a. IT Audit Trail, Real Time Audit, dan IT Forensik!
Audit Trail
Audit Trail
Audit trail sebagai
“yang menunjukkan catatan yang telah mengakses sistem operasi komputer dan apa
yang dia telah dilakukan selama periode waktu tertentu”. Dalam telekomunikasi,
istilah ini berarti catatan baik akses selesai dan berusaha dan jasa, atau data
membentuk suatu alur yang logis menghubungkan urutan peristiwa, yang digunakan
untuk melacak transaksi yang telah mempengaruhi
isi record. Dalam informasi atau keamanan
komunikasi, audit informasi berarti catatan kronologis kegiatan sistem
untuk memungkinkan rekonstruksi dan pemeriksaan dari urutan peristiwa dan /
atau perubahan dalam suatu acara.
Dalam penelitian
keperawatan, itu mengacu pada tindakan mempertahankan log berjalan atau jurnal
dari keputusan yang berkaitan dengan sebuah proyek penelitian, sehingga membuat
jelas langkah-langkah yang diambil dan perubahan yang dibuat pada protokol
asli. Dalam akuntansi, mengacu pada
dokumentasi transaksi rinci mendukung entri
ringkasan buku. Dokumentasi ini mungkin pada catatan kertas atau
elektronik. Proses yang menciptakan jejak audit harus selalu berjalan dalam
mode istimewa, sehingga dapat mengakses dan mengawasi semua tindakan dari semua
pengguna, dan user normal tidak bisa berhenti / mengubahnya.
Selanjutnya, untuk alasan yang sama, berkas jejak atau tabel database
dengan jejak tidak boleh diakses oleh pengguna normal. Dalam apa yang
berhubungan dengan audit trail, itu juga sangat penting untuk mempertimbangkan
isu- isu tanggung jawab dari jejak audit Anda, sebanyak dalam kasus sengketa,
jejak audit ini dapat dijadikan sebagai bukti atas kejadian beberapa.
Perangkat lunak ini
dapat beroperasi dengan kontrol tertutup dilingkarkan, atau sebagai sebuah
‘sistem tertutup, ”seperti yang disyaratkan oleh
banyak perusahaan ketika menggunakan sistem
Audit Trail.
Real Time Audit
Real Time
Audit atau RTA adalah suatu sistem untuk mengawasi kegiatan teknis dan
keuangan sehingga dapat memberikan penilaian yang transparan status saat ini
dari semua kegiatan, dimana pun mereka berada. Ini mengkombinasikan prosedur
sederhana dan logis untuk merencanakan dan melakukan dana untuk kegiatan dan
“Siklus Proyek” pendekatan untuk memantau kegiatan yang sedang berlangsung dan
penilaian termasuk cara mencegah pengeluaran yang tidak sesuai.
IT Forensics
IT
Forensics merupakan Ilmu yang berhubungan dengan pengumpulan fakta dan
bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode
yang digunakan (Misalnya Metode sebab akibat).
Tujuan IT Forensics
adalah untuk mendapatkan fakta – fakta objektif dari sistem informasi, karena
semakin berkembangnya teknologi komputer dapat digunakan sebagai alat bagi para
pelaku kejahatan komputer.
B. Perbedaan Audit "Around the
Computer" dan "Through the Computer"
Pengertian Audit Around the Computer
Pengertian Audit Around the Computer
Audit around the
computer masuk ke dalam kategori audit sistem informasi dan lebih tepatnya
masuk ke dalam metode audit. Audit around the computer dapat
dikatakan hanya memeriksa dari sisi user saja dan pada masukan dan keluaranya
tanpa memeriksa lebih terhadap program atau sistemnya, bisa juga dikatakan
bahwa audit around the computer adalah audit yang dipandang dari
sudut pandangblack box.
Dalam
pengauditannya yaitu auditor menguji keandalan sebuah informasi yang dihasilkan
oleh komputer dengan terlebih dahulu mengkalkulasikan hasil dari sebuah
transaksi yang dimasukkan dalam sistem. Kemudian, kalkulasi tersebut
dibandingkan dengan output yang dihasilkan oleh sistem. Apabila ternyata valid
dan akurat, diasumsikan bahwa pengendalian sistem telah efektif dan sistem
telah beroperasi dengan baik.
Audit around the
computer dilakukan pada saat:
1. Dokumen
sumber tersedia dalam bentuk kertas (bahasa non-mesin), artinya masih kasat
mata dan dilihat secara visual.
2. Dokumen-dokumen
disimpan dalam file dengan cara yang mudah ditemukan.
3. Keluaran
dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap
transaksi dari dokumen sumber kepada keluaran dan
sebaliknya.
Kelebihan dan
Kelemahan dari metode Audit Around The Computer adalah sebagai
berikut:
Kelebihan:
1. Proses
audit tidak memakan waktu lama karena hanya melakukan audit tidak secara
mendalam.
2. Tidak
harus mengetahui seluruh proses penanganan sistem.
Kelemahan:
1. Umumnya database
mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual.
2. Tidak
membuat auditor memahami sistem komputer lebih baik.
3. Mengabaikan
pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial
dalam sistem.
4. Lebih
berkenaan dengan hal yang lalu daripada audit yang preventif.
5. Kemampuan
komputer sebagai fasilitas penunjang audit mubadzir.
6. Tidak mencakup keseluruhan maksud dan
tujuan audit.
Pengertian Audit Through the Computer
Audit through the computer adalah dimana auditor
selain memeriksa data masukan dan keluaran, juga melakukan uji coba proses
program dan sistemnya atau yang disebut dengan white box, sehinga auditor
merasakan sendiri langkah demi langkah pelaksanaan sistem serta mengetahui
sistem bagaimana sistem dijalankan pada proses tertentu.
Audit around the
computer dilakukan pada saat:
1. Sistem
aplikasi komputer memproses input yang cukup besar dan menghasilkan output yang
cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya.
2. Bagian
penting dari struktur pengendalian intern perusahaan terdapat di dalam
komputerisasi yang digunakan.
Kelebihan dan
Kelemahan dari metode Audit Through The Computer adalah sebagai
berikut:
Kelebihan:
1. Dapat
meningkatkan kekuatan pengujian system aplikasi secara efektif.
2. Dapat
memeriksa secara langsung logika pemprosesan dan system aplikasi.
3. Kemampuan
system dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada
masa yang akan dating.
4. Auditor
memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap
system computer.
5. Auditor
merasa lebih yakin terhadap kebenaran hasil kerjanya.
Kelemahan:
1. Biaya
yang dibutuhkan relative tinggi karena jumlaj jam kerja yang banyak untuk dapat
lenih memahami struktur pengendalian intern dari pelaksanaan system aplikasi.
2. Butuh
keahlian teknis yang mendalam untuk memahami cara kerja sistem.
PERBEDAAN ANTARA AUDIT AROUND THE COMPUTER
DENGAN AUDIT THROUGH THE COMPUTER
Perbedaan
antara audit around the computer dengan audit through the
computer dilihat dari prosedur lembar kerja IT audit.
AUDIT AROUND THE COMPUTER
|
AUDIT THROUGH THE COMPUTER
|
1. Sistem harus sederhana dan berorientasi pada sistem batch.
Pada umumnya sistem batch komputer merupakan suatu pengembangan langsung dari sistem manual.
2. Melihat keefektifan biaya.
Seringkali keefektifan biaya dalam Audit Around The Computer pada saat aplikasi yang digunakan untuk keseragaman kemasan dalam program software.
3. Auditor harus besikap userfriendly.
Biasanya pendekatan sederhana yang berhubungan dengan audit dan dapat dipraktekkan oleh auditor yang mempunyai pengetahuan teknik tentang komputer.
|
1. Volume input dan output.
Input dari proses sistem aplikasi dalam volume besar dan output yang dihasilkan dalam volume yang sangat besar dan luas. Pengecekan langsung dari sistem input dan output yang sulit dikerjakan.
2. Pertimbangan efisiensi.
Karena adanya pertimbangan keuntungan biaya, jarak yang banyak dalam uji coba penampakan audit adalah biasa dalam suatu sistem.
|
C. Berikan Contoh Prosedur dan Lembar Kerja
IT Audit (Studi Kasus)
PROSEDUR IT AUDIT :
Kontrol lingkungan :
1. Apakah
kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika data
dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini
dari external auditor
3. Jika sistem
dibeli dari vendor, periksa kestabilan financial
4. Memeriksa
persetujuan lisen (license agreement)
Kontrol keamanan
fisik :
1. Periksa
apakah keamanan fisik perangkat keras dan penyimpanan data memadai
2. Periksa
apakah backup administrator keamanan sudah memadai (trained,tested)
3. Periksa
apakah rencana kelanjutan bisnis memadai dan efektif
4. Periksa
apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
Kontrol keamanan
logical :
1. Periksa
apakah password memadai dan perubahannya dilakukan regular
2. Apakah
administrator keamanan memprint akses kontrol setiap user
CONTOH – CONTOH
- Internal IT
Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan
Fokus kepada global, menuju ke standard2 yang diakui.
- External IT
Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya
Outsourcing yang tepat dan Benchmark / Best-Practices
Contoh lembar kerja IT Audit
Gambar berikut
ini merupakan contoh lembar kerja pemeriksaan IT Audit. Gambar A untuk contoh
yang masih ‘arround the compter‘, sedangkan B contoh ‘through the computer‘.
Studi Kasus :
KASUS AUDIT UMUM PT KAI
Menerapkan
proses GCG (Good Corporate Governance) dalam suatu perusahaan
Pembedahan kasus-kasus yang telah terjadi di perusahaan atas proses pengawasan
yang efektif akan menjadi pembelajaran yang menarik dan kiranya dapat kita
hindari apabila kita dihadapkan pada situasi yang sama.
bukan suatu proses
yang mudah. Diperlukan konsistensi, komitmen, dan pemahaman yang jelas dari
seluruh stakeholders perusahaan mengenai bagaimana seharusnya proses tersebut
dijalankan. Namun, dari kasus-kasus yang terjadi di BUMN ataupun Perusahaan
Publik dapat ditarik kesimpulan sementara bahwa penerapan proses GCG belum
dipahami dan diterapkan sepenuhnya.
Salah satu
contohnya adalah kasus audit umum yang dialami oleh PT. Kereta Api Indonesia
(PT. KAI). Kasus ini menunjukkan bagaimana proses tata kelola yang dijalankan
dalam suatu perusahaan dan bagaimana peran dari tiap-tiap organ pengawas dalam
memastikan penyajian laporan keuangan tidak salah saji dan mampu menggambarkan
keadaan keuangan perusahaan yang sebenarnya.
Kasus PT. KAI
berawal dari perbedaan pandangan antara Manajemen dan Komisaris, khususnya
Ketua Komite Audit dimana Komisaris menolak menyetujui dan menandatangani
laporan keuangan yang telah diaudit oleh Auditor Eksternal. Komisaris meminta
untuk dilakukan audit ulang agar laporan keuangan dapat disajikan secara
transparan dan sesuai dengan fakta yang ada. Salah satu faktor yang menyebabkan
terjadinya kasus PT. KAI adalah rumitnya laporan keuangan PT. KAI. Perbedaan
pandangan antara manajemen dan komisaris tersebut bersumber pada perbedaan
mengenai:
1. Masalah piutang
PPN.
Piutang PPN per 31
Desember 2005 senilai Rp. 95,2 milyar, menurut Komite Audit harus dicadangkan
penghapusannya pada tahun 2005 karena diragukan kolektibilitasnya, tetapi tidak
dilakukan oleh manajemen dan tidak dikoreksi oleh auditor.
2. Masalah Beban Ditangguhkan yang berasal dari penurunan
nilai persediaan.Saldo beban yang ditangguhkan per 31 Desember 2005 sebesar Rp. 6 milyar yang
merupakan penurunan nilai persediaan tahun 2002 yang belum diamortisasi,
menurut Komite Audit harus dibebankan sekaligus pada tahun 2005 sebagai beban
usaha.
3. Masalah
persediaan dalam perjalanan.
Berkaitan dengan
pengalihan persediaan suku cadang Rp. 1,4 milyar yang dialihkan dari satu unit
kerja ke unit kerja lainnya di lingkungan PT. KAI yang belum selesai proses
akuntansinya per 31 Desember 2005, menurut Komite Audit seharusnya telah
menjadi beban tahun 2005.
4. Masalah uang
muka gaji.
Biaya dibayar
dimuka sebesar Rp. 28 milyar yang merupakan gaji Januari 2006 dan seharusnya
dibayar tanggal 1 Januari 2006 tetapi telah dibayar per 31 Desember 2005
diperlakukan sebagai uang muka biaya gaji, yang menurut Komite Audit harus
dibebankan pada tahun 2005.
5. Masalah Bantuan
Pemerintah Yang Belum Ditentukan Statusnya (BPYDBS) dan Penyertaan Modal Negara
(PMN).
BPYDBS sebesar Rp.
674,5 milyar dan PMN sebesar Rp. 70 milyar yang dalam laporan audit digolongkan
sebagai pos tersendiri di bawah hutang jangka panjang, menurut Komite Audit
harus direklasifikasi menjadi kelompok ekuitas dalam neraca tahun buku 2005.
Beberapa hal yang
direfentifikasi turut berperan dalam masalah pada laporan keuangan PT. KAI
Indonesia:
1. Auditor internal
tidak berperan aktif dalam proses audit, yang berperan hanya auditor Eksternal.
2. Komite audit
tidak ikut serta dalam proses penunjukkan auditor sehingga tidak terlibat
proses audit.
3. Manajemen (tidak
termasuk auditor eksternal) tidak melaporkan kepada komite audit dan komite
audit tidak menanyakannya.
4. Adanya
ketidakyakinan manajemen akan laporan keuangan yang telah disusun, sehingga
ketika komite audit mempertanyakan manajemen merasa tidak yakin.
Terlepas dari pihak mana yang benar, permasalahan ini
tentunya didasari oleh tidak berjalannya fungsi check and balances yang
merupakan fungsi substantif dalam perusahaan. Yang terpenting adalah
mengidentifikasi kelemahan yang ada sehingga dapat dilakukan penyempurnaan
untuk menghindari munculnya permasalahan yang sama di masa yang akan datang.
Berikut ini beberapa solusi dan rekomendasi yang disarankan kepada PT KAI untuk memperbaiki kondisi yang telah terjadi:
1. Apabila Dewan
Komisaris ini merasa direksi tidak capable (mampu) memimpin perusahaan, Dewan
Komisaris dapat mengusulkan kepada pemegang saham untuk mengganti direksi.
2. Diperlukannya
kebijaksanaan (wisdom) dari Anggota Dewan Komisaris untuk memilah-milah
informasi apa saja yang merupakan private domain.
3. Komunikasi yang
intens sangat diperlukan antara Auditor Eksternal dengan Komite Audit.
4. Komite Audit
sangat mengandalkan Internal Auditor dalam menjalankan tugasnya untuk
mengetahui berbagai hal yang terjadi dalam operasional perusahaan.
5. Komite Audit
tidak memberikan second judge atas opini Auditor Eksternal, karena opini
sepenuhnya merupakan tanggung jawab Auditor Eksternal.
6. Harus ada upaya
untuk membenarkan kesalahan tahun-tahun lalu, karena konsistensi yang salah
tidak boleh dipertahankan.
7. Komite Audit
tidak berbicara kepada publik karena esensinya Komite Audit adalah organ Dewan
Komisaris sehingga pendapat dan masukan Komite Audit harus disampaikan kepada
Dewan Komisaris. Apabila Dewan Komisaris tidak setuju dengan Komite Audit,
tetapi Komite Audit tetap pada pendiriannya, Komite Audit dapat mencantumkan
pendapatnya pada Laporan Komite Audit yang terdapat dalam laporan tahunan
perusahaan.
8. Manajemen
menyusun laporan keuangan secara tepat waktu, akurat dan full disclosure.
9. Komite Audit dan
Dewan Komisaris sebaiknya melakukan inisiatif untuk membangun budaya pengawasan
dalam perusahaan melalui proses internalisasi, sehingga pengawasan merupakan
bagian tidak terpisahkan dari setiap organ dan individu dalam organisasi.
D. Jelaskan berbagai tools yang digunakan IT
Audit dan forensik + gambar satuannya!
Tools yang Digunakan Untuk IT Audit
A. ACL (Audit Command Language):
software CAAT
(Computer Assisted Audit Techniques) yang sudah sangat populer untuk melakukan
analisa terhadap data dari berbagai macam sumber.
B. Powertech Compliance Assessment Powertech:
automated audit tool yang dapat dipergunakan
untuk mengaudit dan mem-benchmark user access to data, public authority to
libraries, user security, system security, system auditing dan administrator
rights (special authority) sebuah serverAS/400.
C. Nipper :
audit automation software
yang dapat dipergunakan untuk mengaudit dan mem-benchmark konfigurasi sebuah
router.
Tools yang digunakan untuk IT forensic :
A. Antiword
Antiword merupakan
sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen
Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi
2 dan versi 6 atau yang lebih baru.
B. Binhash
Binhash merupakan
sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian file
ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen
header dari bagian header segmen obyek ELF dan bagian segmen header obyekPE.
C. Autopsy
The Autopsy
Forensic Browser merupakan antarmuka grafis untuk tool analisis investigasi
diginal perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk
dan filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
D. Sigtool
Sigtcol merupakan
tool untuk manajemen signature dan database ClamAV. sigtool dapat digunakan
untuk rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal,
menampilkan daftar signature virus dan build/unpack/test/verify database CVD
dan skrip update.
Sumber :
0 komentar:
Posting Komentar