Anda di halaman 1dari 17

RANDI HERMAWAN

8D/16

RESUME
CHAPTER 1 : AUDITING AND INTERNAL CONTROL

OVERVIEW AUDIT
Audit Eksternal (Audit Keuangan)
Audit eksternal/audit keuangan adalah suatu atestasi independen yang dilakukan
oleh seorang ahli (auditor) yang mengungkapkan suatu opini terkait dengan
penyajian laporan keuangan. Tugas ini dinamakan jasa atestasi, yang dilakukan oleh
Certified Public Accountant (CPA) yang bekerja untuk perusahaan akuntansi publik
yang independen terhadap organisasi klien yang diaudit. Dalam melakukan auit
keuangan, auditor eksternal harus mengikuti standar-standar yang telah ditetapkan
oleh SEC, FASB, AICPA, dan Sarbanes-Oxley (SOX) Act 2002.

Audit Internal
Menurut The Institute of Internal Auditors (IIA), Audit internal adalah fungsi penilaian
independen yang dibentuk dalam suatu organisasi untuk memeriksa dan
mengevaluasi aktivitas-aktivitasnya sebagai suatu layanan dalam organisasi. Auditor
internal melakukan berbagai kegiatan untuk kepentingan organisasi, termasuk
melakukan audit keuangan, memeriksa kepatuhan operasional terhadap kebijakan
organisasi, mereviu kepatuhan organisasi terhadap kewajiban hukum, mengevaluasi
efisiensi operasional, dan mendeteksi dan memburu kecurangan dalam
perusahaan/organisasi.
Audit internal umumnya dilakukan oleh auditor yang bekerja untuk organisasi,
namun bisa juga dilakukan oleh orang luar yang dikontrak dari organisasi lain.
Auditor internal memiliki sertifikasi sebagai Certified Internal Auditor (CIA) atau
Certified Information System Auditors (CISA). Standar, panduan, dan sertifikasi audit
internal dikelola oleh IIA dan Information System Audit and Control Association
(ISACA).
Audit Kecurangan (Fraud Audits)
Tujuan dari fraud audit adalah untuk menginvestigasi penyimpangan dan
mengumpulkan bukti kecurangan yang mungkin mengarah pada hukum pidana.
Auditor fraud memperoleh sertifikat Certified Fraud Examiner (CFE), yang dikelola
oleh Association of Certified Fraud Examiners (ACFE).
KOMPONEN AUDIT KEUANGAN
Standar Audit
Auditor memiliki tanggung jawab professional yang diatur oleh standar audit yang
diterima umum (generally accepted auditing standards - GAAS). Tiga golongan
Standar Audit, yaitu : Standar Kualifikasi Umum, Standar Kegiatan Lapangan dan
Standar Pelaporan.
Untuk memberikan petunjuk yang terperinci, American Institute of Certified Public
Accountants (AICPA) menerbitkan pernyataan standar audit (Statements on Auditing
Standards - SAS) sebagai interpretasi legal atas GAAS.
Asersi Manajemen dan Tujuan Audit
Laporan keuangan organisasi mencerminkan sekumpulan asersi manajemen tentang
kesehatan keuangan entitas. Tugas auditor adalah untuk menentukan apakah
laporan keuangan tersebut telah disajikan secara wajar atau tidak. Untuk mencapai
tujuan ini, auditor harus membentuk tujuan audit, prosedur desain, dan
mengumpulkan bukti yang menguatkan atau membantah asersi manajemen.
Asersi manajemen ini dibagi menjadi lima kategori, yaitu:
1. Keberadaan atau keterjadian (Existence and Occurrence)
2. Kelengkapan (Completeness)
3. Hak dan kewajiban (Rights and Obligation)
4. Valuasi atau alokasi (Valuation or Allocation)
5. Penyajian dan pengungkapan (Presentation and Disclosure)
Dalam lingkungan IT, proses pengumpulan bukti meliputi pengumpulan bukti yang
berkaitan dengan keandalan pengendalian komputer serta konten database yang
telah diproses oleh program komputer.
Auditor juga harus menentukan apakah terdapat kelemahan dalam pengendalian
internal serta salah saji yang ditemukan dalam transaksi dan saldo akun adalah
material. Menilai suatu materialitas dalam IT dapat dikatakan sulit karena teknologi
dan struktur pengendalian internal yang canggih.
RISIKO AUDIT
Risiko audit adalah kemungkinan bahwa auditor akan membuat pendapat wajar tanpa
pengecualian (bersih) atas laporan keuangan yang, pada kenyataannya, salah saji material.
Salah saji material dapat disebabkan oleh kesalahan atau penyimpangan atau keduanya.
Komponen Risiko Audit
Risiko yang Melekat (Inherent Risk), adalah risiko yang berhubungan dengan
berbagai karakteristik unik dari bisnis atau industri klien. Auditor tidak dapat
mengurangi tingkat risiko yang melekat. Bahkan dalam sistem yang dilindungi oleh
kontrol yang sangat baik, data keuangan dan, akibatnya, laporan keuangan, dapat
salah saji material.
Risiko Pengendalian (Control Risk), adalah kemungkinan bahwa struktur
pengendalian cacat karena kontrol tidak ada atau tidak memadai untuk mencegah
atau mendeteksi kesalahan dalam akun. Risiko ini dapat dikurangi dengan melakukan
berbagai pengujian pengendalian internal.
Risiko Deteksi (Detection Risk), adalah risiko yang bersedia diambil auditor atas
berbagai kesalahan yang tidak terdeteksi atau dicegah oleh struktur pengendalian
yang juga tidak terdeteksi oleh auditor. Untuk mencegahnya auditor menetapkan
risiko deteksi yang direncanakan yang berpengaruh terhadap tingkat uji subtantif
yang akan dilakukan.
AUDIT TEKNOLOGI INFORMASI
Tahapan Audit TI
Perencanaan Audit (Audit Planning)
Sebagian besar dari fase audit ini adalah analisis risiko audit. Tujuan auditor adalah
untuk memperoleh informasi yang memadai tentang perusahaan untuk
merencanakan tahapan lain dari audit.
Uji Pengendalian (Test of Control)
Tujuan dari tahap ini adalah untuk menentukan apakah pengendalian internal yang
memadai telah pada tempatnya dan berfungsi dengan baik. Untuk mencapai hal ini,
auditor melakukan berbagai pengujian pengendalian. Teknik pengumpulan bukti
yang digunakan dalam fase ini dapat mencakup kedua teknik manual dan teknik
audit komputer khusus.
Uji Substantif (Substantive Testing)
Fase ini melibatkan penyelidikan rinci dari saldo rekening dan transaksi khusus
melalui apa yang disebut pengujian substantif. Beberapa pengujian substantif adalah
kegiatan fisik dan padat karya, seperti menghitung uang tunai, menghitung
persediaan di gudang, dan memverifikasi keberadaan sertifikat saham di tempat
yang aman. Dalam lingkungan TI, data yang diperlukan untuk melakukan pengujian
substantif (seperti saldo akun, serta nama dan alamat pelanggan individu) yang
terkandung dalam file data yang sering harus diekstrak menggunakan software
Computer-Assisted Audit Tools and Techniques (CAATTs).
PENGENDALIAN INTERNAL
Sejarah UU Pengendalian Internal
Undang-undang SEC Tahun 1933 dan 1934
Undang-undang Hak Cipta Tahun 1976
Komite Organisasi Pendukung Tahun 1992
Undang-undang Sarbanes-Oxley Tahun 2002
TUJUAN, PRINSIP, DAN MODEL PENGENDALIAN INTERNAL
Sistem pengendalian internal organisasi terdiri dari kebijakan, praktik, dan prosedur
untuk mencapai empat tujuan utama:
1. Untuk mengamankan aset perusahaan.
2. Untuk menjamin keakuratan dan keandalan pencatatan dan informasi akuntansi.
3. Untuk mendorong efisiensi dalam operasi perusahaan.
4. Untuk mengukur kepatuhan terhadap kebijakan dan prosedur yang dianjurkan
manajemen.
Melekat dalam tujuan pengendalian ini, terdapat empat prinsip yang memandu
desainer dan auditor dari sistem pengendalian intern, yaitu:
1. Tanggung Jawab Manajemen
2. Metode Pemrosesan Data
3. Pembatasan
4. Keyakinan yang Memadai.
Model PDC
Pengendalian internal terbagi ke dalam 3 tingkat yang disebut model Pengendalian PDC,
yaitu:
Pengendalian Preventif.
Pengendalian preventif adalah teknik pasif yang dirancang untuk mengurangi
frekuensi terjadinya peristiwa yang tidak diinginkan. Pengendalian preventif
memaksa kesesuaian dengan tindakan yang ditentukan atau diinginkan dan dengan
demikian menyaring peristiwa yang menyimpang.
Pengendalian Detektif.
Pengendalian detektif adalah perangkat, teknik, dan prosedur yang dirancang untuk
mengidentifikasi dan mengungkap kejadian yang tidak diinginkan yang menghindari
pengendalian preventif. Pengendalian detektif mengungkapkan jenis kesalahan
tertentu dengan membandingkan kejadian yang sebenarnya terhadap standar yang
telah ditetapkan sebelumnya.
Pengendalian Korektif.
Tindakan korektif harus diambil untuk membalikkan efek dari kesalahan terdeteksi.
Ada perbedaan penting antara pengendalian detektif dan pengendalian korektif.
Pengendalian detektif mengidentifikasi kejadian yang tidak diinginkan dan menarik
perhatian untuk masalah ini, sedangkan pengendalian korektif benar-benar
memperbaiki masalah.
COSO Internal Control Framework
Pengendalian internal menurut COSO, ada 5 komponen, yaitu:
1. Lingkungan Pengendalian untuk menetapkan arah perusahaan dan kesadaran
manajemen dan karyawan atas pengendalian. SAS 78 mengharuskan auditor
memiliki pengetahuan yang memadai untuk menilai sikap dan kesadaran pihak
manajemen perusahaan, dewan komisaris dan para pemilik atas pengendalian
internal.
2. Penilaian Risiko untuk mengidentifikasi, menganalisis, dan mengelola risiko yang
berkaitan dengan pelaporan keuangan. SAS 78 mengharuskan auditor
mendapatkan pengetahuan yang cukup atas prosedur penilaian risiko
perusahaan untuk memahami tata kelola perusahaan berkaitan dengan
pelaporan keuangan.
3. Informasi dan Komunikasi berkaitan dengan pengambilan keputusan dan
membuat laporan keuangan yang andal. SAS 78 mengharuskan auditor untuk
mendapatkan cukup pengetahuan yang cukup mengenai sistem informasi
perusahaan untuk memahami berbagai aspek terkait penyusunan laporan
keuangan.
4. Pengawasan merupakan suatu proses penilaian kualitas dan operasi
pengendalian internal. Dengan meringkas berbagai aktivitas, memperlihatkan
berbagai tren, serta mengidentifikasi kinerja operasi, laporan manajemen yang
didesain dengan baik dapat memberikan bukti atas berfungsinya atau kegagalan
pengendalian internal.
5. Aktivitas Pengendalian yaitu berbagai kebijakan dan prosedur yang digunakan
untuk memastikan tindakan yang telah dilakukan untuk menangani berbagai
risiko telah berjalan dengan baik dan sesuai dengan identifikasi perusahaan.
Dalam TI, aktivitas pengendalian terbagi 2 (dua):
1. Pengendalian umum berlaku untuk berbagai jenis risiko yang secara
sistematis mengancam integritas semua aplikasi yang diproses dalam
lingkungan TI.
2. Pengendalian aplikasi berfokus pada berbagai risiko yang berhubungan
dengan sistem tertentu.
Dalam lingkungan TI, para auditor TI melakukan fungsi verifikasi independen dengan
mengevaluasi pengendalian atas pengembangan sistem dan aktivitas pemeliharaan
serta mengkaji logika internal program.


RESUME
CHAPTER 3: AUDITING OPERATING SYSTEM AND NETWORKS

SISTEM OPERASI AUDIT
Sistem Operasi adalah program pengendalian komputer yang memungkinkan
pengguna dan aplikasi untuk berbagi dan mengakses sumber daya yang umum
komputer, seperti prosesor, memori utama, database, dan printer.
Tujuan Sistem Operasi
Sistem operasi melakukan tiga tugas utama, yaitu:
1. Menerjemahkan bahasa tingkat tinggi, seperti COBOL, C++, BASIC, dan SQL,
ke dalam bahasa tingkat mesin yang dapat dieksekusi oleh komputer. Modul
penerjemah bahasa dalam sistem operasi disebut compilers dan interpreters.
2. Mengalokasikan sumber daya kepada pengguna, kelompok kerja
(workgroups), dan aplikasi.
3. Mengelola tugas pengelolaan kerja (job scheduling) dan multiprograming.
Untuk melakukan tugas-tugas tersebut, sistem operasi harus mencapai lima tujuan
penegnedalian fundamental:
1. Sistem operasi harus melindungi dirinya sendiri dari pengguna.
2. Sistem operasi harus melindungi pengguna dari pengguna lainnya.
3. Sistem operasi harus melindungi pengguna dari pengguna itu sendiri.
4. Sistem operasi harus dilindungi dari sistem operasi itu sendiri.
5. Sistem operasi harus dilindungi dari lingkungannya sendiri.
Keamanan Sistem Operasi
Keamanan sistem operasi mencakup kebijakan, prosedur, dan pengendalian yang
menentukan siapa yang dapat mengakses sistem operasi, di mana sumber daya
(files, program, printers) dapat mereka gunakan, dan tindakan apa yang dapat
mereka lakukan.
Komponen keamanan sistem operasi yang ditemukan dalam sistem operasi yang
aman, adalah prosedur log-on, access Token, Access Control List, dan Discretionary
Access Privileges.
Ancaman terhadap Sistem Operasi
Ancaman terhadap sistem operasi dapat berasal dari tiga sumber, yaitu:
1. Pegawai berwenang yang menyalahgunakan wewenangnya.
2. Individu, baik internal maupun eksternal organisasi, yang menelusuri sistem
operasi untuk mengidentifikasi dan mengeksploitasi celah-celah
keamanannya.
3. Individual yang secara sengaja maupun tidak sengaja memasukkan virus
komputer atau program destruktif bentuk lainnya ke dalam sistem operasi.
Pengendalian Sistem Operasi dan Pengujian Audit
Berbagai teknik kontrol untuk menjaga integritas sistem operasi dan pengujian terkait yang
dapat dilakukan oleh auditor, adalah sebagai berikut.
1. Mengendalikan hak akses.
Tujuan audit yang berkaitan dengan hak akses.
Tujuan auditor adalah untuk memastikan bahwa hak akses yang diberikan dengan
cara yang konsisten dengan kebutuhan untuk memisahkan fungsi yang tidak
kompatibel dan sesuai dengan kebijakan organisasi.
Prossedur audit yang berkaitan dengan hak akses.
a) Meninjau kebijakan organisasi untuk memisahkan fungsi yang tidak kompatibel
dan memastikan bahwa mereka mempromosikan keamanan yang wajar.
b) Meninjau hak istimewa dari pilihan kelompok pengguna dan individu untuk
menentukan apakah hak akses mereka sesuai dengan deskripsi pekerjaan dan
posisi mereka.
c) Meninjau catatan personil untuk menentukan apakah karyawan yang diberi
kewenangan menjalani pemeriksaan izin keamanan secara intensif sesuai
dengan kebijakan perusahaan.
d) Meninjau catatan karyawan untuk menentukan apakah pengguna telah secara
formal mengakui tanggung jawab mereka untuk menjaga kerahasiaan data
perusahaan.
e) Meninjau berapa kali log-on pengguna yang diizinkan. Izin harus sepadan
dengan
tugas yang dilakukan.
2. Pengendalian Password
Password adalah kode rahasia yang dimasukkan oleh user untuk dapat mengakses
sistem, aplikasi, file data, atau server jaringan.
Jenis password ada dua, yaitu: reusable passwords dan one-time passwords.
Tujuan auditor terkait password adalah untuk memastikan bahwa organisasi
memiliki kebijakan password memadai dan efektif untuk mengendalikan akses
terhadap sistem operasi.
Prosedur audit terkait password antara lain.
a) Memverifikasi bahwa semua pengguna diharuskan untuk memiliki password.
b) Memverifikasi bahwa pengguna baru diinstruksikan dalam penggunaan
password dan pentingnya pengendalian password.
c) Meninjau prosedur pengendalian password untuk memastikan bahwa password
diubah secara teratur.
d) Meninjau file password untuk menentukan bahwa password yang lemah
diidentifikasi dan tidak diijinkan.
e) Memverifikasi bahwa file password dienkripsi dan bahwa kunci enkripsi telah
diamankan dengan baik.
f) Menilai kecukupan standar password seperti panjangnya password dan jangka
waktu kadaluwarsa password.
g) Meninjau kebijakan dan prosedur penguncian (lockout).
3. Pengendalian terhadap program yang berbahaya dan destruktif
Tujuan audit terkait virus dan program destruktif lainnya adalah untuk memverifikasi
kebijakan dan prosedur manajemen yang efektif telah ditempatkan untuk mencegah
pemasukan dan penyebaran program-program destruktif, seperti virus, worms, back
doors logic bombs, dan Trojan Horse.

Prosedur audit terkait dengan virus dan program destruktif lainnya, antara lain.
a) Melalui interview, menentukan bahwa karyawan operasional telah dididik
mengenai virus komputer dan sadar akan risiko penggunaan komputer yang
dapat memasukkan dan menyebarkan virus dan program berbahaya lainnya.
b) Memverifikasi bahwa software baru telah diuji pada workstation mandiri
sebelum diimplementasikan pada host atau jaringan server.
c) Memverifikasi bahwa versi terkini software antivirus telah diinstal pada server
dan upgrade-nya diunduh secara teratur pada workstation.
4. System Audit Trail Controls
System audit trails adalah log yang merekam aktivitas di sistem, aplikasi, dan
tingkat pengguna. Sistem operasi memungkinkan manajemen untuk memilih
tingkat audit yang akan dicatat dalam log.
Audit trails umumnya terdiri dari dua tipe log audit, yaitu
a) Keystroke Monitoring, mencakup perekaman keystroke pengguna dan
respon sistem.
b) Event Monitoring, merangkum kegiatan kunci yang terkait dengan
sumber daya sistem
Audit Trails dapat digunakan untuk mendukung tujuan keamanan dalam tiga
cara:
a) Mendeteksi akses yang tidak diotorisasi ke dalam sistem
b) Memfasilitasi rekonstruksi kejadian
c) Mendorong akuntabilitas personal.
Tujuan audit terkait dengan System Audit Trails adalah untuk menjamin bahwa
system audit trail telah mencukupi untuk mencegah dan mendeteksi
pelanggaran, merekonstruksi kejadian kunci yang mengawali kegagalan sistem,
dan merencanakan alokasi sumber daya.
Prosedur audit terkait System Audit Trails, yaitu:
a) Memverifikasi audit trail telah diaktivasi berdasarkan kebijakan
organisasi.
b) Banyak sistem operasi menyediakan penampil log audit yang
memungkinkan auditor untuk memindai log untuk aktivitas yang tidak
biasa. Ini dapat ditinjau pada layar atau dengan pengarsipan file untuk
diperiksa berikutnya.
c) Kelompok keamanan organisasi memiliki tanggung jawab untuk
memantau dan melaporkan pelanggaran keamanan. Auditor harus
memilih sampel kasus pelanggaran keamanan dan mengevaluasi disposisi
mereka untuk menilai efektivitas dari kelompok keamanan.
JARINGAN AUDIT
Risiko Intranet
Intranet terdiri dari jaringan LAN kecil dan WAN besar yang mungkin terdiri dari
ribuan node individu. Intranet digunakan untuk menghubungkan karyawan dalam
suatu bangunan tunggal, antar bangunan dalam kampus fisik yang sama, dan antar
lokasi yang tersebar secara geografis. Umumnya, aktivitas intranet meliputi routing
e-mail, pemrosesan transaksi antar unit bisnis, dan menghubungkan dengan internet
luar.
Risiko intranet antara lain intersepsi jaringan pesan (sniffing), akses terhadap
database perusahaan, dan karyawan-karyawan dengan hak istimewa.
Risiko Internet
IP Spoofing, yaitu bentuk penyamaran untuk mendapatkan akses tidak sah ke server
Web dan/atau untuk mengabadikan perbuatan melawan hukum tanpa
mengungkapkan identitas seseorang.
Denial of Service Attack (Dos), yaitu serangan terhadap server web untuk mencegah
melayani pengguna yang sah. Jenis-jenis Dos antara lain SYN flood, smurf, dan
distributed denial of service (DDos).
Risiko dari kegagalan peralatan, seperti jaringan komunikasi (kabel coaxial,
microwaves, dan serat optik), komponen perangkat keras (modem, multiplexers,
server, dan prosesor front-end), dan software.
Mengendalikan Resiko dari Ancaman Subversif
1. Firewalls
Firewalls merupakan sebuah sistem yang memberlakukan kontrol akses antara dua
jaringan. Hanya lalu lintas yang berwenang antara organisasi dan luar organisasi
yang diperbolehkan untuk melewati firewall.

Jenis-jenis firewall:
a) Network-level Firewall, menyaring router yang memeriksa alamat sumber dan
tujuan.
b) Application-level Firewall, menjalankan keamanan aplikasi yang disebut proxy.
2. Mengendalikan DOS Attacks.
Smurf Attacks
Organisasi dapat memprogram firewall untuk mengabaikan situs penyerang ketika
terdeteksi.
SYN Flood Attacks
a) Menggunakan firewall pada host internet yang dapat memblokir alamat IP
yang tidak valid.
b) Menggunakan software pengaman yang dapat memindai koneksi yang
setengah terbuka.
Ddos Attacks
Banyak organisasi menggunakan Intrusion Prevention Systems (IPS) yang melakukan
inspeksi paket mendalam (deep packet inspection DPI)
3. Enkripsi
Enkripsi adalah konversi data ke dalam kode rahasia untuk penyimpanan dan
transmisi. Algoritma enkripsi menggunakan kunci (keys), yang umumnya memiliki
panjang 56 hingga 128 bit. Semakin banyak bit dalam kunci, semakin kuat metode
enkripsinya.
Pendekatan umum dalam enkripsi adalah enkripsi private key dan public key.
a) Private key encryption
Standar enkripsi lanjutan (Advance Encryption Standard AES),
menggunakan kunci tunggal yang diketahui oleh pengirim dan
penerima pesan.
Triple Data Encryption Standard (DES), menggunakan tiga kunci. Dua
bentuk enkripsi triple-DES adalah EEE3 dan
EDE3.


b) Public Key Encription
Menggunakan dua kunci yang berbeda, satu untuk encoding pesan,
dan yang lainnya untuk decoding pesan.
Masing-masing penerima memiliki private key yang disimpan secara
rahasia dan public key yang di-published.
4. Tanda Tangan Digital
Tanda tangan digital merupakan teknik otentikasi untuk memastikan bahwa
pesan yang ditransmisikan berasal dari pengirim yang berwenang dan pesan
tidak dirusak setelah tanda tangan dimasukkan.
5. Sertifikat digital
Sertifikat digital mirip seperti kartu identifikasi elektronik dengan sistem enkripsi
public key. Berfungsi untuk memverifikasi kewenangan pengirim pesan.
6. Penomoran urutan pesan, berfungsi untuk mendeteksi adanya pesan yang hilang.
7. Log transaksi pesan, untuk mendaftar semua pesan masuk dan keluar untuk mendeteksi
adanya upaya hacker.
8. Teknik request-response, merupakan suatu pengendalian pesan dari pengirim dan
respon dari penerima yang dikirimkan dalam interval periodik dan tersinkronisasi.
9. Call-back devices, merupakan suatu alat di mana penerima memanggil kembali
pengirim pada nomor telepon yang telah diotorisasi sebelumnya, sebelum transmisi
diselesaikan.
Tujuan Audit terkait Pengendalian dari Ancaman Subversif
Tujuan audit terkait pengendalian dari ancaman subversif adalah untuk
memverifikasi keamanan dan keutuhan transaksi keuangan dengan menentukan
bahwa pengendalian jaringan
a) dapat mencegah dan mendeteksi akses ilegal dari internal perusahaan
atau dari internet,
b) akan menjadikan data tidak berguna dan pelaku berhasil ditangkap,
c) cukup untuk menjaga keutuhan dan keamanan fisik dari data yang
terhubung ke jaringan.


Prosedur Audit terkait Pengendalian dari Ancaman Subversif
Meninjau kecukupan firewall dalam menyeimbangkan kontrol dan kenyamanan
Fleksibilitas, firewall harus cukup fleksibel untuk mengakomodasi
layanan baru.
Layanan Proxy, aplikasi proxy yang memadai harus pada tempatnya
untuk menyediakan otentikasi pengguna secara eksplisit terhadap
layanan, aplikasi, dan data yang sensitif.
Filtering, firewall harus membedakan layanan mana yang diizinkan untuk
diakses oleh pengguna, mana yang tidak.
Perangkat Audit, firewall harus menyediakan keseluruhan kumpulan
audit dan me-log perangkat yang mengidentifikasi dan mencatat
aktivitas mencurigakan.
Pemeriksaan Kelemahan, memeriksa kelemahan firewall secara periodik
yang dapat ditemukan oleh hacker.
Memverifikasi bahwa sistem pencegahan intrusi (intrusion prevention system
IPS) terdapat pada organisasi yang rentan terhadap serangan Ddos, seperti
institusi keuangan.
Meninjau prosedur keamanan yang mengelola administrasi kunci enkripsi data.
Memverifikasi proses enkripsi denan mentransmisikan pesan pengujian dan
memeriksa konten pada berbagai poin di sepanjang saluran antara lokasi
pengiriman dan penerimaan.
Meninjau log transaksi pesan untuk memverifikasi bahwa semua pesan diterima
dalam urutan yang sesuai.
Menguji operasi fitur call-back dengan menempatkan panggilan yang tidak
terotorisasi dari luar instalasi.
Mengendalikan Risiko Kegagalan Peralatan
Permasalahan yang umum terjadi dalam komunikasi data adalah hilangnya data yang
disebabkan oleh kesalahan jaringan.
Pengendalian dalam kegagalan peralatan ini adalah:
a) Echo Check, penerima pesan mengembalikan pesan kepada pengirim
b) Parity Check, menambahkan bit tambahan (bit paritas) ke dalam struktur suatu
string bit ketika dibuat atau ditransmisikan.
Tujuan audit terkait pengendalian risiko kegagalan peralatan adalah untuk
memverifikasi keutuhan transaksi dengan menentukan bahwa pengendalian telah
dilakukan untuk mendeteksi dan mengkoreksi pesan yang hilang akibat kegagalan
peralatan.
Prosedur audit:
a) Memilih sampel pesan dari log transaksi dan mengujinya untuk konten yang
kacau yang disebabkan oleh gangguan jalur.
b) Memverifikasi bahwa semua pesan yang korup telah ditransmisikan ulang
dengan sukses
Pengendalian dan Risiko Sistem Komputer
Kelemahan Sistem Operasi
Minimalnya keamanan untuk file dan program data
Data yang tersimpan dalam mikro komputer yang dibagikan oleh banyak
pengguna terekspos ke akses yang tidak terotorisasi, manipulasi, dan
perusakan.
Kontrol akses yang lemah
Prosedur log-on biasanya aktif hanya ketika komputer booting dari hard
drive, bagaimana jika booting dari CD-ROM?
Pemisahan tugas yang tidak memadai
Komputer digunakan bersama oleh end user
Operator juga bertindak sebagai developer
Risiko pencurian
PC dan Laptop mudah dicuri
Kebijakan untuk mengelola data yang senstif
Prosedur backup yang lemah
Kegagalan disk, merupakan penyebab utama dari kehilangan data dalam
lingkungan PC
End user harus mem-backup PC mereka sendiri, namun kebanyakan mereka
tidak berpengalaman.
Risiko infeksi virus
Memastikan bahwa software antivirus dipasang pada PC dan tetap
terbaharui.
Pengendalian password multilevel
Ketika komputer digunakan bersama oleh karyawan, masing-masing
karyawan diharuskan memasukkan password untuk mengakses aplikasi dan
data mereka.
Tujuan Audit terkait Kontrol dan Risiko Sistem Komputer
Memverifikasi bahwa pengendalian telah dilakukan untuk melindungi data, program,
dan komputer dari akses yang tidak terotorisasi, manipulasi, perusakan, dan
pencurian.
Memverifikasi bahwa pengawasan dan prosedur operasi yang memadai telah ada
untuk mengimbangi kurangnya pemisahan tugas antara pengguna, programmer, dan
operator.
Memverifikasi bahwa prosedur backup telah dilakukan untuk mencegah hilangnya
data dan program akibat kegagalan sistem, error, dan sebagainya,
Memverifikasi bahwa prosedur pemilihan dan akuisisi sistem memproduksi aplikasi
yang berkualitas tinggi, dan terlindungi dari perubahan yang tidak terotorisasi.
Memverifikasi bahwa sistem bebas dari virus dan cukup terlindungi untuk
meminimalkan risiko infeksi dari virus atau sejenisnya.
Prosedur Audit terkait Kontrol dan Risiko Program Komputer
Mengamati PC yang ada secara fisik untuk mengurangi kesempatan pencurian.
Memverifikasi bagan organisasi, uraian tugas, dan pengamatan bahwa programmer
sistem akuntansi tidak mengoperasikan sistem itu juga.
Menentukan bahwa pengendalian password multilevel digunakan untuk membatasi
akses terhadap data dan aplikasi serta bahwa otoritas akses yang diberikan konsisten
dengan uraian tugas karyawan.
Apabila removable atau external hard drive digunakan, auditor harus memverifikasi
bahwa drive telah dilepas dan disimpan dalam lokasi yang aman ketika tidak
digunakan.
Memilih sampel PC dan memverifikasi bahwa paket software komersial dibeli dari
vendor yang terpercaya dan resmi.
Meninjau kebijakan organisasi mengenai penggunaan software antivirus.