PEMERIKSAAN AKUNTANSI
LANJUT
FAKULTAS EKONOMI
KELOMPOK 1
KELAS 4EB20
Nama : Achmad Izhar S. (20211075)
Nita Eka Yulia (25211194)
Pebriani Utaminingsih (28211027)
Putra Adiguna (25211620)
Setela Winda Elh Siana
(29211293)
Widhia Marcini (27211378)
Widodo (27211385)
Yunita Resty Damayanti (27211682)
Universitas Gunadarma
2014
AUDIT, ASSURANCE, DAN PENGENDALIAN INTERNAL
Audit
Audit
adalah suatu pemeriksaan yang dilakukan secara kritis dan sistematis, oleh
pihak independen, terhadap laporan keuangan yang telah disusun oleh manajemen,
beserta catatan-catatan pembukuan dan bukti-bukti pendukungnya, dengan tujuan
untuk dapat memberikan pendapat mengenai kewajaran laporan keuangan tersebut.
· Perbedaan Jenis Audit
a.
Pemeriksaan
Intern (Internal Audit)
Pemeriksaan Intern
(Internal Audit), yaitu pemeriksaan yang dilakukan oleh bagian internal audit
perusahaan yang mencakup laporan keuangan dan catatan akuntansi perusahaan yang
bersangkutan serta ketaatan terhadap kebijakan manajemen yang telah ditentukan.
Audit internal menurut Institute of Internal Auditors-II :
Sebagai fungsi penilai
independen yang dibentuk dalam perusahaan untuk
mempelajari dan mengevaluasi berbagai aktifitasnya
sebagai layanan kepada
organisasi.
Berbagai
jenis aktifitas, diantaranya :
— Audit
keuangan
— Audit
operasional
— Audit
kepatuhan
— penipuan
Audit
— Audit
TI
Sertifikasi
yang dimiliki :
— CIA (Certified Internal Auditor)
— CISA (Certified Information System Auditor)
Standar,
petunjuk, dan sertifikasi diatur oleh Lembaga auditor internal (Institute of
Internal Auditors-IIA), dan untuk tingkat tertentu diatur oleh asosiasi audit
dan pengendalian sistem informasi (Information System Audit and Control
Association-ISACA)
b. Audit Teknologi
Informasi
Audit
Teknologi Informasi Diasosiasikan dengan
para auditor yang menggunakan berbagai keahlian dan pengetahuan teknis untuk
melakukan audit melalui sistem komputer atau menyediakan layanan audit, dimana
proses atau data, atau keduanya melekat dalam berbagai bentuk teknologi.
Standar, petunjuk, dan sertifikasi audit TI diatur
oleh asosiasi audit dan pengendalian sistem informasi (Information System Audit
and Control Association-ISACA)
Para auditor TI bekerja dalam :
Departemen internal audit
Tim Audit eksternal
Audit penipuan
Ciri audit TI, digunakannya alat teknik audit
berbantuan komputer (Computer-Assisted Audit Tools and Techniques – CAATT)
c. Audit Penipuan
Audit
Penipuan adalah jasa audit yang timbul
akibat dari penipuan yang dilakukan oleh karyawan serta berbagai penipuan keuangan
besar (contohnya : Enron, WorldCom, dsb).
Tujuannya untuk
investigasi atas berbagai anomali – pengumpulan bukti penipuan, dan
tujuan hukum untuk tuntutan.
Sertifikasi yg dimiliki adalah sertifikasi pemeriksaan
penipuan (Certified Fraud Examiner – CFE).
Standar, petunjuk, dan sertifikasi diatur oleh
asosiasi pemeriksaan penipuan bersertifikat (Association of Certified Fraud
Examiners – ACFE)
d. Audit Eksternal/ Audit
Keuangan
Audit eksternal (audit keuangan) dihubungkan dengan
para auditor yang bekerja di luar perusahaan yang diaudit atau independen.
Tujuannya berkaitan dengan penyajian laporan keuangan,
bahwa dalam semua hal yang material
laporan disajikan secara wajar.
Sertifikasi yang diperoleh adalah akuntan publik
bersertifikat (Certified Publik Accountant – CPA).
Komisi sekuritas dan perdagangan (Securities and
Exchange Commission – SEC) mensyaratkan bahwa semua perusahaan yang
diperdagangkan secara publik harus melakukan audit keuangan setiap tahunnya
menggunakan jasa CPA.
CPA mewakili kepentingan pihak luar : pemegang saham,
kreditor, lembaga pemerintah, dan masyarakat.
Sertifikasi auditor eksternal diatur oleh Institut
Akuntan Publik Indonesia (IAPI), American Institute of Certified Public
Accountant – AICPA.
Peraturan yang harus ditaati oleh auditor eksternal :
dewan standar akuntansi keuangan (Financial Accounting Standards Board – FASB -
Amerika), pada th 2002 FASB dan
International Accounting Standars Boards – IASB menandatangani
perjanjian dan konvergensi pun terjadi antara FASB dan IASB.
Jenis
audit berdasarkan Luas pemeriksaan
a. Audit Internal
Audit
internal adalah sebuah kegiatan yang dirancang untuk menambah nilai dan
meningkatkan operasi badan secara independen. Kegunaanya untuk membantu badan
mencapai objektif tujuan dengan sistematis, dengan pendekatan terperinci dalam
menilai dan meningkatkan efektifitas dari resiko manajement, kontrol, dan
proses badan organisasi.
Audit
internal sebagai perantara untuk meningkatkan keefektifitasan dan keefesienan
suatu organisasi dengan menyediakan wawasan dan rekomendasi berdasarkan
analisis dan dugaan yang bersumber dari data dan proses usaha. para auditor
internal dikenal sebagai karyawan yang dibentuk untuk melakukan audit internal.
b.
Audit eksternal
Audit
Eksternal adalah pemeriksaan berkala terhadap pembukuan dan catatan dari suatu
entitas yang dilakukan oleh pihak ketiga secara independen (auditor), untuk
memastikan bahwa catatan-catatan telah diperiksa dengan baik, akurat dan sesuai
dengan konsep yang mapan, prinsip, standar akuntansi, persyaratan hukum dan
memberikan pandangan yang benar dan wajar keadaan keuangan badan.
INTERNAL
AUDIT
|
EKSTERNAL
AUDIT
|
|
1.
Dilakukan oleh external
auditor (Kantor Akuntan Publik) yang merupakan orang luar perusahaan.
|
· Audit Keuangan
Jasa Atestasi
Jasa
atestasi adalah perjanjian ketika praktisi ditugaskan untuk menerbitkan atau
telah menerbitkan laporan atas suatu subjek masalah, atau suatu asersi atas
suatu subjek masalah, yang merupakan tanggung jawab pihak lain.
Jasa Assurance
Jasa
assurance adalah jasa profesional independen yang meningkatkan kualitas
informasi, atau konteksnya, bagi para pembuat keputusan.
Standar Auditing
Standar
auditing berbeda dengan prosedur auditing. “Prosedur” berkaitan dengan tindakan
yang harus dilaksanakan, sedangkan “standar” berkenaan dengan kriteria atau
ukuran mutu kinerja tindakan tersebut dan berkaitan dengan tujuan yang hendak
dicapai melalui penggunaan prosedur tersebut. Standar auditing dikelompokkan
menjadi iga kelompok besar, yaitu:
a. Standar
Umum
1. Audit
harus dilaksanakan oleh seorang atau lebih yang memiliki keahlian dan pelatihan
teknis yang cukup sebagai auditor.
2. Dalam
semua hal yang berhubungan dengan perikatan, independensi dalam sikap mental
harus dipertahankan oleh auditor.
3. Dalam
pelaksanaan audit dan penyusunan laporannya, auditor wajib menggunakan
kemahiran profesionalnya dengan cermat dan seksama.
b. Standar
Pekerjaan Lapangan
1. Pekerjaan
harus direncanakan sebaik-baiknya dan jika digunakan asisten harus disupervisi
dengan semestinya.
2. Pemahaman
memadai atas pengendalian intern harus diperoleh untuk merencanakan audit dan
menentukan sifat, saat, dan lingkup pengujian yang akan dilakukan.
3. Bukti
audit kompeten yang cukup harus diperoleh melalui inspeksi, pengamatan,
permintaan keterangan, dan konfirmasi sebagai dasar memadai untuk menyatakan
pendapat atas laporan keuangan yang diaudit.
c. Standar
Pelaporan
1. Laporan
auditor harus menyatakan apakah laporan keuangan telah disusun sesuai
dengan prinsip akuntansi yang berlaku umum di Indonesia.
2. Laporan
auditor harus menunjukkan atau menyatakan, jika ada, ketidakkonsistenan
penerapan prinsip akuntansi dalam penyusunan laporan keuangan periode berjalan
dibandingkan dengan penerapan prinsip akuntansi tersebut dalam periode
sebelumnya.
3. Pengungkapan
informatif dalam laporan keuangan harus dipandang memadai, kecuali dinyatakan
lain dalam laporan auditor.
4. Laporan
auditor harus memuat suatu pernyataan pendapat mengenai laporan keuangan secara
keseluruhan atau suatu asersil bahwa pernyataan demikian tidak dapat diberikan.
Jika pendapat secara
keseluruhan tidak dapat diberikan, maka alasannya harus dinyatakan. Dalam hal
nama auditor dikaitkan dengan laporan keuangan, maka laporan auditor harus
memuat petunjuk yang jelas mengenai sifat pekerjaan audit yang dilaksanakan,
jika ada, dan tingkat tanggung jawab yang dipikul oleh auditor (IAI, 2001:
150.1 & 150.2).
· Resiko Audit
Resiko audit adalah
risiko yang timbul bahwa auditor tanpa disadari tidak memodifikasi pendapatnya
sebagaimana mestinya atas suatu laporan keuangan yang mengandung salah saji
material.
Komponen risiko audit
Tiga
komponen risiko audit :
1.
Risiko Inheren
Berhubungan dengan berbagai karakteristik unik dari
bisnis atau industri klien.
Perusahaan dalam industri yang menurun memiliki risiko
inheren lebih tinggi daripada perusahaan yang industrinya stabil atau
berkembang.
Industri yang memiliki transaksi tunai tinggi akan
memiliki risiko inheren lebih tinggi daripada yang tidak memiliki transaksi
tunai tinggi.
2.
Risiko
Pengendalian
Adalah
kemungkinan bahwa struktur pengendalian salah karena tidak adanya atau tidak
memadainya pengendalian untuk mencegah atau mendeteksi kesalahan dalam berbagai
akun.
3.
Risiko deteksi
Adalah
risiko yang bersedia diambil para auditor atas berbagai kesalahan yang tidak
terdeteksi atau dicegah oleh struktur pengendalian yang juga tidak terdeteksi
oleh auditor.
Auditor
menetapkan tingkat risiko deteksi yang dapat diterimanya yang mempengaruhi
tingkat uji substantif yang akan mereka lakukan.
Misalnya
: audit risk 5%, inheren risk 40%, dan control risk 60%. Maka risiko deteksi
atau detection risk adalah:
AR
= IR x CR x DR
5%
= 40% x 60% x DR
DR
= 4,8%
Hubungan
Antara Uji Pengendalian dg Uji Substantif
•
Uji pengendalian
dan Uji substantif adalah berbagai teknik audit yg digunakan utk mengurangi
resiko audit total.
•
Makin kuat
struktur pengendalian internal (SPI), makin rendah resiko pengendalian dan
makin sedikit uji substantif yg harus dilakukan auditor demikian sebaliknya.
•
Sebagai
gambaran, asumsikan audit th lalu meliputi penilaian resiko 40% untuk IR dan
60% untuk CR. Berdsrkan angka-angka itu, DR akan sebesar 4,8% (lihat di atas).
Kini asumsikan bahwa tahun ini pengendalian lebih dapat diandalkan dan mengurangi
angka CR menjado 40%, jadi:
•
5% = 40% x 40% x
DR
•
DR = 3.2%
· Komite Audit
Keputusan
Menteri BUMN Nomor: Kep-103/MBU/2002, pengertian Komite Audit adalah suatu
badan yang berada dibawah Komisaris yang sekurang-kurangnya minimal satu orang
anggota Komisaris, dan dua orang ahli yang bukan merupakan pegawai BUMN yang
bersangkutan yang bersifat mandiri baik dalam pelaksanaan tugasnya maupun
pelaporannya dan bertanggungjawab langsung kepada Komisaris atau Dewan
Pengawas. Hal tersebut senada dengan Keputusan Ketua Bapepam Nomor:
Kep-41/PM/2003 yang menyatakan bahwa Komite Audit adalah komite yang dibentuk
oleh Dewan Komisaris dalam rangka membantu melaksanakan tugas dan fungsinya.
Peran komite audit
- Bertanggung jawab khusus mengenai audit.
- Terdiri atas tiga orang dan haruslah orang luar.
- Berfungsi sebagai “pemeriksa dan penyeimbang” yang
independen untuk fungsi audit internal dan perantara dengan para auditor
eksternal.
- Bertanggung jawab untuk memutuskan auditor eksternal
mana yang akan dikontrak.
- Menjadi sumber perlindungan independen aset entitas
terkait dari berbagai jenis risiko, dalam cara apapun yang tepat.
Anggota Komite Audit
Komite
Audit biasanya terdiri dari dua hingga tiga orang anggota. Dipimpin oleh
seorang Komisaris Independen. Seperti komite pada umumnya, Komite audit yang
beranggotakan sedikit cenderung dapat bertindak lebih efisien.
Keputusan
Menteri BUMN Nomor: Kep-103/MBU/2002 (Bagi BUMN) Komite Audit sedikitnya
terdiri dari tiga orang, diketuai oleh seorang Komisaris Independen perusahaan
dengan dua orang eksternal yang independen serta menguasai dan memiliki latar
belakang akuntansi dan keuangan.
— Audit Berbasis IT
most accounting
transactions to be in electronic form without any paper documentation because
electronic storage is more efficient. … These technologies greatly change the
nature of audits, which have so long relied on paper documents.
Audit TI
berfokus pada berbagai aspek berbasis komputer dalam sistem informasi
perusahaan.
Lingkungan
IT
- Selalu
ada kebutuhan akan sistem pengendalian internal yang efektif untuk melindungi
integritas proses akuntansi dan data.
- Lingkungan
TI sangat rumit dalam desain pengendalian internal jika dibandingkan dengan
sistem manual, karena :
1.
Ada konsentrasi data
dalam sistem informasi. Digabungkan dengan sejumlah koneksi akses, akses jarak
jauh, dan hubungan ke berbagai sistem atau komputer lainnya, lingkungan TI yang
modern memperumit desain pengendalian yang efektif.
2.
Ada peningkatan
aktivitas yang membahayakan atas sistem, data dan aset.
3.
Mudah bagi pihak
manajemen untuk melanggar pengendalian internal, dan hal itu dapat mengarah
pada penipuan keuangan.
Struktur Audit IT
Ø Perencanaan
Ø Pengujian pengendalian
Ø Pengujian substantif
— Pengendalian Internal
Pengendalian Internal atau internal control adalah
suatu proses yang dilaksanakan oleh dewan direksi, manajemen, dan personel
lainnya dalam suatu entitas, yang dirancang untuk menyediakan keyakinan yang
memadai berkenaan dengan pencapaian tujuan dalam kategori berikut :
- Keandalan
pelaporan keuangan
- Kepatuhan terhadap hukum dan
peraturan yang berlaku
- Efektivitas dan efisiensi operasi
Terdiri
atas kebijakan, praktik, dan prosedur yang digunakan oleh perusahaan untuk
mencapai 4 tujuan umum :
o Mengamankan aset perusahaan
o Memastikan akurasi dan keandalan berbagai catatan dan
informasi akuntansi
o Menyebarluaskan efisiensi dalam operasi perusahaan
o Mengukur ketaatan dengan berbagai kebijakan dan
prosedur yang ditetapkan oleh pihak manajemen.
Tujuan
Pengendalian Internal
1.
Mengamankan
aktiva perusahaan
2.
Memastikan
akurasi & keandalan berbagai catatan dan informasi akuntansi.
3.
Menyebarluaskan
efisiensi dalam operasi perusahaan.
4.
Mengukur
ketaatan dg berbagai kebijakan dan prosedur yg ditetapkan oleh pihak manajemen.
Eksposur dan
Resiko
•
Resiko adalah
potensi ancaman yg dpt membahayakan pengguna atau nilai berbagai aktiva
perusahaan.
•
Eksposur adalah
ketidakberesan atau kelemahan pengendalian.
•
Kelemahan
pengendalian dapat menyebabkan”
1.
Kehancuran
aktiva (aktiva fidik dan informasi)
2.
Pencurian aktiva
3.
Korupsi
informasi atau sistem informasi
4.
Ganguan sistem
informasi.
Model PDC
1.
Preventive
controls / Pengendalian prefentif
Pengendalian
Preventif, teknik pasif yg didesain utk mengurangi frekuensi terjadinya
peristiwa yg tidak diinginkan.
2.
Detective
controls / Pengendalian Detektif
Pengendalian
detektif, adalah berbagai alat, teknik, dan prosedur yg didesain utk
mengidentifikasi dan mengekspos peristiwa yg tdk diinginkan yg lolos dari
pengendalian prefentif.
3.
Corrective
controls / Pengendalian korektif
Pengendalian
Korektif, mengidentifikasi berbagai peristiwa yg tdk diinginkan dan menarik
perhatian ke masalah tsb.
Pernyatan
Standar Audit No. 78
Pengendalian
internal menurut SAS 78 ada lima:
1.
Lingkungan
Pengendalian
2.
Penilaian resiko
3.
Informasi dan
komunikasi
4.
Pengwasan
5.
Aktivitas
pengendalian
Kerangka
Kerja Untuk melihat Resiko TI
•
Berbagai area yg
memiliki potensi resiko terbesar:
1.
Operasional
2.
Sistem manajemen
data
3.
Pengembangan
sistem baru
4.
Pemeliharaan
sistem
5.
Perdagangan elektronik
(e-commerce)
6.
Aplikasi
komputer
PENGOPERASIAN KOMPUTER
— Struktur dan Fungsi IT
Pengolahan
Data
yang Tersentralisasi
Menurut model
Centralized Data Processing, semua proses data dijalankan oleh satu atau unit
komputer yang lebih besar pada sebuah central site yang akan membantu para
pemakainya dalam organisasi.
Model Pendistribusian
dan Pengendalian Lingkungan DDP
Sebuah
alternative untuk model sentralisasi data adalah distributed data
processing
(DDP).
DDP
meliputi jasa pengaturan ulang komputer ke unit IT yang lebih kecil yang
terletak pada
pengawasan di bawah user terakhir. Unit IT didistribusikan kepada fungsi
bisnis, lokasi geografi, atau kedua-duanya. Seluruh aktivitas komputer pada
figure 1.1 bisa saja didistrubusikan.
Tingkatan
IT didistrusikan tergantung pada tujuan dan filosofi dari management
perusahaan.
Figure
1.2 menunjukkan 2 alternatif EDP. Alternatif A merupakan model
sentralisasi
sedangkan alternatif B menunjukkan adanya network connection
dalam
pendistribusian data dari unit satu ke unit lainnya.
Pada
figure 1.3, menunjukkan struktur/jenjang pendsitribusian data yang
mungkin terjadi dalam
pendistribusian data dari task awal ke end user.
Resiko
DDP
- Penggunaan
sumber daya yang tidak efisien.
- Pemisahan
tugas yang tidak cukup.
- Meningkatkan
potensi error dan kegagalan program.
- Pengurangan
standar (standar sistem dokumentasi dan pengembangan, pemilihan bahasa program,
evaluasi performa, dsb).
Manfaat
DDP
- Pengurangan
biaya.
- Memperbaiki
pertanggung jawaban pusat biaya.
- Meningkatkan
kepuasan pengguna.
- Fleksibilitas
system backup.
Pengendalian
Lingkungan DDP
Perencanaan seksama dan
implementasi pengendalian dapat mengurangi resiko yang baru saja didiskusikan.
Bagian ini mereview persoalan pengendalian dan audit yang berhubungan dengan
DDP.
Need for Careful
Analysis
DDP membawa ketajaman
utama tertentu nilai prestise bahwa, selama analisis pro dan kontra nya,
mungkin (dapat) meliputi pertimbangan penting manfaat ekonomi dan kelayakan
operasional. Beberapa organisasi telah membuat tindakan (langkah) menuju DDP
tanpa pertimbangan dengan sepenuhnya apakah stuktur organisasi yang
terdistribusi akan lebih baik mencapai tujuan bisnis mereka. Banyak inisiatif
DDP telah membuktikan bahwa untuk tidak efektif, dan tetap counter productive
(tidak produktif), karena para pembuat keputusan melihat pada kebaikan sistem
ini yang lebih simbolik dan riil.
Implement a Corporate
IT Function
Model yang terpusat
dengan lemgkap dan model yang terdistribusi menyajikan kembali posisi ekstrim
pada sebuah rangkaian alternatif-alternatif struktural. Kebutuhan sebagian
besar perusahaan jatuh pada suatu tempat berkisar antara titik akhir ini. Bagi
sebagian besar perusahaan, masalah pengendalian kita telah menguraikan dapat
dinyatakan langsung (dialamatkan) dengan pengimplementasian sebuah corporate IT
function seperti yang digambarkan pada gambar 1.2
Corporate group IT
menetapkan perkembangan sistem dan manajemen database untuk kesatuan sistem
yang luas disamping nasihat bersifat teknis dan keahlian khusus untuk IT
community yang terdistribusi. Peran laporan ini disajikan kembali oleh garis
yang ditandai dalam gambar 1.2
- Central
Testing of Commercial Software and Hardwere
Corporate group IT
mampu secara lebih baik untuk mengevaluasi mutu vendor software dan hardware yang bersaing. Sebuah pusat,
secara teknis group yang pandai seperti ini dapat mengevaluasi fitur-fitur
sistem, pengendalian, dan kesesuaian dengan industri dan standar-standar
organisasi yang paling (secara) efisien. Oleh karena itu, organisasi harus
memusatkan perolehan, pengujian, dan pengimplementasian software dan hardare
pada corporate IT function.
- User
Services
Sebuah fitur yang
bernilai dari corporate group adalah fungsi jasa penggunanya. Aktivitas ini
menyediakan bantuan bersifat teknis kepada para pengguna selama instalasi
software baru dan selama pemcarian dan pemecahan masalah hardware dan software.
- Standard-Setting
Body Lingkungan pengendalian yang kurang baik secara relatif yang diberlakukan
oleh model DDP dapat dikembangkan dengan penetapan beberapa petunjuk pusat
(central). Corporate group dapat menyumbang untuk tujuan ini dengan penetapan
dan pendistribusian kepada pengguna area-area standar yang sesuai untuk
pengembangan sistem, pemrograman dan dokumentasi.
- Personnel
Review
Corporate group
kemungkinan besar lebih baik diperlengkapi daripada para pengguna sampai
mengevaluasi mandat (surat kepercayaan) secara teknis dari bakal (prospektif)
sistem profesional. Walaupun sistem profesional akan menjadi bagian yang
sebenarnya dari group pengguna, keterlibatan corporate group dalam keputusan
pekerjaan dapat memberikan sebuah jasa yang bernilai kepada organisasi.
— Pusat Komputer
- Menyajikan pengendalian pusat komputer yang dapat membantu menciptakan lingkungan yang aman.
- Berikut ini beberapa fitur pengendalian yang secara langsung dapat berkontribusi pada keamanan lingkungan pusat komputer.
1.
Lokasi fisik
2. Konstruksi
3. Akses
4.
Pengaturan suhu
udara
5.
Pemadam
kebakaran
6. Pasokan listrik
Semua pemrosesan data dilakukan oleh satu atau lebih
komputer besar yg diletakkan di sebuah lokasi terpusat yg melayani berbagai
pengguna di seluruh perusahaan.
Disaster Dari
Perencanaan Yang Diperbaharui
Disaster recovery
planning adalah suatu pernyataan yang menyeluruh mengenai tindakankonsisten
yang harus diambil sebelum, selama, dan setelah suatu peristiwa yang mengganggu
yang menyebabkan suatu kerugian penting sumber daya sistem informasi. Disaster
recovery plan adalah prosedur untuk merespons suatu keadaan darurat,
menyediakan backup operasi selama gangguan terjadi, dan mengelola pemulihan dan
menyelamatkan proses sesudahnya. Sasaran pokok disaster recover plan adalah
untuk menyediakan kemampuan dalam menerapkan proses kritis di lokasi lain dan
mengembalikannya ke lokasi dan kondisi semula dalam suatu batasan waktu yang
memperkecil kerugian kepada organisasi, dengan pelaksanaan prosedur recovery
yang cepat.
Fault
Tolerance Control
Fault tolerance adalah
kemampuan sistem untuk meneruskan (continue) operasi ketika bagian dari sistem
gagal disebabkan oleh kegagalan, aplikasi program yang eror, atau kesalahan
operator. Berbagai tingkatan toleransi kesalahan dapat dicapai dengan
mengimplementasikan komponen sistem yang berlebihan (redudant):
1. Redudant
arrays of inexpensive (or independent) disks (RAID). Ada beberapa jenis
konfigurasi RAID. Pada dasarnya, setiap metode meliputi penggunaan parallel
disks yang berisi elemen data redudant (yang berlebihan) dan aplikasi-aplikasi.
2. Uninterruptible
power supplies. Pada peristiwa kekurangan (outage) daya, jangka waktu baterai
yang pendek daya backup disediakan untuk membenarkan sistem untuk berhenti
bekerja (shut down) pada cara yang dikendalikan.
3. Multiprocessing.
Penggunaan yang simultan (bersamaan) dari dari dua atau lebih prossecors
meningkatkan throughput dibawah operasi normal.
Sistem Operasi dan
System-Wide Controls
Sistem operasi adalah program yang bertindak
sebagai perantara antara user
dengan perangkat keras komputer.
— Keamanan Sistem Operasi
Keamanan sistem komputer adalah untuk menjamin sumber daya tidak
digunakan atau dimodifikasi orang tak terotorisasi. Pengamanan termasuk masalah
teknis, manajerial, legalitas dan politis.
Keamanan sistem komputer adalah untuk menjamin sumber daya tidak
digunakan atau dimodifikasi orang tak terotorisasi. Pengamanan termasuk masalah
teknis, manajerial, legalitas dan politis.
Sebuah sistem operasi memiliki beberapa aspek tentang
keamanan.
Terdapat dua masalah penting, yaitu :
a.
Kehilangan data (data loss)
Dapat disebabkan karena :
1)
Bencana (Kebakaran, Banjir, Gempa bumi, Perang,
Kerusuhan, Binatang)
2)
Kesalahan perangkat keras dan perangkat lunak (Ketidak
berfungsian pemroses, Disk atau tape yang tidak terbaca, Kesalahan
telekomunikasi, Kesalahan program (bugs)
3)
Kesalahan/kelalaian manusia (Kesalahan pemasukan data,
Memasang tape atau disk yang salah, Eksekusi program yang salah, Kehilangan
disk atau tape)
Kehilangan data dapat diatasi dengan mengelola
beberapa backup dan backup ditempatkan jauh dari data yang online
b.
Penyusup (hacker)
Terdiri dari :
1)
Penyusup pasif, yaitu yang membaca data yang tak
diotorisasi.
2)
Penyusup aktif, yaitu yang mengubah data yang tak
diotorisasi.
Kategori penyusupan :
-
Penyadapan oleh orang dalam.
-
Usaha hacker dalam mencari uang.
-
Spionase militer atau bisnis.
Perkembangan dunia internet saat ini membawa
konsekuensi meningkatnya resiko keamanan terhadap sistem operasi. Oleh karena
itu, sistem operasi harus memiliki ketahanan keamanan. Bagi kebanyakan
pengembang sistem operasi saat ini, keamanan adalah salah satu permasalahan
utama.
Sasaran pengamanan adalah menghindari, mencegah dan
mengatasi ancaman
terhadap sistem. Kebutuhan keamanan sistem komputer
dikategorikan tiga
aspek, yaitu :
1.
Kerahasiaan (secrecy).
Adalah keterjaminan bahwa
informasi disistem komputer hanya dapat
diakses oleh pihak-pihak yang
diotorisasi dan modifikasi tetap menjaga
konsistensi dan keutuhan data
di sistem.
2.
Integritas (integrity).
Adalah keterjaminan bahwa
sumber daya sistem komputer hanya dapat
dimodifikasi oleh pihak-pihak
yang diotorisasi.
3.
Ketersediaan (availability).
Adalah keterjaminan bahwa
susmber daya sistem komputer tersedia bagi pihak-pihak yang diotorisasi saat diperlukan.
Tipe-tipe ancaman terhadap keamanan sistem dapat
dimodelkan dengan memandang
fungsi sistem komputer sebagai penyedia informasi.
Berdasarkan fungsi ini,
ancaman terhadap sistem komputer dapat dikategorikan
menjadi empat ancaman,
yaitu :
1.
Interupsi (interuption).
Sumber daya sistem komputer
dihancurkan atau menjadi tak tersedia atau
tak berguna. Interupsi
merupakan ancaman terhadap ketersediaan.
Contoh : penghancuran bagian
perangkat keras, seperti harddisk, pemotongan kabel komunikasi.
2.
Intersepsi (interception).
Pihak tak diotorisasi dapat
mengakses sumber daya. Interupsi merupakan
ancaman terhadap kerahasiaan.
Pihak tak diotorisasi dapat berupa orang atau program komputer. Contoh : penyadapan untuk
mengambil data rahasia, mengetahui file tanpa
diotorisasi.
3.
Modifikasi (modification).
Pihak tak diotorisasi tidak
hanya mengakses tapi juga merusak sumber
daya. Modifikasi merupakan
ancaman terhadap integritas.
Contoh : mengubah nilai-nilai
file data, mengubah program sehingga bertindak secara berbeda,
memodifikasi pesan-pesan yang ditransmisikan pada jaringan.
4.
Fabrikasi (fabrication).
Pihak tak diotorisasi
menyisipkan/memasukkan objek-objek palsu ke sistem. Fabrikasi merupakan ancaman terhadap integritas.
Contoh : memasukkan
pesan-pesan palsu ke jaringan, penambahan record ke file.
Threat
Untuk Sistem Operasi Yang Terintegrasi
Thread, atau kadang-kadang
disebut proses ringan (lightweight), adalah unit dasar dari utilisasi CPU. Di
dalamnya terdapat ID thread, program counter, register, dan stack. Dan saling
berbagi dengan thread lain dalam proses yang sama.
Dengan adanya thread,
maka komputer dapat melakukan multitasking.
Contohnya: web server
dapat menghandle banyak koneksi dalam waktu bersamaan.
Pengendalian
Access Previlage
Dalam menyusun dan
membuat perencanaan Access Control, salah satu prinsip yang harus dipegang
adalah Least Privilege. Yang dimaksud dengan Least Privilege di sini adalah
hanya memberikan hak akses yang memang dibutuhkan oleh subject yang
bersangkutan untuk melakukan tugas-tugas yang memang menjadi bagian dari
tanggung jawabnya.
Pengendalian
Password
Password adalah kode rahasia
yang dimasukkan oleh pemakai untuk dapat mengakses sistem, aplikasi, file data,
atau sebuah jaringan server. Apabila pemakai tidak dapat memberikan password
yang benar, sistem operasi akan menunda akses. Walaupun password dapat
memberikan keamanan, bila membebankan pada nonsecurityminded pemakai, prosedur
password dapat mengakibatkan kesulitan dalam akses sistem operasi itu sendiri.
Keadaan yang
sering terjadi
berkaitan dengan penggunaan password:
1. Password
lupa dan sistem menjadi terkunci
2. Terlalu
sering mengganti password dapat menjadi kelemahan
3. Setelah
syndrome, dengan bantuan password sama dengan menulis dan menunjukkan untuk
dilihat
4. Password
dapat dengan mudah mengantisipasi kejahatan dengan menggunakan komputer
Pengendalian
Againts
Malicious
Object
dan Risiko
Email
Surat elektronik
(e-mail) merupakan fungsi internet yang paling popular, dan jutaan surat
berputar ke seluruh dunia tiap hari.Kebanyakan organisasi menerima e-mail,
walaupun mereka tidak memiliki servers e-mail sendiri. Tetapi e-mail memberikan
resiko yang melekat hal itulah yang harus dipertimbangkan oleh auditor. Resiko
yang paling rentan menyerang perusahaan adalah munculnya virus atau worm.
Penyebaran virus biasa melalui attachments ke e-mail. Virus
bertanggungjawab atas
kerugian perusahaan yang mencapai jutaan dollar tiap tahunnya. Kerugian terjadi
karena virus merubahan dan menghancurkan data, menurunkan performa komputer,
rusaknya hardware, pelanggaran rahasia, dan menyediakan waktu untuk memperbaiki
kerusakan
Pengendalian
Elektronik
Audit
Trail
Audit trails adalah logs yang dapat
dirancang untuk catatan aktivitas pada sistem,
aplikasi dan tingkat pengguna.
Ketika diimplementasikan dengan tepat, audit trail menyediakan pengendalian
detektif untuk membentu mencapai tujuan kebijakan keamanan. Audit trail terdiri
dari dua jenis audit logs, yaitu: (1) detailed logs of individual keystrokes,
dan (2) event-orientd logs.
Keystroke Monitoring
Keystroke monitoring meliputi
pencatatan keystrokes pengguna dan respon system. Bentuk log ini dapat
digunakan setelah bukti (fact) untuk merekonstruksi rincian kejadian atau
sebagai pengendalian real-time untuk memonitor atau mencegah instruksi yang
tidak diotorisasi.
Event Monitoring
Event Monitoring meringkaskan
aktivitas kunci berkaitan dengan pengguna, aplikasi dan sumberdaya sistem.
Event logs khususnya mencatat ID semua pengguna yang mengakses sistem; wakti
dan durasi session pengguna; program yang dijalankan selama session; dan
file-file, database, printer dan sumberdaya yang diakses lainnya.
— Sistem
Personal Computer (PC)
Sistem
Operasi PC
Operating
system di boot dan berada pada memory utama komputer selama OS dinyalakan. Operating
system memiliki beberapa fungsi. OS mengendalikan CPU, accesses, RAM, menjalankan
program, menerima input dari keyboard atau alat input lainnya, mendapatkan kembali
dan meyimpan data ke dan dari secondary storage devices, menampilkan data pada monitor,
mengendalikan printer, dan melaksanakan fungsi-fungsi lainnya yang
mengendalikan sistem hardware.
Operating
system terdiri dari dua jenis instruksi. System-resident commands aktif pada
memory utama pada seluruh waktu untuk mengkoordinasikan permintaan input/output
dan melaksanakan program. Disk resident commands berada pada sebuah secondary
storage device sampai permintaan dibuat untuk melaksanakan special purpose
utility programs ini.
Pengendalian dan Resiko
Pada Sistem PC
Ada
banyak resiko yang baru dan berbeda yang berhubungan dengan PC:
Risk
Assessment
PC
memperkenalkan banyak tambahan resiko atau resiko yang berbeda. Oleh karena
itu, auditor harus menganalisis semua aspek- aspek
PC untuk memastikan resiko spesifik untuk organisasi sebagai subyek,
berhubungan dengan PC. Pada beberapa hal, resiko berhubungan dengan lingkungan
PC akan tersisa suatu pembukaan (exposure), karena tak satu pun cost effective
dapat dibuat mengenai resiko.
Inherent
Weaknesses
PC hanya menyediakan
keamanan minimal lebih dari (pada) file-file data dan program. Kelemahan
pengendalian ini merupakan bawaan dibalik filosofi rancangan sistem operasi PC.
Pada mulanya diperuntukkan sebagai sistem pengguna tunggal, mereka dirancang
untuk membuat penggunaan komputer mudah dan untuk memudahkan akses, tidak
membatasinya.
Weak
Access Control
Keamanan
software yang menyediakan prosedur logon tersedia untuk PC. Sebagian besar program,
bagaimanapun, menjadi aktif hanya ketika komputer di boot dari hard drive. Kejahatan
komputer berusaha untuk menghindari (mengakali) prosedur logon yang dapat dilakukan
dengan memaksa komputer untuk boot dari A: drive, atai CD-ROM drive, dengan jalan
sebuah sistem operasi yang tidak dikendalikan dapat di load kedalam memory
komputer. Pemilikan jalan pintas sistem operasi komputer yang tersimpan dan
paket keamanan, kejahatan
memiliki
akses yang tidak terbatas ke data dan program pada hard disk drive.
Inadequate
Segregation of Duties (Ketidaksesuaian pemisahan tugas)
Dalam
lingkunga PC, terutama perusahaan-perusahaan kecil, seorang karyawan dapat
memilikiakses ke banyak aplikasi yang memproses transaksi yang tidak sesuai.
Sebagai contoh, satu orang individu dapat dipercaya untuk mencatat semua data
transaksi, termasuk order penjualan, penerimaan kas, faktur-faktur, dan
disbursements. Khususnya, buku besar dan rekening pembantu diperbaharui secara
otomatis dari sumber-sumber input ini. Pembukaan (exposure) bertambah ketika
ketika operator juga dipercaya untuk pengembangan (programming) aplikasi yang
dia jalankan. Pada operasi perusahaan kecil, mungkin ada sdikit yang bisa
dilakukan untuk mengeliminasi konflik bawaan dari tugas-tugas ini.
Multilevel
Password Control
Pengendalian
multilevel password digunakan untuk membatasi karyawan-karyawan yang berbagi
komputer yang sama untuk direktori khusus, program-program dan file data.
Karyawan diharuskan untuk menggunakan password yang lainnya pada tingkat sistem
berbeda yang sesuai untuk memperoleh akses. Teknik ini menggunakan tabel-tabel otorisasi
yang tersimpan untuk batasan lebih lanjut sebuah akses individu untuk hanya
membaca, data input, modifikasi data, kemampuan pencoretan (deletion) data.
Daftar Pustaka
Messier, William, etc
yang diterjemahkan oleh Nuri Hinduan. 2008. Jasa
Audit & Assurance: Pendekatan Sistematis. Salemba Empat: Jakarta.
Sanyoto, Gondodiyoto.
2009. Pengelolaan Fungsi Audit Sistem
Informasi. Mitra Wacana Media: Jakarta.
Sukrisno, Agoes. 2004. Auditing (Pemeriksaan Akuntan) Oleh Kantor
Akuntan Publik Jilid 1. Fakultas Ekonomi Universitas Indonesia: Jakarta.
Tidak ada komentar:
Posting Komentar