial system. Pengendalian backup untuk lingkungan database Keuntungan Commercial Systems menyediakan sistem backup dan pemulihan sebagai berikut:  Waktu implementasi cepat  Backup secara periodik untuk seluruh data.  Cost rendah  Transaction Log (Journal) The transaction log adalah fitur yang  Reliabilitas (sudah dites dulu sebelum dirilis) satu versi terbaru.  Off-Site Storage Adalah tempat penyimpanan backup baik

menyediakan jejak audit seluruh transaksi yang diproses.  Checkpoint Feature Adalah fasilitas yang menunda seluruh proses sementara data sedang diperbaiki (proses pemulihan data) transaction log dan database mengubah log database.  Recovery Module Modul ini menggunakan logs dan backup untuk

memulai

kembali

setelah

sistem

mengalami

kegagalan

KerugianCommercial Systems:  

Ketergantungan pada vendor dalam pengoperasian Sulit dikustomisasi. Commercial Systems biasanya terlalu



umum dan kaku Pemeliharaan. Jika

kebutuhan

user

berubah,

sulit

memodifikasi sistem C.The Systems Development Life Cycle Systems Development Life Cycle (SDLC): planning sistem,

SYSTEMS DEVELOPMENT AND PROGRAM

analisis sistem, desain konseptual sistem, seleksi sistem,

CHANGE ACTIVITIES

desain

A. Participants in Systems Development  Sistem profesional : sistem analis, systems engineers, dan programer. Membangun sistem->produknya Sistem Baru  User : untuk siapa sistem itu dibuat, terdiri dari low sampe high level, saat bangun sistem primary user diikutsertakan.  Stakeholder: didalam dan diluar organisasi namun berkepentingan

terhadap

sistem,

internal

auditor

eksternal auditor, akuntan, steering komite.  Akuntan dan Auditor: profesional yang concern

dan pada

pengendalian, akunting dan audit issue. dilibatkan Internal dan IT auditor, tidak termasuk eksternal auditor karena

rinci,

implementasi

sistem,

pemeliharaan

sistem

adalah aktifitas logis dan berurutan yang secara umum diterima sebagai best practices pengembangan sistem. a.Systems Planning—Phase I Tujuan

dari

perencanaan

adalah

untuk

menghubungkan

proyek dan aplikasi kepada tujuan strategis organisasi. Pihak yang

menyusun

comitee

(CEO,

perencanaan CFO,

senior

biasanya manager,

adalah

Steering

internal

auditor)

Perencanaan secara umum dibagi menjadi:  Strategic Systems Planning -> alokasi sumber daya sistem di

tingkat makro. Biasanya berkaitan dengan kerangka waktu tidak dibolehkan SOX Law. 3 - 5 tahun a.Why Are Accountants and Auditors Involved with SDLC?  SD dianalogikan sebagai proses manufaktur yang  Project Planning-> alokasi sumber daya di tingkat proyek menghasilkan produk kompleks. Akuntan concern pada

individual atau aplikasi dalam frame perencanaan strategis.

integritas proses tersebut, terutama pada proses yang

Peran

auditor

di

tahap

iniadalah

memastikan

bahwa

berimplikasi pada sumber daya keuangan perusahaan.  SDLC menghasilkan SIA. Kualitas informasi akuntansi yang

perencanaan sistem memadai sehingga mengurangi risiko

dan auditor supaya tepat dan sesuai aturan. b.How Are Accountants Involved with the SDLC?  Sebagai user ,Sebagai Tim pengembang dan Sebagai auditor B. Information Systems Acquisition

Systems Analysis adalah dua langkah melibatkan suatu

operasi tidak 3E. diproduksi haruslah terjamin>>perlu kontrol oleh akuntan b. Systems Analysis—Phase II survey

terhadap

sistem

saat

ini

dan

menganalisis

kebutuhan user. Keuntungan melakukan survei: identifikasi

berbeda,

aspek sistem lama yang ingin dipertahankan, memaksa

banyak juga yang mengembangkan sistem sendiri sesuai

sistem analis memahami betul sistemnya, sistem analis

kebutuhan, memerlukan staff dan programer yang selalu

dapat mengisolasi akar masalah karena paham sistem.

stand by.

Kerugiannya adalah analis terjebak dalam survey dan tidak

In-House

Development

Karakteristik

industri

a.Commercial Systems Beli dari vendor dengan empat pertimbangan:   

Relatif murah dari yg customized Vendor sudah mengakomodasi tipe industri Bisnis kecil yang terlalu kecil mengembangkan sistem sendiri

move ON atau bahkan merasa sistem saat ini masih bagus. Dilakukan dengan mengumpulkan fakta: data source, user, data store, proses, data flow, control, dll. Pertimbangkan memasang modul audit di sistem baru. c. Conceptual Systems Design—Phase III

Menghasilkan beberapa alternatif konseptual sistem yang g. System Implementation—Phase VII memenuhi persyaratan sistem yang diidentifikasi selama

Struktur database dibuat dan diisi data, peralatan dibeli dan

analisis sistem. Ada 2 Pendekatan:

diinstal, pegawai dilatih dan sistem didokumentasikan dan

 The Structured Design Approach-> merancang sistem dari atas

ke

bawah.

Biasanya

memakai

DFD

untuk  Testing the Entire System : melakukan test semua modules

menggambarkan bisnis proses dan Struktur diagram untuk menggambarkan dekomposisi top-down  The Object-Oriented Approach-> membangun

digunanakan. sebagai satu kesatuan.  Documenting the System

sistem

Documentation,

Designer

and

Documentation

Programmer (dokumennya

disebut run manual), User Documentation, User handbook,

Peran auditor di tahap ini adalah mengusahakan agar fitur

Tutorial, dll  Converting the Database yaitu transfer data dari bentuk yang sekarang ke format atau media yang diperlukan oleh sistem

Untuk evaluasi dan seleksi serta mengidentifikasi sistem yang terbaik Dilakukan dengan 2 proses:  Detailed Feasibility Studies, meliputi:  Technical feasibility engidentifikasi apakah sistem bisa

baru. Konversi data sangat berisiko sehingga perlu tindakan pencegahan: Validation, Reconciliation, Backup.  Converting to the New System Proses konversi dari old system ke new system disebut Cutover Ada 3 pendekatan system

dikembangkan dengan technologi saat ini atau butuh 

teknologi baru Economic feasibility mengidentifikasi kecukupan dana



untuk menyelesaikan proyek Legal feasibility mengidentifikasi segala konflik antara sistem konseptual dan kemampuan perusahaan untuk



dan murah untuk sistem sederhana namun pendekatan 

melaksanakan tanggung jawab hukumnya Operational feasibility menunjukan tingkat kesesuaian personil dan operasional yang diminta oleh sistem baru Schedul feasibility kemampuan perusahaan untuk

cutover: Cold Turkey Cutover (Big Bang), perpindahan dilakukan secara simultan (sekaligus), pendekatan paling mudah paling berisiko untuk sistem kompleks Phased Cutover (Bertahap)Membagi

seluruh

system

dalam beberapa modul, menjalankan sistem baru secara bertahap,

antara prosedur yang dimiliki perusahaan, keterampilan 

:

informasi dari reusable komponen standar atau objeck. audit masuk rancangan selagi desain konseptual dibuat. d. System Evaluation and Selection—Phase IV



Operator



bisa

menimbulkan

incompatibilitas

antara

sistem baru dan sistem lama yang belum digantikan Parallel Operation Cutover menjalankan sistem lama dan sistem baru secara bersamaan untuk jangka waktu

menyelesaikan proyek tepat pada waktunya  Analisis cost and benefit  Identifikasi Biaya baik yang satu kali : perolehan hardware dan

tertentu, banyak menghabiskan waktu dan biaya Tidak efisien karena mengelola dua kali dokumen sumber, dua

software, persiapan tempat, sistem design, programing dan

kali waktu pemrosesan, dua kali database, dan dua kali

testing, data konversi, training. Maupun yang berulang

output produksi Keuntungan: memungkinkan melakukan

maintenance, insurance, supplies, personel cos  Identifikasi Benefit baik yang tangible benefit : increase

rekonsiliasi antar sistem sebelum menjalankan sistem baru secara independen.

revenue (sales naik di existing market, market expansion) dan

reduce

cost

(labor,

operating,

inventory

turun,

equipment mahal berkurang, maintenance cost turun) dan intangible benefit

(kepuasan customer naik, kepuasan

pekerja naik, decision making semakin baik, operasi lebih efisien)  Bandingkan Cost n Benefit Menggunakan analisis:, NPV, Payback method (break even analysis): Peran auditor di tahap ini memastikan kelayakan ekonomis atas usulan system diukur dengan seakurat mungkin. e. Detailed Design—Phase V

Peran auditor internal dalam system implementation:   

Provide Technical Expertise Specify Documentation Standards Verify Control Adequacy and Compliance with SOX. Post-Implementation Review Meliputi reviu:

 Systems Design Adequacy.  Accuracy of Time, Cost, and Benefit Estimates h. Systems Maintenance—Phase VIII Setelah sistem diimplementasikan, memasuki tahap akhir dalam siklus hidupnya. Pemeliharaan sistem adalah proses formal di mana program aplikasi mengalami perubahan

Untuk menghasilkan penjelasan rinci proposed system yang

untuk mengakomodasi perubahan kebutuhan pengguna. baik memenuhi persyaratan sistem yang diidentifikasi D. Controlling and Auditing the SDLC selama analisis sistem dan sesuai dengan desain Dalam lingkungan sistem informasi berbasis komputer, data konseptual. Akan diadakan walkthrough dan quality keuangan diproses (akses, simpan, update) melalui aplikasi assurance. f. Application Programming and Testing—Phase VI

komputer. Akurasi dan integrritas dari program tersebut secara langsung mempengaruhi akurasi data keuangan klien.

Memilih program dan aplikasi dari berbagai pilihan yang

Kesalahan aplikasi yang material dapat menyebabkan data

sesuai ada COBOL, event-driven languages: Visual Basic, or

hilang/corrupted dan menyebabkan salah saji dalam laporan

object-oriented programming (OOP) languages like Java or

keuangan.

C++.

 Controlling New Systems Development Kemudian melakukan test untuk setiap program modules  Tujuan Audit terkait New Systems Development: a.  Systems Authorization Activities >> All systems must be Metodologi testing: Testing Offline Before Deploying Online properly authorized to ensure their economic justification dan Test Data and feasibility.



User Specification Activities >> Users must be actively

involved in the systems development process  Technical Design Activities  Internal Audit Participation  User Test and Acceptance Procedures  The Controlling Systems Maintenance Mendeteksi pemeliharaan program yang dilakukan tanpa otorisasi. COMPUTER-ASSISTED AUDIT TOOLS AND TECHNIQUES

 Record    

Interogation:

validasi

seluruh

catatan

dengan

menguji hubungan nilai fieldnya. Contohnya: Reasonbleness Checks->->cek dengan master filenya Sign Check-> tanda +/- sudah tepat digunakan? Sequence Checks-> urutan (batch) sudah sesuai atntrian? File Interogation: Memastikan bahwa file yang benar yang diproses sistem sangat penting untuk

master files yg

menyimpan data relatif permanen.  Internal Label Checks->label disk di dalam (bukan diluar)  Version Checks->versi filenya apakah sesuai..1.0? beta?  Expiration date checks->cek file ga kepake,agar tidak

kedelete sembarangan Application Controls  Dalam sistem batch ketika ada Input error perlu dilakukan Prosedur program pengendalian intern yang didesain untuk correction, ada tiga jenis penanganan error yang umum mengatasi terpaparnya sistem dari resiko potensial pada dalam proses input: aplikasi spesifik seperti pembayaran gaji, pembelian dan  Correct Immidiately->kasih warning ke user pengeluaran uang. App controls terdiri dari:  Create an Error File-> delayed, pisahkan dari sistem buat a.Input Controls laporan sistemnya bahwa data tsb error Bertugas untuk membawa data dari ke dalam sistem untuk  Reject Entire Batch-> tolak sluruh batch untuk diproses diproses, IC didesain untuk memastikan bahwa transasksi  Generalized data input systems GDIS menstandarisasi validasi input dengan level kontrol valid, akurat dan lengkap. Dapat dipicu oleh batch maupun tinggi. Ada 3 keuntungan pake GDIS: secara langsung (direct). Dalam dokumen sumber biasanya  Improve control melalui satu sistem validasi umum yang sama melibatkan manusia dan oleh karenanya rentah kesalahan  Memastikan setiap aplikasi menerapkan standar yg sama klerikal yang sering tidak terdeteksi nanti ada opsi data  Meningkatkan efisiensi sistem realtime. Beberapa jenis pengendalian dalam input control  Elemennya: GDIS module, Data File Tervalidasi, Error File, Error A.

Reports, Log Transaksi. b.Processing Controls sumber karena dapat  Run-to-Run Controls Menggunakan batch untuk memonitor batch ketika dia dipalsukan dan masuk sistem lalu menghilangkan aset bergerak dari satu prosedur program ke prosedur program perusahaan lain. Kontrol ini memastikan setiap pergerakan memproses  control : PreNumbered SD, Sequence Limited Acces, Periodic batch dengan benar dan lengkap. Jenis2nya: audit/spot cek  Recalculate Control Totals-mengecek kembali nilai2 dalam  Data coding controls adalah sbb:  Source document controls  Pengendalian terhadap dokumen

 Cek integritas kode data dalam pemrosesan-Nomor rek

batch, has total dibandingkan dengan data master.  Transaction Codes-> hanya transaksi yg benar yg diijinkan Customers, Nomor Inventory, No Akun dll  Errors-> Transkripsi (penambahan, pengurangan,subtitusi) dan  Sequence Checks  Operators Intervention Controls Transposisi (two/multiple number kebalik2) Operator kadang diperlukan dalam mengintervensi suatu  Control: Check Digit (penjumlahan atau menggunakan kegiatan dan hal ini meningkatkan potensi human error. modulus 11) tapi makan Space (nambah record), baiknya Sistem sedapat mungkin memmbatasi intervensi manusia, untuk yg penting saja) jika tidak dapat dilakukan supervisi.  Batch controls  Audit Trails Controls  Rekonsiliasi antara input dan output pada transaski dengan Dalam sistem terkomputerisasi jejak audit akan terpecahvolume tinggi guna memastikan seluruh data terekam, tidak pecah dan lebih sulit diikuti. Sehinga dokumentasi sistem dobel entry dan jejak audit terjaga (inc proses n output

sangat diperlukan untuk dijaga. Beberapa cara menjaga

control). Dengan mengumpulkan tipe input yang sama

jejak audit : dalam satu batch (bundel) lalu mengontrol batch ini dalam  Transactions Logs-mencatat seluruh aktivitas sistem  Log of Automatic Transactions prosesnya.  Elemen: No Batch, tgl, Kode transaksi, Jumlah Rec, Nilainya,  Listing of Automatics Transactions->EOQ/reorder harus diperhatikan Jumlah data non financial ( Hash totalbuat alat kontrol aja,  Unique Transaction Identifiers tidak bernilai)  Error Listings-Laporkan agar diperbaiki  Validation controls c. Output Controls  Deteksi error sblm transaksi diproses, bisa memerlukan untuk Output controls adalah SPI yang memastikan bahwa hasil merefer ke master file sebaiknya sedekat mungkin dengan keluaran sistem tidak hilang, salah sasaran, sumber transaksi.  Controlnya ada 3 level:  Field Interogation: melakukan validasi di level karakter       

dalam Field jenis checknya: Missing data check (blank) cek apakah ada field yg kosong Numeric-alphabetic->isi field apakah huruf/bilangan Zero value->isi field 0 untuk pengendalian Limit check->cek nilai field apakah melebihi standarnya Range check->batas atas dan bawah Validity check->bandingkan dengan data master Check digit->sama dengan diatas itu pake modulus 11

berkurang/rusak atau melanggar privasi. Kegagalan dalam menjaga output dapat mengakibatkan dampak serius bagi perusahaan seperti kehilangan SD ekonomi, penurunan citra bahkan tuntutan hukum. Otput controls

menyesuakan

dengan proses pengolahan dokumennya, secara umum terbagi dua yakni Batch Control System (lebih rentan karena adanya intervensi operator/program) dan Realtime System.  Controlling Batch System Output

Dalam Batch System, output biasanya berupa HardCopy

dengan

outputnya

(Cek, Laporan, PO,dll) dan dalam prosesnya sebagaimana

programnya sudah complince atau belum. Aplikasinya

bagan diatas, memerlukan perantara baik manusia maupun

sendiri

kurang

sehingga

diperhatikan

dapat

detilnya.

memperkirakan Umumnya

pada

program dari mulai proses sampai dengan distribusi. aplikasi yang sederhana. b.White-Box Approach (Through Computer)  Output Spooling Harus memiliki pemahaman mengenai aplikasinya secara  Dalam pengolahan data skala besar-> terjadi backlogged, dicetak

mendalam (pengetahuan MYOBnya dalam juga) hingga ke

(bottleneck)-> sistem membuat suatu file output dalam disk

logika dalam aplikasi. Beberapa tesnya:  Authenticity Tes-> user ID, Password, valid vendor codes dan

hasil

pengolahan

sistem

mengantri

untuk

daripada membebani memori printers (spooling).  Dalam tahap ini output file rentan diacces oleh penjahat cyber

bagan otoritas  Accuracy Test-> range test, filed test limit test yang dapat mengubah, mengcopy secara illegal atau  Completeness Test-> field test, rec sequence test, hash totals bahkan menghapus file sebelum dicetak.  Redundancy Test-> recoknsiliasi batch, record count, hash  Harus ada akses kontrol yang baik dan backup file output totals  Print  Acces Test-> pass, bagan otoritas, data enkripsi, inference  Setelah spooling, dan SD printer tersedia -> printer akan control mencetak, biasanya ada intervensi operator berupa  Audit Trail Test-> transaction log, error file ttp disimpan, mengganti kertas, mengatur mempause, menyesuaikan  Rounding Error Tets->pembulatan bunga bank, salami fraud margin, tinta dsb  Resiko :Operators copy secara illegal/membaca data rahasia  Controlnya: Prenumbered untuk memastikan seluruh cetakan

(bagi kecil2, large number victim, immaterial to each) C.Computer-aided Audit Tools and Techniques for Testing

Controls gunakan kertas multipart berkarbon a.Test Data Method Membuat aplikasi terintegrasi dengan memproses data yang (gesek dulu baru terbaca->pin ATM) sudah dipersiapkan melalui aplikasi yang sedang direview. Bursting Hasil cetakan dipilah-pilah dan disusun ulang, ada Operator Lalu dibandingkan dengan nilai/hasil yang seharusnya. Copy Risk-> Illegal copy, menghilangkan halaman, baca data dulu aplikasinya buat file transaksi dan masternya lalu coba rahasia melalui berbagi input (tape, disc, usb, terminal dll) lihat Control-> Supervisi atau bursting di end user saja hasilnya bandingkan dengan rport yang diharapkan Waste Cetakan yg tidak sempurna, karbon copy dibuang sebelumnya. Ceroboh-> dapt dimanfaatkan , ada akes data teknis dan  Buat Data Tes lengkap, supervisi,

      

informasi penting lainnya dalam dokumen rusak sekalipun  Control-> Penghancur kertas/ dibakar  Data Control Group  Tim verifikasi sebelum HardCopy didistribusikan cek akurasi    

kelengkapan, legalitas, dll Risk dan controls = print dan bursting Distributions Rawan pencurian, hilang, salah tujuan Nama dan alamat tercetak jelas, hati2 akses ke file master

 Base Case Sys Evaluations  Tracing  Advanced Test Data  Disadvantages b.The Integrated Test Facility (ITF) Teknik otomatis yang memungkinkan auditor menguji logika

dan kontrol aplikasi dalam operasi normal. Dicangkokkan dalam sistem ketikda dalam tahap pengembangan nani pas

running akan membuat semacam duplikasi tertentu dari nama dan alamat data namun tidak mengganggu aplikasi.  Untuk data sensitive dapat menggunakan tas berpengaman  Keuntungan kunci/pin, dikawal petugas keamanan atau End User sendiri  Kerugian c. Parallel Simulation yang ambil Auditor menulis program yang mensimulasikan fitur dan  End Users proses kunci dari aplikasi yang direview. Lalu digunakan  Cek kembali dokumen yg diterima, jika ada kejanggalan untuk memproses ulang transaski yang sudah diproses

laporkan bisa jadi errornya karena sistem  Data digunakan dan disimpan perhatikan ruang yang aman,

aplikasi yg direview lalu dibandingkan hasilnya.  Auditor harus faham betul aplikasinya, identidikasi proses dan perhatikan waktu retensi sesuai hukum (pajakk) jika tidak controlnya digunakan hancurkan dengan baik.  Buat simulasi pake 4GL atau Generalized Audit Software (GAS)  Controlling RTS Hasil output tampil langsung dilayar.,terminal atau  Coba simulasikan dengan sampel terpilih  Evaluasi (apakah yg error simulator atau memang Real) printernya end user. Menghilangkan berbagai perantara baik program maupun manusia. Ancaman terbesarnya sama seperti resiko dalam internet dan intranet yaitu:  Equipment Failures (HW, SW maupun LINES Comm)  Subversive Act ( Interception, Illegal Acces, Previledged Employes) B. Testing Computer Application Controls a.Black-Box Approach (Around Computer) Tidak menguji berdasarkan pada pengetahuan mendetail

COBIT Informasi adalah sumber daya kunci bagi semua perusahaan. Diciptakan,

digunakan,

dihancurkan

dengan

disimpan,

menggunakan

ditampilkan, teknologi

dan

sebagai

pemeran kuncinya. Teknologi menjadi bagian dari seluruh aspek bisnis dan individu. Pendekatan penyusunan tata kelola

mengenai logika dibalik aplikasi yang di audit (gak perlu

IT

faham MYOBnya) . Lebih kepada memahami flowchart,

sumberdaya strategis dan direncanakan dengan pendekatan

wawancara dengan client dsb. Dengan pemahaman itu

manajemen strategis pula.

auditor mengetes sendiri dokumen input dan direkonsiliasi

saat

ini

dinilai

harus

dipandang

sebagai

salhsatu

Cobit merupakan suatu framework yang komprehensif yang membantu

perusahaan

menyampaikan

nilai

dalam

melalui

mencapai

tata

kelola

tujuannya

dan

(strategis)

dan

ke dalam petunjuk praktek untuk pelaksanaan manajemen harian. b.

Proses, menjelaskan kumpulan terorganisasi dari praktek-

manajemen (operasional) Teknologi Informasi Perusahaan.

praktek dan aktifitas-aktiftas untuk mencapai tujuan yang

Governance ensure ->Evaluation,Direction and Monitoring.

telah ditentukan dan menghasilkan sekumpulan keluaran di

Manajemen->Plan Build Runs and Monitoring. COBIT 5 brings together the five principles that allow the enterprise to

build

an

effective

governance

and

dalam dukungan pencapaian seluruh sasaran TI c.

management

Struktur organisasi, entitas pembuatan keputusan kunci di dalam perusahaan

framework based on a holistic set of seven enablers that d.

Budaya, etika, dan tingkah laku, merupakan kebiasaan dari

optimises information and technology investment and use

individu dan perusahaan yang sering dianggap sebagai

for the benefit of stakeholders.

faktor penghambat kesuksesan di dalam aktifitas tatakelola

Cobit 5 didasarkan pada 5 prinsip kunci tatakelola dan manajemen TI perusahaan yaitu :

dan manajemen. e.

Informasi, adalah sebuah kebutuhan untuk memastikan

a.

Pemenuhan kebutuhan Stakeholder

agar organisasi tetap berjalan dan dapat dikelola dengan

b.

Melindungi titik-titik penting perusahaan

baik. Tetapi di tingkat operasional, informasi seringnya

c.

Penggunaan satu framework terintegrasi

d.

Memungkinkan pendekatan secara holistik

e.

a.

digunakan sebagai hasil dari proses perusahaan f.

Meminsahkan tatakelola dengan manajemen

Layanan, infrastruktur dan aplikasi, menyediakan layanan dan proses teknologi informasi bagi perusahaan

COBIT 5 mendeskripsikan 7 kategori yang berperan sebagai g.

Orang, keterampilan dan kemampuan, dibutuhkan untuk

penggerak yaitu :

menyelesaikan semua aktifitas dan membuat keputusan

Prinsip-prinsip, kebijakan-kebijakan, dan framework, adalah sarana untuk menerjemahkan tingkah laku yang diinginkan

yang tepat serta mengambil aksi-aksi perbaikan.