Jumat, 23 Oktober 2009

Audit keamanan Komputer

Audit keamanan Komputer

Audit keamanan komputer (computer security audit) adalah penilaian atau evaluasi teknis yang sistematis dan terukur mengenai keamanan komputer dan aplikasinya. Audit keamanan komputer ini terdiri dari dua bagian: penilaian otomatis dan non-otomatis. Penilaian otomatis berkaitan dengan pembuatan laporan audit yang dijalankan oleh suatu perangkat lunak terhadap perubahan status file dalam komputer: create, modify, delete, dll. Penilaian non-otomatis berhubungan dengan kegiatan interview kepada staf yang menangani komputer, evaluasi kerawanan dan keamanan komputer, pengamatan terhadap semua akses ke sistem operasi dan software aplikasinya, serta analisa semua akses fisik terhadap sistem komputer secara menyeluruh.
Sistem yang dinilai dan dievaluasi tidak hanya komputernya saja, tetapi meliputi semua PC, server, mainframe, jaringan komputer, router, saklar data, serta segala macam software yang dipakai oleh organisasi atau perusahaan yang bersangkutan.
















Auditing dan Komputer

Saat ini, penggunaan sistem informasi akuntansi berbasis komputer oleh organisasi bisnis dan banyak organisasi lainya meningkat pesat. Penggunaan aplikasi akuntansi berbasis komputer juga mempunyai dampak yang cukup signifikan bagi profesi akuntan. Kompleksitas masalah-masalah dalam lingkungan Pemrosesan Data Elektronik mendorong auditor untuk mengembangkan prosedur dan teknik untuk mengendalikan dan memeriksa sistem akuntansi berbasis komputer yang lebih rumit. Komputerisasi atau penggunaan sistem akuntansi berbasis komputer untuk menggantikan sistem manual, secara otomatis akan mengurangi atau bahkan meninggalkan dokumen-dokumen konvensional (hardcopy) yang bersifat verifiable evidence dan mengarah ke paperless office. Dokumen atau hardcopy bukan lagi menjadi bagian utama untuk tujuan pencatatan. Dokumen-dokumen tersebut digantikan dengan sinyal kode binary digit dalam bahasa komputer yang intangible.
Perubahan yang fundamental akibat kemajuan teknologi juga menyebabkan terjadinya kesalahan-kesalahan, baik tindak kecurangan maupun kelalaian, dalam bentuk yang sama sekali baru. Oleh karena itu perlu adanya upaya pencegahan terhadap segala bentuk kesalahan oleh komputer dan pengamanan terhadap sistem informasi berbasis komputer tersebut. Hal ini, konsekuensinya, berdampak pada peningkatan kebutuhan pemeriksaan akuntan di lingkungan Pemrosesan Data Elektronik.
Mengapa Perlu audit Sistem Informasi?

Munculnya berbagai jenis komputer kecil PC dan semakin murah yang menggantikan jenis komputer mainframe dan harga komputer komputer yang relatif terjangkau dengan kemampuan teknologi yang memadai (bahkan lebih handal) telah membantu perusahaan dalam menjalankan aktivitas operasi bisnisnya. Saat ini komputer telah hampir ada di setiap kantor dan menjadi sebuah peralatan penting.
Semenjak komputer menjadi alat utama dalam pemrosesan data dan penyediaan informasi untuk berbagai keputusan, maka sangat perlu bagi pengguna sistem informasi berbasis komputer untuk mengendalikan pemakaian sistem pengolah data berbasis komputer tersebut secara lebih baik.

Alasan utama untuk sebuah manajemen sistem informasi yang efektif adalah:
1. Ketergantungan terhadap Sistem Informasi
Meningkatnya ketergantungan kepada sistem informasi dan prasarana pendukung sistem informasi itu sendiri sebagai akibat penggunaan informasi dalam aktivitas bisnis sehari-hari. Sistem informasi telah menjadi sebuah kebutuhan sehari-hari dalam menjalankan setiap kegiatan dalam organisasi bisnis. Organisasi bisnis menjadi sangat tergantung kepada sistem informasi, tanpa bantuan sebuah sistem informasi perusahaan tidak dapat beroperasi lagi dan dapat melumpuhkan seluruh kegiatannya.
Perusaahaan retail kecil seperti Indomart, Alfamart dan sejenisnya telah menggunakan sebuah sistem informasi berbasis komputer. Bayangkan saja apa yang akan terjadi jika sistem informasi yang ada di perusahaan retail besar seperti Makro, Giant atau Carefour macet, maka hampir seluruh kegiatan penjualan di tempat tersebut akan terganggu.
2. Skala dan Biaya untuk investasi Sistem Informasi.
Skala investasi dan biaya yang telah diinvestasikan pada saat ini maupun mendatang kepada sebuah sistem informasi sangatlah besar. Berapa investasi yang ditanamkan oleh perusahaan-perusahan seperti PT. Telkom, PT. Semen Gresik atau investasi yang ditanamkan dalam industri perbankan seperti Bank BNI, Bank BCA dan sebagainya? Sebagai contoh Investasi yang dilakukan oleh Komisi Pemilihan Umum dalam Teknologi Informasi guna membantu Pemilihan Umum tahun 2004 ini hampir mencapai Rp. 300 Milyar. Sehingga sebuah sistem informasi sangatlah perlu dikelola dengan baik.
3. Business Driven Technology
Teknologi Sistem Informasi saat ini juga digunakan sebagai pendukung (enabler) pencapaian strategi dan tujuan organisasi. Dampak potensial dari perkembangan teknologi informasi yang mengubah secara dramatis praktek-praktek organisasi dan bisnis yang ada saat ini, serta adanya kemungkinan menciptakan peluang-peluang baru dan untuk pengurangan biaya karena penggunaan teknologi informasi.
4. Ancaman terhadap Sistem Informasi
Meningkatnya kerentanan dan luasnya spektrum ancaman terhadap sistem informasi, seperti cyber threats, hackers dan perang informasi (information war).
If you like, lets share this yah.. :



















• Audit Sistem Informasi: At a Glance
• Mengapa perlu Audit Sistem Informasi?
• Teknik Audit Berbantuan Komputer (TABK)
• Skeptisme Profesional dalam Auditing
• Resiko dalam SIA berbasis Komputer
• Benford’s Law dan Fraud Auditing
________________________________________
Great spirits have always encountered violent opposition from mediocre minds.
Albert Einstein
























Audit Keuangan dalam Lingkup Sistem Informasi Akuntansi yang Kompleks

Kemajuan TI telah mengubah cara perusahaan dalam mengumpulkan data, memproses dan melaporkan informasi keuangan Oleh karena itu auditor akan banyak menemukan lingkungan dimana data tersimpan lebih banyak dalam media elektronik dibanding media kertas. Auditor harus menentukan bagaimana perusahaan menggunakan systemTI untuk meng-inisiasi, mencatat, memproses dan melaporkan transaksi dalam laporan keuangan. Sebenarnya tidak ada perbedaan konsep audit yang berlaku untuk system yang kompleks dan system manual, yang berbeda hanyalah metode-metode spesifik yang cocok dengan situasi system informasi akuntansi yang ada. Pemahaman ini diperlukan dalam rangka mendapatkan pemahaman internal control yang baik agar dapat merencanakan audit dan menentukan sifat, timing dan perluasan pengujian yang akan dilakukan.
Statement on Auditing Standar (AICPA) dan Standar Profesional Akuntan Publik (IAI) juga mengatur masalah ini. Beberapa item dalam standar audit tersebut mengatur tata cara audit dalam lingkungan system informasi berbasis computer. Menurut standar pada dasarnya auditor keuangan melakukan pengujian berikut: 1).Uji kepatuhan terhadap prosedur yang berlaku (otorisasi, kelengkapan, keakuratan), 2). Uji Substantif (Uji terhadap transaksi dan hasil pengolahan), dan 3). Pengolahan kembali transaksi dalam prosedur pengujian kepatuhan atau substantive. Tentunya luasnya pengujian terkait dengan resiko deteksi yang dapat diterima oleh auditor. Jenis dan luas pengujian tidak tergantung besarnya perusahaan tetapi ditentukan oleh kompleksitas lingkungan TI yang ada seperti luasnya system on-line yang digunakan, tipe dan signifikansi transaksi keuangan, serta sifat dokumen / database, serta program yang digunakan.
Beberapa contoh situasi yang memerlukan pengujian pengendalian control :
1. System TI yang digunakan untuk otomasi: proses inisiasi, recording, prosessing dan pelaporan keuangan seperti ERP.
2. Electronic data interchange dan payment transfer system yang secara elektronik men-transmit order dan pembayaran.

3. Program computer yang berisi algoritma dan formula yang melakukan kalkulasi otomatis seperti komisi, allowance for doubtful account, reorder point, loan reserve dan kalkulasi dana pension.
Pengujian Pengendalian
Pengujian pengendalian dilakukan dengan mengidentifikasi aktivitas control(policy dan procedure) yang ada untuk mencegah dan mendeteksi kesalahan saji material dalam laporan keuangan. Dua aktivitas utama yang diuji adalah pengendalian terkait dengan pemrosesan informasi yaitu general control dan application control. General control terkait dengan semua aktivitas computer dan termasuk control atas system development, access security, program change, data center dan network dan maintenance. Aplication control berhubungan dengan task spesifik yang dilakukan individual aplikasi. Termasuk didalam prosedur cek dengan TI misalnya edit check saat input data dan check yang dilakukan oleh individu termasuk manual follow-up rekonsiliasi atau exception reportPengujian pengendalian bertujuan, mengumpulkan bukti tentang seberapa efektif dan konsisten prosedur pengendalian berjalan. Pengujian ini dilakukan dengan wawancara, inspeksi dokumen terkait atau inspeksi file elektronik terkait, observasi penerapan pengendalian dan pemrosessan ulang transaksi.Dalam mendesign pengujian automated control (computerised control / application control), auditor harus mempertimbangkan kebutuhan untuk mendapatkan bukti pendukung atas efektifitas pengendalian operasi secara langsung maupun tak langsung terkait dengan asersi atas laporan keuangan Teknik yang digunakan untuk pengujian tentu saja berbeda dengan teknik pengujian manual.
Ada beberapa teknik audit untuk mengetes automated control. Auditor dapat menggunakan tiga kategori berikut dalam menguji pengendalian biasa juga disebut sebagai teknik audit berbantuan computer (Computer Assisted Audit Techniques/CAAT) yang terdiri atas:

• Auditing Around the Computer
Dengan teknik ini auditor menguji reliability dari computer generated information dengan terlebih dahulu menghitung hasil yang diinginkan dari transaksi yang dimasukkan dalam system, dan kemudian membandingkan hasil perhitungan dengan hasil proses atau output. Jika terbukti akurat dan valid, maka diasumsikan bahwa system pengendalian berfungsi seperti yang seharusnya.
Kondisi ini cocok jika system aplikasi otomasi sederhana dan ringkas. Pendekatan ini masih relevan dipakai di perusahaan yang menggunakan software akuntansi yang bervariasi dan melakukan proses secara periodic, dan jika audit trail yang tersedia sangat banyak, sehingga memungkin untuk tracing output ke inputnya semula. Kelemahan auditing around the computer adalah tidak menentukan apakah program logic benar, dan tidak dapat menyingkap bagaimana terjadinya system memberikan automated control respon terhadap data transaksi yang mengandung error. Oleh karena itu dalam lingkungan TI yang kompleks pendekatan ini dapat menyebabkan terlewatnya potensial significant error dan mungkin tidak efektif dalam membatasi resiko deteksi sampai level yang dapat diterima
• Auditing With the Computer
Adalah auditing dengan pendekatan computer, menggunakan teknik yang bervariasi yang biasa juga disebut Computer Assisted audit Technique. Penggunaan CAAT telah meningkatkan secara dramatis kapabilitas dan efektifitas auditor, dalam melakukan susbstantif test. Salah satu CAAT yang lazim dipakai adalah general audit software (GAS). GAS sering dipakai untuk melakukan substantive test dan digunakan test of control yang terbatas. Sebagai contoh GAS sering dipakai untuk mengetes fungsi algoritma yang komplek dalam program computer. Tetapi ini memerlukan pengalaman yang luas dalam penggunaan software ini.


• Audit Through the Computer
Teknik ini focus pada testing tahapan pemrosesan computerised, logic program, edit routines dan program controls. Pendekatan ini mengasumsikan bahwa jika program pemrosesan dikembangkan dengan baik, dan memenuhi edit routines dan programme check yang memadai, maka error dan kecurangan tidak akan mudah terjadi tanpa terdeteksi.
Pendekatan audit melalui computer cocok untuk pengujian pengendalian (test of control) dalam lingkungan TI yang kompleks. Pendekatan ini mengadopsi “family of technic” seperti a). Test of data technique, b). Parallel simulation, 3) Integrated test facility (ITF), dan 4). Embedded audit module. Sejak diterbitkannya SAS No 94. tahun 2001, penggunaan audit through the computer meningkat.Test of data technique dan parallel simulation termasuk pendekatan audit non-continous. Sedangkan ITF dan embedded audit module merupakan pendekatan audit continous. Pendekatan continous audit relevan bagi perusahaan yang melaporkan keuangan transaksi secara real time. Sedangkan non-continous audit teknik relevan bagi perusahaan yang menggunakan pelaporan keuangan periodic dari aplikasi pemrosesan transaksi. Saat ini sebagian besar perusahaan menerapkan pelaporan periodic. Dimasa depan sebagian besar bisa jadi menggunakan keduanya. Oleh karena itu kedua pendekatan ini penting dalam menilai reliabilitas internal control dan pelaporan informasi keuangan.