Chapter 1: Accounting Information Systems: An Overview

Sistem: seperangkat komponen yang saling berhubungan yang berinteraksi untuk mencapai satu tujuan. Sistem terdiri dari berbagai subsistem. Goal Conflict: terjadi ketika subsistem inkonsisten dengan goals dari subsistem lain atau sistem secara keseluruhan itu sendiri. Goal Congruence: terjadi ketika sebuah subsistem mencapai tujuannya dengan berkontribusi juga terhadap tujuan keseluruhan organisasi.

Data: fakta yang dikumpulkan, dicatat, disimpan dan diproses dengan sistem informasi.

Informasi: data yang telah diorganisir dan diproses untuk menyediakan dan meningkatkan proses pengambilan keputusan. Information overload: batasan informasi dapat dilewati yang menghasilkan penurunan kualitas keputusan dan meningkatkan biaya yang menyediakan informasi. Information technology: membantu pengambil keputusan menyaring dan mempetimbangkan informasi dengan lebih efektif.

Value of information: keuntungan yang dihasilkan dari informasi dikurangi biaya produksi.Karakter dari informasi yang berguna: Relevant: mengurangi ketidakpastian, meningkatkan pengambilan keputusan, atau mengonfirmasi/membenarkan ekspektasi sebelumnya. Reliable: bebas dari bias, merepresentasikan kejadian/aktivitas perusahaan secara akurat Complete: Tidak menghilangkan komponen penting dari kejadian/aktivitas yang dihitung Timely: Menyediakan waktu yang tepat untuk pengambil keputusan membuat keputusan Understandable: mempresentasikan format yang berguna dan dapat dipahami Verifiable: dua orang yang independen dan berpengetahuan memberikan informasi yang sama. Accessible: Ada untuk pengguna ketika diperlukan.

INFORMATION NEEDS AND BUSINESS PROCESSBusiness Process: seperangkat aktivitas yang terhubung, terkoordinasi dan terstruktur yang dilakukan oleh seseorang atau computer yang membantu mewujudkan tujuan perusahaan secara khusus. (Contoh ada di table 1-2 halaman 26)

Lima jenis business process atau transaction cycle:a. Revenue cycle barang dan jasa dijual untuk kas atau perjanjian untuk menerima kasb. Expenditure cycle perusahaan membeli inventori untuk dijual kembali atau raw material digunakan untuk memproduksi produk untuk ditukar menjadi kas atau perjanjian penerimaan kasc. Production/Conversion cycle raw material diubah menjadi barang jadid. Human resources/payroll cycle karyawan di-hired, di-training, dikompesansi, dievaluasi, dipromosikan dan dihentikan.e. Financing cycle perusahaan menjual saham kepada investor dan meminjam uang dan inviestor akan dibayar dengan dividen dan bunga pada pembayaran pinjaman.

ACCOUNTING INFORMATION SYSTEMAkuntansi adalah proses identifikasi data, mengumpulkan, menyimpan, pengembangan, perhitungan dan pelaporan.

Enam komponen AIS:a. People yang menggunakanb. Procedure & instruction digunakan untuk mengumpulkan, memproses dan menyimpanc. Data tentang organisasi & aktivitasd. Software yang dipakaie. Information technology infrastructure termasuk komputer, device, dll.f. Internal control dan perhitungan keamanan

AIS bisa masuk ke tiga fungsi bisnis penting:1. Mengumpulkan dan menyimpan data tentang organisasi2. Memindahkan ke informasi sehingga manajemen bisa merencanakan, eksekusi, control dan evaluasi.3. Menyediakan control yang amakn untuk data dan aset perusahaan.

AIS bisa meningkatkan value pada perusahaan:1. Meningkatkan kualitas dan mengurangi biaya produksi/servis2. Meningkatkan efisiensi3. Membagi knowledge4. Meningkatkan efisiensi dan efektivitas dari supply chain5. Meningkatkan struktur control internal6. Meingkatkan decision making

Lima Aktivitas Utama AIS pada Value Chain:1. Inbound logistic termasuk menerima, menyimpan dan mendistribusikan material.2. Operations aktivitas mengubah input jadi tuga akhir3. Outbound logistic Aktivitas mendistribusikan dengab menyelesaikan produk & jasa4. Marking & Sales Aktivitas membantu marcomm untuk cobain kopi.5. Service menyediakan provide supply watch

Support Aktivitas:1. Firm infrastruktur lebih ke software2. Human resources aktivitas berupa rekrutmen, training dan kompesansi3. Technology Meningkatkan produk/servis4. Freelancer Aktivitas pembelian

Chapter 2: Overview of Business Process

TRANSACTION PROCESSING: THE DATA PROCESSING CYCLEa. Data InputData harus dikumpulkan dengan mempertimbangkan setiap aktivitas bisnis: Setiap kepentingan aktivitas Sumber daya yang mempengaruhi aktivitas Orang-orang yang berpartisipasi dalam aktivitasSource document: data tentang aktivitas bisnis. Misal: sales order (Table 2-1 hal. 47)Turnaround document: output perusahaan yang dikirim ke pihak eksternalSource data automation: menangkap transaksi data dalam mesin yang data (form) dapat dibaca pada waktu dan tempat yang sebenarnya.

Ada 3 langkah dalam input data:1. Mengambil data transaksi dan memasukkannya ke dalam sistem2. Memastikan bahwa data yang diambil akurat dan lengkap3. Memastikan bahwa mengikuti kebijakan perusahaa

b. Data StorageGeneral ledger: berisi ringkasan level data untuk asset, liability, equity, revenue, dan expense.Subsidiary ledger: berisi data yang detail untuk setiap akun general ledger misalnya akun accounts receivable ditambahkan nama, alamat, dll.

Teknik koding: Sequence code semua item diberi nomor secara urut, misalnya cek, invoice Block code menetapkan angka tertentu untuk kategori data yang spesifik, misalnya 100-199 untuk listrik, 200-299 untuk kulkas, dll Group code dua atau lebih subgroup digunakan untuk kode item, misalnya 1-2 untuk style, 3 untuk warna, dll Mnemonic code huruf dan angka diselingi untuk identifikasi suatu item.

Chart of account adalah daftar angka untuk setiap akun general ledger (hal. 50)General Journal: digunakan untuk mencatat transaksi yang tidak rutin atau jarangSpecialized journal: mencatat sejumlah angka untuk transaksi yang berulangAudit trail: langkah yang dapat dilacak dari transaksi melalui proses data

File grup dari pencatatan yang terkaitMaster file: menyimpan kumpulan data tentang organisasi. Misalnya data karyawan, konsumen, dllTransaction file: pencatatan transaksi pada bisnis

c. Data Processing1. Creating membuat data baru 2. Reading melihat data yang sudah ada3. Updating memperbarui data sebelumnya4. Deleting menghapus data yang sudah tida relevan dengan bisnisBatch processing memperbarui data secara periodik sehingga lebih murah dan efisienOnline, real time processing paling banyak digunakan perusahaan karena menjamin penyimpanan selalu baru dan akurat karena segera setelah proses

d. Information OutputDokumen pencatatan transaksi atau data lain perusahaanReport digunakan untuk mengontrol aktivitas personal oleh karyawan dan menbuat strategi dan merumuskan kebijakan oleh manajer.Database query digunakan untuk menyediakan informasi yang dibutuhkan untuk menyelesaikan masalah dan pertanyaan yang membutuhkan tindakan/jawaban cepat

ENTERPRISE RESOURCE PLANNING (ERP) SYSTEMDigunakan untuk menghadapi masalah dengan cara mengintegrasikan semua aspek operasional perusahaan dengan sebuah sistem informasi akuntansi yang tradisional. (Hal.56)

Keuntungan ERP: Menyediakan data perusahaan yang integrasi dengan satu pandangan Data input dimasukkan sekali daripada berkali-kali Manajemen bisa melihat visibilitas dalam setiap area dan kapabilitas untuk pengawasan lebih luas Akses control yang lebih baik Prosedur dan laporan di-standarisasi dalam lintas bisnis unit Meningkatkan customer service karena karyawan bisa lebih cepat mengakses pemesanan, inventori yang tersedia, informasi pengiriman dan transaksi sebelumnya Mesin manufaktur memperoleh pesanan baru dengan waktu yang riil

Kerugian ERP: Biaya lebih mahal Jumlah waktu yang diperlukan memerlukan beberpaa tahun untuk secara penuh mengimplementasi Perubahan proses bisnis Kompleksitas Resistan (perlawanan). Beberapa departemen harus training dan banyak yang menolak sistem baru.

Chapter 3: Systems Development and Documentation Techniques

Dokumentasi meliputi naratif, flowchart, diagram dan material tertulis lain yang menjelaskan bagaimana sistem bekerja. Alat dokumentansi penting untuk: Membaca dokumen dan menentukan bagaimana sistem bekerja Mengevaluasi internal kontrol untuk menentukan kekuatan dan kelemahan dan merekomendasikan peningkatan Keahlian lebih untuk menyiapkan internal kontrol

Documentation Tools:1. Data flow diagram (DFD) sebuah deskripsi grafis tentang sumber data, alur, proses, penyimpanan dan destinasi2. Document flowchart deskripsi grafis tentang alur dokumen dan informasi antara departemen dan area tanggung jawab3. System flowchart deskripsi grafis tentang hubungan antara input, proses dan output dalam sistem informasi4. Program flowchart deskripsi grafis tentang langkah dari logika operasional pada peforma computer untuk mengeksekusi program

DATA FLOW DIAGRAM (DFD)Simbol ada di Figure 3-1 (hal. 70).DFD mendeskripsikan alur di dalam perusahaan. Data source dan data destination adalah entitas yang mengirim atau menerima data yang digunakan atau diproduksi pada sistem.Data flow adalah perpindahan data antara proses, penyimpanan, sources dan destinasi.Process merepresentasikan transformasi data.Data store adalah penyimpanan data.Contoh data flow ada di table 3-2 (hal. 730)

FLOWCHARTSebuah teknik analisis yang digunakan untuk mendeskripsikan beberapa aspek dari sistem informasi yang jelas, ringkas dan masuk akal.

Simbol flowchart (figure 3-8 hal. 76)1. Input/output symbol merepresentasikan media yang menyediakan input atau mencatat output dari proses operasional2. Processing symbol menunjukan tipe media yang digunakan untuk memproses data atau mengindikasikan dilakukan peforma secara manual3. Storage symbol merepresentasikan alat yang digunakan untuk menyimpan data4. Flow and miscellaneous symbol mengindikasikan alur datam di mana flowchart dimulai dan berakhir, dimana keputusan dibuat dan kapan catatan tambahan diperlukan.

Document Flowchart mengilustrasikan alur dokumen dan informasi antar area tanggungjawab dalam perusahaan, disebut juga internal control flowchartSystem Flowchart menunjukan hubungan antara sistem input, proses, dan output. Program Flowchart mengilustrasikan langkah operasional logika yang dilakukan komputer.

Chapter 4: Relational Database

Database adalah seperangkat files yang saling berhubungan.

Database management system (DBMS) adalah sebuah interface antara data dan berbagai program aplikasi, merupakan jenis dari sistem database.

Keuntungan Sistem Database: Data integration master file dikombinasikan dalam suatu area yang luas yang bisa diakses dengan banyak program Data sharing integrasi data akan lebih mudah dengan pengguna yang terotorisasi Minimal data redundancy & data inconsistency karena data disimpan sekali, bisa meminimalkan kelebihan dan inkonsistensi data Data independence bisa diubah tanpa harus mengubah yang lain Cross-functional analysis hal yang saling berhubungan bisa secara jelas didefinisikan dan digunakan dalam persiapan laporan manajemen.

DATABASE SYSTEMTerdapat dua pandangan tentang data: logical view bagaimana orang secara konsep mengatur dan memahami data physical view bagaimana dan di mana data secara fisik diatur dan disimpan dalam sistem computer

Skema mendeskripsikan struktur database. Terdapat tiga level skema: Conceptual-level schema pandangan luas organisasi dari keseluruhan database, mendaftar semua elemen data dan hubungan diantaranya External-level schema terdiri dari pengguna individual yang melihat database (sub-schema) Internal-level schema low-level pandangan tentang database yang mendeskripsikan bagaimana data disimpan dan diakses termasuk record layout, definisi, indeks, dan alamat.

Data dictionary berisi informasi tentang struktur database.

Bahasa DBMS memiliki beberapa bahasa: Data definition language (DDL) membangun data dictionary, menciptakan database, mendiskripsikan logika pandangan untuk setiap pengguna dan men-spesifikasi pencatatan dan hambatan keamanan. Data manipulation language (DML) mengubah konten database termasuk elemen perbaruan, penghapusan dan pemasukan. Data query language (DQL) berisi perintah yang mudah digunakan untuk pengguna mengolah, mengurutkan, memesan dan menampilkan data.

RELATIONAL DATABASETerdapat data model yaitu sebuah representasi abstrak dari konten database. DBMS adalah relational database.

Relational data model merepresentasikan konsep skema pada level ekternal dan internal seolah-olah data disimpan dalam table (Table 4-1 hal. 113)

Tipe Atribut: Primary key atribut database atau kombinasi dari atribut-atribut yang secara unik mengidentifikasi sebuah baris spesifik dalam table Foreign key atribut yang menjadi primary key pada table lain.

Cara Desain Relational Database:1. Menyimpan semua data dalam satu tabel yang seragamMemiliki dua kerugian:a. Menyimpan banyak data yang berlebihanb. Permasalahan apabila invoice disimpan dalam satu tabel. Update anomaly: nilai data yang diperbarui tidak sesuai dengan yang dicatat Insert anomaly: tidak ada penyimpanan informasi tentang consume yang prospektif hingga memutuskan untuk melakukan pembelian Delete anomaly: terjadi ketika menghapus baris lalu muncul konsekuensi yang tidak diinginkan2. Mengubah jumlah kolom3. Solusi: seperangkat tabel

Hal mendasar dari Relational Database:1. Setiap kolom dalam satu baris harus memiliki satu value2. Primary keys tidak bisa dibuat null (kosong)3. Foreign keys, jika tidak null, harus memiliki nilai yang berhubungan dengan nilai primary key pada tabel lain4. Semua atribut harus mendeskripsikan karakter yang diidentifikasi oleh primary key

Pendekatan Desain Database:1. Normalization menduga bahwa setiap hal disimpan dalam satu tabel besar2. Semantic data modeling menggunakan pengetahuan dari proses bisnis dan informasi yang dibutuhkan untuk menciptakan diagram yang menunjukkan apa yang ada di dalam tabel

Chapter 5: Computer Fraud and Abuse

Berikut merupakan ancaman dari Accounting Information System: Bencana alam dan politik Malfungsi peralatan dan error pada software Tindakan yang tidak disengaja Tindakan yang disengaja (kejahatan komputer)

FRAUD adalah mendapatkan manfaat yang tidak adil terhadap orang lain. Beberapa hal yang merupakan fraud:1. Laporan, representasi dan pengungkapan yang salah2. Fakta material, sesuatu yang mendorong seseorang melakukan tindakan3. Secara sengaja ingin melakukan kecurangan4. Kepercayaan yang dapat dibenarkan, seseorang percaya pada misrepresentasi untuk melakukan tindakan5. Sebuah kerugian atau kerusakan disebabkan karena korban

Misappropriation of Assets adalah pencurian terhadap aset.Fraudulent financial reporting adalah panduan apakah sebuah tindakan atau penghilangan menghasilkan sesuatu material dalam pelaporan keuangan.Tindakan yang mengurangi fraudulent financial reporting:1. Membuat lingkungan organisasi yang berintegritas2. Mengidentifikasi dan memhami faktor yang mendorong kecurangan3. Menduka risiko kecurangan dalam perusahaan4. Mendesain dan mengimplementasikan internal kontrol untuk menyediakan alasan masuk akal pencegahan kecurangan

Tanggungjawab Auditor untuk mendeteksi Fraud: Memahami Fraud auditor tidak bisa mengaudit secara efektif apabila tidak memahami Mendiskusikan risiko material dari fraudulent misstatement dalam perencanaan audit, setiap anggota mendiskusikan tentang bagaimana dan di mana laporan keuangan dikatakan fraud Menggali informasi melalui uji pencatatan perusahaan, bertanya kepada manajemen/komite audit untuk menanyakan fraud yang lalu atau saat ini. Identifikasi, menduga dan merespon risiko menggunakan berbagai prosedur audit dengan variasi nature, timing dan dengan evaluasii internal kontrol. Evaluasi hasil dari audit apakah mengidentifikasi misstatement mengindikasikan adanya fraud dan menentukan dampaknya ke laporan keuangan Menemukan dan mengomunikasikan dokumen ke manajemen dan komite audit Menggabungkan fokus ke teknologi mengakui pengaruh teknologi terhadap risiko kecurangan dan menyediakan komentar terhadap dampak yang ditimbulkan.

WHO PERPERTRATES FRAUD AND WHYAda tiga kondisi yang menyebabkan terjadinya fraud: Pressure dorongan/motivasi seseorang untuk melakukan fraudTerdapat 3 tipe yaitu finansial, emosional dan lifestyle. (contoh tabel 5-1 hal. 147) Opportunity kondisi atau situasi yang membuat seseorang atau organisasi melakukan hal berikut: Melakukan fraud Menyembunyikan fraud Mengubah pencurian atau misrepresentation ke dalam keuntungan pribadiContoh di Tabel 5-4 hal 149. Rationalization mengijinkan pelaku kecurangan untuk membenarkan perilaku illegal.

COMPUTER FRAUDAdalah fraud yang memerlukan pengetahuan akan teknologi computer untuk melakukan kecurangan, menginvestigasi dan menuntutnya.

Klasifikasi Computer Fraud:a. Input FraudHal paling mudah yang dilakukan adalah pemalsuan input. Pelaku hanya perlu pengetahuan tentang bagaimana sistem beroperasi sehingga bisa menutupi tindakan mereka.b. Processor FraudTermasuk dalam penggunaan sistem yang tidak terotorisasim misalnya pencurian waktu computer dan servis.c. Computer Instruction FraudTermasuk mengubah sesuatu secara illegal pada software perusahaan, menyalin, menggunakan tanpa otorisasi dan mengembangkan software untuk kegiatan tak terotorisasi.d. Data FraudSecara illegal menggunakan, menyalin, mencari dan merusak data perusahaan yang menimbulkan data fraud.e. Output FraudOutput bisa jadi tidak aman karena bisa dicuri, disalin dan disalahgunakan.

PENCEGAHAN DAN MENDETEKSI FRAUD (Tabel 5-5 hal. 154) Membuat fraud jarang terjadi Menciptakan budaya perusahaan yang integritas dan komitmen terhadap nilai etis Mengidentifikasi kejadian yang mendorong adanya risiko fraud Mengimplementasikan kebijakan sumber daya manusia dalam rekrutmen, evaluasi, dll Meningkatkan penalti untuk yang melakukan fraud Pengawasan yang aktif dan keterlibatan dari komite audit dan BOD Meningkatkan kesulitan melakukan fraud Mengembangkan sistem yang kuat pada internal kontrol Pemisahan fungsi akuntansi dari otorisasi, pencatatan dan penjagaan Pemisahan yang sesuai atas kewajiban antar sistem fungsi Penjagaan semua aset, pencatatan dan data. Cek independen pada peforma Meningkatkan metode deteksi Menciptakan audit pada transaksi individual Meng-install software pendeteksi fraud Mempekerjakan petugas keamanan computer Mengawasi aktivitas sistem termasuk computer dan jaringan Mengurangi kerugian fraud Memelihara asuransi Mengembangkan pencegahan fraud secara komprehensif, pemulihan bencana dan perencanaan bisnis berlanjutan Menyimpan back-up salinan Menggunakan software untuk mengawasi sistem aktivitas dan pemulihan dari fraud

--- Dibuku ini Chapter 6 tentang Abuse ---

COMPUTER ATTACKS AND ABUSE

Hacking adalah akses yang tidak terotorisasi, memodifikasi dan menggunakan alat elektronik atau beberapa elemen dalam sistem komputer.Spamming adalah meng-email atau mengirimkan pesan yang tidak diminta kepada banyak orang pada waktu yang sama dan seringnya menjual sesuatu hal.Spoofing adalah membuat komunikasi elektronik yang terlihat seolah-olah seseorang mengirimkan tersebut untuk memperoleh kepercayaan penerima, yang bisa termasuk: Email Spoofing: membuat email yang terlihat asli dari sumber yang berbeda Caller D Spoofing: menampilkan nomor yang tidak benar IP Address Spoofing: membuat paket internet protocol (IP) dengan melupakan sumber alamat untuk menghilangkan identitas pengirim Address Resolution Protocol (ARP) Spoofing:Mengirim pesan ARP palsu ke sebuah LAN SMS Spoofing: menggunakan pesan pendek untuk mengubah nama atau angka sebuah pesan yang muncul darimana Web-Page Spoofing (phising) DNS Spoofing: mencari ID atau sistem domain

Zero-day attack sebuah penyerangan antara waktu sebuah software baru yang mudah diserang dan waktu seorang pengembang software merilis patch yang menyelesaikan masalah.Cross-site scripting (XSS) kerentanan diserang dalam website yang dinamis yang mengijinkan penyerang memperoleh keamanan browser dan menginstruksikan korban untuk mengeksekusi.Buffer overflow attack terjadi ketika sejumlah data masuk ke dalam program lebih besar daripada jumlah memori yang adaSQL Injection (insertion) attack menyerang, menggunakan kode jahat yang dimasukan ke dalam input sehingga bisa dilewati dan bisa mengeksekusi programMan-in-the-middle (MITM) attack menempatkan hacker antara klien dan sebuah host dan menangkap jaringan yang ada.Masquerading atau impersibation berpura-pura mengotorisasi pengguna untuk mengakses sebuah sistem (saat pelaku tahu password dan ID)Piggybacking memiliki beberapa makna: Penggunaan wi-fi milik tetangga, yang bisa dicegah dengan memberikan password Masuk ke dalam line telekomunikasi dan secara elektronik merusak pengguna resmi sebelum memasuki sistem yang aman Seseorang yang tidak sah mengikuti seseorang yang sah melalui pintu aman dengan melewati pengawasan keamanan fisik seperti idcard, dllPassword cracking memasuki pertahanan sistem, mencuri data dengan password yang valid, decrypting dan menggunakannya untuk mengakses program, file dan data.War dialing memprogram computer untuk menekan ribuan line telepon Dll (ada banyak di

Chapter 6: Control and Accounting Information System

Alasan organisasi gagal dalam controlling sistem komputer:1. Informasi ada dalam jumlah yang sangat banyak2. Informasi yang didistribusikan melalui komputer sulit dikontrol3. Konsumen dan suplier memiliki akses sistem dan data masing-masing

Organisasi tidak melindungi data mereka untuk beberapa alasan: Perusahaan melihat sebagai informasi yang tidak krusial Tidak sepenuhnya memahami sistem berbasis internet Banyak perusahaan yang tidak menyadari informasi sebagai sumber daya strategis yang harus dilindungi Produktivitas dan tekanan biaya memotivasi manajemen untuk menghilangkan waktu kontrol.

Internal control adalah proses yang diimplementasikan untuk menyediakan informasi reasonable yang mengikuti objektif kontrol yang dicapai: Safeguard Asset mencegah atau mendeteksi otorisasi akuisisi, penggunaan dan disposisi. Maintain record dalam detail yang cukup untuk laporan perusahaan atas aset secara akurat dan adil Menyediakan informasi yang akurat dan terpercaya Menyiapkan laporan keuangan dengan kriteria yang sudah dibangun Mempromosikan dan meningkatkan efisiensi operasional Mendorong kesetaraan dalam menentukan kebijakan manajerial Mematuhi peraturan dan hukum yang berlakuProses menggambarkan aktivitas operasional perusahaan dan sebuah bagian integral dari aktivitas manajemenReasonable assurance melengkapi jaminan yang sulit untuk dicapai dan biasanya mahal

Fungsi penting internal kontrol:1. Preventive control menentukan masalah sebelum muncul. Contoh: mempekerjakan orang berkualitas, memisahkan kewajiban karyawan, dll2. Detective control mengungkapkan masalah yang tidak bisa dicegah. Contoh: duplikasi penghitungan pada cek3. Corrective control mengidentifikasi dan menyelesaikan masalah dari hasil yang error.

Kategori Internal kontrol:1. General control memastikan lingkungan kontrol organisasi stabil dan managed-well. Contoh: infrastruktur IT, akuisisi software, etc2. Application control memastikan transaksi diproses secara tepat. Fokus pada akurasi, kelengkapan, validitas dan otorisasi data yang diambil, dimasukkan, diproses, disimpan, dipindahkan ke sistem lain dan dilaporkan.

Level kontrol untuk membantu manajemen menyelesaikan kreativitas dan kontrol:1. Belief system mendeskripsikan bagaimana perusahaan menciptakan nilai, membantu karyawan memahami visi manajemen, mengomunikasikan nilai inti perusahaan dan menginspirasi karyawan untuk hidup dalam value tersebut.2. Boundary system membantu karyawan untuk bertindak secara etika dengan mengantur batasan pada tingkah laku karyawan.3. Diagnostic control system menghitung, mengawasi dan membandingkan progress actual perusahaan dengan anggaran dan performance goal.4. Interactive control system membantu manajer untuk fokus pada perhatian sub-ordinate pada isu kunci strategis dan lebih terlibat pada keputusan mereka.

Foreign Corrupt Practice Act (FCPA) 1977 mencegah perusahaan dari tindakan menyuapSarbanes-Oxley Act (SOX) tahun 2002 mencegah tindakan fraud pada laporan keuangan dengan membuat lebih transparan, melindungi investor memperkuat internal kontrol dan menghukum pelaku fraud.

KERANGKA KONTROL

1. COBIT (Control Objectives for Information and Related Technology) FrameworkDari tiga poin: Business objectives untuk memuaskan objektif bisnis, informasi harus dibedakan menjadi 7 kategori yang telah dibuat oleh COSO.2. COSOs (Committee of Sponsoring Organizations) Internal Control FrameworkMengeluarkan Internal ControlIntegrated Framework (IC).3. COSOs Enterprise Risk Management FrameworkMengembangkan Enterprise Risk ManagementIntegrated Framework (ERM), yaitu proses dewan dan manajemen menggunakan sekumpulan strategi, mengidentifikasi kejadian yang mempengaruhi entits, menduga risiko dan menyediakan reasonable assurance untuk perusahaan mencapai objektif dan goals. Lebih menekankan pada mengatur ketidakpastian atau uncertainty.

Lima komponen yang saling berhubungan pada model COSO:a. Control environment: ini dari bisnis adalah orangnya (integritas, nilai, kompetensi) dan lingkungan yang mengaturnya.b. Control activities: kebijakan kontrol dan prosedur untuk menjamin tindakan yang diidentifikasi oleh manajemenc. Risk assessment: identifikasi, analisis dan mengatur risiko.d. Information and communication: mengambil dan menukarkan informasi yang dibutuhkan untuk kontrole. Monitoring: mengawasi dan memodifikasi jika diperlukan.

LINGKUNGAN INTERNAL Atau budaya organisasi, mempengaruhi bagaimana organisasi membangun strategi dan objektif, struktur aktivitas bisnis dan mengidentifikasi, menduga dan merespon risiko.

Lingkungan internal terdiri dari:1. Filosofi manajemen, operating style dan risk appetiteFilosofi: kepercayaan dan attitude yang dibagi. Risk appetite: jumlah risiko yang ingin diterima untuk mencapai goals.2. Board of DirectorsReview secara independen untuk checks dan balance tindakan sehingga memerlukan komite audit diluar dari BoD.3. Komitmen untuk integritas, nilai etis dan kompetensiStandar etika diperlukan sebuah bisnis yang baik, yang dimulai dari atas lalu diadopsi oleh karyawan.4. Struktur OrganisasiMenyediakan kerangka perencanaan, eksekusi, mengawasi dan mengontrol operasional. Aspek penting antara lain otoritas secara sentralisasi atau desentralisasi, hubungan pelaporan secara langsung atau matriks, alokasi tanggung jawab, ukuran perusahaan, dll.5. Metode dari penentuan otoritas dan tanggung jawabMemastikan karyawan memahami tujuan entitas dan objektif, menentukan otoritas dan tanggung jawab untuk menyelesaikan masalah.6. Standard sumber daya manusiaSalah satu bentuk kontrol yang paling kuat adalah kejujuran karyawan, dan yang paling lemah adalah ketidakjujuran.7. Pengaruh eksternalTerkait dengan saham, standar akuntansi, dll.

PENGATURAN OBJEKTIF Strategic objective high-level goals yang sejalan dengan misi perusahaan, mendukung dan menciptakan nilai pemegang saham. Operation objective terkait dengan efektivitas dan efisiensi operasi perusahaan untuk menentukan bagaimana untuk mengalokasi sumber daya. Reporting objective membantu menjamin akurasi, kelengkapan, realibilitas laporan perusahaan, meningkatkan pembuatan keputusan dan mengawasi aktivitas dan peforma perusahaan. Compliance objective membantu perusahaan mematuhi semua peraturan dan hukum yang berlaku.

IDENTIFIKASI EVENTEvent didefinisikan sebagai suatu insiden atau kejadian yang muncul dari internal atau eksternal yang mempengaruhi implementasi strategi atau pencapaian objektif.

RISK ASSESSMENT & RISK RESPONSEInherent risk ada sebelum manajemen mengambil berbagai tindakan untuk menghubungan lingkungan yang memberi dampak pada suatu kejadianResidual risk apa yang tersisa setelah manajemen mengimplementasikan kontrol internal atau hal terkait risiko

Manajemen bisa merespon risiko menjadi empat cara: Reduce mengurangi lingkungan dan dampak risiko dengan mengimplementasikan sistem internal kontrol yang efektif. Accept menerima lingkungan dan dampak dari risiko Share membagi risiko atau transfer ke seseorang dengan membeli asuransi, outsourcing, atau hedging. Avoid dengan tidak terlibat dalam aktivitas yang memproduksi risikoModel pendekatan ada di Figure 7-2 hal. 214

AKTIVITAS KONTROLAdalah kebijakan dan prosedur yang menyediakan reasonable assurance yang mengontrol objektif dan mengeluarkan risiko.

Kegagalan prosedur kontrol dibagi dalam kategori berikut:1. Kesesuain otorisasi transaksi dan aktivitas2. Pemisahan kewajiban3. Pengembangan projek dan kontrol akuisisi4. Mengubah kontrol manajemen5. Mendesain dan menggunakan dokumen dan pencatatan6. Perlindungan aset, pencatatan dan data7. Cek independen pada peforma

MONITORING1. Memberikan evaluasi ERM2. Implementasi supervise yang efektif3. Menggunakan sistem akuntansi dengan bertanggungjawab4. Pengawasan sistem aktivitas5. Mengawasi audit secara periodic6. Mempekerjakan petugas keamanan komputer7. Menginstall software deteksi fraud8.

Chapter 7: Information Systems Controls for Systems Reliability: Information Security

Kriteria manajemen yang baik: Effectiveness: informasi harus relevan dan tepat waktu Efficiency: informasi dihasilkan dengan biaya yang efektif Confidentiality: informasi sensitive harus dilindungi dari pengungkapan tak terotorisasi Integrity: informasi harus akurat, lengkap dan valid Availability: informas harus ada kapanpun dibutuhkan Compliance: kontrol haru smenjamin penerapan kebijakan internal dan hukum dan peraturan eksternal Reliability: manajamen harus memiliki akses informasi yang sesuai yang dibutuhkan untuk memimpin aktivitas sehari-hari dan untuk melakukan tanggung jawab pemerintah

Aktivitas dasar manajemen: Plan and Organize (PO): menentukan rencana strategis IT, pengumpulan informasi, arahan teknological, proses IT & hubungannya, mengantur investasi IT, dll Acquire and Implement (AI): mengidentifikasi solusi, memperoleh & memelihara software dan infrastruktur teknologi, bisa dioperasi dan digunakan, mengatur perubahan, dll Deliver and Support (DS): mendefinisikan dan mengatur level servis, mengatur pihak ketiga, mengatur peforma dan kapasitas, menjamin servis berlanjutan, dll Monitor and Evaluate (ME): mengawas dan mengevaluasi peforma IT dan internal control, menjamin pemenuhan kebutuhan eksternal dan peraturan IT

Kategori untuk sistem yang terpercaya: Security: akses pada sistem dan data dikontrol dan dibatasi untuk pengguna sesuai Confidentiality: informasi organisasi yang sensitif dilindungi dari pengungkapan tak terotorisasi Privacy: informasi personal tentang konsumen dikumpulkan, digunakan, diungkapkan dan dijaga untuk memenuhi kebijakan internal dan peraturan luar dan dilindungi dari pengguna tak terotorisasi Processing Integrity: data diproses secara akurat, lengkap, tepat waktu dan hanya oleh otorisasi sesuai Availability: sistem dan informasi ada untuk bertemu dengan operasional dan kewajiban kontraktual

KONSEP DASAR KEAMANAN INFORMASI1. Security adalah isu manajemen, bukan isu teknologi Menciptakan dan mengembangkan budaya security-aware Menyimpan dan menilai sumber informasi perusahaan Menduga risiko dan memilih respon risiko Mengembangkan dan mengomunikasikan rencana, kebijakan dan prosedur keamanan Memperoleh dan menyebarkan teknologi dan produk keamanan informasi Mengawasi dan mengevaluasi efektivitas program keamanan informasi organisasi

2. Defense-in-Dept dan Time-Based Model dalam keamanan informasiDefense-in-Dept adalah menggunakan berbagai lapisan kontrol agar mencegah kegagalan.Time-based model of security adalah menggunakan kombinasi kontrol detektif dan korektif untuk mengidentifikasi informasi lebih awal yang cukup untuk mencegah kerugian atau informasi mencurigakan.P > D + CP = waktu yang diambil penyerang untuk mematahkan kontrol preventif perusahaanD = wakru yang diambil untuk mendeteksi sebuah penyeranganC = waktu yang diambul untuk merespon penyerangan

MEMAHAMI TARGETED ATTACKS1. Melakukan pengintaian (reconnaissance) untuk belajar banyak tentang target yang mungkin dan identifikasi potensi mudah diserang2. Mencoba social engineering proses penyerang akan sering mencoba menggunakan informasi untuk menggali selama pengintaian awal untuk menipu karyawan yang tidak menaruh curiga (unsuspecting) hingga mendapatkan akses.3. Mengamati dan memetakan target (scan & map) jika penyerang tidak berhasil melalui social engineering, langkah berikutnya adalah mengintai lebih untuk mengidentifikasi potensial point untuk masuk4. Penelitian (research) penyerang mengidentifikasi target dan mengetahui versi software yang digunakan5. Eksekusi penyerangan dan menggali akses tak terotorisasi dalam penyerangan6. Menutupi jejak agar penyerangan tak terungkap

KONTROL PREVENTIF Training penting karena karyawan harus memahami dan mengikuti kebijakan security Kontrol akses penggunaAunthentication: proses verifikasi identitas seseorang atau device yang mencoba akses sistem seperti dengan PIN, ID atau biometric identifier (sidik jari, suara)Authorization: proses membatasi akses dari pengguna yang sudah authencticated untuk porsi yang spesifik dalam sistem dan membatasi tindakan apa yang diijinkan untuk dilakukan. Dengan membuat access control matrix yang ketika karyawan akan mengakses informasi tertentu akan dilakukan compatibility test yang menyesuaikan keaslian pengguna dengan kontrol matriks untuk menentukan apakah karyawan diijinkan atau tidak. Kontrol akses physical (lock, guards, dll) Kontrol akses network (firewall, sistem pencegahan, dll)

KONTROL DETEKTIF Log analysis: proses memeriksa logaritma untuk mengidentifikasi bukti dari kemungkinan penyerangan Intrusion detection system: terdiri dari sekumpulan sensor dan unit pengawasan pusat yang menciptakan lalu lintas jaringan logaritma yang mengijinkan untuk melewati firewall dan lalu menganalisis logaritma tersebut untuk menandai usaha atau pengacauan. Security testing & audit: untuk uji efektivitasPenetration test: usaha mengotorisasi dengan itnernal audit atau keamanan eksternal. Managerial report: manajemen perlu mengawasi dan mengevaluasi peforma dan kontrol sistem seperti jumlah kejadian dan pengaruh bisnis, persen pengguna yang tidak sesuai password, dan persen kunci kriptografi yang mencurigakan dan menggusarkan

KONTROL KOREKTIF Computer incident response teams (CIRT) bertanggungjawab untuk berhadapan dengan kejadian mayor, melalui langkah:1. Recognition atau mengakui bahwa masalah ada2. Containment atau menahan masalah3. Recovery atau pemulihan4. Follow-up Chief information security officer (CISO) fungsi sistem lain yang independen dan harus memberikan laporan kepada COO atau CEO. Patch management proses secara regular yang menerapkan patches (kode yang dihasilkan dari pengembang software yang menetapkan serangan tertentu) dan memperbarui semua software yang digunakan organisasi

IMPLIKASI KEAMANAN PADA VIRTUALISASI DAN CLOUDVirtualization: mengambil keuntungan dari kekuatan dan kecepatan komputer untuk menggunakan beberapa sistem secara bersamaan pada satu komputer fisik.Cloud computing: mengambil keuntungan dari bandwidth yang tinggi, dari jaringan telekomunikasi global yang membuat karyawan menggunakan browser untuk mengakses software, data storage device, hardware dan aplikasi lain secara jauh (remotely).

Chapter 8: Information Systems Controls for Systems Reliability: Confidentiality, Privacy, Processing Integrity and Availability

CONFIDENTIALITY (KERAHASIAAN)Tindakan yang dilakukan:1. Identifikasi dan klasifikasi informasi yang dilindungi dimana dan siapa yang mengakses2. Melindungi kerahasiaan dengan enkripsi3. Mengontrol akses terhadap informasi sensitif Software Information rights management (IRM) menyediakan tambahan lapisan perlindungan untuk informasi spesifik yang menawarkan kapabilitas tidak hanya akses terbatas tapi juga tindakan spesifik Software Data loss prevention (DLP) yang bekerja seperti kebalikan antivirus, memblokir pesan yang berisi kata kunci berhubungan dengan properti intelektual atau data sensitif lain.4. Training

PRIVACYKontrol privasi yang dilakukan:1. Identifikasi informasi yang butuh dilindungi2. Enkripsi3. Kontrol akses 4. Training

Hal yang diperhatikan privasi: Spam: Email yang tidak diminta yang berisi iklan atau konten serangan Identity Theft: menggunakan secara tidak terotorisasi informasi personal seseorang untuk keuntungan pelaku kecurangan.

Peraturan tentang Privasi menurut GAAP:1. Management organisasi perlu membangun seperangkat prosedur dan kebijakan untuk melindungi privasi dari informasi personal yang diambil dari konsumen.2. Notice membuat perhatian pada kebijakan privasi dan praktik pada saat atau sebelum waktu pengumpulan informasi dari konsumen3. Choice & consent organisasi menjelaskan pilihan yang tersedia untuk individual dan mendapatkan izin sebelum mengumpulkan dan menggunakan informasi personal4. Collection organisasi mengumpulkan hanya informasi yang dibutuhkan yang sesuai dengan kebijakan privasi5. Use and retention menggunakan informasi secara wajar seperti yang tertuang pada kebijakan privasi6. Access menyediakan kemampuan akses, tinjauan, pembenaran dan penghapusan data informasi yang disimpan tentang mereka.7. Disclosure to third parties mengungkapkan informasi personal untuk pihak ketiga hanya pada situasi dan cara yang dijelaskan pada kebijakan privasi.8. Security organisasi harus mengambil langkah yang masuk akal untuk melindungi informasi personal dari konsumen dari kerugian dan pengungkapan tak terotorisasi.9. Quality memelihara integritas dari informasi personal konsumen dan menggunakan prosedur yang menjamin akurat.10. Monitoring & enforcement menugaskan satu atau dua karyawan untuk bertanggungjawab menjamin pematuhan dari kebijakan privasi yang tertulis.

ENKRIPSI (Encryption) adalah proses pengubahan konten normal (plain text) menjadi kacau tak terbaca (clipher text).Decryption yaitu mrngubah clipher text kembali menjadi plain text.

Faktor yang mempengaruhi kekuatan enkripsi:1. Key length semakin panjang kunci, semakin kuat enkripsi dengan mengurangi jumlah pengurangan block pada cliphertext. 2. Encryption algorithm algoritma digunakan untuk mengombinasikan kunci dan plaintext menjadi penting3. Kebijakan untuk mengatur cryptographic keys cryptographic keys harus disimpan secara aman dan dilindungi dengan kontrol akses yang kuat.

Tipe sistem enkripsi: Symmetric encryption system menggunakan kunci yang samam untuk enkripsi dan decryption. Asymmetric encryption system menggunakan dua kunci yaitu public key (secara luas didistribusikan kepada setiap orang) dan private key (rahasia dan hanya diketahui pemilik kunci)

Hashing proses yang mengambil paintext dalam berbagai panjang dan mengubahnya menjadi kode yang lebih pendek, disebut hash.

HashingEncryption

1. Fungsi one-way (tidak bisa di-reverse)2. Berapapun ukuran input memiliki output dengan ukuran yang tetap (1 halaman, 1 kalimat)1. Reversible (bisa di-decrypt ke plaintext)2. Ukuran output sama dengan ukuran input (satu kalimat jadi satu kalimat, dst)

Digital Signature sebuah hash dari dokumen yang dienkripsi menggunakan dokumen pembuat kunci privat

Digital Certificate dokumen elektronik yang berisi public key entitas dan menjamin identitas pemilik owner kepada publik. Sistemnya disebut public key infrastructure (PKI).

Virtual Private Network (VPNs) mengenkripsi informasi melalui internet, dengan menyediakan jaringan keamanan secara privat tanpa biaya yang berhubungan dengan peminjaman line telepon, satelit dan peralatan komunikasi lain.

PROCESSING INTEGRITY menjamin sistem terpercaya yang menghasilkan informasi yang akurat, lengkap, tepat waktu dan valid.1. Input control Form design sumber dokumen dan form lain harus didesain untuk meminimalkan peluang eror dan kelalaian. Bentuknya: semua dokumen dinomori dan turnaround document (pencatatan perusahaan dikirim ke pihak eksternal dan dikembalikan ke pihak eksternal untuk menjadi input) Pembatalan dan penyimpanan sumber dokumen Mengontrol data entry menggunakan field check, sign check, limit check, range check, size check, completeness check, validity check, reasonableness test dan otorisasi nomor ID.

Tambahan kontrol data input: Additional batch processing data entry control Terdapat sequence test untuk menentukan apakah satu batch input data sesuai dengan urutan secara nomor atau huruf. Batch total merangkum nilai penting untuk satu batch dari pencatatan input: Financial total menjumlah field yang berisi nilai monetary Hash total menjumlah field non-keuangan seperti jumlah pemesanan Record count adalah jumlah pencatatan dalan satu batch Additional online data entry control Prompting (onlinecompleteness test) sistem mana yang meminta setiap item data input dan menunggu respon penerimaan, menjamin semua data yang dibutuhkan dimasukan Closed-loop verification mengecek keakuratan data input dengan menggunakan data untuk mendapatan kembali dan memperlihatkan informasi terkait. Transaction log berisi setiap detail pencatatan transaksi

2. Processing control Data matching dua atau lebih data harus disesuaikan sebelum mengambil tindakan File labels label perlu dicek untuk menjamin bahwa file yang benar dan paling baru yang diperbarui. Recalculation of batch totals dihitung kembali untuk setiap pencatatan transaksi yang diproses dan total batch dibanding dengan pencatatan akan dipergunakan. Cross-footing test membandingkan hasil yang diproduksi setiap metode untuk verifikasi keakuratanZero balance test menerapkan logika yang samam untuk mengontrol akun Write-protection mechanishm melindungi dari kelebihan penulisan atau penghapusan file data yang disimpan pada media magnetic. Concurrent update controls mencegah eror dengan mengunci satu pengguna sampai sistem selesai dalam memproses transaksi yang akan dimasukan oleh yang lain

3. Output control User review of output: pengguna berhati-hati menentukan sistem output untuk memverifikasi yang reasonable, lengkap dan untuk penerima tertentu. Reconciliation procedures: secara periodik, semua perbaruan transaksi dan sistem direkonsiliasi dalam laporan kontrol, laporan file status/update, dan lainnya. External data reconciliation: database direkonsiliasi dengan data yang dijaga dari luar sistem. Data transmission control: mengimplementasikan kontrol yang didesain untuk meminimalkan risiko eror dalam pemindahan data. Checksum: ketika data ditransmisikan, pengirim device bisa menghitung hash dalam file. Parity bits: digit extra yang ditambahkan untuk menjadi awal dari setiap karakter yang bisa digunakan untuk mengecek akurasi.Device penerima akan melakukan parity checking untuk verifikasi jumlah angka yang sesuai yang telah diatur pada setiap karakter diterima.

AVAILABILITYObjektif:1. Meminimalkan risiko sistem downtimeKunci kontrol: Preventive maintenance mengurangi risiko kerusakan software dan hardwareMisal: pembersihan disk drive dan penyimpanan sesuai Fault tolerance kemampuan sistem untuk melanjutkan fungsi pada kejadian yang mengalami kegagalan Data center location and design untuk meminimalkan risiko yang berhubungan dengan bencana yang disebabkan alam maupun manusia.Misal: pendeteksi kebakaran, kabel dengan special plug, kontrol akses fisik, dll. Training operator tidak rentan berbuat kesalahan dan tahu cara pemulihan Patch management & antivirus software

2. Mempercepat dan melengkapi pemulihan (recovery) dan penerusan (resumption) operasi normal Memerlukan backup, yaitu salinan pasti dari database, file, atau software terbaru yang bisa digunakan ketika yang asli tidak bisa dipakai. Recovery point objective (RPO) merepresentasikan jumlah data maksimum yang akan berpotensi hilang. Recovery time objective (RTO) merepresentasikan berapa lama organisasi berfungsi tanpa menggunakan sistem tersebut.

Data backup procedures didesain untuk berhadapan dengan situasi di mana informasi tidak dapat diakses karena file atau database yang relevan menjadi rusak sebagai hasil dari kegagalan hardware, masalah software dan human error. Full Backup salinan pasti yang mencakup keseluruhan database. Memakan waktu jadi biasanya per minggu. Partial Backup sebagian database, biasanya harian. Incremental backup: melibatkan salinan data yang telah berubah sejak partial backup terakhir. Differential backup: menyalin semua perubahan yang dibuat sejak terakhir full back up.

Disaster recovery and business continuity planning untuk masalah yang lebih serius Disaster recovery plan (DRP) menguraikan prosedur untuk mengembalikan fungsi IT organisasi dalam suatu kejadian yang pusat datanya rusak oleh bencana alam atau terorisme. Cold site: bangunan kosong yang dipasang sebelumnya untuk kebutuhan akses telepon dan internet, dan kontrak dengan satu atau lebih vendor yang menyediakan semua kebutuhan peralatan dalam periode waktu tertentu. Hot site: fasilitas yang tidak hanya ada akses telepon dan internet, tetapi juga semua peralatan perhitunga dan kantor yang dibutuhkan untuk memberikan peforma pada esensi aktivitas bisnis. Data center kedua sebagai backup dengan infrastruktur penggantian tempat. Business continuity plan (BCP) men-spesifikasikan bagaimana untuk melanjutkan tidak hanya operasional IT tetapi semua proses bisnis, termasuk relokasi kantor baru, dll.

Effects of Virtualization & Cloud Computing Virtual machine untuk mengumpulkan file software. Virtualization mengurangi waktu yang dibutuhkan untuk recover (RTO) dari masalah hardware. Cloud computing menggunakan bank dari server berlebih di berbagai lokasi yang mengurangi risiko bencana alam yang menghasilkan system downtime dan kehilangan sema data,

PERUBAHAN KONTROLChange control proses formal yang digunakan untuk menjamin modifikasi pada hardware, software dan proses tidak mengurangi sistem reliability. Semua perubahan harus didokumentasikan dan mengikuti standar Semua perubahan harius disetujuo oleh manajemen level yang sesuai Untuk menentukan dampak perubahan, harus dilakukan serangkaian tes. Semua dokumen harus diperbarui. Perubahan emergency harus didokumentasikan Back out plan dibutuhkan untuk mengembangkan konfigurasi sebelumnya. Pengguna hak dan privileges harus diawasi secara hati-hati selama proses perubahan.

Chapter 9: Auditing Computer-Based Information Systems

Auditing proses sistematik dari menggali dan mengevaluasi bukti terkait pernyataan tentang tindakan dan kejadian ekonomis untuk menentukan bagaimana mereka akan menghubungkan dengan kriteria tertentu.

Internal audit aktivitas konsultasi dan penjaminan yang independen dan objektif yang didesain untuk menambahkan nilai dan meningkatkan efektivitas dan efisiensi perusahaan, termasuk membantu desain dan implementasi AIS.

Tipe Audit Internal:1. Financial audit menentukan reliabilitas dan integritas dari transaksi keuangan, pencatatan akun dan laporan keuangan2. Information system, internal control, audit meninjau kontrol pada AIS untuk menentukan pematuhan terhadap kebijakan internal kontrol dan prosedur serta efektivitas dari keamanan aset. Audit biasanya mengevaluasi sistem.3. Operational audit fokus pada penggunaan sumber daya yang ekonomis dan efisien dan pencapaian dari tujuan dan objektif yang terbentuk.4. Compliance audit menentukan apakah entitas mematuhi peraturan, hukum, kebijakan dan prosedur yang berlaku. 5. Investigate audit menentukan kejadian dari kemungkinan fraud, kehilangan aset, pembuangan dan perusakan, atau tindakan pemerintah yang tidak sesuai.

AUDITINGProses Audit1. Perencanaan Audit Menentukan mengapa, bagaimana, kapan dan siapa audit akan dilakukan. Membangun scope dan objektif Menentukan tim audit Mengembangkan pengetahuan tentang operasi bisnis Meninjau hasil audit sebelumnya Identifikasi faktor risiko Inherent risk: kerentanan terhadap risiko material atas tidak adanya kontrol Control risk: risiko yang sebuah material misstatement akan ada melalui struktur kontrol internal dan masuk ke laporan keuangan. Detection risk: risiko bahwa auditor dan prosedur auditor akan gagal dalam mendeteksi error atau misstatement yang bersifat material. Menyiapkan program audit

2. Pengumpulan Bukti Audit Observation aktivitas operasional Review dokumen Discussion dengan karyawan Questionnaires untuk memperoleh data Physical examination pada aset Confirmation tentang akurasi informasi Reperformance perhitungan untuk verifikasi informasi kuantitatif

3. Evaluasi Bukti Audit untuk menentukan apakah mendukung kesimpulan yang sesuai atau tidak. auditor mencari reasonable assurance yang tidak ada material error pada informasi atau proses audit.

4. Komunikasi Hasil Audit Melalui laporan tertulis yang merangkum penemuan audit dan rekomendasi kepada manajemen, komite audit dan dewan direksi.

Pendekatan Risk-Based Audit sebagai kerangka sistem informasi audit:1. Menentukan ancaman (fraud & error) yang dihadapi perusahaan2. Identifikasi prosedur kontrol yang mencegah, mendeteksi dan memeriksa ancaman3. Evaluasi prosedur kontrol, dengan 2 cara: System review: apakah prosedur kontrol sesuai dengan ditempatkan Test of control: menentukan apakah adaya kontrol bekerja sesuai tujuan4. Evaluasi kelemahan kontrol untuk menentukan efek pada dasar, waktu atau tingkat pada prosedur audit jika control risk tinggi, auditor harus mencari bukti lebih. Kelemahan bisa diterima dengan compensating control.

INFORMATION SYSTEM AUDITEnam objektif:1. Ketentuan keamanan yang melindungi peralatan komputer, program, komunikasi dan data dari akses tak terotorisasi, modifikasi dan destruksi.2. Pengembangan program dan akuisisi sejalan dengan otorisasi umum dan khusus manajemen.3. Modifikasi program memiliki otorisasi dan persetujuan.4. Proses transaksi, file, laporan dan pencatatan secara akurat dan lengkap.5. Sumber daya yang tidak akurat dan tidak terotorisasi dengan sesuai diidentifikasi dan diatur sesuai dengan kebijakan manajemen6. File data komputer akurat, lengkap dan rahasia.

AUDIT SOFTWAREComputer-assisted audit techniques (CAATS) atau disebut generalized audit software (GAS) yang menggunakan spesifikasi audit untuk membuat program fungsi audit, yang secara otomatis atau menyederhanakan proses audit.

Hal penting dalam penggunaan CAATS: Mempertanyakan data untuk mendapatkan kembali catatan dengan kriteria spesifik Membuat, memperbarui, membandingkan, men-download dan menggabungkan file Merangkum, menyusun dan menyaring data Mengakses data dalam format yang berbeda dan mengubah data menjadi format umum Menentukan catatan terhadap kualitas, kelengkapan, konsistensi dan ketepatan. Stratifikasi pencatatan, memilih dan menganalisis sample secara statistik. Menguji risiko tertentu dan mengidentifikasi bagaimana mengontrol risiko Menghitung, analisis statistik dan operasi matematis Melakukan tes analitik, seperti analisis tren atau rasio.

OPERASIONAL AUDIT PADA AISSistem informasi audit terbatas pada internal kontrol dan audit finansial pada sistem output dan operasional audit pada semua aspek manajemen. Objektif operasional audit adalah mengevaluasi efektivitas, efisiensi dan pencapaian tujuan.