Materi Akuntansi Perusahaan

EXAMPLE	EXPLANATION
Log Analysis	Analisis log yaitu proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan adanya serangan. Log perlu dianalisis secara teratur untuk mendeteksi problem pada waktu yang tepat. Analisis log kesannya membutuhkan penilaian insan untuk menafsirkan laporan dan mengidentifikasi situasi yang tidak "normal".
Intrusion detection systems	IDS yaitu sistem yang menciptakan log dari semua lalu lintas jaringan yang diizinkan untuk lulus firewall dan kemudian menganalisa log mereka untuk tanda-tanda berusaha atau intrusi sukses. IDS dapat diinstal pada perangkat tertentu untuk memantau upaya tidak sah untuk mengubah konfigurasi perangkat ini.
Penetration testing	Sebuah uji penetrasi merupakan upaya yang berwenang baik oleh tim audit internal atau sebuah perusahaan konsultan keamanan eksternal untuk masuk ke sistem info organisasi.
Continuous monitoring	COBIT 5 praktik administrasi APO01.08 menekankan pentingnya terus memantau kedua kepatuhan karyawan dengan kebijakan keamanan info organisasi dan kinerja keseluruhan proses bisnis.

EXAMPLE	EXPLANATION
Computer incident response teams (CIRT)	CIRT ialah tim yang bertanggung jawab untuk menangani insiden keamanan. KOTA harus memimpin proses respon insiden organisasi melalui empat langkah berikut: (1) Pengakuan bahwa ada masalah, (2) penahanan dari masalah, (3) pemulihan, (4) tindak lanjut.
Chief information security officer (CISO)	CIO harus memahami lingkungan teknologi perusahaan dan bekerja dengan kepala petugas isu (CIO) untuk merancang, melaksanakan, dan mempromosikan kebijakan keamanan bunyi dan prosedur. CIO juga harus menjadi penilai memihak dan evaluator dari lingkungan TI. The CIO juga perlu bekerja sama dengan orang yang bertanggung jawab atas keamanan fisik, alasannya kanal fisik tidak sah dapat memungkinkan penyusup untuk memotong kontrol kanal logis yang paling rumit.
Patch management	Manajemen patch ialah proses untuk secara teratur menerapkan patch dan update untuk semua perangkat lunak yang digunakan oleh organisasi.

PENGENDALIAN UMUM
Romney and Steinbart (2015) mendefinisikan pengendalian umum (General controls) sebagai :
“Controls designed to make sure an organization’s information system and evenronment is stable and well managed, such as security, IT infrastructure, and software acquisition, development, and maintenance controls.”

Pengendalian umum bertujuan untuk memastikan pengendalian lingkungan dalam keadaan stabil dan di kelola dengan baik. Contohnya mencakup keamanan, Infrastruktur TI, dan akuisisi perangkat lunak, pengembangan, dan pemeliharaan.

PENGENDALIAN APLIKASI
Romney and Steinbart (2015) mendefinisikan pengendalian aplikasi (Application Controls) sebagai :
“Controls that prevent, detect, and correct transaction errors and fraud in application programs. They are concerned with the accuracy, completeness, validity, and authorization of the data captured, entered into the system, processes, stored, transmitted to other systems, and reported.”

Pengendalian aplikasi bertujuan untuk mencegah, mendeteksi, dan memperbaiki kesalahan transaksi dan fraud dalam kegiatan aplikasi. Pengendalian aplikasi berkaitan dengan akurasi, kelengkapan, keabsahan, dan otorisasi dari data yang diambil, dimasukkan, diproses, disimpan, dikirimkan ke sistem lain, dan dilaporkan.

Organisasi memiliki segudang isu sensitif, termasuk rencana strategis, belakang layar dagang, isu biaya, dokumen hukum, dan perbaikan proses. Kekayaan intelektual ini sering sangat penting untuk organisasi jangka panjang - menjalankan keunggulan kompetitif dan kesuksesan. Akibatnya, menjaga kerahasiaan kekayaan intelektual organisasi, dan isu yang sama bersama dengan dengan mitra bisnisnya, telah lama dikenal sebagai tujuan dasar keamanan informasi.

Identify and Classify Information To Be Protected
Langkah pertama untuk melindungi kerahasiaan kekayaan intelektual dan isu bisnis sensitif lainnya yaitu untuk mengidentifikasi di mana isu tersebut berada dan siapa yang memiliki saluran ke sana. Langkah berikutnya yaitu untuk mengklasifikasikan isu dalam hal nilai bagi organisasi.

Encrypt The Information
Enkripsi merupakan alat yang sangat penting dan efektif untuk melindungi kerahasiaan. Ini yaitu satu-satunya cara untuk melindungi isu dalam transit melalui Internet. Ini juga merupakan bab penting dari pertahanan - di - mendalam untuk melindungi isu yang disimpan di website atau di awan publik. Mengenkripsi data klien yang disimpan di portal menyediakan lapisan aksesori santunan dalam hal saluran tidak sah ke portal.

Control Access To The Information
Manajemen isu yang sempurna yaitu perangkat lunak menyampaikan lapisan aksesori santunan terhadap isu sensitif yang disimpan dalam format digital, menyampaikan kemampuan tidak hanya untuk membatasi saluran ke file atau dokumen tertentu, tetapi juga untuk menentukan tindakan (baca, copy, print, Unduh ke perangkat USB, dll) individu yang diberikan saluran ke sumber daya yang dapat melakukannya.
Kehilangan data pencegahan (DLP) yaitu perangkat lunak, yang bekerja menyerupai aktivitas antivirus secara terbalik, memblokir pesan keluar (apakah e - mail, IM, atau cara lain) yang berisi kata-kata kunci atau frase yang bekerjasama dengan kekayaan intelektual atau data sensitif lainnya organisasi ingin untuk melindungi.

Train Employees To Properly Handle The Information.
Pelatihan ini bisa dibilang kontrol yang paling penting untuk melindungi kerahasiaan. Dengan pelatihan yang tepat, karyawan dapat memainkan tugas penting dalam melindungi kerahasiaan isu organisasi dan meningkatkan efektivitas pengendalian terkait.

Prinsip privasi kerangka layanan iktikad berkaitan bersahabat dengan prinsip kerahasiaan, berbeda terutama dalam hal berfokus dalam melindungi informasi langsung wacana pelanggan, karyawan, pemasok atau mitra bisnis daripada data yang organisasi.

Privacy Controls
Seperti halnya untuk informasi rahasia, langkah pertama untuk melindungi privasi informasi langsung yang dikumpulkan dari pelanggan, karyawan, pemasok dan mitra bisnis ialah untuk mengidentifikasi informasi apa yang dimiliki organisasi, di mana disimpan, dan yang memiliki kanal ke sana.
Enkripsi ialah kontrol utama untuk melindungi privasi informasi langsung yang organisasi kumpulkan. Informasi yang perlu dienkripsi baik dikala sedang dalam perjalanan melalui Internet dan sementara itu dalam penyimpanan. Akibatnya, menyerupai kerahasiaan, melindungi privasi membutuhkan enkripsi suplementasi dengan kontrol kanal dan pelatihan. Untuk melindungi privasi, organisasi harus menjalankan Data masking kegiatan yang mengganti informasi langsung tersebut dengan nilai-nilai palsu sebelum mengirim data ke kegiatan pengembangan dan pengujian sistem.


Privacy Concerns
• Spam, ialah email yang tidak diinginkan yang mengandung baik iklan atau konten yang menyinggung. Ini juga merupakan privasi - persoalan yang berafiliasi alasannya peserta sering ditargetkan sebagai akhir dari kanal tidak sah ke daftar alamat e - email dan database yang berisi informasi pribadi. Spam tidak hanya mengurangi manfaat efisiensi e - mail, tetapi juga merupakan sumber dari banyak virus, worm, kegiatan spyware, dan jenis-jenis malware.
• Pencurian identitas, ialah penggunaan yang tidak sah dari informasi langsung seseorang untuk pelaku menerima keuntungan.

Privacy Regulatros and Generally Accepted Privacy Principles
Prinsip Privasi umumnya diterima (GAAP) mengidentifikasi dan mendefinisikan 10 praktik terbaik yang diakui secara internasional berikut untuk melindungi privasi pelanggan informasi langsung : manajemen, pemberitahuan, pilihan dan persetujuan, pengumpulan, penggunaan dan retensi, akses, pengungkapan untuk ketiga pihak, keamanan, kualitas, pemantauan dan penegakan hukum.

Romney and Steinbart (2015) mendefinisikan Integritas sebagai melindungi data dari gangguan yang tidak sah.

Input Controls
Jika data yang dimasukkan ke dalam sistem yang tidak akurat, tidak lengkap, atau tidak valid, output akan terlalu. Akibatnya, personil hanya berwenang bertindak sesuai dengan kewenangannya harus mempersiapkan dokumen sumber. Selain itu, bentuk desain, penghapusan dan penyimpanan dokumen sumber, dan otomatis kontrol entri data yang diharapkan untuk memverifikasi keabsahan input data.

Processing Controls
Kontrol juga diharapkan untuk memastikan bahwa data diolah dengan benar. Kontrol pengolahan penting meliputi : pencocokan data, label berkas, perhitungan total batch, lintas - pijakan dan nol - keseimbangan tes, menulis - mekanisme perlindungan, kontrol pembaruan bersamaan.

Output Controls
Pemeriksaan output sistem menawarkan kontrol perhiasan atas integritas pengolahan. Kontrol keluaran penting meliputi : user review output, prosedur rekonsiliasi, rekonsiliasi data eksternal, kontrol transmisi data.

Interupsi untuk proses bisnis alasannya ialah tidak tersedianya sistem atau berita dapat mengakibatkan kerugian keuangan yang signifikan. Akibatnya, COBIT 5 proses kontrol DSS01 dan DSS04 mengatasi pentingnya memastikan bahwa sistem dan berita yang tersedia untuk digunakan kapan saja diperlukan. Tujuan utama ialah untuk meminimalkan risiko downtime sistem.

Miniizing Risk Of System Downtime
Organisasi dapat melaksanakan aneka macam tindakan untuk meminimalkan risiko downtime sistem. Penggunaan komponen berlebihan menawarkan toleransi kesalahan, yang merupakan kemampuan sistem untuk terus berfungsi dalam hal komponen gagal tertentu.

Recovery and Resumption Of Normal Operations.
• Prosedur backup data, yang dirancang untuk menghadapi situasi di mana berita tidak dapat diakses alasannya ialah file atau database yang relevan telah menjadi rusak sebagai akhir dari kegagalan hardware, persoalan software, atau kesalahan manusia, tetapi sistem berita itu sendiri masih berfungsi.
• Pemulihan bencana dan perencanaan kelangsungan bisnis rencana untuk mengembalikan kemampuan TI organisasi dalam hal data center-nya hancur.
• Pengaruh virtualisasi dan Cloud Computing.

Kontrol otorisasi, ialah proses membatasi jalan masuk pengguna dikonfirmasi ke bab tertentu dari sistem dan membatasi tindakan apa yang mereka diizinkan untuk melakukan. Kontrol otorisasi sering dilaksanakan dengan menciptakan matriks kontrol akses. Kemudian, saat seorang karyawan mencoba untuk mengakses sistem isu khususnya sumber daya, sistem melaksanakan tes kompatibilitas yang cocok kredensial otentikasi pengguna terhadap matriks kontrol jalan masuk untuk menentukan apakah karyawan yang harus diizinkan untuk mengakses sumber daya itu dan melaksanakan tindakan yang diminta.

AUDIT ATAS SISTEM INFORMASI BERBASIS TEKNOLOGI INFORMASI
Audit atas sistem berbasis komputer / teknologi informasi memiliki ruang lingkup yang luas. Terdapat beberapa tahapan audit yang harus dilaksanakan dalam melaksanakan audit sistem berbasis teknologi informasi secara keseluruhan. Tahapan audit yang dilakukan meliputi tahap survey pendahuluan, tahap evaluasi pengendalian sistem (audit sistem informasi), tahap pengujian ketaatan dan tahap pengujian subtantif serta terakhir penyusunan laporan (Wilkinson, 2006). Sedangkan, menurut Romney and Steinbart (2015:337), mendefinisikan audit sistem informasi sebagai :

“An examination of the general and application controls of an IS to assess its compliance with internal control policies and procedures and its effectiveness in safeguarding assets.”

Audit merupakan proses menerima dan mengevaluasi bukti mengenai asersi ihwal tindakan ekonomi dan peristiwa dalam rangka untuk menentukan seberapa baik mereka sesuai dengan kriteria yang telah ditetapkan. Dari definisi tersebut, diperoleh empat langkah utama dalam proses audit (Romney and Steinbart, 2015:339), diantaranya yaitu :

1) Perencanaan Audit.
Menyelenggarakan apa yang perlu dilakukan, bagaimana dan siapa yang akan melaksanakan audit. Hal ini dilakukan dengan terlebih dahulu mengidentifikasi risiko, maka cukup dapat memahami ruang lingkup dan tujuan audit dan apa yang akan diminta untuk melaksanakan audit. Sebagian besar pekerjaan audit akan fokus pada tempat dengan jumlah tertinggi risiko.
Ada tiga jenis risiko audit, yaitu :
• Risiko yang melekat : risiko duduk perkara kontrol dalam ketiadaan kontrol internal.
• Pengendalian risiko : risiko salah saji material yang akan melewati struktur pengendalian intern.
• Deteksi risiko : risiko bahwa auditor dan prosedur tidak akan mendeteksi salah saji material atau kesalahan.

2) Pengumpulan bukti dapat dilakukan dalam banyak sekali cara :
• Observasi
• Meninjau dokumentasi
• Wawancara, diskusi, dan kuesioner
• Pemeriksaan fisik (misalnya, jumlah persediaan)
• Konfirmasi dengan pihak ketiga
• Reperforming perhitungan (misalnya, perkiraan menyerupai penyusutan atau perhitungan beban utang buruk)
• Dokumen pendukung vouching (misalnya, penjualan pesanan pelanggan, dokumen pengiriman, faktur penjualan, pembayaran pelanggan)
• Analytical review (memeriksa tren dan contoh baik di dalam organisasi dan industri mereka)

3) Evaluasi bukti melibatkan auditor berkesimpulan bahwa bukti mendukung atau tidak mendukung pernyataan.

4) Komunikasi hasil dalam bentuk laporan tertulis dan sering termasuk rekomendasi kepada manajemen.

Audit sistem informasi menggunakan kerangka berbasis risiko yang memungkinkan auditor untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem untuk memenuhi setiap tujuan tersebut (Romney and Steinbart, 2015:340). Kerangka berbasis risiko dapat diterapkan pada tujuan audit sistem informasi dalam empat bidang kerangka, yaitu :
• Mengidentifikasi penipuan dan kesalahan (ancaman) yang dapat terjadi yang mengancam setiap tujuan
• Identifikasi prosedur pengendalian (mencegah, mendeteksi, memperbaiki ancaman)
• Evaluasi prosedur pengendalian
 Tinjau untuk melihat apakah ada pengendalian dan dalam bab apa
 Uji kontrol untuk melihat apakah mereka bekerja sebagaimana dimaksud
• Menentukan efek kelemahan pengendalian
 Pengendalian kompensasi

Berikut ini ada beberapa teknik audit yang biasanya digunakan oleh auditor secara bersamaan untuk aktivitas pengujian (Romney and Steinbart, 2015:347), diantaranya ialah :
a. Integrated Test Facility (ITF), menyisipkan entitas dummy dalam sistem perusahaan, pengolahan transaksi tes untuk memperbarui mereka tidak akan mensugesti catatan sebenarnya.
 Menggunakan input fiktif

b. Snapshot Technique, menandai transaksi dengan arahan khusus, merekam dan catatan master file mereka sebelum dan setelah pengolahan, dan menyimpan data untuk kemudian memverifikasi bahwa semua langkah pengolahan dieksekusi dengan baik.
 File induk sebelum dan setelah update disimpan untuk transaksi yang ditandai khusus

c. System Control Audit Review File (SCARF), menggunakan modul audit yang tertanam untuk terus memantau transaksi, mengumpulkan data ihwal transaksi dengan signifikansi audit khusus, dan menyimpan data untuk kemudian mengidentifikasi dan menyelidiki transaksi yang dipertanyakan.
 Pemantauan terus menerus dan penyimpanan transaksi yang memenuhi pra-spesifikasi

d. Audit Hooks, rutinitas audit yang memberitahukan auditor terkait transaksi yang dipertanyakan tersebut.
 Memberitahukan auditor terkait transaksi yang diragukan.

e. Continuous and Intermittent Simulation, penyematan modul audit DBMS yang menggunakan kriteria tertentu untuk memeriksa semua transaksi yang update database.
 Sama halnya dengan SCARF untuk DBMS.

ANALISIS PROGRAM LOGIC. Jika auditor menerka bahwa aktivitas berisi arahan yang tidak sah atau kesalahan serius, analisis rinci dari kebijaksanaan aktivitas mungkin diperlukan. Ini memakan waktu dan memerlukan kemahiran dalam bahasa pemrograman yang sesuai, sehingga harus digunakan sebagai upaya terakhir. Auditor menganalisis pengembangan, operasi, dan dokumentasi aktivitas serta hasil cetakan dari arahan sumber. Mereka juga menggunakan paket perangkat lunak berikut (Romney dan Steinbart, 2015: 348) :
• Automated flowcharting program, perangkat lunak yang menafsirkan arahan sumber aktivitas dan menghasilkan flowchart kebijaksanaan program.
• Automated decision table program, perangkat lunak yang menafsirkan arahan sumber aktivitas dan menghasilkan tabel keputusan kebijaksanaan program.
• Scanning routines, software yang akan mencari aktivitas untuk terjadinya item tertentu.
• Mapping programs, software yang mengidentifikasi arahan aktivitas yang tidak dijalankan.
• Program tracing, berurutan mencetak semua langkah aktivitas yang dijalankan, bercampur dengan output, sehingga urutan eksekusi aktivitas dapat diamati.

Komputer - dibantu teknik Audit (CAATs) mengacu mengaudit software, sering disebut perangkat lunak audit umum (GAS), yang menggunakan auditor - spesifikasi yang disediakan untuk menghasilkan aktivitas yang melaksanakan fungsi audit, ada dengan mengotomatisasi atau menyederhanakan proses audit. CAATs idealnya cocok untuk memeriksa file data yang besar untuk mengidentifikasi catatan membutuhkan pemeriksaan pemeriksaan lebih lanjut. Menggunakan CAATs, auditor diakses catatan pemungutan pajak selama 4 tahun sebelumnya, mengurutkannya berdasarkan tanggal, menyimpulkan koleksi dari bulan, dan membuat laporan dari koleksi pajak bulanan. Auditor kemudian digunakan CAATs untuk membandingkan setiap catatan pemungutan pajak dengan catatan properti (Romney dan Steinbart, 2015: 350-351).

Untuk menggunakan CAATs, auditor memutuskan tujuan audit, mempelajari file dan database yang akan diaudit, merancang laporan audit, dan menentukan bagaimana untuk menghasilkan mereka. Program CAATs menggunakan spesifikasi untuk menghasilkan aktivitas audit. CAATs tidak dapat menggantikan pertimbangan auditor atau membebaskan auditor dari fase lain dari audit.

CAATs sangat berharga bagi perusahaan dengan proses yang kompleks, opertions didistribusikan, volume transaksi yang tinggi, atau banyak sekali macam aplikasi dan sistem. Berikut ini ialah beberapa kegunaan penting dari CAATs (Romney dan Steinbart, 2015: 352) :
• Query file data untuk mengambil pertemuan catatan kriteria yang ditentukan.
• Menciptakan, memperbarui, membandingkan, download, dan penggabungan file.
• Meringkas data, menyortir, dan penyaringan.
• Mengakses data dalam format yang berbeda dan mengkonversi data ke dalam format yang umum.
• Meneliti catatan untuk kualitas, kelengkapan, konsistensi, dan kebenaran.
• Stratifikasi catatan, memilih dan menganalisa sampel statistik.
• Pengujian untuk risiko spesifik dan mengidentifikasi bagaimana untuk mengendalikan risiko itu.
• Melakukan perhitungan, analisis statistik, dan operasi matematika lainnya.
• Melakukan tes analitis, menyerupai rasio dan analisis kecenderungan, mencari contoh data yang tidak terduga atau dijelaskan yang mungkin mengindikasikan penipuan.
• Mengidentifikasi kebocoran keuangan, kebijakan non kepatuhan, dan kesalahan pengolahan data.
• Merekonsiliasi jumlah fisik untuk jumlah yang dihitung, pengujian akurasi ulama ekstensi dan saldo, pengujian untuk duplikat item.
• Format dan pencetakan laporan dan dokumen.
• Membuat kertas kerja elektronik.

Ancaman	Pengendalian
·      Pencurian perangkat keras ·      Kerusakan hardware (disengaja dan disengaja) ·      Kehilangan, pencurian, saluran tidak sah ke ü Program ü Data ·      Modifikasi yang tidak sah atau penggunaan kegiatan dan file data ·      Pengungkapan yang tidak sah dari data diam-diam ·      Gangguan kegiatan bisnis penting	·          Batasi saluran fisik ke peralatan komputer ·          Gunakan otentikasi dan otorisasi kontrol ·          Penyimpanan data dan kontrol transmisi ·          Perlindungan virus dan firewall ·          Backup file dan prosedur pemulihan ·          Rencana pemulihan bencana ·          Pemeliharaan preventif ·          Asuransi

Ancaman	Pengendalian
·      Kesalahan pemrograman yang tidak disengaja ·      Kode kegiatan yang tidak sah	·            Review perjanjian lisensi perangkat lunak ·            Otorisasi administrasi untuk : ü Pengembangan program ü Akuisisi software ·            Persetujuan administrasi dan pengguna spesifikasi pemrograman ·            Pengujian dan user penerimaan kegiatan gres ·            Dokumentasi sistem

Ancaman	Pengendalian
·      Kesalahan pemrograman yang tidak disengaja ·      Kode kegiatan yang tidak sah	·      Komponen kegiatan daftar untuk dimodifikasi ·      Otorisasi administrasi dan persetujuan untuk modifikasi ·      Persetujuan pengguna untuk modifikasi ·      Perubahan tes program ·      Dokumentasi sistem perubahan ·      Kontrol saluran logis

Ancaman	Pengendalian
·      Kegagalan untuk mendeteksi input data yang tidak benar, tidak lengkap, atau tidak sah ·      Kegagalan untuk memperbaiki kesalahan diidentifikasi dari prosedur editing data ·      Kesalahan dalam file atau database selama memperbarui ·      Distribusi output yang tidak sempurna ·      Ketidakakuratan dalam pelaporan	·      Rutinitas editing data ·      Rekonsiliasi total angkatan ·      Prosedur error correction ·      Dokumentasi dimengerti ·      Pengawasan yang kompeten

Ancaman	Pengendalian
·      Sumber data yang tidak akurat ·      Sumber data yang tidak sah	·      Otorisasi pengguna sumber input data ·      Total kontrol Batch ·      Log penerimaan, gerakan, dan disposisi sumber input data ·      Dokumen turnaround ·      Periksa digit dan verifikasi kunci ·      Rutinitas editing data

Ancaman	Pengendalian
·      Kerusakan data yang disimpan dari ü Kesalahan ü Hardware dan software malfungsi ü Sabotase ·      Modifikasi yang tidak sah atau pengungkapan data yang tersimpan	·      Mengamankan penyimpanan data dan membatasi saluran fisik ·      Kontrol saluran logis ·      Write-perlindungan dan label file yang sempurna ·      Kontrol pembaruan bersamaan ·      Enkripsi data ·      Perlindungan virus ·      Backup file data (offsite) ·      Prosedur pemulihan sistem