CH11 KOMPUTER AUDITING-BERBASIS SISTEM INFORMASI

SISTEM EKONOMI AKUNTANSI

22  OKTOBER 2018

CHAPTER 11

KOMPUTER AUDITING-BERBASIS SISTEM INFORMASI

Pengauditan (auditing) adalah proses sistematik atas pemerolehan dan pengevalusian bukti mengenai asersi-asersi tentang tindakan dan kejadian ekonomi dalam rangka menentukan seberapa baik kesesuaiannya dengan kriteria yang ditetapkan.
Pengauditan internal (internal auditing) adalah sebuah aktivitas independen, menjamin objektivitas serta konsultasi yang termasuk membantu dalam desain dan implementasi dari sebuah SIA.
Terdapat beberapa tipe audit internal yang berbeda:

1. Audit keuangan (financial audit) memeriksa keterandalan dan integritas dari transaksi-transaksi keuangan, catatan akuntansi, dan laporan keuangan.
2. Sistem informasi (information system), atau audit pengendalian internal (internal control audit) memeriksa pengendalian dari sebuah SIA untuk menilai kepatuhannya dengan kebijakan dan prosedur pengendalian internal serta efektivitas dalam pengamanan aset.
3. Audit operasional (operational audit) berkaitan dengan penggunaan secara ekonomis dan efisien atas sumber daya dan pencapaian tujuan serta sasaran yang ditetapkan.
4. Audit kepatuhan (compliance audit) menentukan apakah entitas mematuhi hukum, peraturan, kebijakan, dan prosedur yangberlaku.
5. Audit investigasif (investigative audit) menguji kejadian-kejadian dari penipuan (fraud) yang mungkin terjadi, penggunaan aset yang tidak tepat, pemborosan dan penyalahgunaan, atau aktivitas tata kelola yang buruk.

Sebaliknya, auditor eksternal bertanggung jawab pada para pemegang saham perusahaan dan biasanya berkaitan dengan pengumpulan bukti yang diperlukan untuk menyatakan sebuah opini pada laporan keuangan.

Sifat Pengauditan
Tinjauan menyeluruh proses auditor

Seluruh audit mengikuti urutan aktivitas yang serupa. Audit dapat dibagi ke dalam 4 tahap: perencanaan, pengumpulan bukti, pengevaluasian bukti, dan pengkomunikasian hasil. Figur 11-1 adalah sebuah tinjauan menyeluruh dari proses pengauditan dan mendaftar banyak prosedur yang dijalankan dalam tiap tahap.

Perencanaan Audit
Perencanaan audit menentukan mengapa, bagaimana, kapan, dan oleh siapa audit akan dilaksanakan.

Audit direncakan, sehingga jumlah terbesar pekerjaan audit berfokus pada area sebagai faktor-faktor risiko tertinggi. Terdapat tiga jenis risiko audit:

1. Risiko bawaan (inherent risk) adalah kelemahan terhadap risiko material karena tidak tersedianya pengendalian internal.
2. Risiko pengendalian (control risk) adalah risiko saat suatu salah saji material akan melampaui struktur pengendalian internal ke dalam laporan keuangan.
3. Risiko deteksi (detection risk) adalah risiko saat para auditor dan prosedur auditnya akan gagal mendeteksi sebuah kesalahan atau salah saji yang material.

Pengumpulan Bukti Audit

 Cara-cara yang paling umum untuk mengumpulkan bukti audit:

• Observasi atas aktivitas-aktivitas yang diaudit.
• Pemeriksaan atas dokumentasi untuk memahami bagaimana sebuah proses atau sistem pengendalian internal tertentu harusnya berfungsi.
• Diskusi dengan para pegawai mengenai pekerjaan mereka dan bagaimana mereka melakukan prosedur-prosedur tertentu.
• Kuesioner untuk mengumpulkan data.
• Pemeriksaan fisik atas kuantitas dan atau kondisi dari aset berwujud, seperti peralatan dan persediaan.
• Konfirmasi (confirmation) atas ketepatan informasi.
• Melakukan ulang (reperformance) atas penghitungan untuk memverifikasi informasi kuantitatif.
• Pemeriksaan bukti pendukung (vouching) untuk validitas dari sebuah transaksi dengan memeriksa dokumen pendukung.
• Tinjauan analitis (analytical review) atas hubungan trend antar-informasi untuk mendeteksi hal-hal seharusnya diselidiki lebih jauh.

Evaluasi atas Bukti Audit

Auditor mengevaluasi bukti yang dikumpulkan dan menentukan apakah bukti tersebut mendukung kesimpulan yang menguntungkan atau tidak. Jika tidak meyakinkan, auditor menjalankan prosedur-prosedur tambahan untuk mencapai sebuah kesimpulan pasti.
Karena kesalahan terdapat pada sebagian besar sistem, para auditor berfokus dalam mendeteksi dan melaporkan kesalahan-kesalahan yang secara signifikan mempengaruhi interpretasi manajemen atas temuan audit. Menentukan materialitas (materiality), apa yang penting dan tidak penting dalam audit, adalah sebuah masalah pertimbangan profesional.
Materialitas yang menekankan kewajaran atas laporan keuangan lebih penting bagi audit eksternal, dibandingkan bagi audit internal, ketika fokus audit internal adalah kepatuhan terhadap kebijakan manajemen.
Auditor mencari penjaminan memadai (reasonable assurance) bahwa tidak ada kesalahan material yang ada dalam informasi atau proses yang diaudit.

Komunikasi Hasil Audit
Auditor mengirimkan sebuah laporan tertulis yang merangkum temuan-temuan audit dan rekomendasi kepada manajemen, komite audit, dewan direksi, dan pihak-pihak lain yang berkepentingan. Kemudian, auditor biasanya melakukan studi tindak lanjut untuk memastikan apakah rekomendasi-rekomendasinya dilaksanakan.

Pendekatan Audit Berbasis-Risiko
Kerangka untuk menjalankan audit sistem informasi:

1. Menentukan ancaman (penipuan dan kesalahan) yang akan dihadapi perusahaan.
2. Mengidentifikasi prosedur pengendalian yang mencegah, mendeteksi, atau memperbaiki ancaman.
3. Mengevaluasi prosedur pengendalian. Pengendalian dievaluasi dalam dua cara: a.) Sebuah tinjauan sistem (system review) menentukan apakah prosedur pengendalian benar-benar dilaksanakan. b.) Uji pengendalian (test of control) dilakukan untuk menentukan apakah pengendalian yang ada berjalan seperti yang dikehendaki.
4. Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya dalam jenis, waktu, atau tingkatan prosedur pengauditan.

AUDIT SISTEM INFORMASI

Tujuan dari sebuah audit sistem informasi adalah untuk memeriksa dan mengevaluasi pengendalian internal yang melindungi sistem. Ketika melakukan sebuah audit sistem informasi, para auditor seharusnya memastikan bahwa enam tujuan berikut telah dicapai.

1. Ketentuan keamanan untuk melindungi perlatan komputer, program, komunikasi, dan data-data dari akses, modifikasi, atau penghancuran yang tidak diotorisasi.
2. Pengembangan dan akuisisi program dilakukan sesuai dengan otorisasi umum dan spesifikasi manajemen.
3. Modifikasi program mendapatkan otorisasi dan persetujuan manajemen.
4. Pemrosesan transaksi, file, laporan, catatan, dan catatan komputer lainnya tepat dan lengkap.
5. Data sumber yang tidak tepat atau tidak diotorisasi dengan benar diidentifikasi dan ditangani berdasarkan kebijakan manajerial yang telah ditentukan.
6. File-file data komputer tepat, lengkap, dan rahasia.

Figur 11-2 menggambarkan hubungan antara enam tujuan tersebut dengan komponen-komponen sistem informasi.

TUJUAN 1: KEAMANAN SECARA MENYELURUH

TUJUAN 2: PENGEMBANGAN PROGRAM DAN AKUISISI

TUJUAN 3: MODIFIKASI PROGRAM

TUJUAN 4: PEMROSESAN KOMPUTER

TUJUAN 5: DATA SUMBER

TUJUAN 6: FILE DATA

AUDIT OPERASIONAL SIA

Langkah pertama dalam audit operasional adalah perencanaan audit, pada suatu waktu saat lingkup dan tujuan audit ditetapkan, sebuah persiapan tinjauan sistem dilakukan, dan sebuah program audit tentatif disiapkan. Langkah selanjutnya, pengumpulan bukti, termasuk aktivitas-aktivitas sebagai berikut:

1. Memeriksa kebijakan dan dokumentasi pengoperasian
2. Mengonfirmasi prosedur-prosedur dengan manajemen dan personel pengoperasian
3. Mengobservasi fungsi-fungsi dan aktivitas-aktivitas pengoperasian
4. Memeriksa rencana serta laporan finansial dan pengoperasian
5. Menguji ketepatan atas informasi pengoperasian
6. Menguji pengendalian

CH10 PENGENDALIAN INTEGRITAS PEMROSESAN DAN KETERSEDIAAN

SISTEM EKONOMI AKUNTANSI

15  OKTOBER 2018

CHAPTER 10

PENGENDALIAN INTEGRITAS PEMROSESAN DAN KETERSEDIAAN

Dua bentuk utama desain pengendalian yang penting melibatkan dokumen sumber sebelum penomoran (prenumbering) secara berurutan dan menggunakan dokumen turnaround.

1. Seluruh dokumen sumber harus dinomori sebelumnya secara berurutan. Prenumbering tersebut meningkatkan pengendalian dengan memperbolehkannya untuk merverifikasi bahwa tidak ada dokumen yang hilang.
2. Sebuah dokumen turnaround (turnaround document) adalah catatan atas data perusahaan yang dikirimkan ke pihak eksternal dan kemudian dikembalikan oleh pihak eksternal tersebut untuk selanjutnya di input ke sistem.

Pembatalan dan penyimpanan dokumen sumber. Dokumen-dokumen sumber yang telah dimasukkan ke dalam sistem harus dibatalkan sehingga mereka tidak dapat dengan sengaja atau tidak jujur dimasukkan ulang ke dalam sistem. Dokumen kertas harus ditandai. Dokumen elektronik dengan cara yang sama dapat "dibatalkan" dengan mengatur sebuah field tanda untuk mengindikasikan bahwa dokumen tersebut telah diproses.

Pengendalian entri data. Dokumen-dokumen sumber harus dipindai untuk kewajaran dan kebenaran sebelum dimasukkan ke dalam sistem. Meskipun dekimian, pengendalian manual ini harus dilengkapi dengan pengendalian entri data otomatis, seperti berikut ini.

• Pengecekan field (field check)
• Pengecekan tanda (sign check)
• Pengecekan batas (limit check)
• Pengecekan jangkauan (range check)
• Pengecekan ukuran (size check)
• Pengecekan (atau pengujian) kelengkapan (completeness check/test)
• Pengecekan validitas (validity check)
• Tes kewajaran (reasonableness test)
• Nomor ID resmi

Pengendalian tambahan entri data pemrosesan batch 

• Pemrosesan batch bekerja lebih efisien jika transaksi-transaksi disortir, sehingga rekening-rekening yang terkena dampak berada dalam urutan yang sama dengan catatan di dalam file induk.
• Sebuah log kesalahan yang mengidentifikasi kesalahan input data (tanggal, penyebab, masalah) memudahkan pemeriksaan tepat waktu dan pengumpulan ulang atas transaksi yang tidak dapat diproses.
• Total batch (batch total) merangkum nilai-nilai numerik bagi sebuah batch atas catatan input. Berikut ini adalah tiga total batch yang sering digunakan:
• Total finansial (financial total) menjumlahkan sebuah field yang berisi nilai-nilai moneter
• Total hash (hash total) menjumlahkan sebuah field numerik non-finansial
• Jumlah catatan (record count) adalah banyaknya catatan dalam sebuah batch.

Pengendalian tambahan entri data online

• Prompting, di mana sistem meminta tiap-tiap item data input dan menunggu respons yang dapat diterima, memastikan bahwa seluruh data yang diperlukan telah dimasukkan (dengan kata lain, prompting adalah sebuah pengecekan kelengkapan secara online)
• Verifikasi closed-loop (closed-loop verification) mengecek ketepatan dari data input dengan menggunakannya untuk mengambil dan menampilkan informasi terkait lainnya
• Sebuah log transaksi menyertakan sebuah catatan mendetail dari seluruh transaksi, termasuk pengidentifikasian transaksi khusus, tanggal dan waktu entri, serta siapa yang memasukkan transaksi.

Pengendalian pemrosesan yang penting mencakup kegiatan sebagai berikut.

• Pencocokan data
• Label file
• Perhitungan ulang total batch
• Pengujian saldo cross-footing dan saldo nol
• Mekanisme write-protection
• Pengendalian pembaruan secara bersamaan

Pengendalian output yang penting meliputi:

• Pemeriksaan pengguna terhadap output
• Prosedur rekonsiliasi
• Rekonsiliasi data eksternal
• Pengendalian transmisi data

Contoh Ilustratif: Pemrosesan Penjualan Kredit

Pengendalian Integritas Batch Processing

• Mempersiapkan batch total
• Mengirimkan transaksi ke departemen operasi komputer untuk diproses
• Memasukkan data transaksi ke dalam sistem

• Mengurutkan dan mengedit file transaksi
• Memperbarui master file

• Mempersiapkan dan mendistribusikan output
• Komentar pengguna

Pengendalian Integritas proses online

Pengendalian data entri online

• Ketika pegawai mengakses sistem online, pengendalian akses logis menerima idenitas dari entri data perangkat (komputer pribadi, terminal) dan kebenaran user ID number pengguna dan password

• Uji kompatibilitas memastikan bahwa karyawan diberi wewenang untuk melakukan tugas itu
• Sistem secara otomatis menetapkan transaksi nomor pesanan penjualan sekuensial berikutnya dan tanggal saat ini sebagai tanggal faktur
• Sistem meminta semua input yang diperlukan (tes kelengkapan). Setelah setiap prompt, sistem menunggu respons
• Setiap tanggapan diuji menggunakan satu atau lebih dari contol berikut: pemeriksaan validitas (pelanggan yang valid dan nomor inventaris), pemeriksaan lapangan dan tanda (hanya positie, karakter numerik dalam kuantitas, tanggal, dan bidang harga), dan pemeriksaan Iimit atau rentang ( tanggal pengiriman versus tanggal sekarang)
• Ketika nomor pelanggan dimasukkan, sistem mengambil nama pelanggan korespondensi dari database dan menampilkannya di layar (verifikasi loop tertutup). Operator secara visual memeriksa nama pelanggan. Jika cocok dengan nama pada dokumen pesanan penjualan, operator memberi sinyal kepada sistem untuk melanjutkan transaksi. Jika tidak, operator akan mengecek nomor pelanggan dan memasukkan nilai yang benar.
• Ketika nomor barang inventaris dimasukkan, sistem dan operator melalui prosedur yang sama seperti yang mereka lakukan dengan nomor pelanggan

Kontrol Pemrosesan Online

• Pemeriksaan validitas pada pelanggan dan nomor barang inventaris
• Tanda centang pada saldo persediaan-di-tangan (setelah dikurangi jumlah yang terjual)
• Batasi cek yang membandingkan jumlah total pelanggan masing-masing karena dengan batas kredit
• Pemeriksaan jarak pada harga jual setiap barang yang dijual relatif terhadap kisaran harga yang diizinkan untuk barang tersebut
• Uji kewajaran jumlah yang dijual dari setiap item relatif terhadap jumlah penjualan normal untuk pelanggan itu dan barang itu

Kontrol Output Online

• Dokumen tagihan dan pengiriman diteruskan secara elektronik hanya kepada pengguna yang sudah diotorisasi sebelumnya
• Pengguna di departemen pengiriman dan penagihan melakukan peninjauan dokumen secara terbatas dengan memeriksa secara visual mereka untuk data yang tidak lengkap atau kesalahan lainnya yang jelas
• Laporan kontrol dikirim secara otomatis ke penerima yang dituju, atau penerima dapat menanyakan sistem untuk laporan. Jika mereka meminta sistem, kontrol akses logis mengkonfirmasi identitas perangkat yang membuat kueri dan validitas nomor dan kata sandi ID pengguna

Backup penuh (full backup) adalah sebuah salinan tepat dari keseluruhan sebuah database.

CH9 PENGENDALIAN KERAHASIAAN DAN PRIVASI

SISTEM EKONOMI AKUNTANSI

 08 OKTOBER 2018

CHAPTER 9

PENGENDALIAN KERAHASIAAN DAN PRIVASI

4 tindakan dasar yang harus dilakukan untuk menjaga kerahasiaan atas informasi sensitif:

1. Mengidentifikasi dan mengklasifikasi informasi untuk dilindungi
2. Mengenkrispsi informasi
3. Mengendalikan akses atas informasi
4. Melatih para pegawai untuk menangani informasi secara tepat

PRIVASI

PENGENDALIAN PRIVASI

Langkah pertama untuk melindungi privasi informasi pribadi yang dikumpulkan dari pelanggan, pegawai, pemasok, dan rekan bisnis, yaitu mengidentifikasi jenis infromasi yang dimiliki organisasi, letak ia disimpan, dan orang yang memiliki akses terhadapnya. Kemudian, penting pula untuk menerapkan pengendalian guna melindungi informasi tersebut karena insiden-insiden yang melibatkan pengungkapan tak terotorisasi atas informasi pribadi yang disengaja atau tidak dapat memakan biaya.

PERMASALAHAN PRIVASI

Dua permasalahan utama terkait privasi adalah spam dan pencurian identitas.

Spam adalah e-mail tak diinginkan yang mengandung baik periklanan maupun konten serangan.

Pencurian identitas (identity theft), yaitu penggunaan tidak sah atas informasi pribadi seseorang demi keuntungan pelaku. Seringnya, pencurian identitas berupa kejahatan keuangan yakni pelaku mendapatkan pinjaman atau membuka kertu kredit baru atas nama korban dan terkadang menjarah rekening bank milik korban.

REGULASI PRIVASI DAN PRINSIP-PRINSIP PRIVASI YANG DITERIMA SECARA UMUM (GENERALLY ACCEPTED PRIVACY PRINCIPLES--GAPP)

American Institute of Certified Public Accountant (AICPA) dan Canadian Institute of Chartered Accountants (CICA) bersama-sama mengembangkan sebuah kerangka yang disebut Prinsip-Prinsip Privasi yang Diterima secara Umum (Generally Accepted Privacy Principles--GAPP). Kerangka tersebut mengidentifikasi dan mendefinisikan pelaksanaan 10 praktik terbaik yang diakui secara internasional untuk melindungi privasi informasi pribadi para pelanggan.

1. Manajemen
2. Pemberitahuan
3. Pilihan dan persetujuan
4. Pengumpulan
5. Penggunaan dan retensi
6. Akses
7. Pengungkapan kepada pihak ketiga
8. Keamanan
9. Kualitas
10. Pengawasan dan penegakan

ENKRIPSI

Enskripsi adalah sebuah pengendalian preventif yang dapat digunakan untuk melindungi baik kerahasiaan maupun privasi. Enkripsi melindungi data saat sedang berjalan melalui internet dan juga menyediakan sebuah tembok batas terakhir yang harus dilalui oleh seorang penyusup yang telah mendapatkan akses tak terotorisasi atas informasi yang disimpan.
3 faktor penting yang menentukan kekuatan sistem enkripsi:

1. Panjang kunci
2. Algoritme enkripsi
3. Kebijakan untuk mengelola kunci-kunci kriptografi

2 jenis dasar sistem enkripsi:

1. Sistem Enkripsi simetris (symmetric encryption system), menggunakan kunci yang sama untuk mengenkripsi dan mendekripsi
2. Sistem Enkripsi asimetris (asymmetric encryption system), menggunakan dua kunci

Hashing adalah proses mengubah plaintext dengan segala ukuran dan menciptakan sebuah kode singkat yang disebut hash.

Sertifikat digital (digital certificate) adalah dokumen elektronik yang mengandung kunci publik milik entitas dan menerangkan identitas pemilik kunci publik tersebut.

Sistem untuk menerbitkan sepasang kunci publik dan privat serta sertifikat digital terkait disebut dengan infrastruktur kunci publik (public key infrastructure--PKI)

Virtual Private Network (VPN) memastikan bahwa informasi sensitif dipertukarkan secara aman dan dengan cara yang dapat memberikan bukti autentiknya.

CH8 PENGENDALIAN UNTUK KEAMANAN INFORMASI

SISTEM EKONOMI AKUNTANSI

 08 OKTOBER 2018

CHAPTER 8

PENGENDALIAN UNTUK KEAMANAN INFORMASI

DEFENSE-IN-DEPTH DAN MODEL KEAMANAN INFORMASI BERBASIS WAKTU

Gagasan dari defense-in-depth adalah penggunaan berbagai lapisan pengendalian untuk menghindari satu poin kegagalan.

Tujuan dari model keamanan berbasis waktu (time-based model of security) adalah menggunakan kombinasi perlindungan preventif, detektif, korektif yang melindungi aset informasi cukup lama agar memungkinkan organisasi untuk mengenali bahwa sebuah serangan tengah terjadi dan mengambil langkah-langkah untuk menggagalkannya sebelum informasi hilang atau dirusak. Tujuan ini dapat ditunjukkan dengan sebuah formula yang menggunakan tiga variabel berikut:

P= waktu yang diperlukan seorang penyerang untuk menerobos pengendalian preventif organisasi

D= waktu yang diperlukan untuk mendeteksi bahwa sebuah serangan sedang dalam proses

C= waktu yang diperlukan untuk merespons serangan dan mengambil tindakan korektif

Langkah-langkah dasar yang dilakukan penjahat untuk menyerang sistem informasi suatu perusahaan:

1. Melakukan pengintain
2. Mengupayakan rekayasa sosial
3. Memindai dan memetakan target (scan and map the target)
4. Penelitian (research)
5. Mengeksekusi serangan (execute the attack)
6. Menutupi jejak (cover tracks)

PENGENDALIAN PREVENTIF

PENGENDALIAN AUTENTIKASI

Autentikasi (authentication) adlaah proses verifikasi identitas seseorang atau perangkat yang mencoba untuk mengakses sistem. Tujuannya untuk memastikan bahwa hanya pengguna sah yang dapat mengakses sistem.

PENGENDALIAN OTORISASI

Otorisasi (authorization) adalah proses dari memperketat akses dari pengguna sah terhadap bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan. Tujuannya adalah untuk menyusun hak serta keisitimewaan setiap pegawai dengan cara menetapkan dan mengelola pemisahan tugas yang tepat.

PENGENDALIAN DETEKTIF

PENGENDALIAN KOREKTIF

COMPUTER INCIDENT RESPONSE TEAM (CIRT)

Sebuah komponen utama agar mampu merespons indisen keamanan dengan tepat dan efektif adalah penetapan sebuah tim perespon insiden komputer. Sebuah CIRT harus mengarahkan proses respons insiden organisasi melalui empat tahapan berikut:

1. Pemberitahuan (recognition) adanya sebuah masalah
2. Penahanan (containment) masalah
3. Pemulihan (recovery)
4. Tindak lanjut (follow up)

CHIEF INFORMATION SECURITY OFFICER (CISO)

MANAJEMEN PATCH

Patch adalah kode yang diilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan tertentu. Manajemen Patch adalah proses untuk secara teratur menerapkan patch dan memperbarui seluruh perangkat lunak yang digunakan oleh organisasi.

IMPLIKASI KEAMANAN VIRTUALISASI DAN CLOUD

Virtualisasi (virtualization) memanfaatkan kekuatan dan kecepatan komputer modern untuk menjalankan berbagai sistem secara bersamaan pada satu komputer fisik.

Komputasi cloud (cloud computing) memanfaatkan high bandwidth dari jaringan telekomunikasi global modern agar memungkinkan para pegawai menggunakan sebuah browser untuk mengakses perangkat lunak dari jarak jauh (perangkat lunak sebagai sebuah layanan), perangkat penyimpanan data (penyimpanan sebagai sebuah layanan), dan seluruh lingkungan aplikasi (platform sebagai sebuah layanan).

CH7 PENGENDALIAN DAN SISTEM INFORMASI AKUNTANSI

SISTEM EKONOMI AKUNTANSI

 01 OKTOBER 2018

CHAPTER 7

PENGENDALIAN DAN SISTEM INFORMASI AKUNTANSI

Pengendalian internal (internal control) adalah proses yang dijalankan untuk menyediakan jaminan memadai bahwa tujuan-tujuan pengendalian berikut telah dicapai.

• Mengamankan aset--mencegah atau mendeteksi perolehan, penggunaan, atau penempatan yang tidak sah.
• Mengelola catatan dengan detail yang baik untuk melaporkan aset perusahaan secara akurat dan wajar.
• Memberikan informasi yang akurat dan reliabel.
• Menyiapkan laporan keuangan yang sesuai dengan kriteria yang ditetapkan.
• Mendorong dan memperbaiki efisiensi operasional.
• Mendorong ketaatan terhadap kebijakan manajerial yang telah ditentukan.
• Mematuhi hukum dan peraturan yang berlaku.

Pengendalian internal adalah sebuah proses karena ia menyebar ke seluruh aktivitas pengoperasian perusahaan dan merupakan bagian integral dari aktivitas manajemen.

Pengendalian internal menjalankan tiga fungsi penting sebagai berikut.

1. Pengendalian preventif (preventive control), mencegah masalah sebelum masalah timbul.
2. Pengendalian detektif (detective control), menemukan masalah yang tidak terelakkan.
3. Pengendalian korektif (corrective control), mengifentifikasi dan memperbaiki masalah serta memperbaiki dan memulihkannya dari kesalahan yang dihasilkan.

Pengendalian internal sering kali dipisahkan dalam dua kategori sebagai berikut.

1. Pengendalian umum (general control), memastikan lingkungan pengendalian sebuah organisasi stabil dan dkelola dengan baik.
2. Pengendalian aplikasi (application control), mencegah, mendeteksi, dan mengoreksi kesalahan transaksi serta penipuan di dalam program aplikasi.

PRAKTIK KORUPSI ASING DAN SARBANES-OXLEY ACTS

SOX  merupakan undang-undang berorientasi bisnis yang paling penting dalam 80 tahun terakhir. Undang-undang ini mengubah cara dewan direksi dan manajemen beroperasi serta memiliki dampak yang kuat terhadap CPA yang mengaudit mereka. Berikut beberapa aspek terpenting SOX:

• Public Company Accounting Oversight Board (PCAOB). Tujuannya untuk mengendalikan profesi pengauditan (auditing).
• Aturan-aturan bagi para auditor.
• Peran baru bagi komite audit.
• Aturan baru bagi manajemen.
• Ketentuan baru pengendalian internal.

KERANGKA PENGENDALIAN

Kerangka COBIT. Kerangka COBIT 5 menjelaskan praktik-praktik terbaik untuk tata kelola dan manajemen TI yang efektif. Selain itu, COBIT 5 didasarkan pada lima prinsip utama tata kelola dan manajemen TI. Prinsip-prinsip itu sebagai berikut.

1. Memenuhi keperluan pemangku kepentingan
2. Mencakup perusahaan dari ujung ke ujung
3. Mengajukan sebuah kerangka terintegrasi dan tunggal
4. Memungkinkan pendekatan holistik
5. Memisahkan tata kelola dari manajemen 

Kerangka Pengendalian Internal COSO. Committee of Sponsoring Organizations (COSO) terdiri dari Asosiasi Akuntansi Amerika (American Accounting Association), AICPA, Ikatan Auditor Internal (Institute of Internal Auditors), Ikatan Akuntan Manajemen (Institute of Management Accountants), dan Ikatan Eksekutif Keuangan (Financial Executives Institute). Pada 1992, COSO menerbitkan Pengendalian Internal (Internal Control)-- Kerangka Terintegrasi (Integrated Framework)--IC, yang diterima secara luas sebagai otoritas untuk pengendalian internal yang digabungkan ke dalam kebijakan, peraturanm dan regulasi yang digunakan untuk mengendalikan aktivitas bisnis.

Kerangka Manajemen Risiko Perusahaan COSO

Untuk memperbaiki proses manajemen risiko, COSO mengembangkan kerangka pengendalian kedua yang disebut Manajemen Risiko Perusahaan (Enterprise Risk Management)--Kerangka Terintegrasi (Integrated Framework)--ERM. Kerangka ERM adalah proses yang digunakan oleh dewan direksi dan manajemen untuk mengatur strategi, mengidentifikasi kejadian yang mungkin memengaruhi entitas, menilai dan mengelola risiko, serta menyediakan jaminan memadai bahwa perusahaan mencapai tujuan dan sasarannya. Prinsip-prinsip dasar di balik ERM adalah sebagai berikut.

• Perusahaan dibentuk untuk menciptakan nilai bagi para pemiliknya
• Manajemen harus memutuskan seberapa banyak ketidakpastian yang akan ia terima saat menciptakan nilai
• Ketidakpastian menghasilkan risiko, yang merupakan kemungkinan bahwa sesuatu secara negatif mempengaruhi kemampuan perusahaan untuk menghasilkan atau mempertahankan nilai
• Ketidakpastian menghasilkan peluang, yang merupakan kemungkinan bahwa sesuatu secara positif memengaruhi kemampuan perusahaan untuk menghasilkan atau mempertahankan nilai
• Kerangka ERM dapat mengelola ketidakpastian serta menciptakan dan mempertahankan nilai

Lingkungan internal (internal environment), atau budaya perusahaan, mempengaruhi cara organisasi menetapkan strategi dan tujuannya; membuat struktur aktivitas bisnis; dan mengidentifikasi, menilai, serta merespons risiko.

Sebuah lingkungan internal mencakup hal-hal sebagai berikut.

1. Filosofi manajemen, gaya pengoperasian, dan selera risiko
2. Komitmen terhadap integritas, nilai-nilai etis, dan kompetensi
3. Pengawasan pengendalian internal oleh dewan direksi
4. Struktur organisasi
5. Metode penetapan wewenang dan tanggung jawab
6. Standar-standar sumber daya manusia yang menarik, mengembangkan, dan mempertahankan individu yang kompeten
7. Pengaruh eksternal

CH6 TEKNIK PENIPUAN DAN PENYALAHGUNAAN KOMPUTER

SISTEM EKONOMI AKUNTANSI

 01 OKTOBER 2018

CHAPTER 6

TEKNIK PENIPUAN DAN PENYALAHGUNAAN KOMPUTER

Hacking adalah akses, modifikasi, atau penggunaan alat elektronik atau beberapa elemen dari sebuah sistem komputer yang tidak sah.

Hijacking (pembajakan) adalah pengambilan kendali atas sebuah komputer untuk melakukan aktivitas terlarang tanpa sepengetahuan pengguna komputer yang sebenarnya. 

Sebuah botnet, singkatan dari robot network, adalah sebuah jaringan kuat atas pembajakan komputer, disebut zombies apabila dipergunakan untuk menyerang sistem atau menyebarkan malware. 

Bot herder memasang perangkat lunak yang merespons instruksi elektronik milik hacker tanpa disadari PC.

Spamming adalah secara bersamaan mengirimkan pesan yang tak diminta ke banyak orang pada saat yang sama, biasanya berupa upaya untuk menjual sesuatu. Pelaku spamming juga melakukan serangan kamus (dictionary attack) juga disebut sebagai serangan panen direktori, serta menggunakan perangkat lunak khusus untuk menebak alamat-alamat e-mail pada sebuah perusahaan dan mengirimkan pesan e-mail kosong. 

Spoofing adalah membuat komunikasi elektronik terlihat seolah orang lain yang mengirimkannya untuk memperoleh kepercayaan dari penerima. Spoofing memiliki berbagai bentuk sebagai berikut:

• E-mail Spoofing membuat sebuah e-mail terlihat seolah-olah berasal dari sumber yang berbeda.
• Caller ID Spoofing, yaitu menampilkan nomor yang salah (nomor apapun yang dipilih penyerang) pada tampilan ID penelepon untuk menutupi identitas penelepon.
• IP Address Spoofing, yaitu menciptakan paket-paket Internet Protocol (IP) dengan sumber alamat IP palsu untuk menyamarkan identitas pengirim atau untuk meniru sistem komputer lain. IP spoofing sering digunakan dalam serangan DoS.
• Address Resolution Protocol (ARP) Spoofing, yaitu mengirimkan pesan ARP palsu kepada Ethernet LAN. ARP adalah sebuah protokol jaringan untuk menentukan alamat perangkat keras komputer pengirim (host) jaringan ketika hanya IP atau alamat jaringan yang diketahui. 
• SMS Spoofing, yaitu menggunakan layanan pesan singkat (short message service/ SMS) untuk mengubah nama atau nomor dari mana pesan tersebut berasal.
• Web-page Spoofing atau disebut dengan phishing.
• DNS Spoofing, yaitu melacak ID dari Domain Name System (DNS, "buku telepon" dari Internet yang mengubah domain atau nama situs menjadi alamat IP) meminta dan membalas sebelum server DNS yang asli melakukannya.

Serangan zero-day (zero-day attack) atau serangan zero-hour adalah sebuah serangan di antara waktu kerentanan perangkat lunak baru ditemukan dan waktu sebuah pengembang perangkat lunak merilis patch untuk memperbaiki masalah tersebut.

Cross-site scripting (XSS) adalah sebuah kerentanan dalam halaman situs dinamis yang memungkinkan penyerang untuk menerobos mekanisme keamanan sebuah browser dan memerintahkan browser korban untuk mengeksekusi kode, mengira bahwa perintah tersebut berasal dari situs yang dikehendaki.

Serangan limpahan buffer (buffer overflow attack) terjadi ketika jumlah data yang dimasukkan ke dalam sebuah program lebih besar daripada limpahan input (input buffer) yang dikesampingkan untuk menerimanya.

Serangan injeksi (insersi) SQL (SQL injection (insertion) attack), kode berbahaya dalam format pertanyaan (query) SQL disisipkan ke dalam input, sehingga dapat diteruskan dan dijalankan oleh sebuah program aplikasi.

Serangan man-in-the-middle (MITM attack) menempatkan seorang hacker di antara klien dan host serta memotong lalu lintas jaringan antara kedua pihak tersebut. Serangan ini sering disebut dengan serangan pembajakan sesi (hijacking session).

Masquerading atau impersonation adalah berpura-pura menjadi pengguna yang sah untuk mengakses sebuah sistem.

Piggybacking memiliki beberapa makna:

1. Penggunaan secara diam-diam jaringan Wi-Fi tetangga.
2. Menyadap ke dalam sebuah jalur komunikasi dan mengunci secara elektronik pengguna yang sah sebelum pengguna tersebut memasuki sistem yang aman.
3. Seseorang yang tidak berwenang mengikuti seseorang yang berwenang memasuki pintu yang aman, menerobos pengendalian keamanan fisik seperti keypad, kartu identitas, atau pemindai identifikasi biometrik.

Pemecahan kata sandi (password cracking) adalah memasuki pertahanan sebuah sistem, mencuri file yang memuat kata sandi valid, mendeskripsinya, dan menggunakannya untuk mendapatkan akses atas program, file, dan data.

War dialing adalah memrogram sebuah komputer untuk menghubungi ribuan sambungan telepon guna mencari dial-up modem lines.

Phreaking adalah penyerangan sistem telepon.

Data diddling adalah mengubah data sebelum atau selama entri ke dalam sistem komputer untuk menghapus, mengubah, menambah, atau memperbarui data sistem kunci yang salah.

Kebocoran data (data leakage) adalah penyalinan data perusahaan tanpa izin.

Podslurping adalah penggunaan sebuah perangkat kecil dengan kapasitas penyimpanan, seperti iPod atau Flash drive, untuk mwngunduh data tanpa izin.

Teknik salami (salami technique) dipergunakan untuk menggelapkan uang "irisan salami" pada satu waktu dari berbagai rekening berbeda.

Spionase ekonomi (economic espionage) adalah pencurian informasi, rahasia dagang, dan kekayaan intelektual.

Pemerasan dunia maya (cyber-extortion) adalah pengancaman untuk membahayakan sebuah perusahaan atau seseorang apabila sejumlah uang tertentu tidak dibayarkan.

Cyber-bullying, yaitu menggunakan Internet, telepon seluler, atau teknologi komunikasi lainnya untuk mendukung perilaku yang disengaja, berulang, dan bermusuhan yang menyiksa, mengancam, mengusik, menghina, mempermalukan, atau membahayakan orang lain.

Sexting adalah pertukaran pesan teks dan gambar yang terang-terangan bersifat seksual, biasanya menggunakan perantara telepon.

Terorisme Internet (Internet terrorism), yaitu menggunakan Internet untuk mengganggu perdagangan elektronik (e-commerce) dan komunikasi serta untuk membahayakan komputer.

Misinformasi Internet (Internet misinformation), yaitu menggunakan internet untuk menyebarkan informasi yang salah atau menyesatkan.

Penipuan lelang internet (Internet auction fraud), yaitu menggunakan situs lelang intenet untuk menipu orang lain.

Penipuan pump-and-dump Internet (Internet pump-and-dump fraud), yaitu menggunakan internet untuk menaikkan harga saham dan menjualnya.

REKAYASA SOSIAL

Rekayasa sosial (social engineering) merujuk pada teknik atau trik psikologis yang digunakan agar orang-orang mematuhi keinginan pelaku untuk mendapatkan akses fisik atau logis ke sebuah bangunan, komputer, server, atau jaringan--biasanya untuk mendapatkan informasi yang dibutuhkan untuk mengakses sebuah sistem dan mendapatkan data rahasia.

Pencurian identitas (identity theft), yaitu mengambil identitas seseorang biasanya untuk keuntungan ekonomi dengan mendapatkan dan menggunakan informasi rahasia secara ilegal, seperti nomor Social Security, nomor rekening bank, atau kartu kredit.

Pretexting, yaitu menggunakan skenario diciptakan untuk meningkatkan kecenderungan agar korban membocorkan informasi atau melakukan sesuatu.

Posing adalah menciptakan bisnis yang terlihat sah (biasanya menjual produk baru dan menarik), mengumpulkan informasi pribadi sambil melakukan penjualan, tetapi tidak pernah mengirimkan barangnya.

Phishing adalah mengirimkan sebuah pesan elektronik dan berpura-pura sebagai sebuah perusahaan yang sah, biasanya institusi keuangan, dan meminta informasi atau verifikasi informasi serta sering pula memberikan peringatan mengenai konsekuensi negatif bila permintaan tersebut tidak dipenuhi.

Phishing suara atau vishing, seperti halnya phishing, hanya saja korban memasukkan data rahasia melalui telepon.

Carding mengacu pada aktivitas yang dilakukan pada kartu kredit curian, termasuk melakukan pembelian kecil secara online untuk memastikan apakah kartu kredit masih valid serta membeli dan menjual nomor kartu kredit curian.

Pharming adalah mengarahkan lalu lintas situs ke situs palsu.

Evil twin adalah sebuah jaringan nirkabel dengan nama yang sama (disebut dengan Server Set Identifier atau SSID) seolah menjadi sebuah titik akses nirkabel yang sah.

Typosquating, atau pembajakan URL (URL hijacking), menyiapkan situs dengan nama yang sama, sehingga pengguna yang membuat kekeliruan tipografis ketika memasukkan nama situs yang akan dikirim ke situs yang tidak valid.

Tabnapping, yaitu secara diam-diam mengubah ttab dari browser yang sudah dibuka.

Scavenging, atau dumpster diving adalah mencari sejumlah dokumen dan catatan untuk mendapatkan akses ke informasi rahasia.

Skimming adalah penggesekan ganda kartu kredit pada terminal yang sah atau menggesekkan kartu secara diam-diam pada pembaca kartu yang kecil dan tersembunyi untuk merekam data kartu kredit untuk penggunaan berikutnya.

Scareware adalah perangkat lunak yang biasanya berbahaya, dengan sedikit atau tanpa manfaat, dan dijual menggunakan taktik menakutkan.

CH5 PENIPUAN KOMPUTER

SISTEM EKONOMI AKUNTANSI

 01 OKTOBER 2018

CHAPTER 5

PENIPUAN KOMPUTER

Penipuan (fraud) adalah mendapatkan keuntungan yang tidak jujur dari orang lain. Secara legal, untuk tindakan dikatakan curang maka harus ada:

1. pernyataan, representasi, atau pengungkapan yang salah
2. fakta material, yaitu sesuatu yang menstimulasi seseorang untuk bertindak
3. niat untuk menipu
4. kepercayaan yang dapat dijustifikasi (dibenarkan)
5. pencederaan atau kerugian yang diderita oleh korban

Kriminal kerah putih (white-collar criminals) seringkali dianggap sebagai pelaku penipuan.

Korupsi (corruption) adalah perilaku tidak jujur oleh mereka yang memiliki kekuasaan dan sering kali melibatkan tindakan yang tidak terlegitimasi, tidak bermoral, atau tidak kompatibel dengan standar etis.

Penipuan investasi (investment fraud) adalah misrepresentasi atau meninggalkan fakta untuk mempromosikan investasi yang menjanjikan laba fantastik dengan sedikit atau bahkan tidak ada risiko. 

Penyalahgunaan aset (misappropriation of asset) adalah pencurian aset perusahaan oleh karyawan.

Kecurangan pelaporan keuangan (fraudulent financial reporting) sebagai perilaku yang disengaja atau ceroboh, apakah dengan tindakan atau kelalaian, yang menghasilkan laporan keuangan menyesatkan secara material.

Kesempatan (opportunity) adalah kondisi atau situasi, termasuk kemampuan personal seseorang, yang memungkinkan pelaku untuk melakukan tiga hal sebagai berikut:

1. Melakukan penipuan
2. Menyembunyikan penipuan
3. Mengonversikan pencurian atau misrepresentasi untuk keuntungan personal

Rasionalisasi (rationalization) memungkinkan pelaku untuk menjustifikasi tindakan ilegal mereka.

Penipuan Komputer (computer fraud) adalah setiap penipuan yang mensyaratkan teknologi komputer untuk melakukan penipuan.

CH4 DATABASE RELASIONAL

SISTEM EKONOMI AKUNTANSI

 01 OKTOBER 2018

CHAPTER 4

DATABASE RELASIONAL

Database adalah separangkat koordinasi beberapa file data terpusat yang saling berhubungan yang disimpan dengan sedikit mungkin kelebihan data.

Sistem manajemen database (Database management system - DBMS) adalah suatu program yang mengelola dan mengendalikan data serta menghubungkan data dan program-program aplikasi yang menggunakan data yang disimpan dalam database.

Database, DBMS, dan program-program aplikasi yang mengakses database melalui DBMS disebut sebagaisistem database (database system).

Administrator database (database administrator-DBA) bertanggung jawab untuk mengordinasikan, mengendalikan, dan mengelola database.

MENGGUNAKAN GUDANG DATA UNTUK BUSINESS INTELLEGENCE

Gudang data (data warehouse) adalah satu atau lebih database besar yang berisi data mendetail dan diringkas untuk beberapa tahun yang digunakan dalam analisis, bukan untuk pemrosesan transaksi.

Menganalisis sejumlah besar data untuk pembuatan keputusan strategis sering kali disebut sebagai Business Intelligence.

Ada 2 teknik yang digunakan dalam business intelligence yaitu

1. Pemrosesan Analitikal Online (Online Analytical Processing-OLAP) menggunakan beberapa query untuk membuat hipotesis hubungan antar data.
2. Penggalian data (data mining) adalah penggunaan analisi statistik yang canggih, termasuk teknik-teknik kecerdasan buatan (artificial intelligence) seperti jaringan saraf, untuk "menemukan" hubungan yang tidak dihipotesiskan dalam data.

KEUNGGULAN SISTEM DATABASE

• Integrasi data (data integration). Beberapa file induk digabungkan ke dalam "kelompok-kelompok" data besar atas yang diakses oleh banyak program aplikasi.
• Pembagian data (data sharing). Data yang terintegrasi lebih mudah dibagi dengan pengguna sah. Database dapat dengan mudah dicari untuk meneliti permasalahan atau memperoleh informasi mendetail yang mendasari laporan.
• Meminimalkan kelebihan dan inkonsistensi data (minimal data redudancy and data inconsistencies). Oleh karena item-item data biasanya hanya disimpan sekali, maka kelebihan dan inkonsistensi data dapat diminimalkan.
• Independensi data (data independence). Oleh karena data dan program-program yang menggunakan independensi satu sama lain, masing-masing dapat diubah tanpa mengubah lainnya. Independensi data memudahkan dalam pemrograman dan penyederhanaan manajemen data.
• Analisis lintas fungsional (cross-functional analysis). Pada sistem database, hubungan, seperti hubungan antara biaya penjualan dan kampanye promosi, dapat secara eksplisit didefinisikan dan digunakan dalam mempersiapkan laporan manajemen.

SISTEM DATABASE

TAMPILAN LOGIS DAN FISIK ATAS DATA

Layout catatan (record layout) adalah dokumen yang menunjukkan item-item yang disimpan dalam file, termasuk urutan dan panjang field data serta tipe data yang disimpan dalam file utang.

Tampilan logis (logical view) adalah bagaimana seseorang secara konseptual mengelola dan memahami hubungan antar-item data.

Tampilan fisik (physical view) mengacu pada bagaimana data secara fisik diatur dan disimpan dalam sistem komputer.

SKEMA

Skema (schema) adalah deskripsi elemen-elemen data dalam database, hubungan di antara mereka, dan model logika yang digunakan untuk mengelola dan menjelaskan data. Terdapat tiga level dari skema:

• Skema level konseptual (conceptual-level schema), tampilan organisasi yang luas akan menampilkan keseluruhan database, mendaftar semua elemen data dan hubungan di antara mereka.
• Skema level eksternal (external-level schema) adalah tampilan pengguna individu terhadap bagian-bagian dalam database, masing-masing mengacu pada sebuah (subschema).
• Skema level internal (internal-level schema), tampilan level rendah database, menjelaskan bagaimana data disimpan dan diakses, termasuk layout catatan, definisi, alamat, dan indeks.

KAMUS DATA

Kamus data (data dictionary) berisi informasi mengenai struktur database.

BAHASA DBMS

DBMS memiliki beberapa bahasa yaitu

• Bahasa definisi data (data definition language-DDL) membangun kamus data, membuat database, menjelaskan tampilan logis setiap pengguna dan memerinci catatan atau hambatan keamanan field.
• Bahasa manipulasi data (data manipulation language-DML) mengubah isi database, termasuk membuat, memperbarui, menyisipkan dan menghapus elemen data.
• Bahasa query data (data query language-DQL) adalah bahasa level tinggi, seperti bahasa Inggris yang berisi perintah kuat dan mudah digunakan, yang memungkinkan pengguna untuk mengambil, menyortir, memesan, serta menunjukkan data.
• Penulisan laporan (report writer) menyederhanakan pembuatan laporan.

DATABASE RELASIONAL

DBMS digolongkan berdasarkan model data (data model) logis atau representasi abstrak konten database. Model data relasional (relation data model) mempresentasikan skema level konseptual dan eksternal sebagaimana data disimpan dalam tabel dua dimensi.

Tuple (disebut juga couple), yang berisi daya mengenai komponen spesifik dalam tabel database.

TIPE-TIPE ATRIBUT

Kunci utama (primary key) adalah atribut database, atau kombinasi atribut, yang secara khusus mengidentifikasi suatu baris tertentu dalam sebuah tabel.

Kunci asing (foreign key) adalah atribut dalam tabel yang juga merupakan kunci utama dalam tabel lain dan digunakan untuk menghubungkan dua tabel.