Perbedaan Audit around the
computer dan through the computer
Pengertian Audit
Audit atau pemeriksaan dalam
arti luas bermakna evaluasi terhadap suatu organisasi, sistem, proses, atau
produk. Audit dilaksanakan oleh pihak yang kompeten, objektif, dan tidak
memihak, yang disebut auditor. Tujuannya adalah untuk melakukan
verifikasi bahwa subjek dari audit telah diselesaikan atau berjalan sesuai
dengan standar, regulasi, dan praktik yang telah disetujui dan diterima.
Auditing-through the computer
Auditing-through the computer
Yaitu audit terhadap suatu penyelenggaraan sistem
informasi berbasis komputer dengan menggunakan fasilitas komputer yang sama
dengan yang digunakan dalam pemrosesan data. pendekatan audit ini berorientasi
computer yang secara langsung berfokus pada operasi pemrosesan dalam system
computer dengan asumsi bila terdapat pengendalian yang memadai dalam
pemrosesan, maka kesalahan dan penyalahgunaan dapat dideteksi. Pendekatan ini
dapat menggunakan perangkat lunak dalam bentuk specialized audit software (SAS)
dan generalized audit software (GAS).
Pendekatan Audit ini digunakan bila pendekatan Auditing
Around the Computer tidak cocok atau tidak mencukupi. Pendekatan ini dapat
diterapkan bersama-sama dengan pendekatan Auditing Around the Computer untuk
memberikan kepastian yang lebih besar.
Definisi Audit Through the computer
Audit
ini berbasis komputer, dimana dalam pendekatan ini auditor melakukan
pemeriksaan langsung terhadap program-program dan file-file komputer pada audit
sistem informasi berbasis komputer. Auditor menggunakan komputer (software
bantu) atau dengan cek logika atau listing program untuk menguji logika program
dalam rangka pengujian pengendalian yang ada dalam komputer.
Bagaimana
caranya untuk pendekatan Audit Through the computer ? Dipenjelasan ini akan
dijelaskan mengenai caranya atau tahapanya yaitu dilakukan dalam kondisi :
1. Sistem aplikasi komputer memproses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperuas audit untuk meneliti keabsahannya. Maksudnya adalah dari suatu sistem aplikasi komputernya dapat memproses suatu hasil input & outputan yang besar sehingga dapat meneliti seteliti mungkin.
2. Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan. Maksudnya adalah suatu bagian yang sangat penting dari suatu struktur pengendalianya adalah dari pihak dalam perusahaan yang terdapat suatu komputer di dalamnya.
Dari kedua istilah diatas bisa disimpulkan bahwa, kedua audit jelas berbeda jika dilihat dari cara pengerjaannya. Dimana jika menggunakan cara Around The Computer sang auditor tidak hanya mengerjakannya melalui komputer saja, dan sebaliknya jika menggunakan cara Through The Computer sang auditor mengerjakan auditnya menggunakan komputer.
1. Sistem aplikasi komputer memproses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperuas audit untuk meneliti keabsahannya. Maksudnya adalah dari suatu sistem aplikasi komputernya dapat memproses suatu hasil input & outputan yang besar sehingga dapat meneliti seteliti mungkin.
2. Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan. Maksudnya adalah suatu bagian yang sangat penting dari suatu struktur pengendalianya adalah dari pihak dalam perusahaan yang terdapat suatu komputer di dalamnya.
Dari kedua istilah diatas bisa disimpulkan bahwa, kedua audit jelas berbeda jika dilihat dari cara pengerjaannya. Dimana jika menggunakan cara Around The Computer sang auditor tidak hanya mengerjakannya melalui komputer saja, dan sebaliknya jika menggunakan cara Through The Computer sang auditor mengerjakan auditnya menggunakan komputer.
Contoh prosedur kerja IT Audit dan forensik
Dengan semakin berkembanganya dunia IT semakin banyak
pula oknum-oknum yang tidak bertanggungjawab menyalahgunakan IT untuk
kepentingan diri sendiri dan merugikan banyak pihak.
IT
Forensic adalah bagian kepolisian yang menelusuri kejahatan-kejahatan dalam
dunia computer/internet. Komputer forensik yang juga dikenal dengan nama
digital forensik, adalah salah satu cabang ilmu foreksik yang berkaitan dengan
bukti legal yang ditemui pada komputer dan media penyimpanan digital.Tujuan
dari komputer forensik adalah untuk menjabarkan keadaan kini dari suatu artefak
digital. Istilah artefak digital bisa mencakup sebuah sistem komputer, media
penyimpanan (seperti flash disk, hard disk, atau CD-ROM), sebuah dokumen
elektronik (misalnya sebuah pesan email atau gambar JPEG), atau bahkan
sederetan paket yang berpindah dalam jaringan komputer.
IT forensic Bertujuan untuk mendapatkan fakta-fakta
obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi.
Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence)
yang akan digunakan dalam proses hukum.
Contoh Prosedur dan Lembar Kerja Audit
Contoh Prosedur dan Lembar Kerja Audit
PROSEDUR IT AUDIT:
●Kontrol
lingkungan:
1. Apakah kebijakan keamanan
(security policy) memadai dan efektif ?
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4. Memeriksa persetujuan lisen (license agreement)
●Kontrol keamanan fisik
5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
6. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
●Kontrol keamanan logikal
9. Periksa apakah password memadai dan perubahannya dilakukan reguler
10.Apakah administrator keamanan memprint akses kontrol setiap user
CONTOH – CONTOH
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4. Memeriksa persetujuan lisen (license agreement)
●Kontrol keamanan fisik
5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
6. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
●Kontrol keamanan logikal
9. Periksa apakah password memadai dan perubahannya dilakukan reguler
10.Apakah administrator keamanan memprint akses kontrol setiap user
CONTOH – CONTOH
– Internal IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh &
mendalam dan Fokus kepada global, menuju ke standard2 yang diakui.
– External IT Consultant
Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya Outsourcing yang
tepat dan Benchmark / Best-Practices
CONTOH METODOLOGI AUDIT IT
BSI
(Bundesamt für Sicherheit in der Informationstechnik)
● IT
Baseline Protection Manual (IT- Grundschutzhandbuch )
● Dikembangkan oleh GISA: German Information Security Agency
● Digunakan: evaluasi konsep keamanan & manual
● Metodologi evaluasi tidak dijelaskan
● Mudah digunakan dan sangat detail sekali
● Tidak cocok untuk analisis resiko
● Representasi tdk dalam grafik yg mudah dibaca
● Dikembangkan oleh GISA: German Information Security Agency
● Digunakan: evaluasi konsep keamanan & manual
● Metodologi evaluasi tidak dijelaskan
● Mudah digunakan dan sangat detail sekali
● Tidak cocok untuk analisis resiko
● Representasi tdk dalam grafik yg mudah dibaca
Tools yang digunakan untuk Audit
IT dan Audit Forensik
● Hardware:
– Harddisk IDE & SCSI. kapasitas sangat besar, CD-R,DVR drives
– Memori yang besar (1-2GB RAM)
– Hub, Switch, keperluan LAN
– Legacy hardware (8088s, Amiga, …)
– Laptop forensic workstations
– Harddisk IDE & SCSI. kapasitas sangat besar, CD-R,DVR drives
– Memori yang besar (1-2GB RAM)
– Hub, Switch, keperluan LAN
– Legacy hardware (8088s, Amiga, …)
– Laptop forensic workstations
● Software
– Viewers (QVP http://www.avantstar.com dan http://www.thumbsplus.de
– Erase/Unerase tools: Diskscrub/Norton utilities)
– Hash utility (MD5, SHA1)
– Text search utilities (search di http://www.dtsearch.com/)
– Drive imaging utilities (Ghost, Snapback, Safeback,…)
– Forensic toolkits. Unix/Linux: TCT The Coroners Toolkit/ForensiX dan Windows: Forensic Toolkit
– Viewers (QVP http://www.avantstar.com dan http://www.thumbsplus.de
– Erase/Unerase tools: Diskscrub/Norton utilities)
– Hash utility (MD5, SHA1)
– Text search utilities (search di http://www.dtsearch.com/)
– Drive imaging utilities (Ghost, Snapback, Safeback,…)
– Forensic toolkits. Unix/Linux: TCT The Coroners Toolkit/ForensiX dan Windows: Forensic Toolkit
Disk editors (Winhex,…)
– Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
– Write-blocking tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi bukti bukti.
– Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
– Write-blocking tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi bukti bukti.
(Sumber:
1. http://salmunan.blogspot.com/2012/03/ciri-ciri-profesionalisme-dan-ancaman.html
2. http://wsilfi.staff.gunadarma.ac.id/Downloads/files/13308/ITAuditForensic.pdf
3. http://indraasetiawan.wordpress.com/2013/03/18/contoh-prosedur-dan-lembar-kerja-auditing-around-the-computer-dan-auditing-through-the-computer/ )
1. http://salmunan.blogspot.com/2012/03/ciri-ciri-profesionalisme-dan-ancaman.html
2. http://wsilfi.staff.gunadarma.ac.id/Downloads/files/13308/ITAuditForensic.pdf
3. http://indraasetiawan.wordpress.com/2013/03/18/contoh-prosedur-dan-lembar-kerja-auditing-around-the-computer-dan-auditing-through-the-computer/ )
0 Response to "Tugas Paper : Arround The Computer dan Through The Computer"
Post a Comment