Around The Computer
Audit around the computer berarti
bahwa proses yang dilakukan oleh sistem komputer perlu untuk tidak diaudit
sebagai auditor mengharapkan bahwa bukti audit yang cukup dan tepat dapat
diperoleh dengan mendamaikan input dengan output. Dengan kata sederhana bukti
diambil dan kesimpulan yang dicapai tanpa mempertimbangkan bagaimana input
sedang diproses untuk memberikan output. Kadang-kadang juga berarti melakukan
audit tanpa menggunakan sistem komputer. Namun, mantan secara luas dipahami
makna kalimat. Sekarang audit hari sekitar komputer dianggap sebagai pendekatan
audit. Hal ini lebih sering dikenal sebagai pendekatan audit kotak hitam
Pendekatan ini paling sering
digunakan karena:
a. pengolahan yang dilakukan oleh
komputer terlalu sederhana misalnya pengecoran, menyortir dll
b. auditor sudah tahu keandalan
perangkat lunak. Hal ini terjadi dengan sebagian besar software off-the-shelf
digunakan oleh klien tanpa perubahan di rumah dan dengan demikian tidak perlu
diperiksa.
c. auditor tidak memiliki tujuan
untuk memperoleh pemahaman tentang sistem komputer dan dengan demikian resort
dengan pendekatan ini.
d. auditor tidak memiliki
keahlian atau keterampilan untuk memahami atau menggunakan sistem komputer
untuk tujuan audit.
e. auditor tidak diberikan akses
ke sistem komputer pada tingkat yang diperlukan
Audit around the computer
digunakan dalam situasi ketika auditor berpendapat bahwa sistem komputer yang
handal dan sering perbandingan input yaitu dokumen sumber ke output yaitu
laporan keuangan yang dilakukan yang dalam penilaian auditor sudah cukup. Dalam
auditor lain tidak akan menilai apakah diperlukan kontrol berada di tempat dan
jika mereka bekerja secara efektif beroperasi sementara input diproses. Karena
alasan yang sama, mengandalkan terlalu banyak pada pendekatan ini tidak
dianjurkan untuk aspek-aspek penting dari audit terutama di mana risiko dinilai
tinggi karena hal ini dapat mengakibatkan pemeriksaan tidak efektif dan
akhirnya tidak pantas Audit pendapat yang diungkapkan oleh auditor.
Seperti disebutkan sebelumnya
auditor yang akan melewati sistem komputer dan tidak akan memeriksa keberadaan
dan / atau efektivitas operasi pengendalian dalam pengolahan data karena itu
auditor dapat menggunakan salah satu atau kombinasi dari metode berikut:
1. Output Oriented Method: Sample
pilih informasi yang dihasilkan oleh sistem komputer (output) dan
membandingkannya dengan sistem yang ideal auditor atau informasi yang
dikumpulkan dari sumber-sumber atau bukti yang dikumpulkan oleh auditor dengan
penerapan prosedur audit lain lain. Misalnya membandingkan saldo piutang dengan
pernyataan rekening yang diterima dari pelanggan atau membandingkan catatan
saham dengan laporan jumlah persediaan
2. Input Oriented Method: Contoh
pilih dokumen sumber (input) yang diumpankan ke sistem komputer untuk
pengolahan dan auditor independen proses input menggunakan sistem komputer
sendiri atau perangkat lunak dan kemudian membandingkan output yang dihasilkan
oleh sistem komputer auditor dengan output yang dihasilkan oleh sistem komputer
klien untuk mengkonfirmasi keakuratan, kelengkapan dan pernyataan lainnya. Pengolahan
Auditor dapat dilakukan secara manual tanpa bantuan komputer. Sebagai contoh
sistem klien melaporkan bahwa saldo buku kas mendamaikan dengan saldo bank per bank
statement. Auditor dapat melakukan rekonsiliasi sendiri untuk mengkonfirmasi
apakah itu benar.
Sebagaimana dibahas sebelumnya
bahwa pendekatan ini datang dengan kelemahan serius dan dapat membuat audit
yang tidak berguna. Mendapatkan teknis kita bisa mendiskusikan bagaimana dua
metode di atas dapat membatasi efektivitas Audit:
Misalnya dalam output orientasi
pendekatan auditor sedang mempertimbangkan hanya produk akhir mengabaikan apa
yang telah dimasukkan ke dalam sistem yaitu input mungkin tidak lengkap atau
sama sekali salah dan auditor melihat output tidak dapat mengidentifikasi
masalah tersebut. Misalnya membandingkan catatan saham dengan persediaan tidak
membantu auditor dalam mengidentifikasi apakah persediaan telah disalahgunakan.
Untuk auditor ini harus sesuai output dengan dokumen masukan yaitu source
seperti pesanan pembelian, barang yang diterima catatan, barang pengiriman
catatan dll
Demikian pula, dalam pendekatan
yang berorientasi input, meskipun itu lebih baik daripada pendekatan yang
berorientasi output sebagai auditor reperforms proses independen dan output
harus sesuai, bagaimanapun, auditor tidak memiliki cara untuk menemukan apakah
sistem komputer telah diprogram untuk memberikan hasil yang sama jika sistem
klien digunakan . Dan jika auditor memiliki sistem komputer sendiri maka
masalah biaya-manfaat mungkin timbul. Selain itu mungkin akan sangat sulit
untuk memastikan alasan penyimpangan dan auditor yang harus memeriksa sistem
itu sendiri.
Audit Through The Computer
Audit through the computer adalah
audit yang dilakukan untuk menguji sebuah sistem informasi dalam hal proses
yang terotomasi, logika pemrograman, edit routines, dan pengendalian program.
Pendekatan audit ini menganggap bahwa apabila program pemrosesan dalam sebuah
sistem informasi telah dibangun dengan baik dan telah ada edit routines dan
pengecekan pemrograman yang cukup maka adanya kesalahan tidak akan terjadi
tanpa terdeteksi. Jika program berjalan seperti yang direncanakan, maka
semestinya output yang dihasilkan juga dapat diandalkan.
PROSEDUR IT AUDIT
● Kontrol lingkungan:
1. Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4. Memeriksa persetujuan lisen (license agreement)
● Kontrol keamanan fisik
5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
6. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
● Kontrol keamanan logikal
9. Periksa apakah password memadai dan perubahannya dilakukan reguler
10.Apakah administrator keamanan memprint akses kontrol setiap user
CONTOH – CONTOH
– Internal IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan Fokus kepada global, menuju ke standard2 yang diakui.
– External IT Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya Outsourcing yang tepat dan Benchmark / Best-Practices
CONTOH METODOLOGI AUDIT IT
BSI (Bundesamt für Sicherheit in der Informationstechnik)
● IT Baseline Protection Manual (IT- Grundschutzhandbuch )
● Dikembangkan oleh GISA: German Information Security Agency
● Digunakan: evaluasi konsep keamanan & manual
● Metodologi evaluasi tidak dijelaskan
● Mudah digunakan dan sangat detail sekali
● Tidak cocok untuk analisis resiko
● Representasi tdk dalam grafik yg mudah dibaca
Tools yang digunakan untuk Audit IT dan Audit Forensik
● Hardware:
– Harddisk IDE & SCSI. kapasitas sangat besar, CD-R,DVR drives
– Memori yang besar (1-2GB RAM)
– Hub, Switch, keperluan LAN
– Legacy hardware (8088s, Amiga, …)
– Laptop forensic workstations
● Software
– Viewers (QVP http://www.avantstar.com dan http://www.thumbsplus.de
– Erase/Unerase tools: Diskscrub/Norton utilities)
– Hash utility (MD5, SHA1)
– Text search utilities (search di http://www.dtsearch.com/)
– Drive imaging utilities (Ghost, Snapback, Safeback,…)
– Forensic toolkits. Unix/Linux: TCT The Coroners Toolkit/ForensiX dan Windows: Forensic Toolkit
– Disk editors (Winhex,…)
– Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
– Write-blocking tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi bukti bukti.
Lebar Kerja IT Audit
Bahasan / Lembar Kerja IT Audit:
● Stakeholders:
– Internal IT Deparment
– External IT Consultant
– Board of Commision
– Management
– Internal IT Auditor
– External IT Auditor
● Kualifikasi Auditor:
– Certified Information Systems Auditor (CISA)
– Certified Internal Auditor (CIA)
– Certified Information Systems Security Professional (CISSP)
– dll
● Output Internal IT:
– Solusi teknologi meningkat, menyeluruh & mendalam
– Fokus kepada global, menuju ke standard2 yang diakui
● Output External IT:
– Rekrutmen staff, teknologi baru dan kompleksitasnya
– Outsourcing yang tepat
– Benchmark / Best-Practices
● Output Internal Audit & Business:
– Menjamin keseluruhan audit
– Budget & Alokasi sumber daya
– Reporting
Contoh prosedur dan lembar kerja IT Audit Prosedur IT
* Pengungkapan Bukti Digital
* Mengiddentifikasi Bukti Digital
* Penyimpanan Bukti Digital
* Analisa Bukti Digital
* Presentasi Bukti Digital
Contoh :
* Internal IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan Fokus kepada global, menuju ke standard2 yang diakui.
* External It Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya Outsourcing yang tepat dan Benchmark / Best-Practices.
Sumber
Sumber
Sumber
