a. IT Audit Trail, Real Time Audit, dan IT Forensik!
Audit Trail merupakan salah satu fitur dalam suatu program yang mencatat semua kegiatan yang dilakukan tiap user dalam suatu tabel log. secara rinci. Audit Trail secara default akan mencatat waktu , user, data yang diakses dan berbagai jenis kegiatan. Jenis kegiatan bisa berupa menambah, merungubah dan menghapus. Audit Trail apabila diurutkan berdasarkan waktu bisa membentuk suatu kronologis manipulasi data.Dasar ide membuat fitur Audit Trail adalah menyimpan histori tentang suatu data (dibuat, diubah atau dihapus) dan oleh siapa serta bisa menampilkannya secara kronologis. Dengan adanya Audit Trail ini, semua kegiatan dalam program yang bersangkutan diharapkan bisa dicatat dengan baik.
Cara Kerja Audit Trail Audit Trail yang disimpan dalam suatu tabel
- Dengan menyisipkan perintah penambahan record ditiap query Insert, Update dan Delete
- Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL statement, yang secara otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada sebuah tabel.
Real
Time Audit atau RTA adalah suatu sistem untuk mengawasi kegiatan teknis dan
keuangan sehingga dapat memberikan penilaian yang transparan status saat ini
dari semua kegiatan, dimana pun mereka berada. Ini mengkombinasikan prosedur
sederhana dan logis untuk merencanakan dan melakukan dana untuk kegiatan dan
“Siklus Proyek” pendekatan untuk memantau kegiatan yang sedang berlangsung dan
penilaian termasuk cara mencegah pengeluaran yang tidak sesuai.
IT
Forensics merupakan Ilmu yang berhubungan dengan pengumpulan fakta dan bukti
pelanggaran keamanan sistem informasi serta validasinya menurut metode yang
digunakan (Misalnya Metode sebab akibat).
Tujuan
IT Forensics adalah untuk mendapatkan fakta – fakta objektif dari sistem
informasi, karena semakin berkembangnya teknologi komputer dapat digunakan
sebagai alat bagi para pelaku kejahatan komputer.
b. Perbedaan Audit "Around the Computer" dan "Through the Computer"
Pengertian Audit Around the Computer
● Stakeholders:
– Internal IT Deparment
– External IT Consultant
– Board of Commision
– Management
– Internal IT Auditor
– External IT Auditor
● Kualifikasi Auditor:
– Certified Information Systems Auditor (CISA)
– Certified Internal Auditor (CIA)
– Certified Information Systems Security Professional (CISSP)
– dll
● Output Internal IT:
– Solusi teknologi meningkat, menyeluruh & mendalam
– Fokus kepada global, menuju ke standard2 yang diakui
● Output External IT:
– Rekrutmen staff, teknologi baru dan kompleksitasnya
– Outsourcing yang tepat
– Benchmark / Best-Practices
● Output Internal Audit & Business:
– Menjamin keseluruhan audit
– Budget & Alokasi sumber daya
– Reporting
Contoh prosedur dan lembar kerja IT Audit Prosedur IT
* Pengungkapan Bukti Digital
* Mengidentifikasi Bukti Digital
* Penyimpanan Bukti Digital
* Analisa Bukti Digital
* Presentasi Bukti Digital
Contoh :
* Internal IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan Fokus kepada global, menuju ke standard - standard yang diakui.
* External It Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya Outsourcing yang tepat dan Benchmark / Best-Practices.
Studi Kasus :
Berikut ini beberapa solusi dan rekomendasi yang disarankan kepada PT KAI untuk memperbaiki kondisi yang telah terjadi:
Sumber:
http://prajuritnusantara.blogspot.com/2015/03/audit-around-computer-dengan-audit.html
http://dewimibi.blogspot.com/2015/03/etika-profesionalisme-tulisan-4.html?view=timeslide
b. Perbedaan Audit "Around the Computer" dan "Through the Computer"
Pengertian Audit Around the Computer
Audit
around the computer masuk
ke dalam kategori audit sistem informasi dan lebih tepatnya masuk ke dalam
metode audit. Audit around the
computer dapat dikatakan hanya memeriksa dari sisi user saja dan
pada masukan dan keluaranya tanpa memeriksa lebih terhadap program atau
sistemnya, bisa juga dikatakan bahwa audit around the computer adalah audit yang dipandang dari
sudut pandangblack box.
Dalam pengauditannya yaitu
auditor menguji keandalan sebuah informasi yang dihasilkan oleh komputer dengan
terlebih dahulu mengkalkulasikan hasil dari sebuah transaksi yang dimasukkan
dalam sistem. Kemudian, kalkulasi tersebut dibandingkan dengan output yang
dihasilkan oleh sistem. Apabila ternyata valid dan akurat, diasumsikan bahwa
pengendalian sistem telah efektif dan sistem telah beroperasi dengan baik.
Audit
around the computer dilakukan
pada saat:
- Dokumen sumber tersedia dalam bentuk kertas (bahasa non-mesin), artinya masih kasat mata dan dilihat secara visual.
- Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan.
- Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan sebaliknya.
Kelebihan dan Kelemahan dari metode Audit Around The Computer adalah
sebagai berikut:
Kelebihan:
- Proses audit tidak memakan waktu lama karena hanya melakukan audit tidak secara mendalam.
- Tidak harus mengetahui seluruh proses penanganan sistem.
Kelemahan:
- Umumnya database mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual.
- Tidak membuat auditor memahami sistem komputer lebih baik.
- Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial dalam sistem.
- Lebih berkenaan dengan hal yang lalu daripada audit yang preventif.
- Kemampuan komputer sebagai fasilitas penunjang audit mubadzir.
- Tidak mencakup keseluruhan maksud dan tujuan audit.
Audit
through the computer adalah
dimana auditor selain memeriksa data masukan dan keluaran, juga melakukan uji
coba proses program dan sistemnya atau yang disebut dengan white box, sehinga auditor merasakan
sendiri langkah demi langkah pelaksanaan sistem serta mengetahui sistem
bagaimana sistem dijalankan pada proses tertentu.
Audit
around the computer dilakukan
pada saat:
- Sistem aplikasi komputer memproses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya.
- Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan.
Kelebihan
dan Kelemahan dari metode Audit
Through The Computer adalah sebagai berikut:
Kelebihan:
- Dapat meningkatkan kekuatan pengujian system aplikasi secara efektif.
- Dapat memeriksa secara langsung logika pemprosesan dan system aplikasi.
- Kemampuan system dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan dating.
- Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap system computer.
- Auditor merasa lebih yakin terhadap kebenaran hasil kerjanya.
Kelemahan:
- Biaya yang dibutuhkan relative tinggi karena jumlaj jam kerja yang banyak untuk dapat lenih memahami struktur pengendalian intern dari pelaksanaan system aplikasi.
- Butuh keahlian teknis yang mendalam untuk memahami cara kerja sistem.
PERBEDAAN ANTARA AUDIT AROUND THE COMPUTER DENGAN AUDIT
THROUGH THE COMPUTER
Perbedaan antara audit around the computer dengan audit through the computer dilihat dari prosedur lembar kerja IT audit.
Perbedaan antara audit around the computer dengan audit through the computer dilihat dari prosedur lembar kerja IT audit.
c. Berikan Contoh Prosedur dan Lembar Kerja IT Audit (Studi Kasus)
Lembar Kerja IT Audit
Bahasan / Lembar Kerja IT Audit:
● Stakeholders:
– Internal IT Deparment
– External IT Consultant
– Board of Commision
– Management
– Internal IT Auditor
– External IT Auditor
● Kualifikasi Auditor:
– Certified Information Systems Auditor (CISA)
– Certified Internal Auditor (CIA)
– Certified Information Systems Security Professional (CISSP)
– dll
● Output Internal IT:
– Solusi teknologi meningkat, menyeluruh & mendalam
– Fokus kepada global, menuju ke standard2 yang diakui
● Output External IT:
– Rekrutmen staff, teknologi baru dan kompleksitasnya
– Outsourcing yang tepat
– Benchmark / Best-Practices
● Output Internal Audit & Business:
– Menjamin keseluruhan audit
– Budget & Alokasi sumber daya
– Reporting
Contoh prosedur dan lembar kerja IT Audit Prosedur IT
* Pengungkapan Bukti Digital
* Mengidentifikasi Bukti Digital
* Penyimpanan Bukti Digital
* Analisa Bukti Digital
* Presentasi Bukti Digital
Contoh :
* Internal IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan Fokus kepada global, menuju ke standard - standard yang diakui.
* External It Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya Outsourcing yang tepat dan Benchmark / Best-Practices.
Studi Kasus :
KASUS AUDIT UMUM
PT KAI
Menerapkan
proses GCG (Good Corporate Governance) dalam suatu perusahaan
Pembedahan kasus-kasus yang telah terjadi di perusahaan atas proses pengawasan
yang efektif akan menjadi pembelajaran yang menarik dan kiranya dapat kita
hindari apabila kita dihadapkan pada situasi yang sama.
bukan
suatu proses yang mudah. Diperlukan konsistensi, komitmen, dan pemahaman yang
jelas dari seluruh stakeholders perusahaan mengenai bagaimana seharusnya proses
tersebut dijalankan. Namun, dari kasus-kasus yang terjadi di BUMN ataupun
Perusahaan Publik dapat ditarik kesimpulan sementara bahwa penerapan proses GCG
belum dipahami dan diterapkan sepenuhnya.
Salah
satu contohnya adalah kasus audit umum yang dialami oleh PT. Kereta Api
Indonesia (PT. KAI). Kasus ini menunjukkan bagaimana proses tata kelola yang
dijalankan dalam suatu perusahaan dan bagaimana peran dari tiap-tiap organ
pengawas dalam memastikan penyajian laporan keuangan tidak salah saji dan mampu
menggambarkan keadaan keuangan perusahaan yang sebenarnya.
Kasus
PT. KAI berawal dari perbedaan pandangan antara Manajemen dan Komisaris,
khususnya Ketua Komite Audit dimana Komisaris menolak menyetujui dan
menandatangani laporan keuangan yang telah diaudit oleh Auditor Eksternal.
Komisaris meminta untuk dilakukan audit ulang agar laporan keuangan dapat disajikan
secara transparan dan sesuai dengan fakta yang ada. Salah satu faktor yang
menyebabkan terjadinya kasus PT. KAI adalah rumitnya laporan keuangan PT. KAI.
Perbedaan pandangan antara manajemen dan komisaris tersebut bersumber pada
perbedaan mengenai:
1.
Masalah piutang PPN.
Piutang
PPN per 31 Desember 2005 senilai Rp. 95,2 milyar, menurut Komite Audit harus
dicadangkan penghapusannya pada tahun 2005 karena diragukan kolektibilitasnya,
tetapi tidak dilakukan oleh manajemen dan tidak dikoreksi oleh auditor.
2.
Masalah Beban Ditangguhkan yang berasal dari penurunan nilai persediaan.
Saldo beban yang ditangguhkan per 31 Desember 2005 sebesar Rp. 6 milyar yang merupakan penurunan nilai persediaan tahun 2002 yang belum diamortisasi, menurut Komite Audit harus dibebankan sekaligus pada tahun 2005 sebagai beban usaha.
Saldo beban yang ditangguhkan per 31 Desember 2005 sebesar Rp. 6 milyar yang merupakan penurunan nilai persediaan tahun 2002 yang belum diamortisasi, menurut Komite Audit harus dibebankan sekaligus pada tahun 2005 sebagai beban usaha.
3.
Masalah persediaan dalam perjalanan.
Berkaitan
dengan pengalihan persediaan suku cadang Rp. 1,4 milyar yang dialihkan dari
satu unit kerja ke unit kerja lainnya di lingkungan PT. KAI yang belum selesai
proses akuntansinya per 31 Desember 2005, menurut Komite Audit seharusnya telah
menjadi beban tahun 2005.
4.
Masalah uang muka gaji.
Biaya
dibayar dimuka sebesar Rp. 28 milyar yang merupakan gaji Januari 2006 dan
seharusnya dibayar tanggal 1 Januari 2006 tetapi telah dibayar per 31 Desember
2005 diperlakukan sebagai uang muka biaya gaji, yang menurut Komite Audit harus
dibebankan pada tahun 2005.
5.
Masalah Bantuan Pemerintah Yang Belum Ditentukan Statusnya (BPYDBS) dan
Penyertaan Modal Negara (PMN).
BPYDBS
sebesar Rp. 674,5 milyar dan PMN sebesar Rp. 70 milyar yang dalam laporan audit
digolongkan sebagai pos tersendiri di bawah hutang jangka panjang, menurut
Komite Audit harus direklasifikasi menjadi kelompok ekuitas dalam neraca tahun
buku 2005.
Beberapa
hal yang direfentifikasi turut berperan dalam masalah pada laporan keuangan PT.
KAI Indonesia:
1.
Auditor internal tidak berperan aktif dalam proses audit, yang berperan hanya
auditor Eksternal.
2.
Komite audit tidak ikut serta dalam proses penunjukkan auditor sehingga tidak
terlibat proses audit.
3.
Manajemen (tidak termasuk auditor eksternal) tidak melaporkan kepada komite
audit dan komite audit tidak menanyakannya.
4.
Adanya ketidakyakinan manajemen akan laporan keuangan yang telah disusun,
sehingga ketika komite audit mempertanyakan manajemen merasa tidak yakin.
Terlepas
dari pihak mana yang benar, permasalahan ini tentunya didasari oleh tidak
berjalannya fungsi check and balances yang merupakan fungsi substantif dalam
perusahaan. Yang terpenting adalah mengidentifikasi kelemahan yang ada sehingga
dapat dilakukan penyempurnaan untuk menghindari munculnya permasalahan yang
sama di masa yang akan datang.
Berikut ini beberapa solusi dan rekomendasi yang disarankan kepada PT KAI untuk memperbaiki kondisi yang telah terjadi:
1.
Apabila Dewan Komisaris ini merasa direksi tidak capable (mampu) memimpin
perusahaan, Dewan Komisaris dapat mengusulkan kepada pemegang saham untuk
mengganti direksi.
2.
Diperlukannya kebijaksanaan (wisdom) dari Anggota Dewan Komisaris untuk
memilah-milah informasi apa saja yang merupakan private domain.
3.
Komunikasi yang intens sangat diperlukan antara Auditor Eksternal dengan Komite
Audit.
4.
Komite Audit sangat mengandalkan Internal Auditor dalam menjalankan tugasnya
untuk mengetahui berbagai hal yang terjadi dalam operasional perusahaan.
5.
Komite Audit tidak memberikan second judge atas opini Auditor Eksternal, karena
opini sepenuhnya merupakan tanggung jawab Auditor Eksternal.
6.
Harus ada upaya untuk membenarkan kesalahan tahun-tahun lalu, karena
konsistensi yang salah tidak boleh dipertahankan.
7.
Komite Audit tidak berbicara kepada publik karena esensinya Komite Audit adalah
organ Dewan Komisaris sehingga pendapat dan masukan Komite Audit harus
disampaikan kepada Dewan Komisaris. Apabila Dewan Komisaris tidak setuju dengan
Komite Audit, tetapi Komite Audit tetap pada pendiriannya, Komite Audit dapat
mencantumkan pendapatnya pada Laporan Komite Audit yang terdapat dalam laporan
tahunan perusahaan.
8.
Manajemen menyusun laporan keuangan secara tepat waktu, akurat dan full
disclosure.
9. Komite Audit dan Dewan Komisaris sebaiknya melakukan inisiatif untuk membangun budaya pengawasan dalam perusahaan melalui proses internalisasi, sehingga pengawasan merupakan bagian tidak terpisahkan dari setiap organ dan individu dalam organisasi.
9. Komite Audit dan Dewan Komisaris sebaiknya melakukan inisiatif untuk membangun budaya pengawasan dalam perusahaan melalui proses internalisasi, sehingga pengawasan merupakan bagian tidak terpisahkan dari setiap organ dan individu dalam organisasi.
d. Jelaskan berbagai tools yang digunakan IT Audit dan forensik + gambar satuannya!
Tools yang Digunakan Untuk IT Audit
A.
ACL (Audit Command Language): software CAAT (Computer Assisted Audit
Techniques) yang sudah sangat populer untuk melakukan analisa terhadap data
dari berbagai macam sumber.
B.
Powertech Compliance Assessment Powertech: automated audit tool yang
dapat dipergunakan untuk mengaudit dan mem-benchmark user access to data,
public authority to libraries, user security, system security, system auditing
dan administrator rights (special authority) sebuah serverAS/400.
C.
Nipper : audit automation software yang dapat dipergunakan untuk mengaudit dan
mem-benchmark konfigurasi sebuah router.
Tools
yang digunakan untuk IT forensic :
A. Antiword
Antiword merupakan sebuah
aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen Microsoft
Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi 2 dan
versi 6 atau yang lebih baru.
B. Binhash
Binhash merupakan sebuah
program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF dan
PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header dari
bagian header segmen obyek ELF dan bagian segmen header obyekPE.
C. Autopsy
The Autopsy Forensic
Browser merupakan antarmuka grafis untuk tool analisis investigasi diginal
perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk dan
filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
D. Sigtool
Sigtcol merupakan tool
untuk manajemen signature dan database ClamAV. sigtool dapat digunakan untuk
rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal,
menampilkan daftar signature virus dan build/unpack/test/verify database CVD
dan skrip update.
http://prajuritnusantara.blogspot.com/2015/03/audit-around-computer-dengan-audit.html
http://dewimibi.blogspot.com/2015/03/etika-profesionalisme-tulisan-4.html?view=timeslide