DATA SECURITY AND INTEGRITYTujuannya : 1. Membedakan antara keamanan data dengan integritas data dalam komputer sistem akunting 2. Mengerti resiko data keamanan dan sumbernya 3. Mempelajari metode menemukan kesalahan 4. Menemukan bagaimana auditor mengevaluasi pengamanan data dalam sistem akuntansi berbasis komputer

Keamanan Dalam Sistem Yang Berbasis Komputer Sumber resiko kemanan Karena kelemahan dalam kemanan data, maka terdapat tiga sumber resiko, yaitu internal, eksternal dan kolusif (collusive) 1. Internal Source, sumber internal resiko adalah karyawan boleh memanfaatkan kelemahan data pengamanan. Didalamnya termasuk manajer dan pekerja operasional tingkat karyawan 2. Eksternal Source, sumber dari luar dari resiko termasuk didalamnya adalah hubungan bisnis dan potensial kriminal atau siapa yang memiliki kesempatan menguasai asset perusahaan, hal tersebut meliputi hubungan bisnis, unknown Criminal

3. Collusive source, sumber ini ada ketika dua atau lebih individu berkoloborasi untuk menipu organisasi dan untuk menyembunyikan pencurian dengan merubah catatan yang terkomputerisasi, sumber ini meliputi : kolusi internal dan kolusi eksternal. RESIKO Ada empat macam resiko, yakni : Destruction of Data or Program. Semua data akuntansi penting, tetapi kepastian data dan file program yang vital untuk pengoperasian banyak organisasi. Didalamya termasuk rekening pengeluaran dan penerimaan catatan detail, sulit dibangun kembali jika dirusak. Espionage, manajer melanjutkan kelangsungan secara terus menerus tentang pelaksanaan dan perencanaan dari perusahaan yang berkepentingan Invation of privacy, komputerisasi data file berisi banyak informasi personal tentang individu-individu. Pengungkapan dari informasi tersebut adalah mencampuri urusan pribadi perorangan. Employee fraud, kesalahan adalah resiko yang diakibatkan ketidak akuratan dari catatan akuntansi. Kesalahan didalamnya termasuk pernyataan yang salah dari kekayaan dan biaya yang terdapat dalam Finacial Statement.

1.

2. 3. 4.

THE FRAUD TRIANGLE (segitiga kecurangan) Opportunity

Pressure

Rationalization

Seperti yang diilustrasikan dalam gambar di atas bahwa segitiga kesalahan meliputi : 1. Pressure (tekanan), biasanya seseorang melakukan kecurangan sebagai akibat dari beberapa bentuk tekanan. Tekanan yang paling sering terjadi adalah keuangan 2. Opportunity (kesempatan), Pegawai yang melakukan kecurangan biasanya berada dalam posisi yang memberikan kesempatan untuk melakukan kecurangan. 3. Rationalization, Individu yang merasa dirinya adalah orang jujur mungkin terlibat dalam perilaku kejaharan, kerena mereka memaksakan tindakan mereka (membenarkan tindakan mereka)

COMPONENT OF FRAUD (Komponen Kecurangan) Umumnya kesalahan yang dilakukan oleh pekerja meliputi tiga hal : 1. Theft Assets (Pencurian kekayaan perusahaan) 2. Conversion (perubahan) 3. Concealment (penyembunyian) FRAUD DETECTION (PENDETEKSIAN KECURANGAN) Ada tiga tindakan kecurangan yang meliputi : pencurian (theft), convertion (perubahan) dan concealment (penyembunyian) dimana setiap kejadian mempunyai kesempatan untuk dapat dideteksi kesalahannya. Akuntan mendeteksi pekerjaan rutin mereka atau auditor dapat mendeteksi kesalahan yang berhubungan dengan suatu pemeriksaan. Deteksi kesalahan terdiri dari : 1. Detecting Theft (mendeteksi pencurian) 2. Detecting Conversion (mendeteksi perubahan) 3. Detecting Concealment (mendekteksi penyembunyian)

Risiko Perusahaan bisnis menhadapi risiko yangmengurangi kesempatan pencapaian tujuan pengendalian Bahaya Risiko datang dari sumber internal, seperti karyawan, ataupun dari sumber eksternal, seperti hacker komputer Pengukuran Risiko terdiri dari identifikasi risiko relevan, analisis tingkat bahaya terhadap risiko, dan pengelolaan risiko dengan mengajukan prosedur pengendalian yang efektif

Beberapa Sumber Risiko - I Karyawan Klerikal dan Operasi, yang memroses datatransaksi dan mempunyai akses terhadap harta Programer Komputer, yang mempunyai pengetahuan berkaitan dengan Instruksi dengan apa transaksi diproses Manajer dan Akuntan, yang mempunyai akses terhadap Catatan dan Laporan Keuangan dan sering mempunyai Otoritas untuk Menyetujui Transaksi

Beberapa Sumber Risiko - II Karyawan Terdahulu, yang mungkin masih memahami Struktur Pengendalian dan mungkin memiliki rasa tidak suka terhadap perusahaan Pelanggan dan Pemasok, yang menghasilkan banyak transaksi perusahaan Pesaing, yang memiliki keinginan untuk mendapatkan informasi rahasia perusahaan Pihak Luar, seperti Hacker Komputer dan Kriminal, yang mempunyai berbagai alasan untuk mengakses data atau harta perusahaan atau ingin melakukan tindakan pengrusakan Peristiwa Alam atau Kecelakaan, seperti banjir, kebakaran, dan rusaknya peralatan

Tipe Risiko Kesalahan tidak disengaja Kesalahan disengaja (Fraud) Kehilangan Harta yang tidak disengaja Pencurian Harta Pelanggaran Keamanan Peristiwa Pengrusakan dan BencanaAlam

Faktor-faktor yang menambah Bahaya Risiko Frekuensi makin serin terjadi transaksi,makin besar bahaya terhadap risiko Vulnarabilitas - likuid dan/atau harta lepas yang kontribusi terhadap bahaya risiko Ukuran kerugian potensial makin tinggi nilai moneter dari kerugian, makin besar bahaya risiko

Kondisi Permasalahan yang Mempengaruhi Bahaya Risiko Kolusi (internal dan eksternal), yaitu kerjasama dari duaatau lebih orang untuk tujuan kecurangan, sulit untuk diatasi walau dengan prosedur pengendalian yang canggih Kurangnya Penekanan Manajemen mungkin tidak menghukum pihak yang melakukan kesalahan karena menjaga nama baik perusahaan Kejahatan Komputer memberikan tingkat risiko sangat tinggi, dan aktivitas curang sangat sulit ditemukan

Security and Integrity with DBMS Sistem manajemen database (DBMS) merupakan paket sistem perangkat lunak yang memelihara pengendalian yang terpusat melalui database organisasi. Ketika DBMS digunakan, efektivitas dari prosedur untuk menjamin keamanan data dan integritas tergantung dari pengawasan implementasi database oleh data base administrator (DBA). Keamanan dan integritas dalam Data Base Management System (DBMS) meliputi :

1. Risk with a DBMS (resiko menggunakan DBMS), karena data administrasi dipusatkan dalam DBA pengguna dari DBMS umumnya menghasilkan kepercayaan yang lebih handal terhadap data dibandingkan dengan penggunaan sistem file data tradisional. Pengendalian yang terpusat ini mengurangi resiko kecurangan dan kesalahan. Bagaimanapun, jika DBA gagal untuk menerapkan fitur pengendalian DBMS dengan baik, maka kemudian resiko kecurangan atau kesalahan akan meningkat. Dengan pengendalian yang cukup, ini tidak mungkin terjadi. 2. Control with a DBMS (pengendalian menggunakan DBMS), control dari DBMS meliputi empat area yaitu : a. Organization of the data center (organisasi pusat data) b. Database access (akses database) c. Procedures for system and Program Changes (Prosedur untuk penggantian sistem dan program) d. Data ownership (kepemilikan data) SECURITY and INTEGRITY in COMPUTER NETWORKS (Keamanan dan Keutuhan dalam Jaringan Komputer Didalam sebuah jaringan komputer, komputer mentransfer data dan memerintahkan data untuk melintasi jaringan data komunikasi yang saling berhubungan . Jaringan itu dapat berupa kabel atau satelit, masing-masing menyebabkan resiko bagi keamanan dan integritas data.

1.

RISK in TELEPROCESSING SYSTEM (resiko dalam sistem teleprocessing) Organisasi sering menggunakan jaringan teleprocessing sebagai pengimplementasian sistem on line real time (ORLT). Pemakai didalam terminal dan tempat mengerjakan (work station) untuk memasukkan data dan sebuah komputer yang berada dilain lokasi proses data itu. On line Real time processing mengembangkan integritas data batch processing tetapi menyebabkan resiko bagi keamanan data. 2. RISK IN DISTRIBUTED SYSTEM (Resiko dalam sistem ayng didistribusikan) Sebuah sistem distribusi memindahkan data dalam jumlah kuantitas yang sangat besar dan lebih tinggi tingkatannya dibandingkan dengan jaringan teleprocessing. System distribusi berisi empat perbedaan resiko utama : 1. Tidak ada otorisasi pengguna yang menghubungkan processor untuk menghindari pengawasan acces dari sebuah jaringan komputer. 2. Tidak adanya otorisasi dari pemakai mengijinkan untuk menghubungkan data dalam pemindahan transmisi dalam sebuah jaringan komunikasi 3. Jaringan kerja mungkin kehilangan data selam hak transfer atau kehilangan hubungan dalam jaringan. 4. Remote processor dapat mengurangi bagi pengawalan dan keamanan data, dan juga keakurtan prosedur

3. GENERAL CONTROL IN A COMPUTER NETWORK (Pengendalian umum dalam jaringan komputer) Akuntan selalu mempertimbangkan beberapa prosedur pengawasan yang terdiri dari : a) Data encryption (input data) ada 2 metode: 1. Primary Key Encryption. Pendekatan ini menggunakan kolom data tunggal yang ditetapkan. 2. Public Key Encryption. Bentuk encryption ini menggunakan dua tipe kunci encryption, satu untuk memberi kode data dan tipe lainnya adalah membaca kode datanya. b) Firewalls, merupakan kombinasi dari perangkat keras dan perangkat lunak yang mencegah akses ke jaringan komputer suatu organisasi. c) Network control log (log pengendali jaringan), merupakan file komputer yang digunakan untuk mendaftar semua pesan yang ditransfer ke atau dari komputer. d) Automatic disconnect (pemutus hubungan otomatis). e) Automatic call back (pemanggil kembali otomatis) f) Change control saftware (mengganti perangkat lunak pengendalian)

4. APPLICATION CONTROL IN COMPUTER NETWORK (Aplikasi Pengendalian dalam Jaringan Komputer) Prosedur yang seharusnya diterapkan dalam setiap penerapannya untuk menjamin bahwa seseorang memiliki bukti transaksi yang harus diotorisasi oleh orang yang berwenang dan sepantasnya menyiapkan master pencatatan data yang bisa diakses. 5. CONTROLLING ELECTRIC DATA INTERCHANGE (Pengendalian EDI) Dalam penggunaan EDI yang paling mampu mengontrol prosedur menggambarkan dengan tepat, yang mana dikarenakan oleh eliminasi dari kertas dokumen dengan EDI, menambah prosedur yang mungkindengan cost-effective. Perangkat lunak EDI mencatat control data seperti control total dan pencatatan perhitungan dalam menelusuri catatan yang digunakan ketika memindahkan transaksi EDI. 5. CONTROLLING INTERNETS AND EXTRANETS Intranet adalah sebuah jaringan yang didirikan bagi suatu organisasi yang memiliki kesenangan dalam internet intern. Ketika pengguna keluar dari perusahaan memiliki access untuk suatu intranet dapat menggunakan internet, jaringan ini adalah extranet, yang resikonya meliputi risks with extranet dan controls an extranet

EVALUATING SECURITY AND INTEGRITY (Mengevaluasi Pengamanan dan Integrasi) Manajemen memiliki hubungan terhadap auditor untuk mengevaluasi keamanan dan integritas data pada computer based system. Masingmasing auditor adalah bertanggung jawab untuk evaluasi kemanan data dan integritasnya serta laporan akhir untuk manajemen. Auditor setiap waktu mengacu pada aktivitas seperti information system auditing atau EDP auditing (istilah yang digunakan ketika sistem informasi masih dinamakan electronic data processing system) 1. Auditors responsibilities (tanggung jawab auditor) 2. System reviews (peninjauan kembali sistem) a. method of conducting reviews, ada tiga metode dalam melaksanakan review, yaitu : 1. Interviews 2. Walk-througs 3. Questionnaires b. Reviews of general controls (review pengendalian umum), menekankan pada organisasi dan operasi dari pusat data. c. Reviews of applications controls (review pengendalian aplikasi), merupakan pengendalian praktek, kebijakan dan prosedur yang termasuk dalam sistem aplikasi yang spesifik selama perancangannya. Pengendalian ini meliputi pengendalian input, pemrosesan dan output.

3) Test of control (Pengujian Pengendalian) Auditor melakukan pengujian pengendalian untuk menetapkan pegawai secara rutin mengikuti pengendalian kebijakan, praktek, dan prosedur. Di masa lalu akuntan menamakan tes ini sebagai tes kepatuhan (compliance tests), karena mereka menunjukkan bagaimana pegawai mengikuti/menuruti kebijakan, praktek, dan prosedur yang dibuat oleh manajemen Auditors mempekerjakan computer-assisted audit techniques (CAATs) pada saat mereka menguji on-line-real-time (OLRT) systems. Mereka juga menggunakan CAATs ketika mengaudit sistem pemrosesan batch karena ini merupakan cara yang efisien untuk mendapatkan bukti yang dapat dipercaya. Ada empat macam bentuk CAATs yang digunakan oleh auditor untuk mengevaluasi keutuhan data, yaitu : a. Pengujian data b. Simulasi paralel (paralel simulation) c. Fasilitas pengujian yang berkaitan (integrates test facility) d. Menanamkan/membuat modul audit (embedded audit modules) 4) Generalized Audit Software (GAS) Kebanyakan auditor menggunakan generalized audit software (GAS) selama evaluasi sistem berbasis komputer mereka. GAS merupakan paket perangkat lunak yang dikembangkan untuk membantu melaksanakan tugas audit secara umum. GAS dapat dibeli dari perangkat lunak pengembangan perusahaan dan beberapa perusahaan CPA besar maupun sendiri. Auditor sendiri yang menggunakan program GAS untuk menguji pengendalian, bahkan auditor menggunakannya untuk memekanisasi pengumpulan bukti.

Keuntungan 1. Kecepatan. Dengan GAS komputer melaksanakan prosedur audit yang mungkindapat dilakukan secara manual, komputer dapat melakukan lebih cepat. 2. Keakuratan. Komputer menampilkan prosedur audit diarahkan oleh GAS membuat sedikit kesalahan daripada seseorang yang melakukkan prosedur yang sama. 3. Ketelitian. Karena kecepatan komputer menggunakan GAS, lebih banyak catatan dapat diuji daripada dikerjakan oleh seseorang. 4. Auditor merasa senang menggunakan. Auditor dapat mengkode program dalam bahasa GAS lebih cepat daripada dalam istilah bahasa umum 5. Auditor merasa senang mempelajari. Auditor dapat belajar bagaimana mengkode dalam bahasa GAS lebih cepat daripada dalam istilah bahasa umum. Kerugian 1. Menjalankan efisiensi. Program yang ditulis dalam bahasa GAS memerlukan alat penyimpanan utama dan waktu yang lebih banyak. 2. Kurang fleksibel, dalam hal menggunakan untuk prosedur yang lain. 3. Kurangnya transprtabilitas