Audit Sistem Informasi - I dan II
Tanggung Jawab Auditor Internal
Auditor internal perlu
memahami dan mengevaluasi berbagai risiko serta peluang yang terkait dengan
teknologi informasi karena beberapa alasan:
Ø
Cepatnya
pertumbuhan teknologi
Ø
Penggunaan
siste informasi yang lebih luas di se±ap fungsi organisasi yang semakin erat
hubungannya satu sama lain
Ø
Penggunaan
mainframe, pemrosesan terdistribusi, dan komputer pribadi yang disertai
meningkatnya persentase penggunaan di antara para karyawan dan manajer
organisasi
Ø
Peningkatan
yang luas atas informasi yang tersedia bagi para manajer
Ø
Penurunan
skeptisme mengenai akurasi dara yang diproses melalui sistem informasi
Ø
Pergeseran
manajemen sistem dari bidang keilmuan para ahli pemrogram ke para pengguna
akhir
Ø
Peningkatan
pengetahuan akan sistem informasi dalam masyarakat umum mengarah pada semakin
tersebar luasnya kemampuan untuk menangani data
Ø
Peningkatan
penggunaan Local Area Network (LAN), dan lingkungan komputasi yang
terdistribusi
Ø
Peningkatan
penggunaan basis data personal
Ø
Peningkatan
penggunaan sistem perusahaan secara keseluruhan
Berbagai fungsi
pemrosesan data yang umum, kontrolnya, serta tanggung jawab audit internal
dibagi menjadi dua bagian:
Ø
Kontrol
umum, yang mencakup kontrol lingkungan yang umum untuk semua sistem informasi
dalam organisasi.
Ø
Kontrol
aplikasi, yang diterapkan untuk aplikasi bisnis tertentu.
Kemajuan peranti lunak dan peranti keras membutuhkan beberapa topik khusus:
Ø
Peranti
lunak yang dipasok oleh vendor
Ø
Komputer
pribadi (PC) dan komputasi pengguna akhir
Ø
Pemprosesan
data terdistribusi
Ø
Efektivitas
dan efisiensi sistem
Ø
Dokumentasi
Ø
Persyaratan
hukum
Komponen sistem informasi
Biasanya sistem
informasi dapat dibagi ke dalam peranti keras dan peranti lunak
1. Peranti keras
Sistem peranti keras
yang digunakan dalam bisnis dapat dikategorikan ke dalam empat kelompok:
Ø
Server
adalah sistem yang menerima permintaan dari sistem lainnya, menghubungi klien,
dan memproses permintaan tersebut.
Ø
PC adalah
sistem yang lebih kecil dan yang memiliki sejumlah kecil peralatan input/output.
Ø
Minikomputer
sangatlah bervariasi dalam ukuran dan kemampuan pemprosesanya. Biasanya,
minikomputer memiliki memori besar, bersama dengan beberapa terminal, printer,
dan kapasitas disk drive yang besar.
Ø
Mainframe
yang seringkali berbiaya jutaan dolar, umumnya memiliki banyak sekali
terminal/pengguna, peralatan penyimpanan seperti hard disk dan tape drive,
printer bervolume tinggi, memori prosesor yang sangat besar, serta aplikasi
yang rumit.
Komponen dasar SI
Ø
Central
prossecing unit. Fungsinya
adalah sebagai otak dari komputer.
Ø
Tape
dive magnetis. Tape drive
membaca dan menulis data, secar berurutan, ke dalam pita magnetis.
Ø
Densitas
adalah ukuran tentang
seberapa banyak data dapat dikemas dalam satu inci pita komputer.
Ø
Disk
drive. Walaupun penyimpanan
dengan pita dapat diandalkan dan tidak mahal, kelemahan utamnya adalah bahawa
data hrus dibaca secara berurutan dari awal ke akhir pita.
Ø
Printer
impack. Printer ini adlah
perlatan periferal yang sangat bervariasi dalam hal kecepatan, penampilan
output, dan kapasitasnya.
Ø
Printer
non-impack. Jenis yang umum
dari printer ini adalah printer laser, yang dapat mencetak banyak sekali teks
atau grafik dengan sempurna.
Ø
Konsol. Adalah terminal yang berfungsi sebagai pusat
perintah untuk interaksi manusia agar dapat mengontrol sistem tersebut.
Ø
Terminal. Peralatan terminal, yang biasa disebut
sebagai terminal cathode-ray tube (CRT) atau terminal tampilan vidio, adalah
salah satu bentuk peranti keras input/output yang paling banyak digunakan.
2. Peranti lunak
Ø
Peranti
lunak memberikan perintah
pada prosesor sistem. Investasi pada peranti lunak, termasuk pembelian paket
peranti lunak, gaji karyawan untuk mengembangkan dan memlihara program, serta
biaya perawatan yang harus dibayar ke vendor, sering kali secara substansial
melebihi biaya peranti keras.
Ø
Peranti
lunak aplikasi. Peranti lunak
aplikasi melakukan pemrosesan kegiatan bisnis organisasi dan terdiri atas serangkaian
program.
Ø
Peranti
lunak sistem. Peranti lunak
sistem operasi mengelola operasi internal komputer itu sendiri.
Organisasi data dan metode pemrosesan data
Berikut ini adalah
pemrosesan dasar yang saat ini umum digunkan:
1. Pemrosesan secara
batch
Teknik yang paling tua untuk memproses data adalah
pemrosesan secara batch. Berbagai kelas transaksi dikelompokan menjadi satu,
serta diproses sekaligus oleh sistem. Metode ini adalah metode lama untuk
memproses data dalam jumlah yang sangat besar dan menawarkan kontrol pada
tingkat yang paling tinggi.
2. Entri
online/Pemrosesan batch (memo post)
Aplikasi memo post menyiapkan entri, permintaan dan edit
data secara online, tetapi memperbaharui arsip utama dengan pemrosesan secara
batch.
3. Online real time
Aplikasi yang dijalankan secara online real time
memperbaharui arsip sistem segera setelah data dimasukan ke dalam terminal.
Hasilnya, data tersebut selalu merupakan data terbaru.
Kontrol sistem informasi
Kontrol dalam sistem
informasi adalah alat yang digunakan untuk mengelola hal-hal tersebut dan untuk
membantu mencapai tujuan dari pihak manajemen. Alat ini berbeda dari alat yang
digunakan dalam lingkungan manual karena:
Ø
Sumber
data kadang independen dari pengguna data
Ø
Jejak
transaksi dari input ke output jarang tampak oleh mata manusia
Ø
Adanya
kebutuhan atas kejelasan jika tidak terdapat pertimbangan manusia
Ø
Dokumentasi
harus akurat dan dapat digunakan
Ø
Tanggungjawab
informasi pengguna dibagi dengan fasilitas pemrosesan SI
Faktor yang menghalangi
pengembangan sistem kontrol yang memadai, yaitu:
Ø
Pengumpulan
fakta dan evaluasi dapat saja tidak lengkap
Ø
Peran
pengguna semakin meyakini apapun yang mereka temukan dalam laporan sistem
tersebut hanya karena laporan tersebut berasal dari sistem informasi, mereka
tidak mempelajari secara skeptis laporan tersebut untuk melihat “apakah data
yang diberikan masuk akal”.
Ø
Kurang
terdapat arah yang jelas dan sesuai
Ø
Pihak
manajemen senior mungkin tidak melakukan tanggungjawabnya atas sistem kontrol
pada tingkat dasar karena masalah tersebut terlalu teknis
Ø
Berbagai
kesalahan dapat muncul dalam desain sistem
Ø
Komunikasi
seringkali tidak baik diantara para karyawan bagian sistem, pengguna, dan pihak
manajemen, hingga para pengguna gagal untuk mengidentifkasi kontrol mana yang
dibutuhkan untuk berbagai transaksi, pemrosesan data, serta menerima output
informasi.
Ø
Pemrogran
yang tidak bertanggungjawab dapat memasukan perintah ke dalam sistem agar dapat
menyimpangkan aktiva demi kepentingan sendiri.
Kontrol umum
Kontrol organisasi
a. Deskripsi
Kontrol organisasional
meliputi tanggungjawab dan otoritas yang memadai untuk aktivitas EDP. Tanggung
jawab semacam ini haruslah mencukupi untuk memungkinkan aktivitas SI memenuhi
tujuan organisasi secara efisien dan efektif.
Di dalam aktivitas SI,
efisiensi ditingkatkan melalui pengelompokan fungsi yang tepat. Pengelompokan
yang utama adalah:
Ø
Operasi
dan produksi. Mengubah
dokumen sumber tertulis ke bentuk yang dapat dikenali oleh mesin.
Ø
Pengembangan
proyek. Mengembangkan sistem
dan mendesain berbagai metode serta persyaratan baru.
Ø
Layanan
teknis. Memilik peranti lunak
dan menyediakan perawatan.
b. Audit internal
Para auditor internal
bisa mengetahui dengan benar sistem tersebut dengan cara menelaah kebijakan
manajemen, struktur organisasi, deskripsi kerja, laporan tenaga kerja dan
lembur, prosedur operator sistem, operasi fasilitas dokumentasi dan
penyimpanan, kontrol input/output, serta konversi data.
Para auditor internal
harus mengamati operasi untuk menetapkan apakah pemisahan tugas yang
dimaksudkan berhasil.
Siklus hidup pengembangan sistem
a. Deskripsi
Pada awal-awal tahun
penerapannya, penggabungan SI memiliki kecenderungan gagal begitu akan
digunakan. Ketidakberadaan suatu hal adalah alasanya yaitu keterlibatan para
eksekutif dan para manajer pengguna SI.
Ø
Pada
tahun-tahun berikutnya, sistem telah dijelaskan oleh beberapa faktor:
Ø
Fakta
bahwa teknologi informasi masuk ke dalam setiap aspek bisnis dan pemerintahan,
telah memaksa para manajer, karyawan dan para auditor untuk belajar tentang
bagaimana cara berinteraksi dengan sistem informasi.
Ø
Makin
“tidak jelasnya” populasi penolak komputer telah menyingkirkan banyak orang
yang tidak dapat mengadaptasi lingkungan sistem informasi.
Ø
Meningkatnya
pengajaran komputer dalam semua tingkat proses pendidikan telah menciptakan
generasi pekerja baru yang merasa nyaman dengan komputer, senyaman mereka
memprogram VCR mereka.
Ø
Meningkatkan
dorongan untuk mengotomatiskan fungsi dan keamanan pekerjaan telah memberikan
intensif bagi banyak manajer dan pekerja untuk menguasai penggunaan sistem.
Fungsi-fungsi komite
pelaksana
Ø
Menyetujui
berbagai kebijakan SI
Ø
Menyetujui
rencana jangka panjang dan jangka pendek untuk sistem, pengawasan kemajuan
desain sistem, dan pengembangan sistem.
Ø
Pengawasan
umum atas implementasi, pelatihan, dan operasi sistem yang baru tersebut.
Ø
Pengawasan
terus-menerus atas kecukupan serta akurasi peranti lunak dan peranti keras yang
digunakan.
Ø
Penilaian
atas pengaruh teknologi baru tersebut pada operasi SI organisasi.
Berikut ini adalah
tahapan penting dan kontrol siklus hidup pengembangan sistem:
Ø
Permintaan
atas desain sistem.
Permintaan tertulis harus diserahkan oleh para pengguna yang memiliki otorisasi
yang menyebutkan kebutuhan bisnis.
Ø
Studi
kelayakan. Sebuah studi atas
sistem yang ada saat ini dan kebutuhan analisis, biaya, waktu implementasi, dan
potensi resiko harus dimaksukan kedalam studi kelayakan.
Ø
Desain
sistem tingkat tinggi. Proyek
yang diterima dan didanai diluar tahap kelayakan diteruskan kedalam tahap dsain
sistem (umum) tingkat tinggi. Tahap –tahap utamanya meliputi:
Ø Analisis input, pemrosesan, dan output (laporan,
tampilan layar) dari sistem yang telah ada
Ø Analisis persyaratan pengguna secara terinci
Ø
Spesifikasi
fungsional mencantumkan hal-hal yang seharusnya dicapai oleh sistem tersebut
dari perspektif bisnis.
Ø
Alternatif
Ø
Desain
sistem terinci. Bersama dengan
spesifikasi umum, analis sistem, dengan bantuan dari para pengguna, membuat
cetak biru teknis dari sistem tersebut. Berbagai jenis metodologi dsain
digunakan. Hal –hal berikut ini sering kali dimasukkan ke dalam dsain sistem
yang terperinci:
Ø
Spesifikasi
program terperinci
Ø
Tata
letak arsip
Ø
Tata
letak laporan dan tampilan online
Ø
Bagan
alir sistem
Ø
Narasi
sistem secara keseluruhan
Ø
Prosedur
konversi data
Ø
Rencana-rencana
pengujian
Ø
Penetapan
elemen data (yaitu setiap field dalam setiap arsip didaftar dan ditentukan)
Ø
Pemberian
kode dan pengujian program.
Di dalam tahap ini, program akan diberi kode sesuai dengan spesifikasi program
tertentu yang dikembangkan dalam tahap dsain sistem terinci.
Ø
Konversi. Apabila sebuah sistem yang lebih tua
digantikan. Arsip-arsip datanya harus dikonversikan ke format yang baru.
Ø
Implementasi. Sebelum implementasi, telaah terakhir atas
haris konversi dan tanda tangan manajemen sebagai pengguna akhir harus
didapatkan.
b. Audit internal
Peran audit internal
dalam studi kelayakan dan sistem bukanlah hal yang patut membuat iri. Para
auditor internal harus berhubungan dengan para ahli dalam penugasan khusus.
Mereka harus berpengetahuan, hati-hati, dan memebatu- tetapi mereka juga harus
memeprtahankan independensi dan mengamati tujuan organisasi yang lebih luas.
Mereka tidak selalu dapat melaksanakan fungsi mereka sendri seperti yang mereka
inginkan, tetapi mereka akan melakukannya dengan jauh lebih baik jika mereka
memiliki rencana tertentu dari tindakan yang ada dalam pemikirannya.
Keamanan data
a. Deskripsi
Data mungkin merupakan
aktiva yang paling penting. Arsip dilindungi melalui sistem keamanan logis. Hal
ini juga disebut sebagai “control akses logis” akses logis berbeda dari control
akses fisik.
Sistem keamanan data
yang efektif harus memebrikan kepastian bahwa:
Ø
Hanya
para pengguna yang diotorisasimemiliki akses ke data.
Ø
Tingkat
akses sesuai dengan kebutuhan.
Ø
Modifikasi
data lengkap dengan jejak audit yang lengkap.
Ø
Akses
yang tidak sah ditolak dan percobaan untuk masuk secara tidak sah dilaporkan.
Peranti lunak keamanan
data dapat meliputi hal- hal seperti:
•
Enkripsi password
agar tidak dilacak, bahkan oleh pemrogram.
•
Perubahan
wajib password setelah beberapa hari lamanya sesuai denganyang
ditetapkan.
• Struktur yang membutuhkan password
Di samping control password,
peranti lunak keamanan data juga memonitor dan mengkontrol akses ke berbagai
sumber daya. Berikut ini adalah beberapa fitur umum dari mainframe beruang
lingkup penuh paket peranti lunak keamanan data.
•
Akses ke
arsip dan transaksi online dapat dibentuk sesuai dengan tiap orang dan
departemen.
•
ID
pengguna dapat dicabut jika terlalu banyak upaya untuk masuk kedalam dengan password
yang tidak valid.
•
Transaksi
dapat dibatasi ke terminal dan/atau karyawan tertentu.
•
Operasi
terminal dapat dibatasi berdasarkan jam per hari atau berdasarkan jumlah hari
dalam seminggu.
•
Batas
“waktu habis” dapat dibuat.
•
Sistem
keamanan menampilkan waktu terakhir dan tanggal ID digunakan.
•
Sistem
tersebut dapat diatur untuk membutuhkan entri password di setiap
transaksi.
b. Audit internal
Tiap organisasi berbeda
dalam hal tingkat implementasi keamanan data mereka. Akan tetapi, terdapat
sejumlah aturan dasar untuk lingkungan keamanan yang baik.
Pertama, dan paling
utama, tanggung jawab atas keamanan sistem informasi terletak pada pihak
manajemen senior organisasi.
Pihak manajemen
senior harus mengawasi bahwa:
Ø
Masalah
akan ditentukan
Ø
Kebijakan
organisasi dibuat
Ø
Struktur
kepatuhan diimplementasikan.
Peran utama auditor
internal adalah untuk mengevaluasi efektivitas sistem keamanan saat ini dan,
jika kelemahan ditemukan, untuk merekomendasikan sistem terbaik yang sesuai
dengan pratik bisnis organisasi serta faktor resikonya.
Keamanan Fisik
a.
Deskripsi
Keamanan
fisik mungkin merupakan kontrol yang paling mendasar dalam organisasi. Walaupun
beban atas keamanan data kini telah bergeser ke kontrol peranti lunak akses logis
yang canggih, keamanan fisik masih merupakan penjagaan utama dari berbaga iresiko,
seperti kebakaran, listrik mati, penghancuran yang disengaja, serta pencurian informasi.
Area –
area sensitivitas dapat dikategorikan ke dalam tiga area umum, yaitu:
Ø Aksesfisik.
Ø Pencemaran lingkungan
Ø Perlindungan kebakaran dan banjir
Tercantum
dibawah ini adalah beberapa area masalah utama dan kontrol fisiknya :
Akses
tidak sah. Pusat
data dan/atau bangunan operasional yang aman dengan aktivitas pemrosesan yang
signifikan, harus membatas iakses hanya ke orang-orang yang memiliki otoritas.
Beberapa
teknik khusus untuk menerapkan kontrol ini meliputi:
Ø Akses kartu: kartu yang secara magnetis diberi
kode, dikeluarkan untuk orang – orang yang memiliki otoritas, digunakan dengan memasukannya
ke dalam sebuah slot yang membaca informasi di kartu tersebut dan mentransmisikannya
ke komputer keamanan (biasanya sebuah PC) .akses diberikan atau ditolak berdasarkan
pada catatan keamanan dalam computer.
Ø Sistemakses biometric: teknologi ini tepat jika keamanan
fisik yang menyeluruh dibutuhkan. Sistem ini bergantung pada karakteristik fisik
untuk mengotentikasi akses permintaan individual.
Desain pusat komputer.
Tingkat keamanan yang signifikan dari keamanan fisik dapat dicapai hanya
melalui perencanaan yang baik. Berikut ini adalah beberapa faktor yang harus
dipertimbangkan dalam pusat computer:
Ø Pusat data harus dalam lokasi yang tersembunyi
Ø Pusat data yang berada dalam wilayah rawan
bencana alamharus memiliki prosedur yang tepat untuk memungkinkan sistem
tersebut beroperasi selama dan/atau setelah bencana alam.
Ø Ruang computer itu sendri harus tertutup oleh
dinding
Ø Tempat penyimpanan tape atau media penyimpanan
lainnya harus tahap api.
Ø Jumlah pintu untuk memasuki ruang computer
harus diminimalkan (sesuai aturan kode kebakaran).
Ø Pintu darurat harus dikunci dari luar dan
diberi peringatan.
Ø Control pengunjung dengan menggunakan monitor
TV sirkuit terbatas dapat dibenarkan dalam beberapa organisasi.
Ø dll
Pencegahan kebakaran. Walaupun merupakan hal yang penting bagi
organisasi untuk mengembangkan kemampuan pemulihan dari bencana kebakaran.
Penjagaan atas pencegahan kebakaran untuk pusat data adalah sebagai berikut:
Ø Sistem alarm kebakaran harus dihubungkan ke
pusat keamanan yang dijaga, atau ke departemen kebakaran jika pusat data tidak
dijaga 24 jam per hari. Sistem alarm kebakaran harus secara priodik diuji dan simulasi kebakaran harus dilakukan
untuk memastikan evakuasi yang teratur dari gedung pada saat terjadinya
kebakaran yang sesungguhnya.
Ø Pendeteksi asap harus ada di sepanjang gedung.
Kerusakan akibat asap atas computer dapat berasal dari api di kantor mana pun
suatu gedung, bahkan jika kebakaran tersebut
jauh dari ruang computer. Sistem pemadam api yang tepat harus dipasang.
Perencanan Kontinjensi Dan Pemulihan Dari
Bencana Deskripsi
Penyimpanan
Oleh karena berbagai
risiko ini, merupakan hal yang penting bagi organisasi untuk selalu meyimpan
data yang penting sekali paling tidak di dua media terpisah (contohnya, tape
dan disk atau di dua tape). Arsip dan cadangannya jangan pernah diletakkan
dalam paket disk yang sama. Prosedur yang umum adalah menyimpan arsip baru yang
digunakan bekerja di dalam disk, menyimpannya ke dalam cadangan tape, serta
secara periodic mengirim salinan tape yang kedua ke lokasi di luar kantor.
b. Audit Internal
Kehilangan data dapat
menjadi masalah serius dan nyata bagi organisasi. Konsentrasi atas informasi
pada media magnetis menambah masalahnya.
Auditor internal harus
mengajukan pertanyaan berikut ini:
Ø Bagaimana cara label internal digunakan?
Ø Apakah label eksternal digunakan jika
memungkinkan?
• Apakah manajemen tape atau manajemen disk atau
system manajemen arsip tersedia?
• Apakah sudah terjadi “terminasi abnormal”
disebabkan oleh ruang disk yang tidak mencukupi? Angka dalam jumlah besar
menunjukan ruang disk yang tidak cukup atau manajemen yang kurang baik atas
ruang tersebut.
• Apakah rangkaian data generasi (konsep
bertingkat) dipelihara? Apakah terdapat cukup banyak generasi yang dipelihara
hingga jika terjadi kerusakan arsip, generalisasi yang sebelumnya dapat
digunakan untuk mengembalikan data ke status terakhir?
• Apakah tape dan media lainnya disimpan dengan
benar? Apakah salinan disimpan di luar lokasi kantor serta di dalam kantor?
• Apakah faktor-faktor lingkungan yang terkait
(kelembapan dan suhu) dimonitor dan dikontrol? Apakah tape dibersihkan secara
periodic?
• Apakah arsip diberi nama sesuai dengan
standardnya?
Auditor seharusnya
tidak pernah lolos mengamati fakta bahwa tape komputer dapat berisi informasi
organisasi bahkan setelah mereka telah habis masa kegunaanya.
Sistem Operasi
a. Deskripsi
System operasi adalah
jantung komputer. Tnapa control yang memadai atas implementasi dan
perawatannya, organisasi akan sering mengalami waktu kerusakan yang lama,
pemrosesan yang salah, dan penipuan komputer yang sulit untuk dideteksi.
Sistem operasi dan
peranti lunak system terkait lainnya adalah rangkaian dari system yang saling
berhubungan dengan sejumlah besar pilihan yang dipilih oleh pemrogram system.
Dengan adanya
pengetahuan teknis yang luas dari para pemrogram system, pemisahan tugas yang
memadai membutuhkan peran penting dalam mengontrol akses yang dimiliki oleh para pemrogram ini ke aktiva organisasi. Para
pemrogram system seharusnya tidak memiliki tanggung jawab aplikasi.
b. Audit Internal
Control system operasi,
karena kerumitannya memungkinkan merupakan hal yang paling sulit untuk ditelaah
bagi auditor internal. Analisis yang mendalam atas control system operasi
membutuhkan bantuan ahli audit SI yang sangat terlatih. Akan tetapi, banyak
control atas system operasi dan perawatannya mencerminkan praktik control
tradisional.
Telekomunikasi
a.
Deskripsi
Auditor internal harus
menilai integritas, keamanan, keandalan dan kinerja jaringan organisasi untuk
menetapkan apakah data tersebut akurat dan tepat waktu.
Banyak organisasi yang
sangat bergantung pada telekomunikasi. Kerusakan telekomunikasi apa pun akan
berarti kerugian nyata atas pendapatan.
Di bawah ini adalah
beberapa control telekomunikasi yang saat ini digunakan:
Ø Penyusunan pesan: nomor pesan dimasukkan ke dalam setiap catatan yang
ditransmisikan. Setiap nomor pesan ditambahkan satu angka ke depan begitu pesan
yang sebelumnya dikirim. Komputer penerimanya akan mendeteksi apakah terjadi
loncat nomor atau duplikasi nomor.
Ø Enkripsi: data yang ditransmisikan “dipecah-pecah” dengan
menggunakan alogaritma matematis rumit untuk melakukan encode data.
Ø Alogaritma pemeriksa mandiri: berbagai teknik matematis yang canggih
seperti “pemeriksaan berlebihan yang berulang” digunakan untuk menetapkan
apakah ada informasi yang diubah selama transmisi.
Ø Peranti lunak pemonitor jaringan: Peranti lunak pemonitoran memungkinkan para operator
di lokasi pusat untuk mengidentifikasi dan mengantisipasi titik-titik lemah
dalam jaringan telekomunikasi.
Ø Panggilan kembali otomatis: banyak basis data komersial yang telah
diakses dan dalam beberapa kasus, dirusak atau diubah untuk penipuan oleh para
“hacker”.
Ø Saluran khusus: bagi organisasi yang mentransfer jumlah tertentu
data secara rutin, saluran khusus memberikan tingkat keamanan dan kualitas
transmisi tingkat tinggi.
Ø Prosedur penyetelan ulang/pemulihan: telekomunikasi dapat rusak tanpa peringatan.
Organisasi tanpa prosedur penyetelan ulang yang
baik dapat memiliki masalah teknis membawa system tersebut online lagi.
b.
Audit
internal
Keluasan auditor
menelaah control telekomunikasi tentu saja akan bergantung pada tingkat
kebergantungan organisasi pada telekomunikasi. Jika telekomunikasi digunakan
sebagai alat utama untuk permintaan, control sederhana yang terkait dengan
peranti keras mungkin sudah cukup. Jika dana yang sedang ditransfer atau saldo
aktiva diubah melalui komunikasi jarak jauh, control tambahan (manual dan
teknis) mungkin dibutuhkan.
Ketika organisasi
mentransfer data secara elektronis ke organisasi lainnya, electronic data
interchange (EDI) menjadi makin penting. EDI didesain dengan format
terstandarisasi yang memungkinkan pemrosesan data secara konsisten dan akurat.
Perubahan Program
Auditor internal harus
menentukan apakah perubahan diotorisasi, diuji, dan diimplementasikan dengan
benar. Tanpa system control perubahan yang memadai, merupakan hal yang tidak
mungkin untuk bersandar pada integritas pemrosesan dari aplikasi terpisah.
Penipuan komputer hanya
terjadi kadang-kadang, sementara kesalahan pemrosesan data dan hilangnya data
terjadi setiap hari.
Program control
perubahan yang baik meliputi elemen-elemen berikut ini;
Ø Keamanan: pemrograman dapat saja membuat perubahan atas salinan
uji program komputer, tetapi hanya pustakawan yang benar-benar memindahkan
program ujianya ke dalam lingkungan produksi.
Ø Jejak audit: sejarah terperinci atas semua perubahan program dan
JCL (job Control Language), harus dipelihara
Ø Jaminan kualitas: system control perubahan memberikan kerangka kerja
untuk system telaah kualitas SI. Organisasi dapat memiliki berbagai standar
yang membutuhkan penelaahan dan otorisasi tertulis bagi para pengguna, supervisor
pemrogram SI, supervisor operasi komputer, dan bahkan auditor internal.
Ø Ketentuan untuk perubahan darurat: Di luar upaya yang ditunjukan untuk pengujian
dan penjaminan kualitas, program kadang kala akan tetap berhenti berjalan
(sering kali disebut sebagai “blowing up” atau “bombing”) atau memberikan hasil
yang salah.
Ø Kode sumber dan penelusuran perubahan JCL: di luar jejak audit yang dapat menunjukan
program mana yang diubah dan kapan, daftar terinci dari setiap baris kode
sumber yang telah diubah juga seharusnya tersedia.
Jadi, di dalam
organisasi pemrosesan data yang memiliki control perubahan lemah, merupakan hal
yang umum untuk beberapa perubahan secara misterius menghilang ketika versi
baru dari vendor di-install. Kekhawatiran lainnya adalah bahwa
perubahan-perubahan ini dapat berdampak pada kemampuan peranti lunak terkait
untuk berfungsi dengan benar ketika versi yang baru di-install.
Kontrol perubahan dapat dianggap oleh beberapa
orang sebagai overhead yang tidak perlu, kenyataannya control perubahan
mengurangi jam pemprograman yang dihabiskan untuk perawatan. Jika
Peranti Keras
a.
Deskripsi
Keandalan dari peranti
keras secara signifikan telah meningkat bersama dengan setiap generasi baru
dari peranti keras. Akan tetapi, peranti keras akan terus menjadi potensi
sumber kesalahan system dalam masa mendatang.
Ini adalah control dasar peranti keras yang
dapat mengurangi peluang terjadinya berbagai kesalahan.
Ø Pemeriksaan karakter yang berlebihan: walaupun
control ini memiliki banyak bentuk dalam konfigurasi peranti keras penjual
tertentu, control ini selalu didasarkan pada prinsip redundancy
Ø Pemeriksaan proses duplikasi: suatu fungsi
khusus dilakukan dua kali dan hasil-hasilnya diperbandingkan. Perbedaan apapun
akan ditandai sebagai kesalahan peranti keras.
Ø Pemeriksaan peralatan: control elektronis
dibentuk dalam sirkuit untuk mendeteksi kesalahan dan member peluang mencoba
kembali secara otomatis.
b.
Audit
Internal
Auditor internal harus
mengetahui kebutuhan atas control dasar peranti keras, terutama dalam area
telekomunikasi.
Khususnya dalam bidang
SI, auditor internal harus menghindari pemikiran “baris pertahanan” (Maginot
Line), yaitu bersandar pada control yang kuat untuk menghentikan 100persen
kerusakan dari sumber tertentu.
Kontrol Aplikasi
Control aplikasi adalah
control yang memberikan jaminan bahwa aplikasi tertentu akan diproses sesuai
dengan spesifikasi pihak manajemen dan bahwa pemrosesan tersebut akurat, tepat
waktu, diotorisasi, dan lengkap
Berikut ini adalah
daftar eksposur yang timbul dari pemrosesan aplikasi beserta kontrolnya-input,
pemrosesan, dan output-untuk mengurangi eksposur-eksposur tersebut:
Ø Kehilangan Input: transaksi yang ditransmisikan dari suatu lokasi ke
lokasi lainnya, sangat rawan untuk hilang.
Ø Duplikasi input: hal ini dapat terjadi ketika ada input yang dianggap
hilang (padahal tidak).
Ø Pencatatan input yang tidak akurat: nomor-nomor yang salah atau kesalahan eja
adalah contoh-contoh yang umum.
Ø Informasi yang hilang: hal ini sudah pasti membuat input menjadi tidak lengkap.
Ø Transaksi yang tidak tercatat: hal ini meliputi tidak hanya kecerobohan
tanpa sengaja, tetapi juga merupakan akibat dari pencurian dan penggelapan.
Ø Otorisasi: otorisasi meliputi gabungan banyak transaksi mungkin
diperlukan karena jumlah transaksi yang sangat besar, tetapi ketiadaan focus
pihak manajemen pada pos-pos individual dapat meloloskan transaksi yang tidak
seharusnya terjadi.
Ø Transaksi: transaksi yang dimuali oleh system meliputi
pemesanan kembali persediaan secara otomatis dan pembayaran kepada para
pemasik.
Ø Output dikirim secara tidak benar: informasi output dikirim ke orang yang
salah. Output terlambat dikirim ke tujuannya hingga tidak lagi bernilai. Output
tidak benar.
Ø Banyak kesalahan yang terdeteksi: analisis yang lengkap secara fisik tidak
mungkin dilakukan dan/atau adanya pesanan yang belum terpenuhi(backlogs) yang
menggangu.
Ø Pemrosesan yang tidak lengkap: kesalahan pemrograman atau kesalahan
administrative.
Ø Pemrosesan yang dilakukan terlambat: pemrosesan tersebut mungkin benar tetapi pengenalan
bagan terkait mungkin tidak tepat waktu.
Ø Hilang: arsip hilang ketika berada dalam pemrosesan.
Mundurnya orang-orang yang ahli, ditambah dengan tidak adanya dokumentasi yang
memadai.
Kontrol Input
a.
Deskripsi
Control input membantu
memperkuat hubungan yang lemah dalam rantai kegiatan system informasi (SI),
semua cara pemeriksaan dan penyeimbangan dapat dibangun ke dalam program untuk
memastikan pemrosesan, penyimpanan, dan penarikan data yang benar, tetapi semua
ini tidaklah berguna jika komputer diberi data yang salah atau tidak lengkap
dari semua.
Sistem control batch
dapat memberikan jaminan bahwa tidak ada data yang hilang ketika data tersebut
ditransmisikan dari satu tempat ke tempat lainnya sebelum data itu mencapai
komputer.
Kontrol input lainnya
meliputi :
Ø Jumlah total (hash total) : nilai total ini tidak memiliki arti
tertentu,tetapi berguna sekali karena mereka menambah jumlah numeric dari
informasi nonkeuangan untuk mencegah kehilangan selama pemrosesan aplikasi.
Ø Pemeriksaan format (format check) : pemeriksaan ini menunjukkan bahwa data
dimaksukkan ke dalam bentuk yang sesuai dan dalam field yang telah ditetapkan.
Ø Pemeriksaan batas (limit check) : pemeriksaan ini memastikan input tidak
melebihi kisaran yang numerik yang ditetapkan,seperti jam kerja mingguan
maksimum.
Ø Pemeriksaan kewajaran (reasonableness check): pemeriksaan ini dilakukan melalui
perbandingan input dengan informasi lainnya yang tersedia dalam catatan yang
ada.
Ø Pemeriksaan field (field check) : pemeriksaan ini menunjukkan kelengkapan
informasi,seperti alamat untuk pelanggan baru.
Ø Pemeriksaan numeric (numerical check) : pemeriksaan ini memastikkan bahwa data
alfabetis tidak dimasukkan kedalam field yang dikhususkan untuk data numerik.
Ø Pemeriksaan historis (historical comparison) : pemeriksaan ini menunjukkan apakah
informasi yang ada saat ini dapat dibandingkan dengan informasi sebelumnya.
• Pemeriksaan urutan (sequence checking) : pemeriksaan ini memverifikasi urutan alfanumerik dari field kunci dalam bagian data yang akan diproses.
• Pemeriksaan kelebihan beban (overflow
checking) : pemeriksaan ini
adalah pemeriksaan programatis untuk mencegah kelebihan kapasitas memori atau
field dalam menerima data
• Angka pemeriksaan (check digit) : control ini adalah fungsi dari angka lainnya
dalam sebuah angka dan memungkinkan algoritma matematis menetapkan apakah angka
tersebut telah diketik denganbenar.
• Verifikasi ketikan (keystroke verification) : dengan memasukkan data ke dalam keyboard
kedua kalinya (dan lebih baik dilakukan oleh orang yang berbeda),input yang
salah dapat dideteksi melalui sinyal mekanis.
• Otorisasi dan persetujuan (authorization and
approval) : terdapat dua
jenis otorisasi. Pertama adalah izin dimuka. Persetujuan terjadi setelah
terdapat kenyataan dan menganggap bahwa sejenis edit atau telaah akan
dilakukan.
• Rekonsiliasi dan penyeimbangan (reconciliation
and balancing) :
terdapat dua jenis rekonsiliasi. Pertama
bertujuan untuk menganalisis perbedaan,yang kedua adalah untuk membuat uji
persamaan.
• Label arsip (file label) : label ini mengidentifikasi
transaksi,arsip,dan output.
Kontrol input harus memiliki criteria desain
berikut ini :
Ø Transaksi pembaruan (pemutakhiran) : proses ini melibatkan data dalam jumlah
besar dan biasanya berulang teknik-teknik seperti pemeriksaan kewajaran dan
pemeriksaan logika program aplikasi dapat membantu mengontrol inputnya.
Ø Permintaan : transaksi ini tidak mengubah arsip tetapi dapat
mengakibatkan pembaruan atau pemeliharaan arsip sebagai hasil dari permintaan.
Daftar permintaan biasanya mengontrol akses semacam ini ke computer.
Ø Perbaikan kesalahan : transaksi ini menyebabkan kesulitan paling besar dan
merupakan transaksi yang paling sulit dikontrol.
b.
Audit Internal
Sebagian besar dari
semua kesalahan yang masuk ke dalam sistem adalah hasil dari kesalahan input.
Auditor internal harus menganggarkan sebagian besar dari jam kerja total para
karyawan untuk menelaah kembali control input.
Kontrol Pemrosesan
a.
Deskripsi
Akses ke komputer harus dibatasi ke orang-orang yang memiliki
otorisasi untuk mengoperasikan peralatan tersebut. Program objek harus hanya
dapat diakses ke operator peralatan tersebut.
Fungsi pengelola sistem
siap jadi biasanya memiliki aplikasi jadwal yang
harus dijalankan dan memiliki urutan pengoperasian yang tepat. Operator hanya
memiliki sedikit kemampuan untuk melakukan intervensi dalam pemrosesan dan
untuk mengakses data dalam arsip.
Parameter pemrosesan
ini beserta jenis lainnya dikontrol oleh personel manajemen yang telah
ditugaskan untuk melakukannya.
b.
Audit
Internal
Tujuan dari auditor
internal dalam menelaah control pemrosesan adalah untuk menilai apakah aplikasi
tersebut memproses data input secra akurat dan tepat waktu,sesuai dengan
keinginan pihak manajemen,dan tidak ada modifikasi secra tidak sah atas data.
Kontrol Output
a. Deskripsi
Control output
menetukan akurasi dan kewajaran informasi yang diproses. Control output juga
meliputi penyimpanan laporan output. Total catatan yang diproses harus sesuai
dengan total input catatan. Control output juga meliputi penanganan yang tepat
atas berbagai pengecualian.
Daftar ini dicetak jika
dibutuhkan :
Ø Laporan : laporan ini harus tepat waktu,akurat,dan berarti.
Kerahasiaan harus dipastikan. Format harsulah berguna bagi pembaca. Data dalam
jumlah besar harus diringkas. Para penerima harus ditanya pendapatnya secra
periodic untuk mengetahui apakah mereka masih membutuhkan laporan tersebut atau
tidak.
Ø Dokumen kerja : dokumen ini berbentuk cek,saving bonds,pesanan
pembelian,dll. Keamnan tentu saja adalah hal yang penting untuk dipertimbangkan
bersama dengan kepastian bahwa input diseimbangkan dengan output.
Ø Dokumen referensi : dokumn ini digunakan untuk memperlihatkan apa yang
terdapat di computer jika fungsi computer terganggu. Output semacam ini
biasanya dalam bentuk magnetis.
Ø Laporan kesalahan : walaupun biasanya jumlahnya kecil,hal ini bisa sja
rumit dan sulit untuk ditangani. Laporan ini dikirim ke orang yang tepat untuk
langkah perbaikan,dan harus dikontrol untuk memastikan bahwa tindakan perbaikan
telah diambil dan laporan yang telah diperbaiki.
b. Audit Internal
Beberapa langkah khusus
yang dapat dilakukan adalah:
• Tetapkan apakah kelompok control atau pengguna
menyeimbangkan dan merekonsiliasi output.
• Tetapkan apakah pengecualian ditandai dalam
laporan.
• Pelajari jumlah total dalam laporan untuk
kewajarannya. Pengujian independen dari total field yang sangat penting,mungkin
dibutuhkan.
• Tetapkan apakah standar pelaporan telah
dipenuhi
• Tetapkan apkah laporan relevan (atau bahkan
digunakan),tepat waktu,andal,dan teratur di pilih dengan benar.
• Tetapkan apakah daftar output dan daftar
distribusi dipelihara atau tidak. Tetapkan apkah laporan hilang atau salah
jalur.
• Tetapkan apkah kelompok control menggunakan
daftar untuk memastikan bahwa semua laporan telah diterima.
• Tetapkan apakah daftar laporan yang meringkas
semua laporan yang dibuat selama proses batch tersedia bagi pengguna.
• Tetapkan aplikasi kebijakan retensi yang tepat
telah dibuat untuk output aplikasi seperti laporan salinan kertas dan
microfiche.
• Tetapkan apakah penyimpanan ganda dan control
lainnya ditegakkan untuk melindungi output yang sensitive/mudah diubah. Seperti
cek,sertifikat saham,atau daftar penggajian.
Jejak Audit
a.
Deskripsi
Jejak audit dan control
ada hanya untuk kenyamanan auditor; bukan juga harus menjadi alat untuk
manajemen. Fungsi jejak audit dan control adalah untuk menelusuri dan
memperbaiki pengecualian jejak tersebut membantu para personel memperbaiki
kesalahan dan mengontrol kualitas transaksi.
b.
Audit Internal
Para auditor internal
harus memberikan kontribusi untuk memasukkan jejak transaksi.Mereka seharusnya
tidak mendikte jejak tertentu,yang akan memengaruhi independensi mereka.Akan
tetapi,mereka harus mampu memuaskan dirinya dan pihak manajemen,bahwa jejak
transaksi dan control yang dibutuhkan telah ditegakkan. Mereka tidak dapat
menjadi orang yang mengotorisasi sistem tersebut mereka harus mengevaluasi
sistem yang di usulkan dan jika control yang dibutuhkan kurang melaporkan
ketiadaan tsb ke pihak manajemen. Para uditor internal adalah pengguna utama
dari setiap sistem.
Auditor internal juga
harus terus mengingat kebutuhan pengguna lainnya.
Dampak E-Business
Perbedaan utama ntara
bisnis tradisional dan e-business adalah bahwa pelanggan tidak secara fisik
hadir atau sedangkan dalam proses komunikasi dengan seorang wakil perusahan
ketika transaksi terjadi.
Entitas dapat
menggunakan e-commerce untuk menjual kepada memberikan informasi kepada dan
atau berkomunikasi dengan para pelanggan.
Agar dapat melakukan
hal ini, perusahaan harus mempertimbangkan biaya yang di libatkan,control yang
ada untuk memastikkan validitas transaksi,serta keamnan perlindungan data.
Dalam menangani e-business perusahaan harus mempertimbangkan masalah yang sama
dan juga jumlah data yang akan diizinkan untuk diakses oleh para “mitranya” dan
portal yang akan digunakan.
Peranti Lunak yang Dipasok Vendor
a.
Deskripsi
Tren menuju peranti
lunak komersial siap pakai yang lengkap dan fleksibel telah menghasilkan
sejumlah manfaat dan penghasilan :
Ø Dokumentasi
dari paket peranti lunak seringkali (tetap tidak selalu)lebih baus dari sistem
yang di bangun secra internal.
Ø Pengujian,paling tidak untuk paket peranti
lunak yang terkenal biasanya lebih menyeluruh daripada sistem yang dibangun
secra internal.
Ø Jika personel SI utama tidak ada (akibat
bencana alam atau keluar),personel vendor-sebagai upaya terakhir dapat
digunakan untuk mengatasi masalah pemrosesan yang butuh penanganan segera.
Ø Fleksibilitas sistem yang dipasok oleh penjual
dapat juga menjadi suatu perhatian.
Ø Dll.
Peranti lunak untuk keseluruhan perusahaan
a.
Deskripsi
adalah salah satu jenis
peranti lunak pasokan vendor yang telah menarik perhatian selama ini di
berbagai perusahaan raksasa dan makin menarik perhatian banyak perusahaan besar
hingga perusahaan menengah.
Auditor internal perlu
dilibatkan secara dekat dalam aplikasi semacam itu karena keluasan dari
perekayasa ulang yang dilibatkan dan biaya untuk implementasi.
Area penting lainnya
yang harus dipertimbangkan oleh auditor meliputi rencana umum untuk melatih
personel. Cara auditor akan mengaudit sistem tersebut dan rencana konversi.
Rencana konversi sangat penting terutama karena sifat terintegrasi dari sistem.
b.
Audit
Internal
Audit internal harus
berfokus pada 2 faktor utama ketika menelaah paket peranti lunak yang di pasok
oleh vendor : (1) Proses evaluasi dan pemilihan dan (2)Perawatan integritas
paket peranti lunak tersebut sepanjang waktu
Ø Beberapa faktor yang harus dipertimbangkan
meliputi :
Ø Stabilitas penjual
Ø Pengenalan dasar bagi pengguna
Ø Umur sistem
Ø Kepuasan pengguna saat ini
Ø Standar control kualitas vendor
Ø Kecepatan pemrosesan pada sistem organisasi
Ø Kecukupan dokumtasi
Ø Ketersediaan saluran khusus/help desk vendor
Ø Fleksibilitas sistem (misalnya; apakah sistem
tersebut memiliki penulis laporan yang memungkinkan para pengguna mengembangkan
laporan tanpa bantuan dari departemen pemrograman)
Computer Personal dan Pengguna Akhir
a.
Deskripsi
Perkembangan teknologi
informasi yang cepat telah merangsang berbagai aktivitas pemrosesan informasi
pada tingkat pengguna akhir.
Pemrosesan pengguna akhir dengan PC berpotensi
menghadapkan perusahaan pada kerugian atau kerusakan data, kesalahan dalam
logika pemrograman, kehilangan layanan pemrosesan sertta perubahan program dan
data karena adanya penipuan.
b.
Audit
internal
Penelaahan auditor
internal atas komputasi pengguna akhir harus diarahkan pada aplikasi yang lebih
tinggi resikonya. Jika PC digunakan hanya untuk pembuatan memo yang tidak
rahasia sifatnya, tingkat penelaahan harus minimal jika memang ada. Dilain
pihak, jika sistem PC digunakan untuk menagih pelanggan yang berjumlah jutaan
dolar, auditor internal harus mengincar sistem tersebut untuk ditelaah secara
terperinci.
Pemrosesan Terdistribusi
a.
Deskripsi
Teknologi informasi
tela berubah secara mendasar dalam 30 tahun belakangan ini. Pada awal-awal masa
pemrosesan data, kebanyakan perusahaan memproses semua transaksi dalam mainframe
pusat dan melakukan pemrosesan yang tidak penting dalam komputer-komputer
kecil (terdistribusi).
Pemrosesan yang saat
ini terdistribusi terdapat dalam banyak bentuk.
Peranti lunak jaringan
yang digunakan untuk PC berbasis LAN lebih rumit dari peranti lunak komunikasi
sederhana. Dalam banyak kasus, peranti lunak tersebut adalah system operasi
yang menggantikan system operasi pengguna tunggal tradisional dan berisi
pilihan yang kompleks, termasuk ntuk keamanaan. Tingkat pegetahuan dari
administrator LAN sangat penting bagi opersi LAN yang baik.
Berikut ini adalah
daftar factor risiko yang dapat ditemukan dalam jaringan umum pemrosesan data
terdistribusi :
Ø Kurangnya pemisahan tugas
Ø Kurangnya control perubhan program
Ø Peranti lunak sering kali memiliki program
utilitas yang lengkap sehingga dapat memodifikasi data pada hard disk atau tape
tanpa adanya jejak audit.
Ø Bahasa interpretative dapat digunakan untuk
memodifikasi data.
Ø Kontrol akses mungkin kurang dalam system
minicomputer dan tampaknya tidak ada dalam system PC.
b.
Audit
Internal
Pemrosesan
terdistribusi memberikan tantangan signifikan bagi auditor internal. System
mungkin saja secara geografus terpisah, memiliki vendor yang berbeda, dan sulit
untuk diaudit dari segi teknis. Beberapa area yang harus ditelaah oleh auditor
internal meliputi :
Ø Pemisahan tugas
Ø Standar pemrograman
Ø Kontrol perubahan program
Ø Kontrol prosedural
Ø Kontrol keamanan data dan akses
Ø Integrasi basis data
Ø Basis data terdistribusi “rangkaian jaringan”
Ø Pembuatan cadangan dan pemulihan dari bencana
Ø Keahlian pengguna
Ø Telekomunikasi
Dokumentasi
a.
Deskripsi
Dokumentasi yang baik
adalah tanda dari fasilitas pemrosesan datayang dijalankan dengan baik.
Dokumentasi adalah hal yang mendasar, dokumentasi sering kali dibutuhkn oleh
pihak manajemen untuk menetapkan kecukupan fungsi suatu program, oleh para
pemogram yang memiliki alasan untuk membuat perubahan dalam program komputer,
dan oleh para auditor, baik internal maupun eksternal, untuk menelaah kontrol
dan mengembangkan peranti lunak audit.
Program dokumentasi
yang komprehensif untuk sistem yang terkomputerisasi meliputi bentuk-bentuk
dokumentasi sebagi berikut :
Ø Dokumentasi sistem
Ø Dokumentasi program
Ø Dokumentasioperasi
Ø Dokumentasiperpustakaan
Ø Dokumentasipengguna
Ø Dokumentasikontrol
b.
Audit Internal
Para auditor internal
harus menelaah prosedur yang ada berkenaan dengan pembuatan dokumentasi.
Auditor internal harus secara khusus memerhatikan dokumentasi atas prosedur
kontrol perubahan yang memungkinkan adanya manipulasi.
Efisiensi dalam Sistem Informasi
a.
Deskripsi
Studi kelayakan untuk
SI harus memperhitungkan konsep efisiensi dalam sistem informasi. Operasi akan
menjadi efisien dan ekonomis jika sistem dan aplikasi tersebut membantu pihak
manajemen mengarahkan perusahaan menuju tujuan dan sasaran yang telah
ditetapkan, tanpa membuang waktu, energi dan uang.
Aktivitas SI
membutuhkan sistem akuntansi biaya yang memadai. Aktivitas ini harus menetapkan
proyek kegiatan tertentu yang dibutuhkan untuk memenuhi tujuan pihak manajemen.
Aktivitas tersebut harus menetapkan metode dan pusat biaya terperinci untuk
menelusuri dan mengontrol kemajuan dari proyek atau kegiatan.
b.
Audit
Internal
Fungsi auditor internal
yang penting adalah meyakinkan pihak manajemen bahwa sistem dan aplikasi akan
beroperasi atau sedang beroperasi sesuai dngan tujuannya, dan memperingatkan
pihak manajemen atas kegagalan dalam bentuk apapun.
Para auditor internal
harus melakukan evaluasi untuk menetapkan apakah sumber daya personal, property
dan ruang digunakan secara efisien dan ekonomis. Mereka harus mengetahui apakah
operasi memberikan hasil yang diharapkan. Mereka menelaah kecukupan pernyataan
kebutuhan misi dan tujuan sistem tersebut, study kelayakan serta evaluasi
desain alternatif, analisis biaya manfaat dan apakah hal ini berhubungan dengan
manfaat dan biaya alternatif sistem lainnya atau tidak.
Ketentuan Hukum
a.
Deskripsi
Di sektor publik, undang-undang
privasi telah ditegakkan di tingkat nasional dan Negara bagian. Undang-undang
ini mlarang pengumpulan dan penggunaan jenis informasi tertentu. Berdasarkan
Privacy Act of 1974 [Undang-undang Privasi tahun 1974], lembaga-lembaga tingkat
nasional ang berada dalam yurisdiksi undang-undang tersebut diminta untuk
membuat penjagaan administratif, teknis, dan fisik agar dapat memastikan
privasi informasi pribadi.
Agar sesuai dengan
Privacy Act of 1974 dari pemerintah, setiap lembaga pemerintahan diminta untuk
:
•
Membuat
penjagaan yang memadai untuk memastikan keamanan dan kerahasiaan catatan,
dan
•
Melindungi
diri dari berbagai ancaman atau kerusakan atas keamanan atau integritas mereka
yang dapat mengakibatkan bahaya yang substantive, memalukan,
ketidaknyamanan, atau ketidakadilan atas seseorang yang informasinya
dikumpulkan.
b.
Audit
Internal
Fungsi audit internal
sehubungan dengan undang-undang dan peraturan pemerintah lainnya kurang lebih
sama. Para auditor harus memastikan bahwa semua ketentuan tersebut diketahui
dengan baik, para auditor harus berkonsultasi dengan konsultan hukum untuk
memahami ketentuan yang ada dan langkah yang harus diambil berdasarkan
ketentuan tersebut
Para auditor internal harus
memerhatikan bukan hanya kepatuhan yang sesungguhnya, tetapi juga harus
memerhatikan bagaimana kepatuhan semacam itu dapat dibuktikan jika da keraguan
atas hal tersebut.Kembali lagi, undang-undang privasi, ketakutan atas pelanggan
juga dapat menekan pihak manajemen kedalam kontrol yang luas.
Sumber:
Sawyer, Lawrence B. 2005. Sawyer’s International Auditing. Jakarta: Salemba Empat.
Kasus pada Dampak E-Business (Kejahatan melalui E-Commerce)
BalasHapusTransaksi bisnis dunia maya (online) atau yang lebih dikenal dengan sebutan e-commerce, bukan tanpa celah. Seabrek polemik mengenai kegiatan transaksional (jual-beli) cukup membuat konsumen dan produsen dirugikan dan kalang kabut. Apalagi ditambah lagi dengan masih belum maksimalnya law enforcement (penegakan hukum) kepada para pelaku tindak pidana kriminalisasi melalui dunia maya (cyber crime). Saat ini, mekanisme jual beli (transaksi) bisnis online hanya dengan ‘modal’ kepercayaan. Belum ada langkah konkrit untuk membuat transaksi elektronik ini benar-benar dipercaya serta memiliki legalitas dan kepastian/ketetapan hukum yang jelas dan mengikat (imperative). Dalam kasus penipuan konsumen berkedok transaksi melalui dunia maya (e-commerce) yang dimuat dalam harian Sriwijaya Post, Minggu (5/3) 2011 tentang penipuan belanja online melalui media jejaring sosial facebook. Dimana mahasiswi tersebut melakukan transaksi elektronik via media social, kronologisnya mahasiswi tersebut hendak berbelanja setelah mendapatkan tawaran menggiurkan berupa produk-produk elektronik yang mekanismenya produk-proudk tersebut ditawarkan dengan memberikan gambaran informasi berupa foto-foto yang kemudian dkirimkan ke akun korban dengan harga miring Berbekal, kepercayaan dirinya kemudian berinsiatif untuk mencoba membeli produk yang ditenggarai distributor produk elektronik berupa laptop dan handphone tersebut berdomisili di Pulau Batam.
Solusi dari kasus
Setiap orang atau badan yang melakukan kegiatan usaha (transaksional barang/jasa) baik itu secara nyata maupun maya, perlu mendaftarkan dan diawasi sebuah lembaga khusus yang berwenang membuat sertifikasi/akta yang sah dan memiliki kekuatan hukum yang bersifat tetap dan mengikat. Hal ini direpresntasikan sebagai realisasi dari perlunya perlindungan hak-hak konsumen transaksi dunia maya yang seringkali dirugikan lantaran belum adanya UU yang mengatur untuk hal itu. Selain itu, setiap usaha/kegiatan usaha baik itu yang sifatnya nyata/maya harus mendapatkan legalitas yang sah menurut hukum positif Indonesia, sehingga konsumen akan dengan segera mendapatkan hak-haknya.
Upaya penanggulangan kejahatan e-commerce sekarang ini memang harus diprioritaskan. Indonesia harus mengantisipasi lebih berkembangnya kejahatan teknologi ini dengan sebuah payung hukum yang mempunyai suatu kepastian hukum. Cyberlaw memberikan rambu-rambu bagi para pengguna internet. Pengguna internet dapat menggunakan internet dengan bebas ketika tidak ada peraturan yang mengikat dan “memaksa”. Namun,. Bagi auditor, selain menggunakan standar baku dalam mengaudit sistem informasi, hukum yang jelas dan tegas dapat meminimalisasi adanya tindak kejahatan dan kecurangan sehingga memberikan kemudahan bagi auditor untuk melacak tindak kejahatan tersebut. Adanya jaminan keamanan yang diberikan akan menumbuhkan kepercayaan di mata masyarakat pengguna sehingga diharapkan pelaksanaan e-commerce khususnya di Indonesia dapat berjalan dengan baik.
Diharapkan aparat penegak hukum di Indonesia lebih memahami dan “mempersenjatai” diri dengan kemampuan penyesuaian dalam globalisasi perkembangan teknologi ini sehingga secanggih apapun kejahatan yang dilakukan, maka aparat penegak hukum akan dengan mudah untuk menanggulanginya dan juga tidak akan terjadi perbedaan persepsi mengenai penerapan suatu undang-undang ataupun peraturan yang telah ada, dan dapat tercapainya suatu kepastian hukum di tengah-tengah masyarakat Indonesia. Dengan adanya undang-undang, baik ITE maupun KUHP yang telah ditetapkan pemerintah diharapkan mampu memberikan pelajaran bagi para pelaku untuk dapat menyadari kesalahan serta memberikan mereka peringatan untuk tidak melakukan kejahatan lagi melalui ancaman hukuman. Semoga dengan begitu, tidak akan ditemukan lagi kasus penipuan serupa.
Sumber:
http://tugaseptikbisnis.blogspot.co.id/2013/05/kejahatan-melalui-e-commerce.html
Nama : Mariyatul Qyftiyah
Nim : 411140016
Prodi :Akuntansi/6
PERANGKAT LUNAK
BalasHapusCONTOH KASUS:
Perusahaan ini bernama PT SEGAR DINGIN dan sudah berjalan selama kurang lebih sepuluh tahun yang kegiatannya menjual jus buah yang terdiri dari beberapa buah-buahan. Suatu ketika perusahaan ini mendapatkan masalah yang sangat rumit dan kompleks. Sebelumnya perusahaan ini telah menyediakan pemberdayaan karyawan internal perusahaan, yang bernama Adrian Jason untuk mempelajari cara menggunakan software audit untuk komputer.
Adrian Jason langsung mencari masalah-masalahnya lalu mengatasi masalah tersebut, membuat prosedur pengendalian dan dibuat pengujian pengendaliannya. Masalah-masalah tersebut diantaranya yaitu akses yang tidak sah pada program komputer, sehingga website pada perusahaan yang digunakan untuk berhubungan dengan pihak eksternal perusahaan, seperti customers dan masyarakat tidak dapat dibuka.
Departemen penjualan perusahaan menggunakan program komputer yang baru untuk mencatat transaksi keuangan dengan menggunakan software akuntansi keuangan dan mengubahnya untuk cara menghitung komisi penjualan. Ada kesalahan dalam pemodifikasian program ini karena hasil hitungnya lebih kecil dari biasanya. Salah seorang karyawan bagian departemen produksi yang mempunyai wewenang penuh atas pemesanan pembelian pada pemasok dan menerima laporan, melakukan pemesanan palsu untuk kepentingan pribadinya. Karena banyaknya masalah yang terjadi diperusahaan tentang audit sistem informasi maka Adrian Jason juga mencoba memeriksa pemrosesan komputer perusahaan, apakah prosedur edit pada komputer telah mendeteksi in put yang salah atau tidak. Untuk mengatasi berbagai masalah yang ada di perusahaan Segar Dingin tersebut Adrian Jason melakukan audit sistem informasi pada komputer.
Di bawah ini merupakan cara mengatasi masalah perusahaan,pengendalian masalah dan menguji pengendalian terbut yang dilakukan oleh auditor internal perusahaan Segar Dingin.
2.3.1 Pemeriksaan pada Komputer
Masalah website yang tidak dapat dibuka karena dirusak oleh cracker. Cracker adalah sebutan untuk orang yang mencari kelemahan sistem dan memasukinya untuk kepentingan pribadi dan mencari keuntungan dari sistem yang di masuki seperti: pencurian data, penghapusan, dan banyak yang lainnya. Cracker mempunyai kemampuan menganalisa kelemahan suatu sistem atau situs. Jika suatu sistem dapat dianalisa kelemahannya maka kerusakan dapat terjadi pada hardware atau file,selain itu dapat kehilangan file data dan sumber daya sistem lainnya.
Adrian Jason mengambil keputusan untuk membuat website baru dan kemudian di beritahukan kepada masyarakat melalui media massa. Kemudian tindak lanjutnya yaitu dengan membuat mengaudit keamanan komputer, membuat prosedur pengendalian pada perusahaan dengan menggunakan beberapa pengamanan komputer diantaranya yaitu:
Membuat prosedur Log-On, Pengendalian terhadap virus, Kontrol pendukung dalam lingkungan database.
Setelah itu perusahaan membuat prosedur audit keamanan komputer dengan: Kode Keamanan, Pembuatan Cadangan File, Pemonitor Keadaaan, Keamanan Biometris.
Sumber : https://may9946.wordpress.com/2013/03/02/pentingnya-audit-sistem-informasi-bagi-perusahaan/
Nama : Asmarani
NIM : 411140004
Prodi : Akuntansi/6
kontrol Aplikasi
BalasHapusSTUDI KASUS: SISTEM INFORMASI PERAWATAN PESAWAT TERBANG
1.Latar Belakang
Pemanfaatan atau peranan sistem informasi dapat berbeda-beda dalam tiap perusahaan sesuai fungsinya . Suatu perusahaan dapat memandang bahwa sistem in formas i yang ada hanya sebatas merupakan alat bantu untuk meningkatkan efisiensi perusahaan, akan tetapi dapat juga merupakan sesuatu yang berfungsi sangat strategis, dalam artian dapat secara signifikan memberikan kepuasan pelanggan terhadap produk dan jasa yang diberikan perusahaan. Sistem informasi di perusahaan dapat dikatakan memiliki nilai strategis apabila sistem tersebut dapat menunjang keberhasilan meningkatkan pendapatan, sehingga apabila sllatu sistem tersebut tidak berpengaruh terhadap penciptaan produk yang lebih murah, lebih baik, serta lebih cepat sesuai dengan konsep produk dalam competitive advantage cheaper, better and faster, maka hal tersebut tidak perJu diterapkan
Audit Sistem Informasi dilakukan secara periodik untuk menjamin keberlanjutan operasionaJ IT yang digunakan oleh organisasi atau perusahaan serta untuk menilai kesesuaian antara perencanaan dan implementasi sistem informasi.
Audit sistem informasi digunakan untuk mengukur seberapa jauh sistem yang sudah menjadi ketentuan dalam organisasi perusahaan terse but telah terlaksana dengan baik dan memungkinkan untuk dipakai sebagai alat bantu pemeriksaan tentang adanya kemungkinan penyimpangan di dalam sistem.
Nama : Githa meilanny
NIM : 411140011
Prodi : Akuntansi/6
lanjutan kasus :
BalasHapus2. Metodology Kerangka Dasar IT
Sebagai bahan acuan adalah framework COBIT (Control Objectives for Information and related Technology), yang merupakan salah satu metodology yang memberikan kerangka dasar dalam menciptakan sebuah Teknologi Informasi yang sesuai dengan kebutuhan organisasi dengan tetap memperhatikan faktor-faktor lain yang berpengaruh . Proses IT yang digunakan dari domain Delivery Support - OS yang mencakup proses pemenuhan layanan IT, keamanan sistem, identifikasi dan alokasi biaya, kontinuitas layanan, pelatihan dan pendidikan bagi pengguna serta pengaturan data, fasilitas dan operasi.
COBIT Framework: 34 IT Processes in four Domain:
a. Planning & Organization (PO), mencakup masalah strategi, taktik, dan identifikasi cara terbaik TI untuk memberikan kontribusi maksimal terhadap pencapaian tujuan bisnis organisasi. Realisasi strategi periu direncanakan, dikomunikasikan dan dikelola dengan berbagai sudut pandang yang berbeda. Implementasi strategi harus disertai infrastruktur yang memadai dan dapat mendukung kegiatan bisnis organisasi.
b. Acquisition & Implementation (AI), realisasi strategi yang telah ditetapkan, harus disertai solusi-solusi TI yang sesuai, kemudian solusi TI terse but diadakan, diimplementasikan dan diintegrasikan ke dalam proses bisnis organisasi. Domain ini juga meliputi perubahan dan perawatan yang dibutuhakan sistem yang sedang berjaIan, untuk memastikan daur hidup sistem tersebut tetap terjaga.
c. Delivery & Support, mencakup proses pemenuhan layanan TI, keamanan sistem, kontinuitas layanan, pelatihan dan pendidikan untuk pengguna, dan pemrosesn data yang sedang berjalan.
d. Monitoring, untuk menjaga qualitas dan ketaatan terhadap kendali yang diterapkan, seluruh proses IT harus diawasi dan dinilai kelayakannya secara regular. Domain Inl berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemerikasaan intern dan ekstern (internal & exsternal aUdit) dan jaminan independent dari proses pemeriksaan yang dilakukan.
lanjutan :
BalasHapusKriteria-kriteria Informasi (Kebutuhan Bisnis = Kriteria-kriteria In
1. Efektivitas
Informasi yang relevan terhadap proses bisnis, misal: informasi dikirimkan dengan cara tepat waktu, benar, dapat dipakai dan konsisten.
2. Efisiensi
Berhubungan dengan informasi yang optimal terhadap penggunaan sumber daya.
3. Kerahasiaan
Berhubungan dengan perlindungan terhadap informasi yang sensitip dari penyalahgunaan.
4. Integritas
Berhubungan dengan kelengkapan dan ketelitian informasi seperti halnya kebenaran terhadap satuan nilai-nilai bisnis
5. Ketersediaan
Berhubungan dengan informasi yang tersedia ketika diperlukan oleh proses bisnis, dan ada berhubungan dengan perlindungan sumber daya
6. Pemenuhan
Berhubungan dengan pengaturan yang sesuai bagi proses bisnis adalah pokok.
7. Keandalan informasi
Berhubungan dengan sistem yang menyediakan informasi untuk manajemen yang sesuai dengan pengoperasiannya, misal : pelaporan keuangan kepada para pemakai informasi keuangan.
COBIT mengelompokan sumber daya sumber daya TI yang akan digunakan oleh IT process seperti berikut:
I. Dala, seluruh jenis data, baik yang terstruktur atau tidak terstruktur dan dalam berbagai bentuk (gam bar, suara, dsb).
2. Application system, prosedur yang diterapkan dalam organisasi baik prosedur manual atau prosedur terkomputasi (aplikasi komputer).
3. Technology, mencakup perangkat keras, sistem operasi, jaringan computer multimedia, dll.
4. Facilities, seluruh sumber daya yangdimanfaatkanuntuk menyimpan dan mendukung sistem infromasi .
5.People, mencakup kemampuan staff, dan berbagai pihak yang terlibat dalam pengaturan, pengedaan, pemenuhan layanan, pengawasan dan mendukung layanan dan sistem informasi.
lanjutan :
BalasHapusIT Processes Cobit akan dilakukan identifikasi Critical Success Factor (CSF) yang akan digunakan sebagai batasan untuk menentukan kriteria pengukuran kinerja bagi setiap proses. Kriteria pengukuran kinerja tersebut dJambangkan dengan indikator-indikator nya, yaitu indikator sasaran (Key Goal Indicator - KG!) dan indikator kinerja (Key Performance Indicator - KPI). Critical Success Factor dan indikator-indikator yang berelasi ditentukan dari COBIT . Penentuan indikator sasaran dan indikator kinerja dari sistem informasi dilakukan agar aktivitas-aktivitas terkendali sehingga memberikan jaminan bahwa sasaran proses IT tersebut tercapai .
3. Model Audit Sistem Informasi Perawatan Pesawat Terbang
Pengembangan Model Audit akan mengacu pada salah satu cara pemodelan audit, yaitu model audit yang dikembangkan berdasarkan komponen komponen pembentuknya, antar lain proses bisnis beserta komponen-komponen data yang benar ( I).Model Audit Sistem Informasi Perawatan Pesawat Terbang dibangun dengan 2 (dua) tahap utamanya, yaitu:
a.Membuat kerangka kerja Model Audit SJ.
b.Menetapkan langkah-Iangkah Audit SI.
Kerangka Kerja Model Audit SI Perawatan Pesawat Tcrbang
Kerangka kerja model audit SI Perawatan Pesawat Terbang terdiri dari beberapa parameter parameter pembentuk model audit SI yang saling berhubungan. Parameter-parameter tersebut adalah:
a. Proses bisnis internal Aircraft Services
b. Fungsi-fungsi yang terkait diluar Aircraft Services
c. Stakeholder yang terkait pada sebuah manajemen informasi Aircraft Services
d.Metodology kerangka dasar IT
e.Kebutuhan sistem informasi yang berkaitan dengan bisnis perawatan pesawat terbang.
Parameter-parameter d iatas diharapkan dapal menjadi faktor yang menentukan performansi dari sistem informasi perawatan pesawat terbang yang diamati, kemudian bagaimana parameter-parameter tersebut dapal dikendalikan dan diatur, sehingga diperoleh suatu performansi sistem yang dikehendaki.
lanjutan :
BalasHapusProses-proses tersebut akan dilakukan identifikasi Critical Success Factor (CSF) yang akan digunakan sebagai batasan untuk menentukan kriteria pengukuran kinerja bagi setiap proses.Berdasarkan hasil pengamatan langsung di SBU ACS PT. Dirgantara Indonesia, CSF terhadap sistem informasi CSIS-2000 adalah sebagai berikut:
Berkaitan dengan imp/ementasi CSIS-2000:
1.Konsen dari manajemen terhadap sistem CSIS 2000
2.Proses legalitas CSIS ke corporate
3.Menambah personil pengembang CSIS-2000 dengan kualifikasi sesuai kebutuhan.
Berkaitan dengan lungs; sistem CSIS-2000 da/am menyampaikan pe/ayanan (DS):
1.Memberikan dukungan pada user selama operasional
2.Menjaga performance sistem
3.Menjaga keamanan akses data
4.Membuat standarisasi spesifikasi pekerjaan
5.Menjaga dan menambah bahan baku agar tetap memadai
6.Menjaga dan mengelola tingkat akurasi dan kelengkapan data
7. Membuat sistem penomoran dokumen yang terpusat
8. Membantu memecahkan masalah terhadap kasus-kasus tertentu
9. Mengidentifikasi kebutuhan dan biaya bagi user.
Langkah-langkah Audit SI Perawatan Pesawat Terbang Dengan Pendekatan COBIT
BalasHapusPendekatan assessment yang dilakukan membagi proses assessment terhadap IT ke dalam beberapa langkah yang saling berhubungan, yaitu :
(I) perencanaan, (2) persiapan, (3) pelaksanaan/ fieldwork, (4) penyelesaian.
a. Proses Perencanaan
Dimaksudkan untuk mendefinisikan lingkup dan tujuan assessment, selain itu didalamnya juga dilakukan proses pengumpulan bahan pendukung, penjadwalan pekerjaan secara garis besar, dan penentuan staff yang dibutuhkan dalam pelaksanaan pekerjaan.
b, Tahap Persiapan
Merupakan realisasi dari rencana yang telah ditetapkan sebelumnya, dimana didalamnya dilakukan pemilihan Control Objective COBIT dan pembuatan checklist yang digunakan sebagai tool kontrol dalam penilaian yang dilakukan, selain itu dilakukan penentuan data point yang akan digunakan untuk menggali informasi yang dibutuhkan.
c. Tahap pelaksanaanljieldwork
Merupakan proses akuisisi data yang dilakukan melalui: interview, observasi dan review dokumentasi.
d. Tahap penyelesa/an assessment
Merupakan proses transformasi evidence menjadi suatu reportable finding dan penilaian maturity level dari masing-masing Control Objective yang dipilih dimana hasilnya digunakan sebagai referensi dalam melakukan benchmarking terhadap maturity level untuk mengetahui kondisi IT dibandingkan dengan organisasi lainnya.
Berdasarkan uraian dari Tahap (I) dan Tahap pada pengembangan model audit sistem informasi perawatan pesawat terbang sebelumnya, maka pada akhirnya dapat digambarkan secara detail bentuk Model Audit SI Perawatan Pesawat Terbang yang berkaitan dengan Proses IT COBlT untuk domain Delivery & Support – DS.
Daftar Pustaka
BalasHapus[I] Dorian Pyle, Morgan Kaufmann Publishers,
(2003), Business Modeling and Data Mining,
ISBN: i 55860653X
[2] Champlain, Jack 1.(2003), Auditing nformation System, 2nd ed., John Wiley&Sons .
[3] IT Governance institute (Juli 2000), COBIT: Audit Guidelines, 3rd ed ..
[4] IT Governance Institute (Juli 2000), COBIT: Management Guidelines, 3rd ed ..
[5] IT Governance Institute,(2000), "COBIT Framework", lSACA, 2000
[6] PT. IAe @ 200 i, File : DFDCSISCONTEXT, CSIS System Versi 1.0
[7] Ron Weber (1999), Information Systems Control and Audit, Prentice-Hall.
[8] http://www.itil-itsm-world .com/ (diakses tanggai 6-5-2005)
[9] http://www.isaca.org/ (diakses tanggal 9-5 2005)
Kasus Kontrol Audit Bank Swasta
BalasHapusSebuah Bank Swasta terkemuka menunjuk tim audit TI Ernst & Young untuk melakukan review atas penerapan sistem Perbankan yang terintegrasi. Pemeriksaan ini terbagi dalam dua fase. Pada fase pertama mencakup kegiatan, sebagai berikut:
1. Manajemen Proyek
Melakukan review atas manajemen proyek untuk memastikan bahwa semua outcome yang diharapkan tertuang dalam rencana proyek. Pada tahapan ini, auditor TI melakukan review atas project charter, sumber daya yang akan digunakan, alokasi penugasan dan analisa tahapan pekerjaan proyek.
2. Desain Proses dan Pengendalian Kontrol Aplikasi
Review mengenai desain pengendalian dalam modul-modul Perbankan tersebut, yaitu pinjaman dan tabungan. Untuk itu dilakukan review atas desain proses dimana auditor mengevaluasi proses, risiko dan pengendalian mulai dari tahapan input, proses maupun output.
3. Desain Infrastruktur
Review ini mencakup analisa efektivitas dan efisiensi desain infrastruktur pendukung (server, workstation, sistem operasi, database dan komunikasi data). Hasil follow up dijadikan dasar oleh manajemen untuk memulai implementasi sistem Perbankan yang terintegrasi tersebut. Berdasarkan nilai tambah yang diberikan melalui rekomendasi pada fase pertama, perusahaan menunjuk kembali auditor untuk melakukan review fase kedua secara paralel pada saat implementasi dilakukan, yaitu review terhadap:
§ Migrasi data, pada saat “roll-out” ke cabang-cabang, termasuk kapasitas pemrosesan dan penyimpanannya.
§Aspek lainnya termasuk persiapan help-desk , contingency dan security .
§Kesiapan pemakai dalam menggunakan sistem ini, kualitas pelatihan yang diberikan dan dokumentasi pengguna ( user manual )
§ Prosedur-prosedur manajemen perubahan ( change management ) dan testing
Auditor selanjutnya diminta memberikan saran mengenai risiko-risiko yang masih tersisa, sebelum manajemen memutuskan sistem barunya dapat “go-live”
SUMBER : http://auditit50.blogspot.co.id/2012/11/studi-kasus.html
Nama : Moch. Dheni Eka Rizaldy
NIM : 411140020
Prodi : Akuntansi/6
Kasus Audit IT bank indonesia
BalasHapusDeskripsi Singkat
Kasus audit BI atas aliran dana YPPI merupakan salah satu kasus keuangan paling controversial pada tahun 2008, tim IT indonesia meneliti adanya penyimpangan yg dilakukan para petinggi negeri ini. terutama karena melibatkan serentetan nama anggota dewan gubernur BI dan anggota DPR terkemuka. Sebagai hasil dari laporan BPK, kasus aliran dana YPPI kini telah terangkat ke meja hijau.
dalam kasus ini tim IT dibuat kebingungan karena sampai tidak mengetahui adanya penyimpangan tersebut.
Kasus Aliran dana YPPI atau YLPPI adalah murni temuan tim audit BPK. Tim tersebutlah yang menentukan rencana kerja, metode, teknik pemeriksaan, analisis maupun penetapan opini pemeriksaan kasus tersebut sesuai dngan standar pemeriksaan yang berlaku.
Perintah pemeriksaan BI dan YPPI ini dikeluarkan oleh Anggota Pembina Keuangan Negara II (Angbintama II) dan Kepala Auditorat Keuangan Negara II (Tortama II) yang membawahi pemeriksaan BI. Selama periode bulan Februari hingga Mei 2005, Tim Audit BPK melakukan pemeriksaan atas Laporan Keuangan BI Tahun 2004. Tim Audit BPK juga memeriksa Yayasan Lembaga Pengembangan Perbankan Indonesia (YLPPI) yang berdiri pada tahun 1977, karena afiliasi lembaganya dengan BI.
Pada bulan Maret 2005, Tim Audit BPK di BI menemukan adanya asset/tanah BI yang digunakan oleh YLPPI. Berdasarkan pemeriksaan lebih lanjut oleh Kantor Akuntan Publik Muhammad Thoha atas perbandingan kekayaan YLPPI per 31 Desember 2003 dengan posisi keuangannya per Juni 2003, diketahui adanya penurunan nilai asset sebesar Rp 93 miliar.
Kronologis
BalasHapus• Pada bulan Maret 2005, Tim Audit BPK menemukan bahwa terdapat aset/ tanah yang digunakan oleh YLPPI. BI juga menyediakan modal awal YLPPI, memberikan bantuan biaya operasionalnya serta mengawasi manajemennya.
• Berkaitan dengan dibuatnya peraturan tahun 1993 tentang penggunana asset/tanah oleh YLPPI serta hubungan terafiliasi antara YLPPI dengan BI, maka Tim Audit BPK meminta laporan keuangannya agar dapat diungkapkan dalam Laporan Keuangan BI
• Dari perbandingan kekayaan YLPPI per 31 Desember 2003 dengan posisi keuangannya per Juni 2003, diketahui adanya penurunan nilai aset sebesar Rp 93 miliar (Informasi mengenai kekayaan YPPI per 31 Desember 2003 ini diperoleh dari Laporan Keuangannya yang diaudit oleh Kantor Akuntan Publik Mohammad Toha)
• Juni 2005-Oktober 2006: Tim Audit BPK melakukan pendalaman dengan kasus dengan menetapkan sendiri metode, teknik, objek pengungkapan kasus, analisis, serta penetapan opini pemeriksaan.
• Mei 2005: Tim Audit BPK melaporkan kasus Aliran Dana YPPI kepada Ketua BPK, Anwar Nasution.
Temuan Penyimpangan
BalasHapus1. Manipulasi pembukuan, baik buku YPPI maupun buku Bank Indonesia. Pada saat perubahan status YPPI dari UU Yayasan Lama ke UU No 16 Tahun 2001 tentang Yayasan, kekayaan dalam pembukuan YPPI berkurang Rp 100 miliar. Jumlah Rp 100 miliar ini lebih besar dari penurunan nilai aset YPPI yang diduga semula sebesar Rp 93 miliar. Sebaliknya, pengeluaran dana YPPI sebesar Rp 100 miliar tersebut tidak tercatat pada pembukuan BI sebagai penerimaan atau utang.
2. Menghindari Peraturan Pengenalan Nasabah Bank serta UU tentang Tindak Pidana Pencucian Uang. Dimana dana tersebut dipindahkan dulu dari rekening YPPI di berbagai bank komersil, ke rekening yang terdapat BI, baru kemudian ditarik keseluruhan secara tunai.
3. Penarikan dan penggunaan dana YPPI untuk tujuan berbeda dengan tujuan pendirian yayasan semula. Ini bertentangan dengan UU Yayasan, dan putusan RDG tanggal 22 Juli 2003 yang menyebutkan bahwa dana YPPI digunakan untuk pembiayaan kegiatan sosial kemsyarakatan.
4. Penggunaan dana Rp 31,5 miliar yang diduga untuk menyuap oknum anggota DPR. Sisanya, Rp 68,5 miliar disalurkan langsung kepada individu mantan pejabat BI, atau melalui perantaranya. Diduga, dana ini digunakan untuk menyuap oknum penegak hukum untuk menangani masalah hukum atas lima orang mantan Anggota Dewan Direksi/ Dewan Gubernur BI. Padahal, kelimanya sudah mendapat bantuan hukum dari sumber resmi anggaran BI sendiri sebesar Rp 27,7 miliar. Bantuan hukum secara resmi itu disalurkan kepada para pengacara masing-masing. Dan dana Rp 68,5 miliar
Dasar Pengambilan Dana YPPI
• Keputusan Rapat Dewan Gubernur BI (RDG) tanggal 3 Juni 2003menetapkan agar Dewan Pengawas YLPPI menyediakan dana sebesar Rp 100 milar untuk keperluan insidentil dan mendesak di BI
• Salah satu dari dua RDG yang dilakukan tanggal 22 Juli 2003 adalah menetapkan pembentukan Panitia Pengembangan Sosial kemasyarakatan (PPSK) untuk melakukan “penarikan, penggunaan dan penatausahaan” dana yang diambil dari YPPi tersebut.PPSK dibentuk untuk melakukan berbagai kegiatan dalam rangka membina hubungan social kemayarakatan.
• RDG yang kedua dilakukan pada tanggal 22 Juli 2003 menetapkan agar BI mengganti atau mengembalikan dana Rp 100 miliar yang diambilnya dari YPPI.
analisa Penanganan Kasus
menurut saya : Ketua BPK, Anwar Nasution (AN) memanggil Gubernur BI, Burhanuddin Abdullah (BA). AN meminta yang bersangkutan untuk dapat menyelesaikan kasus tersebut dengan baik agar tidak menimbulkan gejolak politik maupun mengganggu karirnya sendiri atau karir semua pihak yang terkait.
kedua : Ketua BPK memberikan himbauan yang sama pada Paskah Suzetta (PS). Kala itu, PS menjabat sebagai Wakil Ketua Komisi XI DPR-RI dan kemudian diangkat menjadi Menteri Perencanaan Pembangunan Nasional dalam Kabinet Indonesia Bersatu.
dan seharusnya Ketua BPK, AN, menyarankan untuk dapat menyelesaikan kasus Aliran Dana YPPI sesuai dengan aturan hukum, termasuk UU tentang Yayasan dan sistem pembukuan BI sendiri.
Saran AN secara spesifik adalah:
o agar seluruh uang YPPI dapat dikembalikan
o agar pembukuan YPPI dapat dikoreksi kembali
• Toleransi yang diberikan AN:
o Memberikan jangka waktu penyelesaian oleh BI yang sama dengan tenggang waktu yang diperlukan Tim Audit BPK untuk mendalami kasus YPPI, termasuk melengkapi data dan bukti.
o Bila uang YPPI dikembalikan dan pembukuannya dikoreksi, AN akan menulis surat kepada penegak hukum bahwa tidak ada lagi kerugian negara.
o Toleransi AN ini tidak dpenuhi oleh para pihak tergugat.
Sumber : http://auditit50.blogspot.co.id/2012/11/studi-kasus.html?m=1
Nama : Risma Fajar Rina
NIM : 411140023
prody : Akuntansi 6