Perbankan Elekronik (bahasa Inggris: E-banking)
E-banking yang juga dikenal dengan istilah internet banking ini adalah
kegiatan yang melakukan transaksi, pembayaran, dan transaksi lainnya
melalui internet dengan website milik bank yang dilengkapi sistem
keamanan. Dari waktu ke waktu, makin banyak bank yang menyediakan
layanan atau jasa internet banking yang diatur melalui Peraturan Bank
Indonesia No. 9/15/PBI/2007 Tahun 2007 tentang 7722Penerapan Manajemen
Risiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum.
Penyelenggaraan internet banking merupakan penerapan atau aplikasi
teknologi informasi yang terus berkembang dan dimanfaatkan untuk
menjawab keinginan nasabah perbankan yang menginginkan servis cepat,
aman, nyaman murah dan tersedia setiap saat (24 jam/hari, 7 hari/minggu)
dan dapat diakses dari mana saja baik itu dari HP, Komputer, laptop/
note book, PDA, dan sebagainya.
E-Banking menjadi sasaran favorit bagi pelaku Cybercrime karena kemungkinan diuntungkan secara finansial sangat besar. Metode yang paling umum digunakan adalah menggunakan web phising, dengan mengarahkan nasabah untuk mengunjungi website internet banking yang palsu. Proses pengarahannya sendiri bisa melalui email palsu yang seolah dikirimkan dari perbankan terkait dengan konten yang berisi link penggantian password kearah website palsu dan menjelaskan bahwa nasabah harus segera melakukan penggantian password karena suatu alasan. Jika nasabah mengunjungi dan tidak memperhatikan website palsu tersebut secara seksama kemungkinan besar nasabah akan menginput username dan password internet banking. Yang kemudian credential tersebut sebetulnya akan dikirimkan ke hacker.
E-Banking yang diterapkan saat ini setidaknya menggunakan dua autentikasi untuk memastikan pengguna tersebut memiliki autorisasi terhadap akun sebuah nasabah, pada internet banking biasanya pengguna menggunakan username password sebagai autentikasi pertama kemudian one time password berupa kode dari hard token. Terlebih kode dari hard token biasanya hanya valid kurang dari 5 menit baik digunakan atau tidak. Namun, nyatanya metode ini juga pernah di-hack dengan beberapa mekanisme, salah satunya yang paling populer di Indonesia adalah sinkronisasi token palsu.
Sinkronisasi token merupakan proses menyamakan waktu antara waktu yang ada di token dan di server perbankan. Mengapa hal tersebut perlu dilakukan ? karena kode yang di-generate keduanya selalu akan sama jika di-generate pada waktu yang sama sehingga valid untuk digunakan sebagai autentikasi, oleh karena itu perlu adanya sinkronisasi token. Istilah ini lebih populer dimasyarakat sebagai metode hacking karena banyaknya nasabah yang menjadi korban sinkronisasi token palsu. Metode ini diawali dengan PC/Smartphone nasabah yang terinfeksi malware sebelumnya, kemudian nasabah mengakses website internet banking dan memasukan username password, secara bersamaan credential tersebut dikirim ke website resmi dan oleh malware dikirim ke hacker. Sesaat setelah itu, muncul pop-up sinkronisasi token yang sebetulnya di-generate oleh malware namun seolah terlihat dari website perbankan. Ketika token dimasukan, yang terjadi adalah token dikirimkan ke hacker dan hacker menginput credential dan token tersebut untuk bertransaksi.
Dalam kondisi ini, hal pertama yang harus dilakukan adalah perbankan wajib mematuhi regulasi yang ISO 27000 yang merupakan standar keamanan yang diterapkan oleh instansi diseluruh dunia dan regulasi PCI-DSS yang khusus mengatur standar keamanan internasional bagi perbankan atau perusahaan yang memanfaatkan kartu debet dan kartu kredit sebagai media pembayaran. Dengan demikian, perusahaan yang terlibat dalam transaksi bisa dipastikan aman karena sudah memenuhi standar tersebut.
Evaluasi sistem keamanan internal perbankan perlu dilakukan secara berkala untuk memastikan sistem keamanan tersebut selalu up-to date dan meminimalisir cybercrime, hal ini tidak terbatas pada perangkat keamanan saja, melainkan juga sistem aplikasi yang selalu diperbaiki bugs dan vulnerability yang ada.
Peran aktif perbankan dalam mengedukasi nasabah juga harus dilakukan karena sistem keamanan akan tercipta jika perbankan dan nasabah memperhatikan keamanannya masing-masing.
referensi :
https://id.wikipedia.org/wiki/E-banking
Sabtu, 30 Desember 2017
Audit S.I Tentang Pembobolan Cryptocurrency
Penjelasan Bitcoin
Digital Currency adalah tipe mata uang yang tidak memiliki bentuk fisik seperti mata uang traditional, oleh karena itu digital currency hanya bisa digunakan untuk transaksi yang dilakukan secara elektronik atau biasa dikenal dengan istilah e-payment. Ada beberapa jenis digital currency saat ini seperti centralized system, decentralized system (cryptocurrency) dan virtual currency.Cryptocurrency merupakan salah satu jenis mata uang digital yang memanfaatkan kriptografi dalam berbagai prosesnya, tidak hanya transaksi tapi juga penyimpanan, kontrol dan verifikasi aset. Salah satu jenis cryptocurrency yang paling populer saat ini adalah Bitcoin, yang pertama kali muncul pada tahun 2009. Selain bitcoin ada banyak lagi cryptocurrency yang sekarang sudah dikenal dan diperdagangkan secara internasional. Pada artikel ini, pembahasan akan difokuskan kepada bitcoin dengan alasan jumlah pengguna dan nilainya tukar yang paling tinggi dibandingkan cryptocurrency lain.
Bitcoin merupakan mata uang cryptocurrency yang tidak diatur oleh bank sentral seperti jika di Indonesia ada Bank Indonesia atau di Amerika ada Federal Reserve yang menjaga stabilitas nilai, menjaga suplai uang dan sebagainya. Transaksi e-payment bitcoin juga dilakukan secara langsung antara penjual dan pembeli, tidak melalui media perbankan seperti kartu kredit misalnya.
Blockchain
Untuk menjaga agar setiap user tidak bisa double spending (menggunakan bitcoin yang sama lebih dari satu kali) maka digunakanlah blockchain sebagai buku besar, setiap transaksi akan divalidasi dan dicatat dalam blockchain. Blockchain bersifat desentralisasi, dimana setiap request transaksi akan diverifikasi secara independen oleh node dan kemudian dibroadcast ke seluruh node yang menyimpan blockchain dan terkoneksi satu sama lain melalui internet jika transaksi valid. Hal ini membuat seluruh node memiliki catatan transaksi yang sama.
Kepemilikian
Bukti kepemilikan uang dibank biasanya berdasarkan rekening tabungan nasabah sebagai dasar autentikasi, lain halnya dengan bukti kepemilikan bitcoin yang menggunakan "wallet", pada prinsipnya wallet juga digunakan sebagai autentikasi jika user ingin melakukan transaksi. Wallet merupakan sebuah keypair yang terdiri dari private key dan public key, private key digunakan untuk menandatangi sebuah request transaksi dan akan divefifikasi secara independen menggunakan public key oleh setiap nodes. Jika private key yang digunakan salah, maka akan terdeteksi saat dilakukan verifikasi, oleh karena itu private key bersifat rahasia dan hanya disimpan oleh user, lain halnya dengan public key yang didistribusikan ke seluruh node. Kedua key ini digenerate secara random oleh setiap user, public key juga digunakan sebagai address untuk melakukan transaksi.
Minning
Setiap request transaksi harus disertai dengan transaksi sebelumnya, sebagai contoh jika user A mentransfer 2 bitcoin ke user B, user A harus menyertakan transaksi sebelumnya yang menyatakan user x mentransfer sejumlah bitcoin ke user A, transaksi sebelumnya ini dikirim dalam bentuk format hash. Para minner atau komputer yang melakukan minning akan melakukan percobaan dengan input yang sangat banyak untuk mendapatkan nilai hash yang sama. Untuk itu diperlukan proses komputer yang tinggi. Jika input sudah ditemukan, maka artinya minner berhak untuk mendapatkan sejumlah bitcoin sebagai kompensasi dan transaksi akan divalidasi oleh node.
Vulnerability Bitcoin
Sistem Bitcoin sudah didesain sedemikian rupa agar tidak bisa dilakukan untuk menghindari ancaman yang bisa memanipulasi transaksi bitcoin. Pada kenyataanya tidak ada ada sistem yang bisa 100% aman, bitcoin juga merupakan sistem yang bisa diserang dan sudah banyak terjadi.Dalam beberapa kasus yang sering terjadi adalah dengan melakukan pencurian private key, private key merupakan satu-satunya elemen autentikasi yang dimiliki user untuk melakukan proses transaksi dan bukti kepemilikan atas bitcoin, permasalahan yang terjadi adalah private key biasanya disimpan pada gadget user seperti laptop atau smartphone. Pencurian key bisa dilakukan dengan menginfeksi malware yang bertujuan untuk mengambil file private key dari perangkat user ke perangkat hacker.
Modus lainnya adalah dengan menginfeksi malware trojan ke gadget korban, malware tersebut kemudian aktif saat user melakukan transfer bitcoin dan merubahan alamat tujuan sebenarnya menjadi alamat bitcoin hacker.
Software bitcoin yang tidak didevelop secara benar seperti menggunakan metode SDLC misalnya, sehingga software tersebut rentan dengan serangan yang memungkinkan private key dapat diambil secara mudah, atau malah software bitcoin tersebut sengaja dibuat untuk mengambil private key user.
Prevention
Untuk memastikan proses transaksi bitcoin secara aman, jangan mempercayakan sepenuhnya kepada sistem yang sudah berjalan, sebagai pengguna tetap perlu melakukan pengamanan seketat mungkin untuk menghindari kerugian dari serangan hacker. Beberapa solusi bisa dilakukan untuk mencegah hal tersebut diantaranya :- Melakukan backup private key ke dalam external storage dan disimpan secara offline dan disimpan pada tempat yang aman sehingga jika penyimpanan di gadget mengalami kerusakan, hilang atau bahkan dicuri, user bisa melakukan recovery dengan merestore private key yang sudah dibackup sebelumnya.
- Jika Wallet tersimpan di provider, pastikan provider memiliki reputasi yang terpercaya dan berasal dari negara yang sudah melegalkan bitcoin. Karena tidak semua negara sudah melegalkan bitcoin seperti Indonesia, sehingga jika provider wallet di Indonesia melakukan penipuan atau kehilangan wallet karena suatu alasan, maka tidak ada perlindungan hukum.
- Gunakan software wallet yang memiliki reputasi bagus dan digunakan banyak user, terutama memiliki fitur keamanan terhadapat private key.
- Menggunakan software security seperti antivirus untuk mendeteksi malware dan harddisk encryption untuk mengantisipasi jika gadget dicuri orang lain, maka data didalamnya tidak bisa terbaca karena sudah dienkripsi.
https://www.youtube.com/watch?v=kubGCSj5y3k
https://bitcoin.org/bitcoin.pdf
https://en.wikipedia.org/wiki/Bitcoin
https://www.csoonline.com/article/3241121/cyber-attacks-espionage/hacking-bitcoin-and-blockchain.html
Audit S.I Tentang Pembobolan ATM
Anjungan Tunai Mandiri atau ATM merupakan mesin yang biasa ditemui sehari-hari ditempat umum yang disediakan oleh pihak Bank untuk memberikan kemudahan kepada nasabah agar bisa melakukan transaksi tanpa harus datang ke Bank tersebut. Umumnya ATM digunakan untuk melakukan transaksi penarikan uang secara tunai, sehingga setiap mesin ATM bisa dipastikan memiliki simpanan uang kas dalam jumlah besar, disisi lain ada juga mesin ATM yang hanya ditujukan untuk transaksi non-tunai.
Pada dasarnya ATM adalah mesin komputer seperti kebanyakan PC pada umumnya yang hampir sebagian besar menggunakan sistem operasi Windows dengan tampilan fisik yang sangat berbeda karena disesuaikan dengan fungsinya. Nasabah yang ingin bertransaksi di ATM harus memiliki minimal 2 autentikasi (two factor authentication) yaitu kartu Debit dan PIN, transaksi yang direquest nasabah akan ditransfer ke sistem pusat bank (core banking) yang menyimpan data seluruh nasabah dari bank tersebut, kemudian pusat bank akan memberikan respon setelah request diproses.
Mesin ATM sebetulnya sudah di desain sedemikian untuk menjaga keamanan transaksi ataupun uang yang tersimpan dimesin tersebut. Namun, kejahatan pada mesin ATM masih terus terjadi dari waktu ke waktu. Hal tersebut tidak bisa dipungkiri karena tidak ada sistem yang 100% aman dari serangan hacker, berbagai serangan bisa dilakukan dengan memanfaatkan celah keamanan dari sisi hardware ataupun software seperti beberapa kasus berikut :
1. Fake Processing Center adalah mekanisme pembobolan ATM dengan memutuskan koneksi kabel di ATM yang digunakan untuk berkomunikasi ke pusat bank dan mengkoneksikannya ke pusat bank palsu (biasanya mini komputer yang digunakan karena fleksibel). Hacker kemudian bisa menggunakan kartu debit dan pin palsu untuk membypass proses autentikasi sebelum melakukan transaksi penarikan uang tunai
2. Black Box Attack adalah mekanisme yang membutuhkan akses fisik ke dalam mesin ATM dengan mengkoneksikan ATM dengan komputer yang disebut blackbox (berupa mini komputer) yang bisa melakukan kontrol terhadap mesin ATM. Blackbox tersebut bisa juga memiliki konektivitas wireless sehingga setelahnya bisa dikontrol oleh hacker tanpa ada sentuhan fisik.
3. Malware Attack merupakan mekanisme yang memanfaatkan konektivitas jaringan untuk menyebarkan malware ke mesin ATM sehingga tidak membutuhkan sentuhan fisik. Dalam metode ini dibagi lagi menjadi beberapa jenis mekanisme, setiap mekanisme memanfaatkan celah dari sistem yang berbeda-beda. Salah satu mekanisme yang cukup sulit ditanggulangi saat ini adalah fileless malware, sesuai namanya fileless malware adalah malware yang tidak berbentuk file dan menginfeksi komputer dalam konteksi ini ATM melalui memory sehingga akan sulit diaudit karena malware akan hilang setelah mesin ATM di restart. Terlebih lagi proteksi seperti scanning antivirus, forensic software, emulation file tidak bisa digunakan karena malware tidak disimpan didalam disk sehingga tidak ada file yang bisa dianalisa.
Selain metode yang sudah disebutkan masih ada lagi metode lain yang memungkinkan untuk melakukan pembobolan ATM. Untuk itu, perlu dilakukan audit secara tepat agar bisa ditentukan sistem keamanan yang efektif dan efisien terhadap serangan tersebut, diantaranya :
1. Komunikasi sistem pusat bank dan ATM, harus dipastikan komunikasi antara keduanya harus menggunakan autentikasi baik request dari ATM ke sistem pusat bank ataupun sebaliknya
2. Segmentasi jaringan perlu dilakukan untuk menentukan level keamanan jaringan yang diperlukan antara mesin ATM dengan jaringan di Kantor Pusat atau Data Center tempat sistem pusat bank berada.
3. Evaluasi sistem pusat bank dan aplikasi di ATM untuk memastikan bahwa keduanya selalu di patch secara berkala untuk menghindari bugs atau vulnerability yang bisa dimanfaatkan hacker
4. Memastikan fungsi monitoring di ATM seperti CCTV selalu bekerja secara realtime agar bisa dilakukan audit jika ada pembobolan secara fisik
5. Keamanan fisik ATM seperti akses ke dalam mesin hanya bisa dilakukan oleh orang-orang yang terdaftar
6. Penempatan lokasi ATM yang sebaiknya ditempatkan pada lokasi-lokasi yang sebisa mungkin tertutup dan memiliki petugas keamanan
Referensi :
https://www.kaspersky.com/blog/4-ways-to-hack-atm/13126/
https://thehackernews.com/2017/04/atm-fileless-malware.html
Pada dasarnya ATM adalah mesin komputer seperti kebanyakan PC pada umumnya yang hampir sebagian besar menggunakan sistem operasi Windows dengan tampilan fisik yang sangat berbeda karena disesuaikan dengan fungsinya. Nasabah yang ingin bertransaksi di ATM harus memiliki minimal 2 autentikasi (two factor authentication) yaitu kartu Debit dan PIN, transaksi yang direquest nasabah akan ditransfer ke sistem pusat bank (core banking) yang menyimpan data seluruh nasabah dari bank tersebut, kemudian pusat bank akan memberikan respon setelah request diproses.
Mesin ATM sebetulnya sudah di desain sedemikian untuk menjaga keamanan transaksi ataupun uang yang tersimpan dimesin tersebut. Namun, kejahatan pada mesin ATM masih terus terjadi dari waktu ke waktu. Hal tersebut tidak bisa dipungkiri karena tidak ada sistem yang 100% aman dari serangan hacker, berbagai serangan bisa dilakukan dengan memanfaatkan celah keamanan dari sisi hardware ataupun software seperti beberapa kasus berikut :
1. Fake Processing Center adalah mekanisme pembobolan ATM dengan memutuskan koneksi kabel di ATM yang digunakan untuk berkomunikasi ke pusat bank dan mengkoneksikannya ke pusat bank palsu (biasanya mini komputer yang digunakan karena fleksibel). Hacker kemudian bisa menggunakan kartu debit dan pin palsu untuk membypass proses autentikasi sebelum melakukan transaksi penarikan uang tunai
2. Black Box Attack adalah mekanisme yang membutuhkan akses fisik ke dalam mesin ATM dengan mengkoneksikan ATM dengan komputer yang disebut blackbox (berupa mini komputer) yang bisa melakukan kontrol terhadap mesin ATM. Blackbox tersebut bisa juga memiliki konektivitas wireless sehingga setelahnya bisa dikontrol oleh hacker tanpa ada sentuhan fisik.
3. Malware Attack merupakan mekanisme yang memanfaatkan konektivitas jaringan untuk menyebarkan malware ke mesin ATM sehingga tidak membutuhkan sentuhan fisik. Dalam metode ini dibagi lagi menjadi beberapa jenis mekanisme, setiap mekanisme memanfaatkan celah dari sistem yang berbeda-beda. Salah satu mekanisme yang cukup sulit ditanggulangi saat ini adalah fileless malware, sesuai namanya fileless malware adalah malware yang tidak berbentuk file dan menginfeksi komputer dalam konteksi ini ATM melalui memory sehingga akan sulit diaudit karena malware akan hilang setelah mesin ATM di restart. Terlebih lagi proteksi seperti scanning antivirus, forensic software, emulation file tidak bisa digunakan karena malware tidak disimpan didalam disk sehingga tidak ada file yang bisa dianalisa.
Selain metode yang sudah disebutkan masih ada lagi metode lain yang memungkinkan untuk melakukan pembobolan ATM. Untuk itu, perlu dilakukan audit secara tepat agar bisa ditentukan sistem keamanan yang efektif dan efisien terhadap serangan tersebut, diantaranya :
1. Komunikasi sistem pusat bank dan ATM, harus dipastikan komunikasi antara keduanya harus menggunakan autentikasi baik request dari ATM ke sistem pusat bank ataupun sebaliknya
2. Segmentasi jaringan perlu dilakukan untuk menentukan level keamanan jaringan yang diperlukan antara mesin ATM dengan jaringan di Kantor Pusat atau Data Center tempat sistem pusat bank berada.
3. Evaluasi sistem pusat bank dan aplikasi di ATM untuk memastikan bahwa keduanya selalu di patch secara berkala untuk menghindari bugs atau vulnerability yang bisa dimanfaatkan hacker
4. Memastikan fungsi monitoring di ATM seperti CCTV selalu bekerja secara realtime agar bisa dilakukan audit jika ada pembobolan secara fisik
5. Keamanan fisik ATM seperti akses ke dalam mesin hanya bisa dilakukan oleh orang-orang yang terdaftar
6. Penempatan lokasi ATM yang sebaiknya ditempatkan pada lokasi-lokasi yang sebisa mungkin tertutup dan memiliki petugas keamanan
Referensi :
https://www.kaspersky.com/blog/4-ways-to-hack-atm/13126/
https://thehackernews.com/2017/04/atm-fileless-malware.html
Dampak Audit Sistem Informasi
Perkembangan teknologi telah mengakibatkan perubahan
pengolahan data yang dilakukan perusahaan dari sistem manual menjadi
secara mekanis, elektromekanis, dan selanjutnya ke sistem elektronik
atau komputerisasi. Peralihan ke sistem yang terkomputerisasi
memungkinkan data yang kompleks dapat diproses dengan cepat dan teliti,
guna menghasilkan suatu informasi. Dalam mendukung aktivitas sebuah
organisasi, informasi menjadi bagian yang sangat penting baik untuk
perkembangan organisasi maupun membaca persaingan pasar. Dalam hal
proses data menjadi suatu informasi merupakan sebuah kegiatan dalam
organisasi yang bersifat repetitif sehingga harus dilaksanakan secara
sistematis dan otomatis.
Dengan demikian, sangat diperlukan adanya pengelolaan
yang baik dalam sistem yang mendukung proses pengolahan data tersebut.
Dalam sebuah organisasi tata kelola sistem dilakukan dengan melakukan
audit. Menurut Juliandarini (2013) Audit sistem informasi (Information
Systems (IS) audit atau Information technology (IT) audit) adalah bentuk
pengawasan dan pengendalian dari infrastruktur sistem informasi secara
menyeluruh.Menurut Romney (2004) audit sistem informasi merupakan
tinjauan pengendalian umum dan aplikasi untuk menilai pemenuhan
kebijakan dan prosedur pengendalian internal serta keefektivitasannya
untuk menjaga asset.
Sehingga menurut uraian teori diatas, maka penulis
dapat simpulkan bahwa audit sistem informasi adalah suatu proses
pengumpulan dan pengevaluasian bahan bukti audit untuk menentukan apakah
sistem komputer perusahaan telah menggunakan asset sistem informasi secara tepat dan mampu mendukung pengamanan asset tersebut memelihara kebenaran dan integritas data dalam mencapai tujuan perusahaan yang efektif dan efisien.
Menurut Weber (1999) terdapat beberapa alasan
mendasar mengapa organisasi perlu melakukan audit sebagai evaluasi dan
pengendalian terhadap sistem yang digunakan oleh organisasi :
1. Pencegahan terhadap biaya organisasi untuk data yang hilang
Kehilangan data dapat terjadi karena ketidakmampuan
pengendalian terhadap pemakaian komputer. Kelalaian dengan tidak
menyediakan backup yang memadai terhadap file data, sehingga kehilangan file dapat terjadi karena program komputer yang rusak, adanya sabotase, atau kerusakan normal yang membuat file tersebut tidak dapat diperbaiki sehingga akhirnya membuat kelanjutan operasional organisasi menjadi terganggu.
2. Pengambilan keputusan yang tidak sesuai
Membuat keputusan yang berkualitas tergantung pada
kualitas data yang akurat dan kualitas dari proses pengambilan keputusan
itu sendiri. Pentingnya data yang akurat bergantung kepada jenis
keputusan yang akan dibuat oleh orang – orang yang berkepentingan di
suatu organisasi.
3. Penyalahgunaan komputer
Penyalahgunaan komputer memberikan pengaruh kuat
terhadap pengembangan EDP audit maka untuk dapat memahami EDP audit
diperlukan pemahaman yang baik terhadap beberapa kasus penyalahgunaan
komputer yang pernah terjadi.
4. Nilai dari perangkat keras komputer, perangkat lunak dan personel
Disamping data, hardware dan software serta personel komputer juga merupakan sumber daya yang kritikal bagi suatu organisasi, walaupun investasi hardware perusahaan sudah dilindungi oleh asuransi, tetapi kehilangan hardware baik terjadi karena kesengajaan maupun ketidaksengajaan dapat mengakibatkan gangguan. Jika software rusak akan mengganggu jalannya operasional dan bila software
dicuri maka informasi yang rahasia dapat dijual kepada kompetitor.
Personel adalah sumber daya yang paling berharga, mereka harus dididik
dengan baik agar menjadi tenaga handal dibidang komputer yang
profesional.
5. Biaya yang tinggi untuk kerusakan komputer
Saat ini pemakaian komputer sudah sangat meluas dan
dilakukan juga terhadap fungsi kritis pada kehidupan kita. Kesalahan
yang terjadi pada komputer memberikan implikasi yang luar biasa, sebagai
contoh data error mengakibatkan jatuhnya pesawat di Antartika
yang menyebabkan 257 orang meninggal atau seseorang divonis masuk
penjara karena kesalahan data di komputer.
6. Kerahasiaan
Banyak data tentang diri pribadi yang saat ini dapat
diperoleh dengan cepat, dengan adanya komputerisasi kependudukan maka
data mengenai seseorang dapat segera diketahui termasuk hal – hal
pribadi.
7. Pengontrolan penggunaan komputer
Teknologi adalah hal yang alami, tidak ada teknologi
yang baik atau buruk. Pengguna teknologi tersebut yang dapat menentukan
apakah teknologi itu akan menjadi baik atau malah menimbulkan gangguan.
Banyak keputusan yang harus diambil untuk mengetahui apakah komputer
digunakan untuk suatu hal yang baik atau buruk.
Menurut Weber (1999) terdapat empat tujuan utama mengapa perlu dilakukannya audit sistem informasi yaitu:
(1) Mengamankan asset
Asset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras, perangkat lunak, fasilitas, manusia, file data,
dokumentasi sistem, dan peralatan pendukung lainnya. Sama halnya dngan
aktiva – aktiva lainnya, maka aktiva ini juga perlu dilindungi dengan
memasang pengendalian internal. Perangkat keras bisa rusak karena unsur
kejahatan ataupun sebab-sebab lain. Perangkat lunak dan isi file data
dapat dicuri. Peralatan pendukung dapat dihancurkan atau digunakan
untuk tujuan yang tidak diotorisasi. Karena konsentrasi aktiva tersebut
berada pada lokasi pusat sistem informasi, maka pengamanannya pun
menjadi perhatian dan tujuan yang sangat penting.
(2) Menjaga integritas data
Integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data memiliki atribut: kelengkapan (completeness), sehat dan jujur (soundness), kemurnian (purity), ketelitian (veracity).
Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan
potret dirinya dengan benar akibatnya, keputusan maupun langkah-langkah
penting di organisasi salah sasaran karena tidak didukung dengan data
yang benar.
(3) Menjaga efektivitas sistem
Sistem informasi dikatakan efektif hanya jika sistem
tersebut dapat mencapai tujuannya. Untuk menilai efektivitas sistem,
auditor sistem informasi harus tahu mengenai kebutuhan pengguna sistem
atau pihak-pihak pembuat keputusan yang terkait dengan layanan sistem
tersebut. Selanjutnya, untuk menilai apakah sistem menghasilkan laporan /
informasi yang bermanfaat bagi penggunanya, auditor perlu mengetahui
karakteristik user berikut proses pengambilan keputusannya.
(4) Mencapai efisiensi sumber daya
Suatu sistem sebagai fasilitas pemrosesan informasi
dikatakan efisien jika ia menggunakan sumber daya seminimal mungkin
untuk menghasilkan output yang dibutuhkan. Efisiensi sistem pengolahan data menjadi penting apabila tidak ada lagi kapasitas sistem yang menganggur.
Dari alasan dan tujuan tersebut sangat jelas bahwa
penting bagi sebuah organisasi untuk melakukan audit sistem informasi
guna melihat kembali apakah sistem yang berjalansudah tepat dan
terpenting sistem mampu untuk mendukung tercapainya tujuan organisasi.
Terlihat mudah namun percaya atau tidak penulis
menemukan masih banyak organisasi yang belum dengan secara konsisten
melakukan audit serta evaluasi terhadap sistem yang digunakan meskipun
secara sadar bahwa investasi yang ditanamkan tidak dalam jumlah yang
kecil, namun ironisnya yang justru terjadi adalah audit dan evaluasi
baru mulai secara rutin dilakukan setelah organisasi merasakan resiko
dan baru mulai mencari tahu penyebabnya.
Sedari dini, mulailah untuk dengan seksama
melakukan penilaian terhadap sistem yang digunakan agar tujuan awal
investasi tidak menjadi sia – sia.
Referensi :
https://sis.binus.ac.id/2015/06/24/pentingnya-audit-sistem-informasi-bagi-organisasi/
Audit Electronic Data Processing
ELECTRONIC DATA PROCESSING (EDP) AUDITING
Menurut Ron Weber, EDP auditing adalah proses mengumpulkan
dan menilai bukti untuk menentukan apakah sistem komputer mampu
mengamankan harta, memelihara kebenaran data maupun mencapai tujuan
organisasi perusahaan secara efektif dan menggunakan harta perusahaan
secara hemat.Perkembangan teknologi komputer yang semakin pesat dirasakan dampaknya pada dunia auditing. Sekarang hampir semua unit kerja dapat mengolah datanya sendiri dengan komputer yang mereka miliki. Data yang rumit dan banyak yang akan diolah menjadi informasi bentuk tertentu yang sukar dan khusus yang tidak dapat dikerjakan pada unit sendiri, dapat diserahkan pengolahannya pada Unit Pengolahan Data Elektronik (EDP). Pada umumnya, EDP hanya berfungsi membantu pengolahan data, sedangkan rancangan sistemnya disusun oleh unit kerja masing-masing karena unit kerja bersangkutan pasti lebih tahu akan jenis dan bentuk informasi yang diperlukannya. (Amsyah, 2005)
METODE AUDIT ELECTRONIK DATA PROCESSING
Pada saat kita menjadi auditor, ada baiknya kita tidak bersikap ‘sok galak’
atau menyeramkan di depan auditee. Karena dengan sikap tersebut,
auditee akan merasa takut karena mereka merasa sedang diaudit. Hal
tersebut akan menimbulkan ketakutan untuk mengeluarkan data yang
sebenarnya. Efek dari perilaku ‘sok galak’ juga dapat menimbulkan ketidaksukaan auditee terhadap sang auditor, sehingga dapat berdapak pada hasil auditnya.Para auditor sebaiknya melakukan audit tanpa disadari oleh sang auditee. Bersikap ramahlah kepada sang auditee, sehingga sang auditee pun merasa bahwa kita merupakan teman mereka yang hendak membantu mereka. Dengan bersikap ramah dan menjadi teman mereka, mereka tidak akan segan-segan memberikan info tentang perusahaan mereka.
Pada saat kita melakukan audit, kita juga perlu membuat proses tersebut senatural mungkin, seperti mengajak berbicara, sambil memperhatikan EDP perusahaan tanpa disadari oleh sang auditee. Dengan cara demikian, hasil yang didapat pun akan lebih akurat.
Dalam melakukan audit EDP, terdapat tiga metode, yaitu:
- Auditing-around the Computer
- Auditing-through the Computer
- Auditing-with the Computer
Referensi :
http://blog.pasca.gunadarma.ac.id/2012/06/08/edp-auditing/
Resiko Dalam Audit Sistem Teknologi Informasi
Risiko Audit adalah istilah yang umum digunakan dalam kaitannya dengan audit atas laporan keuangan suatu entitas.
Risiko audit diartikan sebagai tingkat ketidakpastian tertentu yang dapat diterima auditor dalam pelaksanaan auditnya, seperti :
Risiko audit diartikan sebagai tingkat ketidakpastian tertentu yang dapat diterima auditor dalam pelaksanaan auditnya, seperti :
- Ketidakpastian validitas dan reliabilitas bukti audit.
- Ketidakpastian mengenai efektivitas pengendalian internal.
Resiko Audit (Audit Risk) adalah
resiko bahwa auditor mungkin tanpa sengaja telah gagal untuk
memodifikasi pendapat secara tepat mengenai laporan keuangan yang
mengandung salah saji material.
Of less concern is the situation
where the auditor states that the financial statements do not meet the
standard of fair presentation, when in fact they do..Perhatian
kurang adalah situasi di mana auditor menyatakan bahwa laporan keuangan
tidak memenuhi standar penyajian secara wajar, padahal sebenarnya mereka
lakukan.
Resiko Audit (Audit Risk) antara lain :
- Resiko Inheren (Inheren Risk)
merupakan suatu ukuran yang dipergunakan
oleh auditor dalam menilai adanya kemungkinan bahwa terdapat sejumlah
salah saji yang material (kekeliruan atau kecurangan) dalam suatu segmen
sebelum ia mempertimbangkan keefektifan dan pengendalian intern yang
ada. Dengan mengasumsikan tiadanya pengendalian intern, maka risiko
inheren ini dapat dinyatakan sebagai kerentanan laporan keuangan
terhadap timbulnya salah saji yang material. Jika auditor, dengan
mengabaikan pengendalian intern, menyimpulkan bahwa terdapat suatu
kecenderungan yang tinggi atas keberadaan sejumlah salah saji, maka
auditor akan menyimpulkan bahwa tingkat risiko inherennya
tinggi. pengendalian intern diabaikan dalam menetapkan dalam menetapkan
nilai risiko inheren karena pengendalian intern ini dipertimbangkan
secara terpisah dalam model risiko audit sebagai risiko pengendalian.
Penilaian ini cenderung didasarkan atas sejumlah diskusi yang telah
dilakukan dengan pihak manajemen, pemahaman yang dimiliki akan
perusahaan, serta hasil-hasil yang diperoleh dari tahun-tahun
sebelumnya.
Hubungan antara risiko dengan risiko
deteksi terencana serta dengan bukti audit yang direncanakan adalah
sebagai berikut : risiko inheren saling berlawanan dengan risiko deteksi
terencana serta memiliki hubungan yang searah dengan bukti audit.
Selain semakin meningkatnya bukti audit
yang diperlukan untuk suatu tingkat risiko inheren yang lebih tinggi
dalam suatu area audit tertentu, merupakan hal yang umum dilakukan pula
untuk menugaskan staf yang telah memiliki lebih banyak pengalaman untuk
melakukan audit pada area tersebut serta melakukan riview yang lebih
mendalam pada kertas kerja yang telah selesai dibuat.
Contoh :
jika risiko inheren atas keusangan
persediaan sangat tinggi, maka sangatlah masuk akal bila kantor akuntan
publik memilih staf yang berpengalaman untuk melakukan sejumlah tes
yang lebih mendalam atas keusangan persediaan ini dan melakukan review
yang lebih cermat atas hasil-hasil yang diperoleh dari audit ini.
- Resiko Pengendalian (Control Risk)
merupakan ukuran yang digunakan oleh
auditor untuk menilai adanya kemungkina bahwa terdapat sejumlah salah
saji material yang melebihi nilai salah saji yang masi dapat ditoleransi
atas segmen tertentu akan tidak terhadang atau tidak terdeteksi oleh
pengendalian intern yang dimiliki klien. Resiko pengendalian ini
memperhatikan 2 hal berikut:
- penilaian tentang apakah pengendalian intern yang dimiliki klien efektif untuk mencegah atau mendeteksi terjadinya salah saji.
- kehendak auditor membuat penilaian tersebut senantiasa berada di bawah nilai maksimum (100 persen) sebagai bagian dari rencana audit yang dibuatnya.
Model resiko audit menunjukan hubungan yang erat antara resiko inheren dan resiko pengendalian.
Sama dengan yang terjadi pada resiko
inheren, hubungan antara resiko pengendalian dan resiko deteksi
terencana adalah saling berlawanan, sementara hubungan antara resiko
pengendalian dan bukti substantif merupakan hubungan yang searah.
Contoh :
jika auditor menyimpulkan bahwa
pengendalian intern bersifat efektif, maka nilai resiko deteksi
terencana dapat meningkat sehingga jumlah bukti audit yang direncanakan
akan dikumpulkan akan turun. Auditor dapat meningkatkan resiko deteksi
terencana pada saat pengendalian intern bersifat efektif karena
pengendalian intern yang efektif akan mengurangi kemungkinan hadirnya
salah saji dalam laporan keuangan.
Sebelum auditor dapat menetapkan nilai
resiko pengendalian kurang dari 100 persen, auditor harus memahami
pengendalian intern yang ada, dan berdasarkan pemahaman itu, auditor
melakukan evaluasi tentang bagaimana seharusnya fungsi pengendalian
intern tersebut, serta melakukan uji atas efektifitas pengendalian
intern tersebut. Hal pertama dari semua ini adalah keharusan untuk
memahami semua jenis audit. Dua hal terakhir adalah langkah-langkah
penilaian resiko pengendalian yang diperlukan jika auditor memilih untuk
memberikan nilai atas resiko pengendalian supaya berada di bawah nilai
maksimum
- Risiko Deteksi Terencana (Planned Detection Risk)
merupakan ukuran risiko bahwa bukti audit
atas segmen tertentu akan gagal mendeteksi keberadaan salah saji yang
melebihi suatu nilai salah saji yang masih dapat ditoleransi, andaikan
salah saji semacam itu ada. Terdapat dua poin utama tentang risiko
deteksi terencana ini yaitu sebagai berikut :
- Risiko ini tergantung pada ketiga faktor lainnya yang terdapat dalam model. Risiko deteksi terencana hanya akan berubah jika auditor melakukan perubahan pada salah satu dari ketiga faktor lainnya tersebut.
- Risiko ini menentukan nilai substantif yang direncanakan oleh auditor untuk dikumpulkan, yang merupakan kebalikan dari ukuran risiko deteksi terencana itu sendiri.
Jika nilai risiko deteksi
terencana berkurang, maka auditor harus mengumpulkan lebih banyak bukti
audit untuk mencapai nilai risiko deteksi yang berkurang ini.
Referensi :
https://rizkiadekputri.wordpress.com/2017/12/27/3-1-resiko-prosedur-audit-yang-gagal/
Teknologi Audit Sistem Informasi
Teknologi Audit
Audit Arround the Computer
Dalam
pendekatan audit di sekitar komputer, auditor (dalam hal ini harus akuntan yang
registered, dan bersertifikasi akuntan publik) dapat mengambil kesimpulan dan merumuskan
opini dengan hanya menelaah struktur pengendalian dan melaksanakan pengujian
transaksi dan prosedur verifikasi saldo perkiraan dengan cara sama seperti pada
sistem akuntansi manual.
Kunci
pendekatan audit ini ialah pada penelusuran transaksi terpilih mulai dari
dokumen sumber sampai ke bagan-perkiraan (akun) dan laporannya. Keunggulan
metode audit di sekitar komputer adalah:
·
Pelaksanaan audit lebih sederhana.
·
Auditor yang memiliki pengetahuan minimal di
bidang komputer dapat dilatih dengan mudah untuk melaksanakan audit.
Kelemahannya adalah jika kondisi (user requirements)
berubah, mungkin sistem itupun perlu diredesain dan perlu penyesuaian (update)
program-program, bahkan mungkin struktur data/file, sehingga auditor perlu
menilai/menelaah ulang apakah sistem masih berjalan dengan baik.
Audit Through the
Computer
Dalam pendekatan audit ke sistem komputer (audit through
the computer) auditor melakukan pemeriksaan langsung terhadap program-program
dan file-file komputer pada audit SI berbasis TI. Auditor menggunakan komputer
(software) atau dengan cek logika atau listing program (desk test on logic or
programs source code) untuk menguji logika program dalam rangka prngujian
pengendalianyang ada pada komputer. Selain itu auditor juga dapat meminta
penjelasan dari para teknisi komputer mengenai spefikasi sistem dan/atau
program yang diaudit.
Keunggulan pendekatan audit dengan pemeriksaan sistem
komputerisasi, ialah:
(a) Auditor
memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap
sistem komputer.
(b) Auditor
akan merasa lebih yakin terhadap kebenaran hasil kerjanya.
(c) Auditor
dapat menilai kemampuan sistem komputer tersebut untuk menghadapi perubahan
lingkungan.
Sebetulnya
mungkin tidak dapat dikatakan sebagai suatu kelemahan dalam pendekatan audit
ini, namun jelas bahwa audit through the computer memerlukan tenaga ahli
auditor yang terampil dalam pengetahuan teknologi informasi dan mungkin perlu
biaya yang besar pula.
Audit with the Computer
Audit
dengan komputer untuk kegiatan pendukung dan administrasi paling sering
digunakan, bahkan meskipun sistem klien yang diaudit telah berbasis komputer.
Selain untuk kegiatan administratif, penyusunan program audit dan kuesioner
serta pencatatan-pencatatan dan pelaporan hasil audit, komputer biasanya juga
digunakan oleh auditor atau pegawai perusahaan klien untuk melakukan analisis
atau pengikgtisaran, pembuatan grafik dan tabel-tabel tentang hasil audit,
sertapemaparan atau presentasi hasil audit (misalnya dengan Microsoft Word,
PowerPoint, dan Excel).
Source : http://fitharikhadir.blogspot.com/2016/01/audit-sistem-informasi-dan-prosedur.html
Tujuan Audit Sistem Informasi
Tujuan Audit SI
a) Pengamanan
aset
Aset
informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak
(software), sumber daya manusia, dan data harus dijaga dengan sistem
pengendalian intern yang baik agar tidak ada penyalahgunaan aset perusahaan.
b) Efektifitas
sistem
Efektifitas
sistem informasi perusahaan memiliki peranan penting dalam proses pengmbilan
keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi
tersebut sudah dirancang dengan benar (doing the right thing), telah sesuai
dengan kebutuhan user. Informasi yang dibutuhkan oleh para manajer dapat
dipenuhi dengan baik.
c) Efisiensi
sistem
Efisiensi
menjadi sangat penting ketika sumber daya kapasitasnya terbatas. Jika cara
kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus
mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber
daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat
memnuhi kebutuhan user dengan sumber daya informasi yang minimal. Cara kerja
sistem benar (doing thing right).
d) Ketersediaan
(Availability)
Berhubungan
dengan ketersediaan dukungan/layanan teknologi informasi (TI). TI hendaknya
dapat mendukung secara kontinyu terhadap proses bisnis kegiatan perusahaan.
Makin sering terjadi gangguan (system down) maka berarti tingkat ketersediaan
sistem rendah.
e) Kerahasiaaan
(Confidentiality)
Fokusnya
ialah pada proteksi terhadap informasi dan supaya terlindungi dari akses dari
pihak yang idak berwenang.
f) Kehandalan
(Realibility)
Berhubungan
dengan kesesuaian dan kekuratan bagi manajemen dalam pengolahan organisasi,
pelaporan dan pertanggungjawaban.
g) Menjaga
integritas data
Integritas
data (data integrity) adalah salah satu konsep dasar sistem informasi. Data
memiliki atribut-atribut seperti kelengkapan kebenaran dan keakuratan.
Langganan:
Postingan (Atom)