a. IT Audit Trail, Real Time Audit, dan IT Forensik!
Audit Trail
Audit Trail
Audit Trail
Audit trail sebagai “yang menunjukkan catatan yang telah
mengakses sistem operasi komputer dan apa yang dia telah dilakukan selama
periode waktu tertentu”. Dalam telekomunikasi, istilah ini berarti catatan baik
akses selesai dan berusaha dan jasa, atau data membentuk suatu alur yang logis
menghubungkan urutan peristiwa, yang digunakan untuk melacak transaksi
yang telah mempengaruhi isi record. Dalam
informasi atau keamanan komunikasi, audit informasi
berarti catatan kronologis kegiatan sistem untuk memungkinkan rekonstruksi dan
pemeriksaan dari urutan peristiwa dan / atau perubahan dalam suatu acara.
Dalam penelitian keperawatan, itu mengacu pada tindakan
mempertahankan log berjalan atau jurnal dari keputusan yang berkaitan dengan
sebuah proyek penelitian, sehingga membuat jelas langkah-langkah yang diambil
dan perubahan yang dibuat pada protokol asli. Dalam
akuntansi, mengacu pada dokumentasi
transaksi rinci mendukung entri ringkasan
buku. Dokumentasi ini mungkin pada catatan kertas atau elektronik. Proses yang
menciptakan jejak audit harus selalu berjalan dalam mode istimewa, sehingga
dapat mengakses dan mengawasi semua tindakan dari semua pengguna, dan user
normal tidak bisa berhenti / mengubahnya. Selanjutnya, untuk alasan
yang sama, berkas jejak atau tabel database dengan jejak tidak boleh diakses
oleh pengguna normal. Dalam apa yang berhubungan dengan audit trail, itu juga
sangat penting untuk mempertimbangkan isu- isu tanggung jawab dari jejak audit
Anda, sebanyak dalam kasus sengketa, jejak audit ini dapat dijadikan sebagai
bukti atas kejadian beberapa.
Perangkat lunak ini dapat beroperasi dengan kontrol tertutup
dilingkarkan, atau sebagai sebuah ‘sistem tertutup, ”seperti
yang disyaratkan oleh banyak perusahaan ketika
menggunakan sistem Audit Trail.
Real Time Audit
Real Time Audit atau RTA adalah suatu sistem
untuk mengawasi kegiatan teknis dan keuangan sehingga dapat memberikan
penilaian yang transparan status saat ini dari semua kegiatan, dimana pun
mereka berada. Ini mengkombinasikan prosedur sederhana dan logis untuk
merencanakan dan melakukan dana untuk kegiatan dan “Siklus Proyek” pendekatan
untuk memantau kegiatan yang sedang berlangsung dan penilaian termasuk cara
mencegah pengeluaran yang tidak sesuai.
IT Forensics
IT Forensics merupakan Ilmu yang berhubungan dengan
pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta
validasinya menurut metode yang digunakan (Misalnya Metode sebab akibat).
Tujuan IT Forensics adalah untuk mendapatkan fakta – fakta
objektif dari sistem informasi, karena semakin berkembangnya teknologi komputer
dapat digunakan sebagai alat bagi para pelaku kejahatan komputer.
B. Perbedaan Audit "Around the Computer" dan
"Through the Computer"
Pengertian Audit Around the Computer
Pengertian Audit Around the Computer
Audit around the computer masuk ke dalam kategori audit
sistem informasi dan lebih tepatnya masuk ke dalam metode audit. Audit
around the computer dapat dikatakan hanya memeriksa dari sisi user saja
dan pada masukan dan keluaranya tanpa memeriksa lebih terhadap program atau
sistemnya, bisa juga dikatakan bahwa audit around the computer adalah
audit yang dipandang dari sudut pandangblack box.
Dalam pengauditannya yaitu auditor menguji keandalan sebuah
informasi yang dihasilkan oleh komputer dengan terlebih dahulu mengkalkulasikan
hasil dari sebuah transaksi yang dimasukkan dalam sistem. Kemudian, kalkulasi
tersebut dibandingkan dengan output yang dihasilkan oleh sistem. Apabila
ternyata valid dan akurat, diasumsikan bahwa pengendalian sistem telah efektif
dan sistem telah beroperasi dengan baik.
Audit around the computer dilakukan pada saat:
1. Dokumen sumber tersedia dalam bentuk kertas (bahasa
non-mesin), artinya masih kasat mata dan dilihat secara visual.
2. Dokumen-dokumen disimpan dalam file dengan cara
yang mudah ditemukan.
3. Keluaran dapat diperoleh dari daftar yang terinci
dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada
keluaran dan
sebaliknya.
Kelebihan dan Kelemahan dari metode Audit Around The
Computer adalah sebagai berikut:
Kelebihan:
1. Proses audit tidak memakan waktu lama karena
hanya melakukan audit tidak secara mendalam.
2. Tidak harus mengetahui seluruh proses penanganan
sistem.
Kelemahan:
1. Umumnya database mencakup jumlah data yang banyak dan
sulit untuk ditelusuri secara manual.
2. Tidak membuat auditor memahami sistem komputer
lebih baik.
3. Mengabaikan pengendalian sistem, sehingga
rawan terhadap kesalahan dan kelemahan potensial dalam sistem.
4. Lebih berkenaan dengan hal yang lalu daripada audit
yang preventif.
5. Kemampuan komputer sebagai fasilitas penunjang
audit mubadzir.
6. Tidak
mencakup keseluruhan maksud dan tujuan audit.
Pengertian Audit Through the Computer
Audit
through the computer adalah dimana auditor selain memeriksa data masukan
dan keluaran, juga melakukan uji coba proses program dan sistemnya atau yang
disebut dengan white box, sehinga auditor merasakan sendiri langkah demi
langkah pelaksanaan sistem serta mengetahui sistem bagaimana sistem dijalankan
pada proses tertentu.
Audit around the computer dilakukan pada saat:
1. Sistem aplikasi komputer memproses input yang
cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperluas
audit untuk meneliti keabsahannya.
2. Bagian penting dari struktur pengendalian
intern perusahaan terdapat di dalam komputerisasi yang digunakan.
Kelebihan dan Kelemahan dari metode Audit Through The
Computer adalah sebagai berikut:
Kelebihan:
1. Dapat meningkatkan kekuatan pengujian system
aplikasi secara efektif.
2. Dapat memeriksa secara langsung logika
pemprosesan dan system aplikasi.
3. Kemampuan system dapat menangani perubahan dan
kemungkinan kehilangan yang terjadi pada masa yang akan dating.
4. Auditor memperoleh kemampuan yang besar dan
efektif dalam melakukan pengujian terhadap system computer.
5. Auditor merasa lebih yakin terhadap kebenaran hasil
kerjanya.
Kelemahan:
1. Biaya yang dibutuhkan relative tinggi karena
jumlaj jam kerja yang banyak untuk dapat lenih memahami struktur pengendalian intern
dari pelaksanaan system aplikasi.
2. Butuh keahlian teknis yang mendalam untuk
memahami cara kerja sistem.
PERBEDAAN ANTARA AUDIT AROUND THE COMPUTER DENGAN AUDIT
THROUGH THE COMPUTER
Perbedaan antara audit around the
computer dengan audit through the computer dilihat dari prosedur
lembar kerja IT audit.
C. Berikan Contoh Prosedur dan Lembar Kerja IT Audit (Studi
Kasus)
PROSEDUR
IT AUDIT :
Kontrol lingkungan :
1. Apakah
kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika
data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg
terikini dari external auditor
3. Jika
sistem dibeli dari vendor, periksa kestabilan financial
4.
Memeriksa persetujuan lisen (license agreement)
Kontrol
keamanan fisik :
1. Periksa
apakah keamanan fisik perangkat keras dan penyimpanan data memadai
2. Periksa
apakah backup administrator keamanan sudah memadai (trained,tested)
3. Periksa
apakah rencana kelanjutan bisnis memadai dan efektif
4. Periksa
apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
Kontrol
keamanan logical :
1. Periksa
apakah password memadai dan perubahannya dilakukan regular
2. Apakah
administrator keamanan memprint akses kontrol setiap user
CONTOH
– CONTOH
- Internal
IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam
dan Fokus kepada global, menuju ke standard2 yang diakui.
- External
IT Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya
Outsourcing yang tepat dan Benchmark / Best-Practices
Contoh
lembar kerja IT Audit
Gambar
berikut ini merupakan contoh lembar kerja pemeriksaan IT Audit. Gambar A untuk
contoh yang masih ‘arround the compter‘, sedangkan B contoh ‘through the
computer‘.
Studi Kasus :
KASUS
AUDIT UMUM PT KAI
Menerapkan proses GCG (Good Corporate
Governance) dalam suatu perusahaan Pembedahan kasus-kasus yang telah
terjadi di perusahaan atas proses pengawasan yang efektif akan menjadi
pembelajaran yang menarik dan kiranya dapat kita hindari apabila kita
dihadapkan pada situasi yang sama.
bukan suatu proses yang mudah. Diperlukan konsistensi,
komitmen, dan pemahaman yang jelas dari seluruh stakeholders perusahaan
mengenai bagaimana seharusnya proses tersebut dijalankan. Namun, dari
kasus-kasus yang terjadi di BUMN ataupun Perusahaan Publik dapat ditarik
kesimpulan sementara bahwa penerapan proses GCG belum dipahami dan diterapkan
sepenuhnya.
Salah satu contohnya adalah kasus audit umum yang dialami
oleh PT. Kereta Api Indonesia (PT. KAI). Kasus ini menunjukkan bagaimana proses
tata kelola yang dijalankan dalam suatu perusahaan dan bagaimana peran dari
tiap-tiap organ pengawas dalam memastikan penyajian laporan keuangan tidak
salah saji dan mampu menggambarkan keadaan keuangan perusahaan yang sebenarnya.
Kasus PT. KAI berawal dari perbedaan pandangan antara
Manajemen dan Komisaris, khususnya Ketua Komite Audit dimana Komisaris menolak
menyetujui dan menandatangani laporan keuangan yang telah diaudit oleh Auditor
Eksternal. Komisaris meminta untuk dilakukan audit ulang agar laporan keuangan
dapat disajikan secara transparan dan sesuai dengan fakta yang ada. Salah satu
faktor yang menyebabkan terjadinya kasus PT. KAI adalah rumitnya laporan
keuangan PT. KAI. Perbedaan pandangan antara manajemen dan komisaris tersebut
bersumber pada perbedaan mengenai:
1. Masalah piutang PPN.
Piutang PPN per 31 Desember 2005 senilai Rp. 95,2 milyar,
menurut Komite Audit harus dicadangkan penghapusannya pada tahun 2005 karena
diragukan kolektibilitasnya, tetapi tidak dilakukan oleh manajemen dan tidak
dikoreksi oleh auditor.
2. Masalah
Beban Ditangguhkan yang berasal dari penurunan nilai persediaan.
Saldo beban yang ditangguhkan per 31 Desember 2005 sebesar Rp. 6 milyar yang merupakan penurunan nilai persediaan tahun 2002 yang belum diamortisasi, menurut Komite Audit harus dibebankan sekaligus pada tahun 2005 sebagai beban usaha.
3. Masalah persediaan dalam perjalanan.
Berkaitan dengan pengalihan persediaan suku cadang Rp. 1,4
milyar yang dialihkan dari satu unit kerja ke unit kerja lainnya di lingkungan
PT. KAI yang belum selesai proses akuntansinya per 31 Desember 2005, menurut
Komite Audit seharusnya telah menjadi beban tahun 2005.
4. Masalah uang muka gaji.
Biaya dibayar dimuka sebesar Rp. 28 milyar yang merupakan
gaji Januari 2006 dan seharusnya dibayar tanggal 1 Januari 2006 tetapi telah
dibayar per 31 Desember 2005 diperlakukan sebagai uang muka biaya gaji, yang
menurut Komite Audit harus dibebankan pada tahun 2005.
5. Masalah Bantuan Pemerintah Yang Belum Ditentukan
Statusnya (BPYDBS) dan Penyertaan Modal Negara (PMN).
BPYDBS sebesar Rp. 674,5 milyar dan PMN sebesar Rp. 70
milyar yang dalam laporan audit digolongkan sebagai pos tersendiri di bawah
hutang jangka panjang, menurut Komite Audit harus direklasifikasi menjadi
kelompok ekuitas dalam neraca tahun buku 2005.
Beberapa hal yang direfentifikasi turut berperan dalam
masalah pada laporan keuangan PT. KAI Indonesia:
1. Auditor internal tidak berperan aktif dalam proses audit,
yang berperan hanya auditor Eksternal.
2. Komite audit tidak ikut serta dalam proses penunjukkan
auditor sehingga tidak terlibat proses audit.
3. Manajemen (tidak termasuk auditor eksternal) tidak
melaporkan kepada komite audit dan komite audit tidak menanyakannya.
4. Adanya ketidakyakinan manajemen akan laporan keuangan
yang telah disusun, sehingga ketika komite audit mempertanyakan manajemen
merasa tidak yakin.
Terlepas
dari pihak mana yang benar, permasalahan ini tentunya didasari oleh tidak
berjalannya fungsi check and balances yang merupakan fungsi substantif dalam
perusahaan. Yang terpenting adalah mengidentifikasi kelemahan yang ada sehingga
dapat dilakukan penyempurnaan untuk menghindari munculnya permasalahan yang
sama di masa yang akan datang.
Berikut ini beberapa solusi dan rekomendasi yang disarankan kepada PT KAI untuk memperbaiki kondisi yang telah terjadi:
1. Apabila Dewan Komisaris ini merasa direksi tidak capable
(mampu) memimpin perusahaan, Dewan Komisaris dapat mengusulkan kepada pemegang
saham untuk mengganti direksi.
2. Diperlukannya kebijaksanaan (wisdom) dari Anggota Dewan
Komisaris untuk memilah-milah informasi apa saja yang merupakan private domain.
3. Komunikasi yang intens sangat diperlukan antara Auditor
Eksternal dengan Komite Audit.
4. Komite Audit sangat mengandalkan Internal Auditor dalam
menjalankan tugasnya untuk mengetahui berbagai hal yang terjadi dalam
operasional perusahaan.
5. Komite Audit tidak memberikan second judge atas opini
Auditor Eksternal, karena opini sepenuhnya merupakan tanggung jawab Auditor
Eksternal.
6. Harus ada upaya untuk membenarkan kesalahan tahun-tahun
lalu, karena konsistensi yang salah tidak boleh dipertahankan.
7. Komite Audit tidak berbicara kepada publik karena
esensinya Komite Audit adalah organ Dewan Komisaris sehingga pendapat dan
masukan Komite Audit harus disampaikan kepada Dewan Komisaris. Apabila Dewan
Komisaris tidak setuju dengan Komite Audit, tetapi Komite Audit tetap pada
pendiriannya, Komite Audit dapat mencantumkan pendapatnya pada Laporan Komite
Audit yang terdapat dalam laporan tahunan perusahaan.
8. Manajemen menyusun laporan keuangan secara tepat waktu,
akurat dan full disclosure.
9. Komite
Audit dan Dewan Komisaris sebaiknya melakukan inisiatif untuk membangun budaya
pengawasan dalam perusahaan melalui proses internalisasi, sehingga pengawasan
merupakan bagian tidak terpisahkan dari setiap organ dan individu dalam
organisasi.
D. Jelaskan berbagai tools yang digunakan IT Audit dan
forensik + gambar satuannya!
Tools
yang Digunakan Untuk IT Audit
A. ACL (Audit Command Language):
software CAAT (Computer Assisted Audit Techniques) yang
sudah sangat populer untuk melakukan analisa terhadap data dari berbagai macam
sumber.
B. Powertech Compliance Assessment Powertech:
automated audit tool yang dapat dipergunakan untuk
mengaudit dan mem-benchmark user access to data, public authority to libraries,
user security, system security, system auditing dan administrator rights
(special authority) sebuah serverAS/400.
C. Nipper :
audit automation software yang dapat dipergunakan untuk
mengaudit dan mem-benchmark konfigurasi sebuah router.
Tools yang digunakan untuk IT forensic :
A. Antiword
Antiword merupakan sebuah aplikasi yang digunakan untuk
menampilkan teks dan gambar dokumen Microsoft Word. Antiword hanya mendukung
dokumen yang dibuat oleh MS Word versi 2 dan versi 6 atau yang lebih baru.
B. Binhash
Binhash merupakan sebuah program sederhana untuk melakukan
hashing terhadap berbagai bagian file ELF dan PE untuk perbandingan. Saat ini
ia melakukan hash terhadap segmen header dari bagian header segmen obyek ELF
dan bagian segmen header obyekPE.
C. Autopsy
The Autopsy Forensic Browser merupakan antarmuka grafis
untuk tool analisis investigasi diginal perintah baris The Sleuth Kit. Bersama,
mereka dapat menganalisis disk dan filesistem Windows dan UNIX (NTFS, FAT,
UFS1/2, Ext2/3).
D. Sigtool
Sigtcol merupakan tool untuk manajemen signature dan
database ClamAV. sigtool dapat digunakan untuk rnenghasilkan checksum MD5,
konversi data ke dalam format heksadesimal, menampilkan daftar signature virus
dan build/unpack/test/verify database CVD dan skrip update.