Perbandingan Pendekatan Kotak Hitam dan Kotak Putih dalam Audit TI

(1)

Nama: Sarah Benita Mutiarahati NIM: 143239037 Kelas: PPAK

SOAL UAS SIPI GENAP 2023 – JUNI 2024 SOAL 1

Bandingkan antara black box approach dan white box approach dalam audit TI. Jelaskan pada kondisi seperti apa kedua pendekatan itu digunakan?

SOAL 2

PT ABC memproduksi stik golf secara kustom dan sesuai pesanan. Supervisor bagian manufaktur mewawancarai calon pekerja yang mempunyai keterampilan manufaktur khusus, dan Supervisor tersebut yang menginformasikan kepada departemen penggajian ketika seorang karyawan sudah diterima untuk dipekerjakan. Para karyawan menggunakan jam waktu untuk mencatat jam kerja mereka.

Para karyawan juga diharuskan mencatat waktu yang mereka habiskan untuk mengerjakan setiap pesanan. Supervisor menyetujui semua kartu waktu. Bagian akuntansi menganalisis job ticket dan menyiapkan ringkasan distribusi tenaga kerja. Departemen penggajian menyiapkan daftar penggajian dan cek gaji. Supervisor membagikan gaji kepada karyawan. Bagian penggajian menginformasikan kepada bagian pengeluaran kas kebutuhan dana untuk pemabyaran gaji. Bagian Pengeluaran kas memastikan bahwa ada cukup dana di rekening giro reguler perusahaan untuk membayar gaji pegawai.

Jelaskan setidaknya tiga kelemahan pengendalian internal; dan untuk setiap kelemahan beri rekomendasi perbaikan atas kelemahan pengendalian internal tersebut

Jawaban:

Soal 1

1. Black Box Approach adalah suatu pendekatan di mana auditor mengevaluasi suatu sistem atau aplikasi tanpa mengetahui mekanisme internal atau kode sumbernya. Black Box Approach Fokus pada input, output, dan fungsi sistem, bukan pada bagaimana sistem mencapai hasil tersebut. Fungsi dan Karakteristik Black Box Approach antara lain:

- Sebagai peninjau bertindak sebagai pengguna akhir atau penyerang potensial.

- Tidak memerlukan akses ke kode sumber, dokumentasi desain, atau arsitektur sistem.

- Lebih cepat dan lebih hemat sumber daya dibandingkan White Box Approach.

Teknik Black Box Approach antara lain:

- Pengujian fungsional: Memastikan sistem melakukan apa yang seharusnya.

- Pengujian penetrasi: Upaya untuk "membobol" sistem dari sudut pandang penyerang.

- Analisis input/output: memeriksa validitas output berdasarkan input.

Keuntungan Black Box Approach antara lain:

- Melihat sistem sebagai pengguna atau penyerang, secara realistis.

- Efektif untuk keamanan eksternal dan pengujian pengalaman pengguna.

- Dapat dilakukan oleh auditor tanpa pengetahuan teknis yang mendalam.

Kekurangan Black Box Approach antara lain:

- Kerentanan internal atau kesalahan tertentu mungkin hilang.

(2)

- Sulit untuk menguji semua jalur eksekusi dalam sistem yang kompleks.

- Itu tidak memberikan informasi tentang kualitas kode atau arsitektur.

2. White Box Approach adalah suatu pendekatan di mana auditor memiliki akses penuh terhadap cara kerja internal sistem, termasuk kode sumber, diagram alur, dan dokumentasi. White Box Approach sendiri juga dikenal sebagai tes "kotak bening" atau "kotak kaca". Fungsi dan karakteristik White Box Approach antara lain:

- Diperlukan pengetahuan mendalam tentang bahasa pemrograman dan arsitektur sistem.

- Auditor dapat menguji semua jalur kode, fungsi, dan struktur data.

- Lebih lengkap, tetapi juga lebih memakan waktu dan sumber daya.

Teknik White Box Approach antara lain:

- Tinjauan kode: analisis kualitas, keamanan, dan efisiensi kode.

- Pengujian jalur: Memastikan semua jalur eksekusi kode diuji.

- Analisis aliran data: penyelidikan pemrosesan dan penyimpanan data.

- Penilaian risiko: Identifikasi fragmen kode berisiko tinggi.

Keuntungan White Box Approach antara lain:

- Auditor dapat menemukan bug halus, kerentanan, dan titik mati.

- Bisa evaluasi kualitas kode (pemeliharaan, skalabilitas).

- Kepatuhan terhadap peraturan dan ketentuan kode etik harus dijamin.

Kekurangan White Box Approach antara lain:

- Dibutuhkan reviewer dengan keterampilan teknis khusus.

- Dalam kasus sistem besar, hal ini dapat memakan waktu lama.

- Tidak selalu mencerminkan pengalaman pengguna akhir.

Kapan Menggunakan Masing-masing Pendekatan:

1. Black Box Approach:

- Menguji aplikasi web publik: menguji dari sudut pandang pengguna atau penyerang.

- Sertifikasi produk: memastikan bahwa produk memenuhi spesifikasi fungsional.

- Audit pihak ketiga: ketika kode pemasok tidak dapat diakses.

- Pengujian antarmuka pengguna (UI): mengevaluasi kegunaan dan pengalaman pengguna.

- Pengujian API: Pastikan titik akhir (endpoint) berfungsi sesuai dengan dokumentasi.

2. White Box Approach:

- Audit sistem: perbankan, layanan kesehatan atau sistem kontrol industri.

- Uji Tuntas M&A: mengevaluasi kualitas kekayaan intelektual (IP) perusahaan target.

- Kepatuhan terhadap peraturan: PCI DSS untuk data kartu kredit, HIPAA untuk data layanan kesehatan.

- Pengembangan internal: tinjauan kode yang dikembangkan secara internal.

- Investigasi insiden: setelah pelanggaran keamanan atau kegagalan sistem.

- Pengoptimalan kinerja: Identifikasi hambatan dalam kode.

3. Kombinasi keduanya:

(3)

- Siklus pengembangan DevOps: White Box Approach untuk peninjauan kode, Black Box Approach untuk pengujian akhir.

- Sistem dengan komponen berbeda: White Box Approach untuk komponen internal, Black Box Approach untuk integrasi.

- Audit komprehensif: White Box Approach untuk mekanisme internal, Black Box Approach untuk validasi akhir.

Contoh spesifik:

1. Platform e-commerce:

- Black Box Approach: Verifikasi proses pembayaran, verifikasi injeksi SQL dalam formulir pencarian.

- White Box Approach: tinjauan kode enkripsi data kartu kredit, analisis logika diskon.

2. Sistem ERP perusahaan:

- Black Box Approach: memverifikasi keakuratan laporan keuangan, mensimulasikan skenario bisnis.

- White Box Approach: logika audit untuk pemisahan tugas, tinjauan mekanisme jejak audit.

3. Blockchain:

- Black Box Approach: menguji interaksi kontrak melalui dApp.

- White Box Approach: Kode Kekokohan Audit untuk kelemahan keamanan sistem.

Kesimpulan:

Black Box Approach paling cocok untuk menguji sistem dari perspektif eksternal, interaksi pengguna, dan penilaian keamanan secara keseluruhan. White Box Approach penting untuk integritas sistem, kepatuhan, dan pengembangan internal. Dalam praktiknya, audit IT yang komprehensif biasanya menggunakan kombinasi keduanya untuk memastikan bahwa sistem tidak hanya berfungsi dengan benar secara eksternal, namun juga dibangun dengan benar secara internal.

Soal 2

1. Kelemahan: Kurangnya pembagian kerja dalam antara karyawan bagian rekrutmen dan karyawan bagian penggajian

Supervisor bagian manufaktur memiliki kekuasaan yang terlalu besar. Dia melakukan wawancara, memutuskan pekerjaan karyawan dan segera memberi tahu kantor penggajian.

Resiko: Atasan dapat memanipulasi sistem dengan menambahkan “karyawan fiktif” atau melebih- lebihkan jam kerja karyawan yang dipercaya.

Rekomendasi:

- Pisahkan proses perekrutan. HR harus menangani wawancara dan perekrutan, bukan Supervisor.

- Buat proses otorisasi multi-level. Keputusan ketenagakerjaan harus disetujui oleh HR dan manajemen senior.

- Gunakan Sistem Informasi Sumber Daya Manusia (HRIS) di mana perubahan status karyawan secara otomatis dikirim ke bagian penggajian, bukan komunikasi langsung dengan manajer.

2. Kelemahan: Tidak ada verifikasi independen terhadap jam kerja dan tiket kerja Karyawan mencatat waktu mereka sendiri, termasuk waktu per pesanan.

Supervisor yang sama menyetujui semua kartu waktu.

Risiko: Karyawan mungkin bisa melebih-lebihkan jam kerja. Supervisor mungkin menyembunyikan atau bahkan mendorong praktik ini.

Rekomendasi:

(4)

- Pengenalan sistem registrasi waktu elektronik (biometrik atau RFID) untuk mengurangi manipulasi.

- Kartu jam kerja harus disetujui oleh atasan langsung, namun juga harus ditinjau oleh departemen lain (personil atau keuangan).

- Lakukan tes acak. Audit internal atau tim SDM harus memeriksa kehadiran fisik karyawan dari waktu ke waktu.

- Bandingkan tiket kerja dengan jadwal produksi dan pengiriman untuk memastikan konsistensi.

3. Kelemahan: Supervisor membagikan gaji

Supervisor yang sama yang menyetujui jam kerja juga mendistribusikan upah.

Risiko: Supervisor mungkin menerima cek dari karyawan yang tidak hadir atau fiktif. Hal ini juga membuat karyawan enggan melaporkan penipuan umum karena takut gajinya ditahan.

Rekomendasi:

- Gaji harus dibayarkan melalui transfer bank langsung ke rekening karyawan. Hal ini mengurangi risiko penggelapan dan meningkatkan keamanan.

- Jika masih menggunakan cek, HR atau departemen khusus (bukan supervisor) harus mengirimkannya.

- Karyawan harus menandatangani daftar gaji sebagai bukti penerimaan. Daftar gaji ini dikendalikan oleh departemen lain.

- Buat saluran whistleblower untuk melaporkan penipuan tanpa takut akan pembalasan.

4. Kelemahan tambahan: kurangnya pemisahan dalam pengeluaran kas

Kantor penggajian secara langsung meminta dana untuk mengumpulkan pencairan.

Risiko: Jika terdapat kerjasama antara gaji dan pengeluaran kas, hal ini dapat meningkatkan beban pada kas Perusahaan.

Rekomendasi:

- Proses permintaan dana harus melalui verifikasi oleh bagian akuntansi atau pengawas keuangan.

- Rekonsiliasi bulanan antara total gaji (dari gaji) dan total pengeluaran tunai per gaji.

- Manajemen harus meninjau dan menyetujui pembayaran tunai gaji di atas ambang batas tertentu.

Kesimpulan:

Kelemahan terbesar sistem PT ABC adalah kurangnya pemisahan tugas dan verifikasi independen. Hal ini meningkatkan risiko penipuan, terutama oleh supervisor yang mempunyai kewenangan terlalu besar.

Rekomendasi yang sebaiknya dikeluarkan oleh auditor berfokus pada:

1. Pembagian kerja yang lebih baik.

2. Verifikasi multi-level independen.

3. Otomatisasi dan digitalisasi proses untuk mengurangi penanganan manual.

4. Pedoman dan saluran pelaporan penipuan.

Dengan menerapkan rekomendasi ini, PT ABC dapat meningkatkan integritas sistem pengupahannya secara signifikan dan mengurangi risiko kerugian finansial dan reputasi.