INTRO
Audit adalah suatu proses pengumpulan dan pengevaluasian bukti
informasi yang dapat diukur mengenai suatu entitas ekonomi yang
dilakukan seorang yang kompeten dan independen untuk dapat
menentukan dan melaporkan derajat kesesuaian informasi dengan
kriteria-kriteria yang telah ditetapkan serta mengkomunikasikan
hasilnya kepada para pemakai yang berkepentingan.Perbedaan antara
Audit Tradisional dengan Audit SI diantaranya sbb: Teknik audit
-> menggunakan program khusus atau TABK Proses Audit -> Tidak
sekuensial (DB->Modul2 Software Akuntansi) Pemahaman IC, audit
IT menekankan kepada application control Keahlian tentang auditing
dan akuntansi + keahlian tentang computerJika berbicara mengenai
Audit IT (ASI) maka ada dua sudut pandang yaitu: Audit atas tata
kelola IT itu sendiri dan Audit IT yang dilakukan dalam rangka
Audit Keuangan (kesesuaian dengan SAK) -> yakni berkaitan dengan
Teknik Audit Berbantuan Komputer dalam menilai pengendalian
internal dalam memahami General dan khususnya Apllication Control,
serta pengujian subtantif dalam ranah IT dengan database sistem
akuntansi. The most important computer assisted audit techniques
are: Test data, Integrated test facility, Parallel simulation, and
On-line audit monitor.Simulasi sejajar(parallel simulation)adalah
suatu teknik audit yang membandingkan pengolahan data yang
dilakukan oleh dua program dengan tujuan untuk memperoleh keyakinan
bahwa kedua program tersebut menghasilkan keluaran yang sama
(identik). Teknik pemrosesan secara paralel dilaksanakan dengan
clients data, auditors software. Maksudnya adalah pelaksanaan
pemeriksaan dilakukan terhadap data sesungguhnya (data audit yang
di-copy) dan diproses dengan software atau bahkan komputernya
auditor. Trace-Forward from Source Document to Records-untuk cek
asersi "Completeness" Vouch -Backward (From Records to Source
Document)-cek assersi "Existence"
AUDITING AND INTERNAL CONTROL
A. Overview of Auditing a. External (Financial) Audits Suatu
jasa (attestation/pengesahan) yang dilakukan oleh seorang ahli
(auditor) yang kemudian memberikan suatu pendapat terhadap
penyajian laporan keuangan. Biasanya dilakukan oleh CPA yang
independen dari perusahaan yang di audit. CPA dalam hal ini
mewakili kepentingan pihak eksternal seperti pemegang saham,
kreditor, pemerintah dan masyarakat umum. Konsep penting dalam
audit finansial adalah INDEPENDENSI. b. Attest Service versus
Advisory ServicesBelakangan muncul suatu jasa yang diberikan
auditor eksternal kepada perusahaan yakni advisory service. Untuk
Jasa attestasi memerlukan beberapa persyaratan sbb : Adanya asersi
tertulis (L/K) dan praktisi menulis laporan (LHP) Adanya kriteria
pengukuran yang formal atau deskripsi dalam penyajiannya Terbatas
pada pemeriksaan, review dan aplikasi yang telah disetujui
prosedurnya
Sementara Advisory Service adalah jasa profesional oleh KAP
untuk meningkatkan efektifitas dan efisiensi operasional perusahaan
klien. Jasa tersebut meliputi misalnya saran aktuaria, saran
bisnis, jasa penyelidikan kecurangan, design sistem informasi dan
assesment terhadap pengendalian intern. Pada masa sebelom SOX jasa
semacam ini diperbolehkan dilakukan sejalan dengan jasa audit, Saat
ini hal tersebut tidak diperkenankan dan merupakan pelanggaran
hukum. (US Law)c. Internal AuditsFungsi penilaian independen dalam
suato organisasi untuk memeriksa dan mengevaluasi aktivitas sebagai
suatu jasa bagi organisasi. Auditor internal melakukan berbagai
aktivitas seperti pemerikasaan LK pemeriksaaan kesesuaian aktivitas
dengan kebijakan perusahaan, evaluasi efisiensi operasional dan
mendeteksi serta mencari kecurangan dalam perusahaan. Audit
internal dapat pula dilakukan dari pihak luar organisasi. Auditor
biasanya bertanggungjawab kepada komite audit. Gelarnya CISA/CIAd.
External versus Internal AuditorsPerbedaan utamanya adalah kepada
siapa auditor bertanggungjawab, auditor eksternal mewakili
(merepresentasikan) pihak eksternal perusahaan sedang internal
auditor mewakili kepentingan perusahaan. Dalam pelaksanaanya dapat
bekerjasama, misal tes pengendalian intern dilakukan oleh internl
auditor disupervisi oleh auditor eksternal. Dalam hal auditor
internal tidak memiliki independensi kerjasama audit tidak
diperkenankan standar. e. Fraud AuditsKecurangan sayangnya
meningkat karena perilaku manajemen dan karyawan. Audit semacam ini
dilakukan guna mencari bukti-buti yang dapat mengarah kepada
tuntutan hukum. Dapat dilakukan atas permintaan perusahaan, dan
dilakukan oleh seorang bersertifikat CFE.B. The Role of the Audit
CommitteeSebelum SOX Law auditor dihire oleh Manajemen perusahaan,
sekarang bertanggung jawabnya kepada Audit Committee yang salah
seorang anggotanya memiliki Financial Expertise guna fungsi chek n
balance.C. Financial Audit Components a. Auditing Standards
b. A Systematic ProcessSebuah kerangka kerja logis akan membantu
auditor mengidentifikasi proses dan data penting. Dalam audit IT
pengujian fisik yang dapat diverifikasi secara visual lebih sedikit
sehingga akan lebih kompleks.c. Management Assertions and Audit
Objectives L/K merupakan refleksi asersi manajemen tentang
kesehatan keuangan entitas yang terdiri dari: Existance and
Occurance (Nyata dan Terjadi) Completeness (Lengkap) Right and
Obligations (Dimiliki and Kewajiban) Valluation and Allocation
(sesuai dengan aturannya) Presentation and Disclosure (klasifikasi
dan pengungkapan cukup)Auditor harus menentukan apakah L/K
disajikan secara wajar sehingga procedure pengujian diarahkan untuk
membuktikan kesesuaian asersi manajemen ini dengan standarnya.d.
Obtaining Evidence Auditor mencari bukti guna dicocokan dengan
asersi manajemen, dalam lingkup IT termasuk menilai kehandalan IT
dan isi DB itu sendiri. Test Control dilanjutkan Subtantive Teste.
Ascertaining Materiality Sepenuhnya merupakan Auditor
judgment..dalam lingkup IT lebih complicated mengingat struktur IC
juga lebih rumit.f. Communicating ResultsAudit report disampaikan
kepada pihak yang berminat dan melapor kepada komite audit/pemegang
saham dalam laporan didalamnya termasuk membuat opini audit.D.
Audit Risk Resiko audit adalah probabilitas bahwa auditor akan
memberikan status WTP yang pada kenyataanya secara material L/K
tersebut salah saji. Acceptable Audit Risk (AR) terdiri dari:a.
Inherent Risk adalah resiko audit yang merupakan karateristik unit
bawaaan dari bisnis atau industri dari klien itu sendiri (ada juga
yang bilang resiko level akun sebelum memperhatikan efektifitas
pengendalian intern). Cannot reduce by Auditor. Control Risk disisi
lain adalah adanya cacat pada ketiadaan atau ketidakcukupan SPI
dalam mencegah error.b. Detection Risk adalah resiko yang dapat
diterima auditor bahwa error yang gagal dicegah oleh pengendalian
gagal juga dideteksi auditor. Subtantif tes akan semakin
besar/dalam dilakukan ketika DR lebih kecil..auditor lebih
konservatif/lebih hati2.c. Audit Risk Model AR=IRxCRxDR d. The
Relationship Between Tests of Controls and Substantive Tests ..jika
hasil uji awal menunjukkan hasil IC memiliki kelemahan/kekurangan
maka berarti subtantive test akan lebih luas, sampel lebih banyak
dan dalam. IC makin reliable, CR makin rendah, DR makin
diturunkan,dan akhirnya Subtantif test akan semakin sedikit dan
sempit. Jadi buat Mgt buatlah strong IC.E. The IT Audit a. The
Structure of an IT Audit Audit Planning, pemahaman terhadap bisnis
klien. Bisa melalui pengamatan, wawancara, review dokumentasi
temukan kontrol yang beresiko. Test of Controls adalah phase
penentuan apakah internal kontrol berfungsi dengan baik untuk
dinilai kualitasnya karena akan menentukan fase berikutnya.
Subtantive Testing Detail inspeksi pada akun-akun saldo dan
transaksi, sebagian berupa pekerjaan fisik. Dalam lingkungan IT
dibutuhkan bantuan pengolah data berupa CAATTs. Secara umum proses
audit adalah sbb:
F. Internal Control COSO: IC adalah suatu proses, dipengaruhi
oleh Dewan Direksi, Manajemen dan Personel lain, yang didesain
untuk memberikan keyakinan yang memadai bahwa tujuan-tujuan berikut
dapat tercapai : Efektifitas dan Efisiensi Operasi Reliabilitas
Laporan Kepatuhan terhadap peraturan perundang-undangana. Brief
History of Internal Control Legislation SEC Acts of 1933 and 1934,
market crash->melarang frauds Copyright Law1976 Software
Violations, Piracy IT Foreign Corrupt Practices Act (FCPA) of 1977
Record n IC Sarbanes-Oxley Act of 2002 enron, IC, COSOb. Internal
Control Objectives, Principles, and Models Tujuan dari SPI: Menjaga
aset perusahaan Memastikan accuracy dan reliabilitas catatan dan
informasi Memprakarsai effisiensi operasi perusahaan Mengukur
kepatuhan thd kebijakan yang telah ditetapkanc. Modifying
Principles SPI merupakan tanggungjawab Mgt, bahkan kewajiban hukum
Bentuk pemrosesan data apapun harus mendukung 4 tujuan Setiap
sistem memiliki keterbatasan yang disebabkan oleh: Errors->No
perfect sustem KKN personil Mgt mengabaikan control Kondisi dinamis
dalam industri SPI harus memberikan jaminan yang memadai (Cost <
Benefit)d. The PDC Model Preventive Controls merupakan kontrol
pasif di design mengurangi frekuensi kejadian tidak
diinginkan.cthnya pembatasan karakter entry misalnya. Detective
Controls, alat atau teknik dan prosedur yang didesain
mengidentifikasi dan mengekspos error yang lolos PC. Ada proses
matching dan warning disitu, sistem mengkalkulasi atau mencocokan
jika tidak sesuai uncul warning,pop up. Corective Controls
melakukan koreksi jika ditemukan errors,hati2 terhadap otomatisasi
perbaikan,bisa menyebabkan masalah baruingat MYOB pas entry akun
unbalance dia otomatis perbaiki sesuai standarya sendiri..e. COSO
Internal Control Framework Lingkungan Pengendalian, merupakan
pondasi dari empat unsur lainnya. Elemennya: integritas, etika,
value, struktur organisasi, partisipasi BoOfDir, filosopi,
pemeriksaan pihak lain, HR policies dstSAS 109 mensyaratkan
Auditor: memiliki pengetahuan yang cukup terhadap Manajemen
khususnya tentang Integritasnya. Penilaian Resiko: identifikasi,
analisa dan mengelola resiko yang relevan dengan pelaporan
keuangan. Beberapa hal yang dapat menjadi resiko: perubahan dalam
bisnis, personel baru, sistem baru, realokasi SD, adopsi standar
baru dst. Informasi dan Komunikasi: kualitas SIM, Proses susun L/K
Monitoring: Assesment SPI, Special modul di IT ,Laporan Manajerial
Aktivitas PengendalianAktivitas pengendalian adalah kebijakan dan
prosedur yang digunakan untuk memastikan bahwa tindakan yang tepat
diambil untuk menghadapi risiko organisasi yang dapat
diidentifikasi. Secara umum dapat diklasifikasikan sbb:
Pengendalian Fisik (Manusia dalam Acc Sytem) Verifikasi Independen
dan Otorisasi Transaksi Pemisahan Fungsi (Ruhnya IC), hakikatnya
adalah mekanisme check and balance, saling kontrol sehingga untuk
berbuat jahat perlu lebih banyak orang-> gagal oleh kolusi.
Otorisasi vs Proses Transaksi Asset Custody vs Record Keeping Jika
mau curangpun perlu minimal 2 orang. Supervisi , kompensasi dari
kurangya pemisahan fungsi Catatan Akuntansi (Dokumen sumber,
jurnal, ledger).. catatan dalam akuntansi ini mengandung jejak
audit yang perlu dijaga (preserve) dalam rangka aktifitas
operasional (routine dan monitoring transasksi dengan
pelanggan/suplier) dan mengamankan audit trails. Audit Trails also
called audit log is a security-relevant chronological record, set
of records, and/or destination and source of records that provide
documentary evidence of the sequence of activities that have
affected at any time a specific operation, procedure, or event
Merupakan jejak, utamanya dalam catatan kronologis akuntansi, yang
dapat digunakan untuk menentukan apakah suatu peristiwa terjadi
atau tidak terjadi yang dapat digunakan sebagai alat penelusuran
dalam proses audit..misal paraf dalam dokumen, log acces editing
data, nomor PO, nomor cek,no bukti,no jurnal dll yang bisa
digunakan menelusur suatu informasi dari awal (source) sampai ke
L/K. Kontrol Akses (Authorized Personel Only to acces asset/IT)
Pengendalian IT Pengendalian Umum adalah pengendalian yang sifatnya
membatasi akses dan mengamankan aplikasi dari yang tidak berhak
mengakses, misal berbentuk kunci, password termasuk controls over
IT governance, IT infrastructure, security and access kepada sistem
operasi dan DB, application acquisition and development and
prosedur perubahan program dll. Pengendalian Aplikasi merupakan
pengendalian intern yang memastikan aplikasi spesifik dapat
melakukan fungsinya dengan baik dan mengurangi terpaparnya aplikasi
dari resiko potensial. Pengendalianya berupa cek digit, format yang
memastikan validitas, kelengkapan dan akurasi transaksi bentuknya
bisa cek digit, echo check, limit cek yang bertujuan untuk
memastikan validitas, kelengkapan dan akurasi transaski dalam L/K.
lebih lengkap di ch 7. Add:Terdapat dua pandangan mengenai
Pengendalian Umum dan Pengendalian Aplikasi. Pendapat pertama
menyatakan bahwa pengendalian umum dan aplikasi terpisah (GC
merupakan pengendalian fisik (kunci, kartu) sedang AC pure aplikas.
Pendapat kedua menyatakan bahwa GC dan AC merupakan bentuk
pengendalian yang bersinggungan, karena pada dasarnya keduanya
dilakukan oleh aplikasi, general controls pada dasarnya merupakan
pengendalian yang selayaknya (pantas2nya) ada pada suatu sistem
(mis Password), contoh pada mesin ATM. (Cek ch 7, IC pondasinya
ASI)f. Audit Implications of SOX ActPemeriksaan SPI wajib,
memperbesar mandat Eksternal Auditor agar mampu mendeteksi fraud
dan menaruh perhatian besar pada SPI dalam mencegah fraud. Computer
Fraud juga perlu diperhatikan karena relatif baru dan belum kuat
proses hukumnya (UU ITE). Gunakan pendekatan berbasis resiko,
karena masing-masing organisasi berbeda karakternya.
AUDITING IT GOVERNANCE CONTROLS
A. Information Technology Governance Tujuan utama dari tata
kelola TI adalah untuk : mengurangi risiko memastikan bahwa
investasi dalam sumber daya TI menambah nilai bagi perusahaan.
Sebelum SOX Act, praktek umum mengenai investasi pada TI adalah
menyerahkan semua keputusan kepada profesional TI. Sekarang semua
elemen organisasi dituntut aktif berpartisipasi dalam perencanaan
s.d pengembangan TI.a. IT Governance Controls Based on SOX dan COSO
ada 3 isu tata kelola IT: Organizational structure of the IT
function Computer center operations Disaster recovery planningB.
Structure of the Information Technologya. Centralized Data
Processing Berdasarkan model pengolahan data terpusat, semua
pemrosesan data dilakukan oleh satu atau lebih komputer yang lebih
besar bertempat di situs pusat yang melayani pengguna di seluruh
organisasi. DBA: Central Location, Shared. DBA n teamnya
responsible pada keamanan dan integritas database. Pemrosesan Data
mengelola SDIT terdiri dari: Konversi Data: HardCopy to SoftCopy
(inputable to computer) Operasi Komputer: memproses hasil konversi
melalui suatu aplikasi Data Library: Storage offline data-> Real
Time data Procesing dan direct acces mengurangi peran DL Sys Dev
and Maintenis: Analisis kebutuhan, partisipasi dalam desain sistem
baru (Profesional, End Users dan Stakeholder). Menjaga sistem
beroperasi sesuai kebutuhan, 80-90% cost dalam IT biasanya ada pada
maintanance (tidak hanya soal merawat/membersihkan HW namun lebih
kepada tambal sulam SI.Masalah control yang harus diperhatikan
dalam proses data tersentralisasi adalah pengamanan DB. Karena jika
accesnya lemah maka seluruh informasi dapat terpapar resiko, bentuk
topologi jaringan juga mempengaruhi keandalan data informasi. Hal
ini akan lebih jelas di appendix.b. Segregation of Incompatible IT
Functions
Pemisahan antara suatu fungsi tertentu demi menjaga IC yang
baik: Sys Dev pisahkan dengan Operasional DBA fisahkan dari unit
lain Sys Dev pisahkan dengan Maintanance (merupakan superior
structure) karena adanya resiko: Inadequate Documentation:
Programmer lebih suka mengembangkan sistem baru daripada
mendokumentasikan kinerja sistem lama, juga soal job security perlu
diperhatikan karena dpat menyusun program yang tidak sempurna biar
ada kerjaan terus. Program Fraud: unauthorized change karena
programer faham seluk beluk operasi normal.c. The Distributed Model
Small, powerful, and inexpensive systems. DisDataProc (DDP)
melibatkan reorganisasi fungsi IT pusat ke IT unit kecil yang
ditempatkan di bawah kendali pengguna akhir (End Users). Unit IT
dapat didistribusikan menurut fungsi bisnis, lokasi geografis, atau
keduanya. Resikonya mnggunakan model DDP: tidak efisiennya
penggunaan sumber daya, perusakan jejak audit, pemisahan tugas
kurang memadai, meningkatkan potensi kesalahan pemrograman dan
kegagalan sistem serta kurangnya standarisasi. Keuntungannya
termasuk pengurangan biaya, peningkatan kontrol biaya, meningkatkan
kepuasan pengguna, dan adanya fleksibilitas dalam backup sistem.d.
Controlling the DDP Environment Central Testing of Commercial
Software and Hardware diuji dipusat User Services-> ada Chat
room, FAQ, Intranet support dll Standard-Setting Body -> untuk
improve keseragaman prog and doc Personnel Review-> ada
assesment.Audit Objective: Tujuan auditor adalah untuk memastikan
bahwa struktur fungsi TI adalah sedemikian rupa sehingga individu
di daerah yang tidak kompatibel dipisahkan sesuai dengan tingkat
potensi risiko dan dengan suatu cara yang mempromosikan lingkungan
kerja yang kondusif.Audit Procedures:Centralized Tinjau dokumentasi
yang relevan, untuk menentukan apakah individu atau kelompok yang
melakukan fungsi-fungsi yang tidak kompatibel. Review catatan
pemeliharaan,verifikasi bahwa programmer pemeliharaan tertentu
tidakmerangkap programer desain. Pastikan bahwa operator komputer
tidak memiliki akses ke logic sistem dokumentasi, seperti sistem
diagram alur, logika diagram alur, dan daftar kode program. Review
akses programer untuk alasan selain kegagalan sistemDistributed
Tinjau bagan organisasi saat ini , pernyataan misi , dan uraian
tugas incompatible duties . Pastikan bahwa desain sistem
,dokumentasi,hardware dan perangkat lunak hasil akuisisi
diterbitkan dan diberikan to unit TI. Pastikan kontrol kompensasi
->supervisi monitoring Dokumentasi sistem aplikasi , prosedur ,
dan databasesare dirancang dan berfungsi sesuai dengan standar
perusahaan .Dalam sistem terdistribusi pemrosesan dan pengamanan
data disebar ke berbagai titik, pengamanan menjadi di banyak pintu
namun tersebar, resikonya tidak seluruh titik memiliki pengamanan
yang sama. Dalam topologi STAR lebih aman karena kalo satu mati yg
lain relatif tidak terganggu sedang pada Topologi BUS jika satu
titik mati akan menggangu yang lain meskipun secara umum
keunggulanya dia lebih cepat dan murah. Sayangnya sistem Bus akan
rentan tabrakan data (lebih lengkap di appendix) fokus auditor
adalah kepada seringnya sistem down atau kerusakan jaringan maupun
software yang mengakibatkan gangguan komunikasi dan pada database,
resiko ini berbeda2 dalam masing2 topologi jaringan. C. The
Computer Center a. Physical Location : Antisipasi bencana alam
maupun manusia cari lokasi yang aman.b. Construction : kontruksi
fasilitas IT-> tunggal, acces terbatas dan filtrasi bagus.c.
Access : LIMITEDd. Air Conditioning : Adequate untuk menjaga
databasee. Fire Suppression : Automatic Alarm, Pemadam Api, Exit
Doorf. Fault Tolerance : Toleransi kesalahan adalah kemampuan
sistem untuk melanjutkan operasi ketika bagian dari sistem gagal
(masih bisa running kalau ada sesuatu gangguan) karena kegagalan
hardware, error program aplikasi, atau kesalahan operator.
Redundant arrays of independent disks (RAID)->data
UPS->Listrikg. Audit Objectives Tujuan auditor adalah untuk
mengevaluasi kontrol yang mengatur keamanan pusat komputer . Secara
khusus , auditor harus memastikan bahwa : kontrol keamanan fisik
yang memadai untuk cukup melindungi organisasi dari eksposur fisik
DAN cakupan asuransi pada peralatan memadai untuk mengkompensasi
kerusakan pusat komputernyah. Audit Procedures Tests of Physical
Construction. Fisik bangunan server, lokasi dan keamanan terhadap
HAZARD EVENT. Tests of the Fire Detection System. Tests of Access
Control. Tests of Raid, BU HD Tests of the Uninterruptible Power
Supply. Tests for Insurance Coverage.D. Disaster Recovery Planning
Dengan perencanaan kontinjensi yang hati-hati, dampak dari bencana
dapat diredam dan organisasi dapat pulih dengan cepat. Untuk
bertahan hidup dari peristiwa darurat seperti itu, perusahaan harus
mengembangkan prosedur pemulihan dan meresmikan mereka ke dalam
suatu rencana pemulihan bencana (DRP), suatu skema dalam menghadapi
keadaan darurat.Prosesnya adalah sbb:a. Identify Critical
Applications->Buat daftar aplikasi yang paling pentingb.
Creating a Disaster Recovery Team ->buat Tim..langgar IC bolehc.
Providing Second- Site Backup buat lokasi data cadangan (duplikasi)
mutual aid pact->dua atau lebih, join SD IT pas bencana empty
shell or cold site; ->sewa tempat pada penyedia backup recovery
operations center or hot site; ->sewa full equipped backup
internally provided backup->buat sendiri (mirroring di tmpt
lain)Audit Objective: The auditor should verify that managements
disaster recovery plan is adequate and feasible for dealing with a
catastrophe that could deprive the organization of its computing
resources. Audit Procedures memastikan hal2 dibawah ini berfungsi
dengan baik Site Backuplokasi HW IT dll Daftar Aplikasi penting oke
Software Backup. Data dan Dokumentasi Backup. Backup Supplies dan
Source Documents. Disaster Recovery Team di testE. Outsourcing the
IT Function Outsourcing IT kadangkala meningkatkan kinerja bisnis
inti, meningkatkan Kinerja IT (karena keahlian vendor), dan
mengurangi biaya TI. Logika yang mendasari outsourcing TI dari
teori kompetensi inti, yang berpendapat bahwa organisasi harus
fokus secara eksklusif pada kompetensi bisnis intinya saja,
sementara outsourcing vendor memungkinkan untuk secara efisien
mengelola daerah non-inti seperti fungsi TI (IT dianggap
supporting). Premis ini, bagaimanapun, mengabaikan perbedaan
penting antara komoditas dan aset TI yang spesifik. Commodity IT
assets are not unique to a particular organization and are thus
easily acquired in the marketplace sementara Specific IT assets
dapat merupakan keunggulan strategis perusahaan. Transaction Cost
Economics (TCE) theory is in conflict with the core competency
school by suggesting that firms should retain certain specific
noncore IT assets inhouse. Jadi disarankan boleh outsource pada
SumberDaya IT yang bisa digantikan (SW/HW) atau tidak terlalu
kritikal..SD IT yang penting dan unggulan bagi organisasi jangan.a.
Risks Inherent to IT Outsourcing Failure to Perform Vendor
Exploitation Outsourcing Costs Exceed Benefit Reduced Security Loss
of Strategic Advantageb. Audit Implications of IT Outsourcing
Manajemen boleh saja mengalihdayakan fungsi ITnya namun tidak dapat
mengalihkan tanggungjawab manajemen pada penyediaan Pengendalian
Intern yang memadai. SAS 70 merupakan standar yang mendefinisikan
perlunya auditor mengetahui kontrol jika IT dilaksanakan oleh
vendor pihak ketiga. Vendornya sendiri tentu diaudit oleh
auditornya sehingga IT review dilaksanakan satu kali saja supaya
praktis dan murah.
SECURITY PART I: AUDITING OPERATING SYSTEMS AND NETWORKS
A. Auditing Operating Systems OS adalah program pengendali
komputer, OS memungkinkan user dan aplikasi berbagi dan mengakses
sumberdaya yang sama seperti prosesor, memori, printer dan
database. Semakin besar entitas maka sumber daya yang perlu diakses
makin besar dan OS menjadi semakin penting.a. Operating System
Objectives OS memiliki tiga fungsi yakni: Menterjemahkan bahasa
tingkat tinggi COBOL C++ dll, menggunakan translatornya -> yakni
Compiler dan Interpreters Ch 5 lbh lengkapnya Mengalokasikan SD
kepada user, grup maupun aplikasi Mengelola pekerjaan dan banyak
program->User/Jobs mengakses komputer melalui 3 cara: Directly,
Job Ques dan Linksb. Operating System Security Kebijakan, prosedur
dan pengendalian yang menentukan siapa yang dapat mengakses OS dan
SD IT dan apa saja yang bisa dilakukannya. Prosedur Log-ON
pertahanan pertama, salah brp x blokir misalnya. Token Akses ->
mengandung KeyInfo:user ID, pass,previledge Acces Control List
(daftar kesaktian user) Discretionary Acces Previledge->Super
Admin (Highly Supervised)c. Threats to Operating System Integrity
Previldeged personel menyalahgunakan otoritasnya Individual di
dalam dan di luar entitas yang mencari celah sistem Individual
sengaja atau tidak memasukan virus/bentuk program lain yg merusakd.
Operating System Controls and Audit Tests Area-area yang perlu
diperiksa adalah acces personil yang mendapat previledge, kontrol
password (password sekali pakai dan berulangkali), kontrol virus
dan aplikasi berbahaya dan kontrol pada jejak audit.System audit
trails (sekumpulan log yang merekam aktivitas sistem, aplikasi,
user)-> Detailed Individual Logs dan Event oriented LogsAudit
prosedurnya: Pastikan fitur audit trails diaktifkan, Cari akses
tanpa otorisasi, periode non aktif user, aktifitas user, waktu log
in dan out Log on yang gagal (indikasi salah acces/coba2) Pantau
Acces ke file tertentu yang penting Monitoring dan reporting
pelanggaran keamanan ITB. Auditing Networks a. Intranet Risks
Terdiri dari LANs dan WANs yang terdiri dari ratusan individual
node. Ada beberapa resiko terkait Intranet misalnya Pesan dapat
diintersepsi/disadap/dicegat, adanya resiko akses kepada DB
entitas, personel yang memiliki previleged, mantan karyawan dllb.
Internet Risks Resiko yang terkait dengan internet adalah adanya IP
Spoofing (nyamar pake IP orang/palsu), DDOS attack yang membanjiri
server sehingga lumpuh baik melalui SYN Flood maupun SMURF (tiga
pihak ada perantara) dan Distributed Denial of Service Attack pake
orang lain sebagai zombienya. Yang perlu diperhatikan adalah juga
motivasi orang menyerang..bisa iseng..dendam atau menguji keandalan
sistem. Selain itu resiko juga berkaitan dengan kegagalan peralatan
dalam berkomunikasi baik LINE, HW dan SW.c. Controlling Networks
Controlling Risks from Subversive Threats Menggunakan Firewall
(umum) Pasang IPS dan Deep Packet Inspection cegah serangan DDOS
Pake Enkripsi/sandi dlam pengiriman data TTD Digital dan Sertifikat
Digital Pake Message Sequence Number dan Transaction Log serta
punya Call Back Devices Audit Objectivenya adalah memastikan bahwa
kontrol jaringan dapat mencegah dan mendeteksi akses illegal,
mengurangi data yang tidak terpakai dan memadai untuk
mempertahankan integritas data Controlling Risks from Equipment
Failure cek aja alatnya baik2 saja..pake echo cek, parity cek dst
C. Auditing Electronic Data Interchange (EDI) EDI merupakan suatu
sistem yang memungkinkan mekanisme pertukaran data dan informasi
bisnis antar komputer antar entitas dapat diproses oleh komputer
secara mandiri dalam suatu bentuk komunikasi dengan format standar.
Refer ke cerita american hospital atau EDI DJBC.a. EDI Standards
ANSI, EDIFACT dllb. Benefits of EDI Data Keying, mengurangi entry
data berulang Error Reduction, ga doble ngetik2, tapi kalo salah
satu tapi di awal bisa salah semua sampai akhir. Mengurangi kertas
Mengurangi biaya kirim dokumen Prosedur terotomasi..manajer mikirin
yg lain saja (MBExcp) Pengurangan biaya Inventory melalui EOQ/JITc.
Financial EDI Pake transfer elektronik dalam kirim uangd. EDI
Controls (Validasi dan Otorisasi)Karena berkurangya peran manusia
maka ada pengendalian yang unik dan berbeda dengan sistem manual
utamanya adalah soal otorisasi dan validasi transaksi. Sehingga
auditor harus memperhatikan: ID dan Password serta valid file dalam
DB buat pembanding Cek validasi lagi sebelum pesan dikirim jalan
tidak Aplikasi cek ke file referensi sebelum di prosese. Access
Control Agar berjalan baik sayangya dalam sistem EDI perusahaan
harus memberikan sejumlah akses kepada partnernya untuk mengakses
DB perusahaan. Sehingga sangat penting untuk memiliki file valid
vendor maupun valid customers, juga bisa dibatasi read only saja
tidak bisa merubah data. Karena sudah paperless satu2nya audit
trails bisa jadi Cuma file LOG saja..keep it safe.Audit Objektif:
Semua transaski EDI telah diotorisasi dan divalidasi, tidak ada
transaksi tanpa otorisasi yang running, acces hanya kepada data
yang diperkenankan dan kontrol yang cukup dalam pengamanan Log
file.Lebih lengkap lagi dapat merefer ke buku SIM McLeod..hal
49-62D. Auditing PC-Based Accounting Systems Aplikasi software
akuntansi->wide range-> low cost product->kadang modular
namun terintegrasi-> berbasis PCa. PC Systems Risks and Controls
Ada resiko unik terkait Accounting software: Kelemahan Sistem
Operasi dibanding Mainframe Model, PC keamanannya minimal untuk
data dan program, memang bawaan PC yang dituntut portabel Akses
Kontrol Lemah program tertentu bisa run tanpa akses HD (boot from
CD) Pemisahan fungsi kurang, satu orang bisa memiliki banyak akses
Multivel password control kasih user pass beda2 Resiko
Kemalingan..small, handheld easy to theft. Prosedur Backup Lemah
Resiko terpapar virus lebih besarAudit obj dan proc menyesuaikan
dengan kelemahan2 tersebut.
APPENDIX CH 3TOPOLOGI JARINGANTJ adalah pengaturan fisik dari
komponen jaringan (node, server, comlink,dll). Beberapa pengertian
penting adalah sbb: LAN-> Konfigurasi jaringan dalam satu gedung
hingga beberapa mil dan menghubungkan ratusan user, komputer yang
terhubung ke LAN dinamakan Nodes. Ketika jaringan melampai
kemampuan geografis LAN dia berubah menjadi WAN. Nodes dalam WAN
termasuk komputer workstations, minicomputer,mainframe dan kumpulan
LAN itu sendiri. Koneksi fisik dalam LAN dicapai melalui NIC
(network interface card), salahsatu slot ekspansi dalam komputer
(ya mungkin semacam colokan RJ45 buat kabel LAN, atau Wifi Receiver
atau kartu didalam motherboard) NODES dalam LAN sering berbagi
sumberdaya seperti program, data dan printer melalui suatu komputer
yang ditujukan untuk itu yang dinamakan server.
Antar jaringan terhubung dengan suatu kombinasi HW dan SW yang
dinamakan BRIDGES (menghubungkan LAN dalam satu tipe->IBM
tokenring to IBM tokenring) dan GATEWAY (menghubungkan LAN dari
berbagai type atau LAN ke WAN)
Berikut 5 macam Topologi Dasar yang perlu diketahui: STAR (mirip
bintang?)
Jaringan dengan Pusat komputer yang besar (HOST) yang memiliki
hubungan langsung dengan komputer/jaringan yang lebih kecil.
Komunikasi dalam topologi ini diatur dan dikendalikan dari HOST.
Biasanya digunakan dalam WAN, model DB yang umum adalah data2 lokal
(contoh pinjaman, yg disimpan di masing2 kantor adalah data
customersnya) disimpan di NODES2 (komputer kecilnya/jaringan lokal)
sedangkan data yang umum (contoh jumlah tagihan, piutang) disimpan
dipusat (HOST).Jika satuatau lebih nodes mati yang lain masih bisa
running, kalo Hostnya yg down ya Cuma bisa operasi sendiri2
nodesnya. Akses antar nodes juga dimungkinkan, tergantung DBnya.
HIRARKI
Satu komputer HOST terhubung dengan beberapa level komputer yang
lebih rendah/lebih kecil dengan hubungan Juragan_Babu. Digunakan
pada organisasi tersentralisasi, misal data order dari level bawah,
dirangkum di level regional lalu dikirim ke pusat, pusat
memerintahkan produksi ke regional, regional bagi lagi ke unit
dibawahnya..semacam itula. RING (CINCIN..ya iyalah)
Tidak ada site pusat/central, semua nodes selevel dan manajemen
komunikasi disistribusikan keseluruh nodes. Pergerakan data satu
arah sehingga meminimalkan tabrakan data. Tiap nodes memiliki
alamat berupa kode elektronik yang unik, jika mau kirim dari A ke
D, lewat di B dan C hanya sebagai kolanding, (sunda:makcomblang)
perantara, Cuma di terima, lalu dikirim lagi ke tujuan. Kebanyakan
pake model ini masing2 nodes bisa manage program dan database
secara lokal. Salahsatu nodes dapat menjadi penyimpan data pusat
yang dapat diakses seluruh nodes. BUS bukan TransJ
Topologi LAN paling populer, seluruh nodes terhubung ke satu
kabel utama yang dinamakan (The BUS). Satu atau lebih server
mengendalikan komunikasi dan transfer data. Sama seperti di RING
masing2 nodes memiliki alamat unik. Hanya satu nodes yang bisa
transfer setiap waktu (make jalan/kabelnya gantian). Simple
reliable dan murah. Terkait dengan ASI yang harus diperhatikan
adalah kelemahan inheren di masing-masing jaringannya. Di sini
rentan terjadi tabrakan data, concern auditor pada seringya
tabrakan dan efeknya terhadap DB. CLIENT-SERVER
Istilah Client-Server sering disalahgunakan/disalahfahami
sebagai seluruh tipe pengaturan jaringan. Padahal topologi ini
punya karakteristik spesifik yang berbeda dengan topologi lainnya.
Dalam jaringan DDP tradisional misalnya jika user ingin melihat
satu record di DB pusat, komputer pusat akan mengunci dan
memberikan seluruh DB ke user tersebut, ketika record diapdet baru
DB itu dikirim lagi ke pusat.Client-Server model mendistribusikan
pemrosesan antara user dan server dengan fungsi yang berbeda. Jadi
program pencarian ada di server data manipulasi/perubahan diberikan
ke client. Sehingga ketika ada permintaan satu record yang dikirim
server ya saturecord itu saja, kalo sudah diapdet record dikirim ke
pusat dan direstore ke DB. Sistem ini lebih efisien, mengurangi
trafic dan akses ke satu file bisa dilakukan secara bersamaan.
Dapat diaplikasikan ke seluruh Topologi lainnya.
PENGENDALIAN JARINGANTujuan dari pengendalian jaringan adalah
agar supaya:a. Menyediakan suatu sesi komunikasi diantara pengirm
dan penerima.b. Mengelola aliran data sepanjang jaringan.c.
Mendeteksi dan menyelesaikan masalah tabrakan data antara nodes
yang saling berkompetisi.d. Mendeteksi error dalam jaringan atau
yang disebabkan karena sinyalHANYA ada satu node dalam suatu waktu
yang bisa mengirimkan pesan, dua atau lebih pengiriman pesan secara
bersamaan dapat mengakibatkan tabrakan data(collision) yang
menghancurkan keduanya (meskipun kecepatannya dalam mili detik).
Ada beberapa teknik untuk mengelola dan mengendalikan lalu lintas
data, tiga varian dasarnya adalah sbb:
Polling, most popular dalam WAN. Satu site sebagai master
menanyakan (POLLING) apakah site lain (budak) hendak kirim pesan
atau tidak, untuk menentukan siapa yang bisa mengirim data dan
menghalangi yang lain. Tabrakan dapat dicegah dan site yang penting
dapat dikasih prioritas. Token Passing, mentransimiskan sinyal
spesial (token) keseluruh jaringan dari node ke node. Jaringan yang
mau ngirim pesan menangkap sinyal ini sebagai kunci, nodes yang
tidak kirim akan melewatkan saja tokennya. digunakan di Bus dan
Ring biasanya.
Carrier Sensing, biasanya dipake di Bus, nodes yang hendak kirim
data mendengarkan (menyensor/scan/stalking) ke jaringan utama
(kabel BUS) lagi kosong atau tidak. Agak masih beresiko tabrakan
kalo stalkingya tidak akurat, ketika terjadi server akan memberikan
kesempatan kepada nodes untuk mencoba lagi. Kalo jaringannya
supersibuk akan mengakibatkan banyak delay. Eternet adalah
salahsatu contoh pake model ini keunggulannya: simple, murah karena
tidak perlu pasang dua kabel (RING pake twistpair cable supaya
mantap), kartu jaringanya lebih murah dan pake bus lebih mudah
dikembangkan.
Program2 berbahaya: Virus, suatu program yang menempelkan
dirinya pada program yang sah untuk melakukan penetrasi kedalam
sistem operasi dan menghancurkan aplikasi, data atau Osnya sendiri.
Worm, istilahnya dipertukarkan dengan virus, program yang secara
virtual mengubur diri dalam memorikomputer dan menduplikasi dirinya
dalam area memori yang idle. Bedanya dengan virus worm ini
kembaranya masih terhubung dengan induknya sementara virus
berkembang independen. Logic Bomb, destruktif program yang
diaktifkan melalui kejadian yang telah disetting sebelumnya misal
tanggal tertentu/jam tertentu. Waspadai pegawai yang keluar dari
organisasi dapat mensetting kerusakan sekian lama setelah dia
berhenti. Back Door, program yang mengizinkan akses illegal masuk
ke sistem tanpa melalui saluran prosedur yang normal (front door).
Bisa digunakan untuk memantau sistem atau untuk fraud. Trojan
Horse, menangkap ID dan password dari user dengan meniru prosedur
log in normal.
SECURITY PART II: AUDITING DATABASE SYSTEMSA. Data Management
Approaches a. The Flat-File Approach Data files yang mengandung
record dengan tanpa memiliki hubungan yang terstruktur dengan file
lain. Sering dihubungkan dengan legacy system (sistem warisan) udah
jadul namun masih ada yang pakai. Pendekatannya single user, sistem
mainframe yang besar user tidak berbagi data dengan end user
lainnya. Format sesuai kebutuhan satu orang Ketika end user lain
membutuhkan data yang sama untuk tujuan yang berbeda, mereka harus
menyusun set data yang terpisah untuk memenuhi kebutuhan mereka.
Replikasi-replikasi ini merupakan kelemahan model ini disebut data
redudancy yang mengakibatkan masalah pada flat file: Data Storage:
Data yang umum dan digunakan bersama disimpan sendiri2,
terduplikasi diseluruh level organisasi..boros space Data
Updating-:Banyak data pada file acuan dan file master yang
memerlukan pembaharuan berkala, apdetnya harus satu2. Currency of
Information: Kegagalan untuk membaharui semua file pemakai yang
terpengaruh jika ada perubahan dalam status menghasilkan keputusan
berdasar pada informasi ga uptodate. Task Data Dependency (Limited
Access) ketidakmampuan pemakai untuk memperoleh informasi tambahan,
ketika kebutuhannya berubah, informasi dibatasi oleh data yang
dikuasai dan dikendalikannya saja.B. The Database Approach
Pendekatannya menggunakan Database management system (DBMS) suatu
software khusus yang diprogram untuk mengatur lalulintas DB dan
menggunakan mekanisme otorisasi akses. Pendekatan ini memusatkan
pengorganisasian data ke dalam database umum sehingga dapat dibagi
dengan pemakai lainnya. Keunggulanya ya: mengatasi seluruh masalah
dalam flat file diatas itu.C. Key Elements of the Database
Environment Database Management System DBMS menyediakan
pengendalian untuk membantu atau mencegah akses ke DB. Fiturnya:
Program Development, berisi Aplikasi Pengembangan Program Perangkat
Lunak Backup and Recovery, sejak memproses, secara periodik DBMS
membuat backup copy di physical database Database Usage Reporting,
ciri ini menyatakan data statistik apa yang digunakan, kapan mereka
gunakan dan siapa yang menggunakan Database Access, ciri yang
sangat penting yaitu memberikan ijin otorisasi untuk dapat
mengakses, baik formal maupun informal database melalui 3 modul:
Data Definition Language (DDL). DDL mengidentifikasikan nama dan
hubungan semua unsur data, dokumen/catatan, dan file yang terdapat
di dalam database. Database View Internal View/Physical View->
struktur catatan data, hubungan-hubungan antara sebuah file dan
rencana physical dan rangkaian catatan dalam file Conceptual
View/Logical View-> skema logical, abstrak External View/User
View ->subskema pandangan dari user UsersFformal Access-App
Interfaces: Ada dua jalan untuk pengguna mengakses database, salah
satunya adalah dengan aplikasi formal interface, atau pake informal
seperti Data Manipulation Language dan Structured Query Languange
(mumet) The Database Administrator
The Physical Database Physical Database adalah level paling
rendah dari database dan satu-satunya level yang ada dalam bentuk
fisik.Physical database terdiri dari titik-titik magnetic pada
magnetic disk. Data Structure, adalah bata dan semennya database,
yang membolehkan catatn ditempatkan, disimpan, dipanggil, dan
dimungkinkan dipindah dari catatan satu ke lainnya. Struktur data
terdiri dari: Organisasi Data adalah cara pencatatan secara fisik
yang diatur pada alat penyimpan secondary. Data Access Method
adalah teknik yang digunakan untuk menempatkan catatan dan
mengendalikan melalui database. DBMS Models Data model adalah suatu
representasi abstrak data mengenai entitas, termasuk sumber (aset),
kejadian (transaksi) dan agen (personalia atau customer) dan
hubungan mereka dalam organisasi. Tujuan Data Model adalah
menyajikan atribut entitas dengan cara yang mudah dipahami oleh
pemakai. Ada tiga model data The Hierarchical Model (=struktur
pohon/ayah anak ingat kan) Model ini sering disebut navigational
database karena membuatan garis file diikuti pra penetapan jalur
(path). Kelemahan: Parent dapat memiliki satu atau lebih catatan
child. Tidak ada satupun catatan child memiliki parent lebih dari
satu. Tidak mencerminkan kondisi sebenarnya satu catatan child
dapat memiliki parent lebih dari satu Untuk mengatasi kelemahan ini
biasanya catatan child diduplikasi sehingga menciptakan/menyajikan
dua hirarki yang terpisah. The Network Model Model ini sama dengan
hirarki juga merupakan navigational type, dengan suatu pengecualian
dalam hubungan antara record dan file. perbedaannya model network
mengijinkan catatan anak memiliki parent lebih dari satu. The
Relation Model Perbedaan model relation dengan model pertama adalah
cara hubungan data disajikan kepada user. Model ini menggambarkan
data dalam tabel dua dimensi. Bagian kolom berisi atribut,
sedangkan pertemuan column dan row membentuk tuples (record).
Berisi kesatuan data yang sama tetapi tidak sama persis, untuk
dicatat dalam sistem file flat. Tabel harus dinormalisasi dan
masing2 atribut dalam row bergantung kepada primary key atau
independen atribut yang lain. Kan lbh detail di ch 8Database
Terminology (refer ke Ch M Mcleod dan Appendix A) Entity adalah
representasi database akan suatu dari tiga hal ini yakni elemen
lingkungan, sumberdaya atau transaksi/event yang penting dan harus
didokumentasikan dalam bentuk data. Attribute adalah karakteristik
dari suatu entitas, atribut yang unik dinamakan identifiers atribut
lain yang menjelaskan entitas dinamakan descriptor. Data
Attribute/Field adalah single item data seperti nama, alamat dll
Record Type (table or File) kumpulan atribut data yang secara logis
mendefinisikan entitas. Database kumpulan record type yang
dibutuhkan organisasi untuk mendukung bisnis prosesnya.
Associations/ Relationship adalah yang hubungan yang terjadi
diantara suatu record atau entitas dengan yang lainnya. Bentuknya:
One to One One to Many Many to ManyD. Databases in a Distributed
Environment a. Centralized Databases
Penyimpanan DB di satu lokasi terpusat. Unit yang lain meminta
akses dan proses lalu mentransmisikan ulang kembali ke DB. Data
relatif terupdate dengan catatan harus dicegah dua akses dari dua
user secara bersamaan. Biasanya menggunakan mekanisme penguncian.b.
Distributed Databases Partitioned Databases Approach
Pendekatan partitioned database memecah database pusat menjadi
segmen-segmen atau partisi-partisi yang didistribusikan ke pemakai
data yang utama. Keuntungan pendekatan ini: Data yang tersimpan
pada site lokal meningkatkan pengendalian user. Waktu respon
pemrosesan transaksi ditingkatkan dengan mengijinkan akses lokal ke
data dan mengurangi volume data yang harus dikirim antara unit IT.
Database yang dipartisi/didistribusi dapat mengurangi efek
potensial kerusakan. The Deadlock Phenomenon -> Pada lingkungan
terdistribusi, dimungkinkan bagi site ganda saling mengunci satu
sama lain dari database, sehingga mencegah masing-masing melakukan
pemrosesan transaksinya. Untuk mengatasi deadlock pada umumnya
melibatkan lebih dari satu pembatalan suatu transaksi untuk
melengkapi pemrosesan transaksi lain pada deadlock. Concern auditor
seberapa sering deadlock dan apakah antisipasinya oke. Replicated
Databases
Database direplikasi dapat menjadi efektif pada perusahaan yang
tingkat sharing datanya tinggi, tidak ada pemakai utama. Dengan
mereplikasi data pada setiap bagian, akses data untuk tujuan query
dapat dipastikan, dan lockuts dan keterlambatan akibat lalu lintas
data dapat diminimalkan. Kelemahan pendekatan ini adalah menjaga
(maintaining) dan updating versi terbaru dari masing-masing
database.c. Concurrency (data integritas) Control Database
concurrency adalah adanya kelengkapan dan keakuratan data pada
semua lokasi data pengguna.Metode umumnya menggunakan transaksi
yang diserialkan dengan melabeli transaksi dengan dua kriteria:
Software khusus untuk mengelompokkan transaksi ke dalam kelas-kelas
untuk mengidentifikasi konflik potensial. Time-stamp setiap
transaksi. Ada jam yang mencatat transaksi dengan ID number khusus
mengakomodoasi perbedaan waktu Jika muncul konflik maka transaksi
dimasukkan ke dalam schedule serial sehingga data menjadi runut
mengapdet database.Keputusan itu untuk mendistribusikan database
harus penuh pertimbangan, ada beberapa trade-off yang harus
dipertimbangkan. Pilihan ini berdampak pada kemampuan organisasi
itu untuk memelihara integritas data. Penjagaan jejak audit dan
ketelitian dari catatan akuntansi adalah kunci yang harus difahami
juga oleh auditor.E. Controlling and Auditing Data Management
Systems a. Access Controls Pengendalian DBMS dikelompokkan menjadi
dua yaitu: pengendalian akses (access control) dan pengendalian
backup. Access ControlsAdalah pengendalian yang dirancang untuk
mencegah individu tanpa otorisasi menampilkan, memanggil, merusak,
dan menghancurkan data entitas. User Views Adalah subset dari total
database yang menegaskan domain data pemakai dan menyediakan akses
ke database (tampilan yang diijinkan per user melihat (DB).
Database Authorization Table Berisi aturan-aturan yang membatasi
tindakan yang dapat diambil pemakai. Teknik ini sama dengan daftar
pengendalian akses yang digunakan dalam sistem operasi.
User-Defined Procedures, adalah prosedur yang mengijinkan pemakai
untuk menciptakan program keamanan personalatau rutin untuk
menciptakan identifikasi pemakai positif lebih daripada password
tunggal. Data Encryption, data ecryption digunakan untuk melindungi
data yang sifatnya sangat sensitif. Dengan prosedur data encryption
maka penyusup data tidak dapat membaca data karena database
di-scramble Biometric Devices adalah prosedur yang menggunakan alat
biometrik untuk mengukur berbagai macam karakteristik personal,
seperti sidik jari. Inference Controls, salah satu kemampuan
database query adalah menyediakan ringkasan dan data statistik
pengambilan keputusan bagi pengguna.
B. Backup ControlsAdalah pengendalian untuk memastikan bahwa
kejadian kehilangan data akibat akses tanpa otorisasis, kegagalan
perangkat, atau kerusakan fisik organisasi dapat diperbaiki oleh
database tersebut. Backup Controls in the Flat-File Environment
Teknik backup yang digunakan tergantung pada media atau struktur
file. GPC Backup Technique Grant-parent-child backup adalah teknik
yang digunakan dalam sistem batch file sekuensial. Prosedur backup
dimulai ketika file master sekarang (parents) diproses terhadap
file transaksi untuk memproduksi file master updated (child). Pada
transaksi batch berikutnya, anak menjadi master file, file parent
yang asli naik menjadi backup (grantparent) Direct Access file
Backup Nilai data pada akses langsung diubah tempatnya dalam suatu
proses yang dinamakan destructive replacement. Oleh karena itu,
sekali data berubah, nilai asli dihancurkan, dan hanya meninggalkan
satu versi terbaru. Off-Site Storage Adalah tempat penyimpanan
backup baik pada GPC maupun pendekatan langsung rorpada tempat yang
aman di luar site.Pengendalian backup untuk lingkungan database
menyediakan sistem backup dan pemulihan sebagai berikut: Backup
secara periodik untuk seluruh data. Transaction Log (Journal) The
transaction log adalah fitur yang menyediakan jejak audit seluruh
transaksi yang diproses. Checkpoint Feature Adalah fasilitas yang
menunda seluruh proses sementara data sedang diperbaiki (proses
pemulihan data) transaction log dan database mengubah log database.
Recovery Module Modul ini menggunakan logs dan backup untuk memulai
kembali setelah sistem mengalami kegagalan
SYSTEMS DEVELOPMENT AND PROGRAM CHANGE ACTIVITIES A.
Participants in Systems Development Sistem profesional : sistem
analis, systems engineers, dan programer. Membangun
sistem->produknya Sistem Baru User : untuk siapa sistem itu
dibuat, terdiri dari low sampe high level, saat bangun sistem
primary user diikutsertakan. Stakeholder: didalam dan diluar
organisasi namun berkepentingan terhadap sistem, internal auditor
dan eksternal auditor, akuntan, steering komite. Akuntan dan
Auditor: profesional yang concern pada pengendalian, akunting dan
audit issue. dilibatkan Internal dan IT auditor, tidak termasuk
eksternal auditor karena tidak dibolehkan SOX Law.a. Why Are
Accountants and Auditors Involved with SDLC? SD dianalogikan
sebagai proses manufaktur yang menghasilkan produk kompleks.
Akuntan concern pada integritas proses tersebut, terutama pada
proses yang berimplikasi pada sumber daya keuangan perusahaan. SDLC
menghasilkan SIA. Kualitas informasi akuntansi yang diproduksi
haruslah terjamin>>perlu kontrol oleh akuntan dan auditor
supaya tepat dan sesuai aturan.b. How Are Accountants Involved with
the SDLC? Sebagai user ,Sebagai Tim pengembang dan Sebagai auditor
B. Information Systems Acquisition In-House Development
Karakteristik industri berbeda, banyak juga yang mengembangkan
sistem sendiri sesuai kebutuhan, memerlukan staff dan programer
yang selalu stand by.a. Commercial Systems Beli dari vendor dengan
empat pertimbangan: Relatif murah dari yg customized Vendor sudah
mengakomodasi tipe industri Bisnis kecil yang terlalu kecil
mengembangkan sistem sendiri Mulai munculnya organisasi otonomi
yang terdesentralisasiJenis Commercial Systems: Turnkey System->
sistem sudah jadi dan siap implementasi General Accounting
System->: sistem akuntansi secara umum untuk melayani berbagai
macam user Special purpose System: sistem yang dibuat untuk segmen
pasar tertentu, seperti: industri perbankan, bidang medis Office
Automation System Backbone System: Basic struktur tinggal
dikembangkan Vendor supported System Sistem hibrid antara custom
dan comercial system.Keuntungan Commercial Systems Waktu
implementasi cepat Cost rendah Reliabilitas (sudah dites dulu
sebelum dirilis)KerugianCommercial Systems: Ketergantungan pada
vendor dalam pengoperasian Sulit dikustomisasi. Commercial Systems
biasanya terlalu umum dan kaku Pemeliharaan. Jika kebutuhan user
berubah, sulit memodifikasi sistemC. The Systems Development Life
Cycle Systems Development Life Cycle (SDLC): planning sistem,
analisis sistem, desain konseptual sistem, seleksi sistem, desain
rinci, implementasi sistem, pemeliharaan sistem adalah aktifitas
logis dan berurutan yang secara umum diterima sebagai best
practices pengembangan sistem.a. Systems PlanningPhase I Tujuan
dari perencanaan adalah untuk menghubungkan proyek dan aplikasi
kepada tujuan strategis organisasi. Pihak yang menyusun perencanaan
biasanya adalah Steering comitee (CEO, CFO, senior manager,
internal auditor) Perencanaan secara umum dibagi menjadi: Strategic
Systems Planning -> alokasi sumber daya sistem di tingkat makro.
Biasanya berkaitan dengan kerangka waktu 3 - 5 tahun Project
Planning-> alokasi sumber daya di tingkat proyek individual atau
aplikasi dalam frame perencanaan strategis. Peran auditor di tahap
iniadalah memastikan bahwa perencanaan sistem memadai sehingga
mengurangi risiko operasi tidak 3E.b. Systems AnalysisPhase II
Systems Analysis adalah dua langkah melibatkan suatu survey
terhadap sistem saat ini dan menganalisis kebutuhan user.
Keuntungan melakukan survei: identifikasi aspek sistem lama yang
ingin dipertahankan, memaksa sistem analis memahami betul
sistemnya, sistem analis dapat mengisolasi akar masalah karena
paham sistem. Kerugiannya adalah analis terjebak dalam survey dan
tidak move ON atau bahkan merasa sistem saat ini masih bagus.
Dilakukan dengan mengumpulkan fakta: data source, user, data store,
proses, data flow, control, dll. Pertimbangkan memasang modul audit
di sistem baru.c. Conceptual Systems DesignPhase III Menghasilkan
beberapa alternatif konseptual sistem yang memenuhi persyaratan
sistem yang diidentifikasi selama analisis sistem. Ada 2
Pendekatan: The Structured Design Approach-> merancang sistem
dari atas ke bawah. Biasanya memakai DFD untuk menggambarkan bisnis
proses dan Struktur diagram untuk menggambarkan dekomposisi
top-down The Object-Oriented Approach-> membangun sistem
informasi dari reusable komponen standar atau objeck. Peran auditor
di tahap ini adalah mengusahakan agar fitur audit masuk rancangan
selagi desain konseptual dibuat.d. System Evaluation and
SelectionPhase IV Untuk evaluasi dan seleksi serta mengidentifikasi
sistem yang terbaik Dilakukan dengan 2 proses: Detailed Feasibility
Studies, meliputi: Technical feasibility engidentifikasi apakah
sistem bisa dikembangkan dengan technologi saat ini atau butuh
teknologi baru Economic feasibility mengidentifikasi kecukupan dana
untuk menyelesaikan proyek Legal feasibility mengidentifikasi
segala konflik antara sistem konseptual dan kemampuan perusahaan
untuk melaksanakan tanggung jawab hukumnya Operational feasibility
menunjukan tingkat kesesuaian antara prosedur yang dimiliki
perusahaan, keterampilan personil dan operasional yang diminta oleh
sistem baru Schedul feasibility kemampuan perusahaan untuk
menyelesaikan proyek tepat pada waktunya Analisis cost and benefit
Identifikasi Biaya baik yang satu kali : perolehan hardware dan
software, persiapan tempat, sistem design, programing dan testing,
data konversi, training. Maupun yang berulang maintenance,
insurance, supplies, personel cos Identifikasi Benefit baik yang
tangible benefit : increase revenue (sales naik di existing market,
market expansion) dan reduce cost (labor, operating, inventory
turun, equipment mahal berkurang, maintenance cost turun) dan
intangible benefit (kepuasan customer naik, kepuasan pekerja naik,
decision making semakin baik, operasi lebih efisien) Bandingkan
Cost n Benefit Menggunakan analisis:, NPV, Payback method (break
even analysis):Peran auditor di tahap ini memastikan kelayakan
ekonomis atas usulan system diukur dengan seakurat mungkin.e.
Detailed DesignPhase V Untuk menghasilkan penjelasan rinci proposed
system yang baik memenuhi persyaratan sistem yang diidentifikasi
selama analisis sistem dan sesuai dengan desain konseptual. Akan
diadakan walkthrough dan quality assurance.f. Application
Programming and TestingPhase VI Memilih program dan aplikasi dari
berbagai pilihan yang sesuai ada COBOL, event-driven languages:
Visual Basic, or object-oriented programming (OOP) languages like
Java or C++.Kemudian melakukan test untuk setiap program modules
Metodologi testing: Testing Offline Before Deploying Online dan
Test Datag. System ImplementationPhase VII Struktur database dibuat
dan diisi data, peralatan dibeli dan diinstal, pegawai dilatih dan
sistem didokumentasikan dan digunanakan. Testing the Entire System
: melakukan test semua modules sebagai satu kesatuan. Documenting
the System : Designer and Programmer Documentation, Operator
Documentation (dokumennya disebut run manual), User Documentation,
User handbook, Tutorial, dll Converting the Database yaitu transfer
data dari bentuk yang sekarang ke format atau media yang diperlukan
oleh sistem baru. Konversi data sangat berisiko sehingga perlu
tindakan pencegahan: Validation, Reconciliation, Backup. Converting
to the New System Proses konversi dari old system ke new system
disebut Cutover Ada 3 pendekatan system cutover: Cold Turkey
Cutover (Big Bang), perpindahan dilakukan secara simultan
(sekaligus), pendekatan paling mudah dan murah untuk sistem
sederhana namun pendekatan paling berisiko untuk sistem kompleks
Phased Cutover (Bertahap)Membagi seluruh system dalam beberapa
modul, menjalankan sistem baru secara bertahap, bisa menimbulkan
incompatibilitas antara sistem baru dan sistem lama yang belum
digantikan Parallel Operation Cutover menjalankan sistem lama dan
sistem baru secara bersamaan untuk jangka waktu tertentu, banyak
menghabiskan waktu dan biaya Tidak efisien karena mengelola dua
kali dokumen sumber, dua kali waktu pemrosesan, dua kali database,
dan dua kali output produksi Keuntungan: memungkinkan melakukan
rekonsiliasi antar sistem sebelum menjalankan sistem baru secara
independen. Peran auditor internal dalam system implementation:
Provide Technical Expertise Specify Documentation Standards Verify
Control Adequacy and Compliance with SOX. Post-Implementation
Review Meliputi reviu: Systems Design Adequacy. Accuracy of Time,
Cost, and Benefit Estimatesh. Systems MaintenancePhase VIII Setelah
sistem diimplementasikan, memasuki tahap akhir dalam siklus
hidupnya. Pemeliharaan sistem adalah proses formal di mana program
aplikasi mengalami perubahan untuk mengakomodasi perubahan
kebutuhan pengguna. D. Controlling and Auditing the SDLC Dalam
lingkungan sistem informasi berbasis komputer, data keuangan
diproses (akses, simpan, update) melalui aplikasi komputer. Akurasi
dan integrritas dari program tersebut secara langsung mempengaruhi
akurasi data keuangan klien. Kesalahan aplikasi yang material dapat
menyebabkan data hilang/corrupted dan menyebabkan salah saji dalam
laporan keuangan. Controlling New Systems Development Tujuan Audit
terkait New Systems Development: a. Systems Authorization
Activities >> All systems must be properly authorized to
ensure their economic justification and feasibility. User
Specification Activities >> Users must be actively involved
in the systems development process Technical Design Activities
Internal Audit Participation User Test and Acceptance Procedures
The Controlling Systems Maintenance Mendeteksi pemeliharaan program
yang dilakukan tanpa otorisasi.
COMPUTER-ASSISTED AUDIT TOOLS AND TECHNIQUES
A. Application Controls Prosedur program pengendalian intern
yang didesain untuk mengatasi terpaparnya sistem dari resiko
potensial pada aplikasi spesifik seperti pembayaran gaji, pembelian
dan pengeluaran uang. App controls terdiri dari:a. Input Controls
Bertugas untuk membawa data dari ke dalam sistem untuk diproses, IC
didesain untuk memastikan bahwa transasksi valid, akurat dan
lengkap. Dapat dipicu oleh batch maupun secara langsung (direct).
Dalam dokumen sumber biasanya melibatkan manusia dan oleh karenanya
rentah kesalahan klerikal yang sering tidak terdeteksi nanti ada
opsi data realtime. Beberapa jenis pengendalian dalam input control
adalah sbb: Source document controls Pengendalian terhadap dokumen
sumber karena dapat dipalsukan dan masuk sistem lalu menghilangkan
aset perusahaan control : PreNumbered SD, Sequence Limited Acces,
Periodic audit/spot cek Data coding controls Cek integritas kode
data dalam pemrosesan-Nomor rek Customers, Nomor Inventory, No Akun
dll Errors-> Transkripsi (penambahan, pengurangan,subtitusi) dan
Transposisi (two/multiple number kebalik2) Control: Check Digit
(penjumlahan atau menggunakan modulus 11) tapi makan Space (nambah
record), baiknya untuk yg penting saja) Batch controls Rekonsiliasi
antara input dan output pada transaski dengan volume tinggi guna
memastikan seluruh data terekam, tidak dobel entry dan jejak audit
terjaga (inc proses n output control). Dengan mengumpulkan tipe
input yang sama dalam satu batch (bundel) lalu mengontrol batch ini
dalam prosesnya. Elemen: No Batch, tgl, Kode transaksi, Jumlah Rec,
Nilainya, Jumlah data non financial ( Hash totalbuat alat kontrol
aja, tidak bernilai) Validation controls Deteksi error sblm
transaksi diproses, bisa memerlukan untuk merefer ke master file
sebaiknya sedekat mungkin dengan sumber transaksi. Controlnya ada 3
level: Field Interogation: melakukan validasi di level karakter
dalam Field jenis checknya: Missing data check (blank) cek apakah
ada field yg kosong Numeric-alphabetic->isi field apakah
huruf/bilangan Zero value->isi field 0 untuk pengendalian Limit
check->cek nilai field apakah melebihi standarnya Range
check->batas atas dan bawah Validity check->bandingkan dengan
data master Check digit->sama dengan diatas itu pake modulus 11
Record Interogation: validasi seluruh catatan dengan menguji
hubungan nilai fieldnya. Contohnya: Reasonbleness
Checks->->cek dengan master filenya Sign Check-> tanda +/-
sudah tepat digunakan? Sequence Checks-> urutan (batch) sudah
sesuai atntrian? File Interogation: Memastikan bahwa file yang
benar yang diproses sistem sangat penting untuk master files yg
menyimpan data relatif permanen. Internal Label Checks->label
disk di dalam (bukan diluar) Version Checks->versi filenya
apakah sesuai..1.0? beta? Expiration date checks->cek file ga
kepake,agar tidak kedelete sembarangan Dalam sistem batch ketika
ada Input error perlu dilakukan correction, ada tiga jenis
penanganan error yang umum dalam proses input: Correct
Immidiately->kasih warning ke user Create an Error File->
delayed, pisahkan dari sistem buat laporan sistemnya bahwa data tsb
error Reject Entire Batch-> tolak sluruh batch untuk diproses
Generalized data input systemsGDIS menstandarisasi validasi input
dengan level kontrol tinggi. Ada 3 keuntungan pake GDIS: Improve
control melalui satu sistem validasi umum yang sama Memastikan
setiap aplikasi menerapkan standar yg sama Meningkatkan efisiensi
sistem Elemennya: GDIS module, Data File Tervalidasi, Error File,
Error Reports, Log Transaksi.b. Processing Controls Run-to-Run
ControlsMenggunakan batch untuk memonitor batch ketika dia bergerak
dari satu prosedur program ke prosedur program lain. Kontrol ini
memastikan setiap pergerakan memproses batch dengan benar dan
lengkap. Jenis2nya: Recalculate Control Totals-mengecek kembali
nilai2 dalam batch, has total dibandingkan dengan data master.
Transaction Codes-> hanya transaksi yg benar yg diijinkan
Sequence Checks Operators Intervention ControlsOperator kadang
diperlukan dalam mengintervensi suatu kegiatan dan hal ini
meningkatkan potensi human error. Sistem sedapat mungkin memmbatasi
intervensi manusia, jika tidak dapat dilakukan supervisi. Audit
Trails ControlsDalam sistem terkomputerisasi jejak audit akan
terpecah-pecah dan lebih sulit diikuti. Sehinga dokumentasi sistem
sangat diperlukan untuk dijaga. Beberapa cara menjaga jejak audit :
Transactions Logs-mencatat seluruh aktivitas sistem Log of
Automatic Transactions Listing of Automatics
Transactions->EOQ/reorder harus diperhatikan Unique Transaction
Identifiers Error Listings-Laporkan agar diperbaikic. Output
Controls Output controls adalah SPI yang memastikan bahwa hasil
keluaran sistem tidak hilang, salah sasaran, berkurang/rusak atau
melanggar privasi. Kegagalan dalam menjaga output dapat
mengakibatkan dampak serius bagi perusahaan seperti kehilangan SD
ekonomi, penurunan citra bahkan tuntutan hukum. Otput controls
menyesuakan dengan proses pengolahan dokumennya, secara umum
terbagi dua yakni Batch Control System (lebih rentan karena adanya
intervensi operator/program) dan Realtime System. Controlling Batch
System OutputDalam Batch System, output biasanya berupa HardCopy
(Cek, Laporan, PO,dll) dan dalam prosesnya sebagaimana bagan
diatas, memerlukan perantara baik manusia maupun program dari mulai
proses sampai dengan distribusi. Output Spooling Dalam pengolahan
data skala besar-> terjadi backlogged, hasil pengolahan sistem
mengantri untuk dicetak (bottleneck)-> sistem membuat suatu file
output dalam disk daripada membebani memori printers (spooling).
Dalam tahap ini output file rentan diacces oleh penjahat cyber yang
dapat mengubah, mengcopy secara illegal atau bahkan menghapus file
sebelum dicetak. Harus ada akses kontrol yang baik dan backup file
output Print Setelah spooling, dan SD printer tersedia ->
printer akan mencetak, biasanya ada intervensi operator berupa
mengganti kertas, mengatur mempause, menyesuaikan margin, tinta dsb
Resiko :Operators copy secara illegal/membaca data rahasia
Controlnya: Prenumbered untuk memastikan seluruh cetakan lengkap,
supervisi, gunakan kertas multipart berkarbon (gesek dulu baru
terbaca->pin ATM) Bursting Hasil cetakan dipilah-pilah dan
disusun ulang, ada Operator Risk-> Illegal copy, menghilangkan
halaman, baca data rahasia Control-> Supervisi atau bursting di
end user saja Waste Cetakan yg tidak sempurna, karbon copy dibuang
Ceroboh-> dapt dimanfaatkan , ada akes data teknis dan informasi
penting lainnya dalam dokumen rusak sekalipun Control->
Penghancur kertas/ dibakar Data Control Group Tim verifikasi
sebelum HardCopy didistribusikan cek akurasi kelengkapan,
legalitas, dll Risk dan controls = print dan bursting Distributions
Rawan pencurian, hilang, salah tujuan Nama dan alamat tercetak
jelas, hati2 akses ke file master nama dan alamat Untuk data
sensitive dapat menggunakan tas berpengaman kunci/pin, dikawal
petugas keamanan atau End User sendiri yang ambil End Users Cek
kembali dokumen yg diterima, jika ada kejanggalan laporkan bisa
jadi errornya karena sistem Data digunakan dan disimpan perhatikan
ruang yang aman, perhatikan waktu retensi sesuai hukum (pajakk)
jika tidak digunakan hancurkan dengan baik. Controlling RTSHasil
output tampil langsung dilayar.,terminal atau printernya end user.
Menghilangkan berbagai perantara baik program maupun manusia.
Ancaman terbesarnya sama seperti resiko dalam internet dan intranet
yaitu: Equipment Failures (HW, SW maupun LINES Comm) Subversive Act
( Interception, Illegal Acces, Previledged Employes)B. Testing
Computer Application Controls a. Black-Box Approach (Around
Computer)Tidak menguji berdasarkan pada pengetahuan mendetail
mengenai logika dibalik aplikasi yang di audit (gak perlu faham
MYOBnya) . Lebih kepada memahami flowchart, wawancara dengan client
dsb. Dengan pemahaman itu auditor mengetes sendiri dokumen input
dan direkonsiliasi dengan outputnya sehingga dapat memperkirakan
programnya sudah complince atau belum. Aplikasinya sendiri kurang
diperhatikan detilnya. Umumnya pada aplikasi yang sederhana.b.
White-Box Approach (Through Computer)Harus memiliki pemahaman
mengenai aplikasinya secara mendalam (pengetahuan MYOBnya dalam
juga) hingga ke logika dalam aplikasi. Beberapa tesnya:
Authenticity Tes-> user ID, Password, valid vendor codes dan
bagan otoritas Accuracy Test-> range test, filed test limit test
Completeness Test-> field test, rec sequence test, hash totals
Redundancy Test-> recoknsiliasi batch, record count, hash totals
Acces Test-> pass, bagan otoritas, data enkripsi, inference
control Audit Trail Test-> transaction log, error file ttp
disimpan, Rounding Error Tets->pembulatan bunga bank, salami
fraud (bagi kecil2, large number victim, immaterial to each)C.
Computer-aided Audit Tools and Techniques for Testing Controls a.
Test Data Method Membuat aplikasi terintegrasi dengan memproses
data yang sudah dipersiapkan melalui aplikasi yang sedang direview.
Lalu dibandingkan dengan nilai/hasil yang seharusnya. Copy dulu
aplikasinya buat file transaksi dan masternya lalu coba melalui
berbagi input (tape, disc, usb, terminal dll) lihat hasilnya
bandingkan dengan rport yang diharapkan sebelumnya. Buat Data Tes
Base Case Sys Evaluations Tracing Advanced Test Data
Disadvantagesb. The Integrated Test Facility (ITF)Teknik otomatis
yang memungkinkan auditor menguji logika dan kontrol aplikasi dalam
operasi normal. Dicangkokkan dalam sistem ketikda dalam tahap
pengembangan nani pas running akan membuat semacam duplikasi
tertentu dari data namun tidak mengganggu aplikasi. Keuntungan
Kerugianc. Parallel Simulation Auditor menulis program yang
mensimulasikan fitur dan proses kunci dari aplikasi yang direview.
Lalu digunakan untuk memproses ulang transaski yang sudah diproses
aplikasi yg direview lalu dibandingkan hasilnya. Auditor harus
faham betul aplikasinya, identidikasi proses dan controlnya Buat
simulasi pake 4GL atau Generalized Audit Software (GAS) Coba
simulasikan dengan sampel terpilih Evaluasi (apakah yg error
simulator atau memang Real)
COBITInformasi adalah sumber daya kunci bagi semua perusahaan.
Diciptakan, digunakan, disimpan, ditampilkan, dan dihancurkan
dengan menggunakan teknologi sebagai pemeran kuncinya. Teknologi
menjadi bagian dari seluruh aspek bisnis dan individu. Pendekatan
penyusunan tata kelola IT saat ini dinilai harus dipandang sebagai
salhsatu sumberdaya strategis dan direncanakan dengan pendekatan
manajemen strategis pula.Cobit merupakan suatu framework yang
komprehensif yang membantu perusahaan dalam mencapai tujuannya dan
menyampaikan nilai melalui tata kelola (strategis) dan manajemen
(operasional) Teknologi Informasi Perusahaan. Governance ensure
->Evaluation,Direction and Monitoring. Manajemen->Plan Build
Runs and Monitoring. COBIT 5 brings together the five principles
that allow the enterprise to build an effective governance and
management framework based on a holistic set of seven enablers that
optimises information and technology investment and use for the
benefit of stakeholders.Cobit 5 didasarkan pada 5 prinsip kunci
tatakelola dan manajemen TI perusahaan yaitu :a. Pemenuhan
kebutuhan Stakeholderb. Melindungi titik-titik penting perusahaanc.
Penggunaan satu framework terintegrasid. Memungkinkan pendekatan
secara holistike. Meminsahkan tatakelola dengan manajemenCOBIT 5
mendeskripsikan 7 kategori yang berperan sebagai penggerak yaitu
:a. Prinsip-prinsip, kebijakan-kebijakan, dan framework, adalah
sarana untuk menerjemahkan tingkah laku yang diinginkan ke dalam
petunjuk praktek untuk pelaksanaan manajemen harian.b. Proses,
menjelaskan kumpulan terorganisasi dari praktek-praktek dan
aktifitas-aktiftas untuk mencapai tujuan yang telah ditentukan dan
menghasilkan sekumpulan keluaran di dalam dukungan pencapaian
seluruh sasaran TIc. Struktur organisasi, entitas pembuatan
keputusan kunci di dalam perusahaand. Budaya, etika, dan tingkah
laku, merupakan kebiasaan dari individu dan perusahaan yang sering
dianggap sebagai faktor penghambat kesuksesan di dalam aktifitas
tatakelola dan manajemen.e. Informasi, adalah sebuah kebutuhan
untuk memastikan agar organisasi tetap berjalan dan dapat dikelola
dengan baik. Tetapi di tingkat operasional, informasi seringnya
digunakan sebagai hasil dari proses perusahaanf. Layanan,
infrastruktur dan aplikasi, menyediakan layanan dan proses
teknologi informasi bagi perusahaang. Orang, keterampilan dan
kemampuan, dibutuhkan untuk menyelesaikan semua aktifitas dan
membuat keputusan yang tepat serta mengambil aksi-aksi
perbaikan.