Anda di halaman 1dari 16

RESUME AUDIT

INFORMASI

CHAPTER 1AUDIT DAN PENGENDALIAN INTERNAL


CHAPTER 3- AUDIT SISTEM INFORMASI DAN JARINGAN (BAG.1)

EVY ARISKA NOVELIA


8D REGULER/07
OKTOBER 2014

CHAPTER 1 : AUDITING AND INTERNAL


CONTROL
1. OVERVIEW AUDITING
a. Audit eksternal (keuangan)
Audit eksternal merupakan pemeriksaan independen yang dilakukan oleh seorang ahliyaitu
auditoryang memberikan opini terhadap penyajian laporan keuangan. Jasa ini disebut jasa
atestasi, yang dilakukan oleh certified public accountant(CPA) yang bekerja pada kantor akuntan
publik bersifat independen dari perusahaan klien yang diaudit. Tujuan audit selalu berhubungan
dengan menjamin penyajian yang wajar dari laporan keuangan, sehingga disebut audit keuangan.
Auditor eksternal harus mengikuti peraturan baku dalam melakukan audit yang dikeluarkan oleh
SEC, dewan pembentuk standar, seperti FASB, AICPA, dan hukum federal.
b. Jasa atestasi versus jasa konsultasi
Defenisi jasa atestasi: suatu perjanjian dengan praktisi yang akan memberikan, atau memberikan
komunikasi tertulis yang menunjukkan kesimpulan mengenai keandalan asersi tertulis yang
merupakan tanggung jawab dari pihak lain (SSAE No.1, AT Sec 100.1) Persyaratan yang harus
dipenuhi dalam melakukan jasa atestasi:
Jasa atestasi memerlukan asersi tertulis dan laporan tertulis dari para ahli.
Jasa atestasi memerlukan kriteria pengukuran formal atau deskripsinya dalam penyajian.
Level jasa atestasi terbatas pada pemeriksaan, reviu, dan penerapan prosedur yang telah
disetujui.
Defenisi dari jasa konsultasi adalah jasa profesional yang ditawarkan oleh kantor akuntan publik
kepada kliennya untuk mengukur efektivitas dan efisiensi perusahaan. Area jasa konsultasi secara
sengaja tidak dibatasi sehingga tidak menghambat pada pertumbuhan jasa di masa yang akan
datang yang pada saat ini tidak terduga.
Unit jasa konsultasi pada kantor akuntan publik bertanggung jawab dalam menyediakan dukungan
IT untuk klien terkait pengendalian yang memiliki nama yang berbeda di setiap perusahaan, tetapi
mereka semua terlibat dalam tugas-tugas yang dikenal sebagai manajemen resiko TI.
c. Audit internal
Institute of Internal Auditors (IIA) mendefinisikan audit internal sebagai fungsi penilaian
independen yang dilakukan di dalam organisasi dalam memeriksa dan mengevaluasi kegiatannya
sebagai jasa untuk orgasnisasi tersbut. Auditor internal melakukan berbagai kegiatan untuk
kepentingan organisasi, meliputi melakukan audit keuangan, memeriksa kepatuhan operasi
terhadapa kebijakan organisasi, reviu kepatuhan organisasi, evaluasi efisiensi operasi, dan
mendeteksi dan meneliti kecurangan di dalam perusahaan.
Sertifikasi auditor internal disebut Certifioed Internal Auditor (CIA) atau certified information
system auditor (CISA). STandar, pedoman, dan sertifikasi audit internal dilakukan oleh Institute of
Internal Auditors (IIA), dan untuk tingkatan di bawahnya, oleh Information Systems Audit and
Control Association (ISACA)
d. Auditor eksternal versus auditor internal
1

Auditor eksternal merupakan pihak luar,sedangkan auditor internal mewakili kepentingan


organisasi. Namun demikian, dalam kapasitas ini, auditor internal sering bekerja sama dan
membantu auditor eksternal dalam melakukan aspek audit keuangan. Independensi auditor
internal dapat dikompromikan, sedangkan auditor eksternal dilarang oleh standar operasional.
Auditor eksternal dapat menggunakan bukti dari auditor internal dan melaporkannya pada dewan
komisaris.
e. Audit kecurangan
tujuan dari audit kecurangan adalah untuk menginvestigasi anomali dan mengumpulkan bukti
kecurangan untuk memberikan keyakinan terhadap tindakan kriminal. Sertifikasi auditor kecurangan
disebut Certified Fraud Examiner (CFE), yang dikeluarkan oleh Association of Certified Fraud
Examiners (ACFE).
2. PERANAN KOMITE AUDIT
Dewan direksi dalam perusahaan publik membentuk subkomite yang dikenal dengan komite audit
yang memiliki tanggung jawab khusus mengenai audit. Komite ini biasanya terdiri dari tiga orang yang
harus orang luar (tidak terkait dengan manajemen eksekituf). Komite audit berfungsi sebagai check
and balance independen untuk funsi audit internal dan dengan audit eksternal.
Penipuan dalam perusahaan sering memiliki hubungan pada kegagalan komite audit. Hal Ini
berkaitan dengan kurangnya independensi anggota komite audit, komite audit tidak aktif, total
ketiadaan komite audit, dan kurangnya anggota yang berpengalaman dalam komite audit.
3. KOMPONEN AUDIT KEUANGAN
a. Standar audit
Standar auditing dibagi menjadi tiga kelas: standar kualifikasi umum, standar lapangan, dan
standar pelaporan. GAAS menetapkan kerangka kerja untuk memandu kinerja auditor, tetapi tidak
cukup rinci untuk memberikan pedoman yang berarti dalam keadaan tertentu. Untuk memberikan
pedoma khusus, American Institute of Certified Public Accountant (AICPA) menerbitkan
Pernyataan Standar Auditing pada (SASs) sebagai interpretasi dari GAAs.
Generally Accepted Auditing Standard
Standar Umum
Standar lapangan
Standar pelaporan
Auditor
harus
memiliki Pekerjaan
Audit
harus Auditor harus menyatakan
pelatihan dan kemampuan memadai
dalam laporan apakah laporan
teknis yang memadai
direncanakan.
keuangan telah disusun sesuai
prinsip akuntansi dengan yang
berlaku umum
Auditor
harus
memiliki Auditor harus mendapatkan Laporan
harus
independensi sikap mental.
pemahaman cukup tentang mengidentifikasi keadaan di
struktur pengendalian intern. mana
prinsip
akuntansi
berlaku
umum
tidak
diterapkan.
Auditor
harus
melatih Auditor harus memperoleh Laporan
harus
kepedulian profesional dalam bukti cukup yang kompeten.
mengidentifikasi item yang
kinerja audit dan persiapan
tidak memiliki pengungkapan
laporan.
yang cukup informatif .
2

Laporan
harus
memuat
ekspresi
pendapat
auditor
pada
laporan keuangan secara
keseluruhan.
b. Proses sistematis
Pelaksanaan audit merupakan proses yang sistematis dan logis yang diterapkan untuk segala
bentuk sistem informasi. Meskipun penting dalam semua pengaturan audit, pendekatan sistematis
adalah yang sangat penting dalam lingkungan TI.
c. Asersi manajemen dan tujuan audit
Untuk mendapatkan keyakinan yang memadai bahwa laporan keuangan telah disajikan dengan
wajar, auditor menetapkan tujuan audit, desain prosedur, dan mendapatkan bukti yang
menguatkan atau menyangkal asersi manajemen. Lima kategori umum asersi: Keberadaan atau
keterjadian, Kelengkapan, Hak dan kewajiban, Penilaian atau alokasi, Penyajian dan
pengungkapan.
Asersi manajemen
Tujuan audit
Prosedur audit
Keberadaan atau keterjadian
Persediaan yang tercantum Amati
penghitungan
dalam neraca..
persediaan fisik
Kelengkapan
Hutang mencakup semua Bandingkan
laporan
kewajiban periode tersebut.
penerimaan, faktur pemasok,
pesanan pembelian, dan entri
jurnal untuk periode dan awal
periode berikutnya.
Hak dan kewajiban
Mesin dan Peralatan yang Reviu Perjanjian pembelian,
tercantum dalam neraca polis asuransi, dan dokumen
dimiliki oleh entitas.
terkait.
Penilaian atau alokasi
Piutang dinyatakan sebesar Reviu umur akun piutang
net
entitas dan mengevaluasi
Realizable value.
kecukupan penyisihan akun
uncorrectable
.
Penyajian dan pengungkapan
Kontinjensi tidak dilaporkan Mendapatkan informasi dari
dalam akun keuangan dan pengacara entitas tentang
diungkapkan dalam catatan status litigasi dan perkiraan
kaki
potensi kerugian.
d. Memperoleh bukti
e. Memastikan materialitas
f. Mengkomunikasikan hasil

Auditor harus mengkomunikasikan hasil pemeriksaan mereka pada pengguna. Auditor independen
membuat laporan pada dewan direksi dan pemengang saham dari sebuah perusahaan. Laporan
audit berisi antara lain opini audit.
4. RESIKO AUDIT
a. Komponen resiko audit
Tujuan auditor adalah untuk mencapai tingkat risiko audit yang dapat diterima oleh auditor. Risiko
audit yang dapat diterima (Acceptable Risk) diestimasi berdasarkan nilai ex ante dari komponen
model risiko audit, yang terdiri dari:
Resiko bawaan : Risiko bawaab dikaitkan dengan karakteristik unik dari bisnis atau industri
perusahaan klien. Industri yang sedang menurun memiliki risiko bawaan lebih besar dari
perusahaan-perusahaan yang stabil atau industri yang berkembang. Auditor tidak dapat
mengurangi tingkat risiko bawaan. Bahkan dalam suatu sistem dilindungi oleh kontrol yang
sangat baik, data keuangan dan, akibatnya, laporan keuangan, dapat salah saji material.
Resiko pengendalian : resiko pengendalian adalah kemungkinan bahwa struktur pengendalian
cacat karena kontrol tidak ada atau tidak memadai untuk mencegah atau mendeteksi kesalahan
dalam akun.
Resiko terdeteksi : Risiko terdeteksi adalah risiko bahwa auditor bersedia untuk mengambil
bahwa kesalahan tidak terdeteksi atau dicegah dengan struktur pengendalian juga tidak akan
terdeteksi oleh auditor.
b. Model resiko audit
Auditor keuangan menggunakan komponen resiko audit dalam model untuk menentukan ruang
lingkup, sifat, dan waktu uji substantif. Model resiko audit:
AR = IRxCRxDR
Contoh:
AR= 5% ; IR=40% ; CR= 60% (IR dan CR merupakan komponen yang saling ekslusif, tidak harus
100%)
Jadi detection risk sebesar DR =5% / (40%*60%) = 20%
c. Hubungan antara uji pengendalian dan uji substantif
Uji pengendalian dan uji substantif merupakan teknik audit yang diguakan untuk mengurangi
resiko audit pada level yang dapat diterima. Semakin kuat struktur pengendalian internal,
sebagaimana ditetapkan melalui uji pengendalian, semakin kecil resiko audit dan semakin sedikit
uji substantif yang harus dilakukan oleh auditor. Kesimpulannya, semakin andal suatu
pengendalian internal, semakin kecil kemungkinan resiko pengendalian dan semakin kecil resiko
terdeteksi, yang akhirnya beujung pada semakin sedikitnya uji substantif yang diperlukan.
5. AUDIT TI
Struktur audit TI : Perencanaan audit; Uji Pengendalian; Uji substantif

6. PENGENDALIAN INTERNAL
a. Tujuan, Prinsip dan Model
Tujuan : untuk menjaga aset perusahaan, untuk menjamin akurasi dan keandalan pencatatan
akuntansi dan informasi, untuk mendorong efisiensi operasi perusahaan, untuk menjamin
kepatuhan manajemen sesuai kebijakan dan prosedur.
Model PDC

Pencegahan merupakan baris pertama dalam pertahanan struktur pengendalian.


Pengendalian pencegahan merupakan teknik pasif yang dibentuk untuk mengurangi
frekuensi kejadian peristiwa yang tidak diinginkan.
Pengendalian deteksi merupakan baris kedua pertahanan. Pengendalian deteksi adalah
aat, teknik dan prosedur yang dibentuk untuk menidrntifikasi dan mengetahui peristiwa
yang tidak diinginkan yang menghindari pengendalian pencegahan
Kegiatan koreksi harus dilakukan untuk membalik efek dari kesalahan terdeteksi. Terdapat
perbedaan penting antara pengendalian detektif dan pengendalian korektif. Pengendalian
detektif mengidentifikasi kejadian yang tidak diinginkan dan memberikan perhatian pada
kesalahan., pengendalian korekstif untuk mengatasi hal tersebut.
b. Kerangka pengendalian internal COSO
Komponen COSO :

Pengendalian lingkungan : merupakan dasar dari 4 komponen lainnya. Pengendalian


lingkungan mengatur irama organisasi dan mempengaruhi kesadaran pengendalian dari
manajemen dan karyawan.
Penilaian resiko : organisasi harus melakukan penilaian resiko untuk mengidentifikasi, analisis,
dan mengatur resiko yang berhubungan dengan pelaporan keuangan. SAS 109 mensyaratkan
bahwa auditor memperoleh pengetahuan yang cukup tentang risiko organisasi prosedur
penilaian untuk memahami bagaimana manajemen mengidentifikasi, memprioritaskan, dan
mengelola risiko yang terkait dengan pelaporan keuangan.
Informasi dan komunikasi : Sistem informasi akuntansi terdiri dari catatan dan metode yang
digunakan untuk memulai, mengidentifikasi, menganalisis, mengklasifikasi, dan mencatat
transaksi organisasi dan untuk memperhitungkan aktiva dan kewajiban terkait. Kualitas
informasi bahwa informasi akuntansi sistem menghasilkan kemampuan dampak manajemen
untuk mengambil tindakan dan membuat keputusan sehubungan dengan operasi organisasi
dan untuk mempersiapkan laporan keuangan yang dapat diandalkan.
Monitoring : Manajemen harus menentukan bahwa pengendalian internal berfungsi
sebagaimana dimaksud. pemantauan adalah proses dimana kualitas desain pengendalian
internal dan operasi dapat akan dinilai. Hal ini dapat dicapai dengan prosedur yang terpisah
atau kegiatan yang sedang berlangsung.
Kegiatan pengendalian : Kegiatan pengendalian adalah kebijakan dan prosedur yang digunakan
untuk memastikan bahwa tindakan yang tepat diambil untuk menangani risiko yang
teridentifikasi organisasi. Kegiatan pengendalian dapat dikelompokkan menjadi dua kategori
yang berbeda: kontrol fisik dan kontrol teknologi informasi (TI).

=====================================End=======================================

CHAPTER 3: SECURITY PART I: AUDITING


OPERATING SYSTEMS AND NETWORKS
1. AUDIT SISTEM OPERASI
Sistem operasi adalah program kendali komputer. Jika integritas sistem operasi dapat
dikompromikan, kontrol dalam diri aplikasi akuntansi individu juga dapat disiasati atau dinetralisir.
a. Tujuan sistem operasi
Sistem operasi melakukan tiga tugas utama, yaitu:
OS menterjemahkan bahasa tingkat tinggi, seperti COBOL, C ++, BASIC, dan SQL, ke dalam level
bahasa yang dapat dijalankan komputer. Modul penerjemah bahasa dari sistem operasi disebut
compiler dan interpreter.
OS mengalokasikan sumber daya komputer kepada pengguna, kelompok kerja, dan aplikasi.
Ketiga, sistem operasi mengelola tugas-tugas penjadwalan pekerjaan dan multiprogramming.
Pada setiap titik, berbagai aplikasi user (pekerjaan) yang mencari akses ke komputer sumber
daya di bawah kendali sistem operasi. Pekerjaan diserahkan ke sistem dalam tiga cara: (1)
langsung oleh operator sistem, (2) dari berbagai antrian batch-job, dan (3) melalui link
telekomunikasi dari workstation remote
Untuk melaksanakan tiga tugas utama di atas secara konsisten dan andal, OS harus memenuhi lima
tujuan dasar pengendalian, yaitu:
Sistem operasi harus melindungi diri dari pengguna. Pengguna aplikasi tidak boleh menguasai,
atau kerusakan dengan cara apapun, sistem operasi, sehingga menyebabkan OS berhenti
beroperasi atau merusak data.
Sistem operasi harus melindungi pengguna satu sama lain. satu pengguna tidak harus dapat
mengakses, merusak, atau merusak data atau program dari user lain.
Sistem operasi harus melindungi pengguna dari diri mereka sendiri. Aplikasi pengguna mungkin
terdiri dari beberapa modul yang tersimpan dalam lokasi memori yang terpisah, masing-masing
dengan data tersendiri. Satu modul tidak diperbolehkan untuk menghancurkan atau merusak
modul lain.
Sistem operasi harus dilindungi dari dirinya sendiri. Sistem operasi ini juga terdiri dari modul
individu. Tidak ada modul yang diperblehkan menghancurkan atau merusak modul lain.
Sistem operasi harus dilindungi dari lingkungannya. Dalam hal terjadi gangguan listrik atau
bencana lainnya, sistem operasi harus dapat mencapai terminal pengendaian .
b. Keamanan sistem operasi
Keamanan sistem operasi termsauk kebijakan, prosedur dan pengedalian yang menentukan siapa
yang dapat mengakses sistem operasi, diantaranya dilakukan dengan cara sebagai berikut:

Prosedur log-on : prosedur log on formal adalah baris pertama pertahanan os melawan akses yang
tidak diotorisasi.
Akses token: jika log on sukses, os membuat akses token yang berisi informasi kunci tentang
pengguna, termasuk user id, pasword, grup pengguna, dan hak pengguna.

Daftar akses kendali : daftar kontrol kendali diterapkan untuk setiap sumberdaya IT, yang
mengendalikan akses terhadap sumber daya. Daftar ini berisi informasi yang mendefinisikan hak akses
untuk semua pengguna valid terhadap sumberdaya.
Hak akses istimewa: sistem administrator terpusat biasanaya menentukan siapa yang mempunyai
akses yang diberikan untuk sumberdaya spesifik dan memelihara dafatar kendali akses. Pemiliki
sumberdaya dalam pengaturan ini disebut hak akses diskresioner, yang mengijinkan merekan untuk
mendapatkan akses kepada pengguna lain.

c. Ancaman integritas sistem operasi


Tujuan pengendalian Sistem operasi tidak dapat dicapai karena kelemahan dalam sistem operasi
yang dieksploitasi baik sengaja atau tidak sengaja. Ancaman Terkadang termasuk kegagalan
hardware yang menyebabkan sistem operasi crash. Kesalahan dalam program aplikasi pengguna
yang sistem operasi tidak dapat menafsirkan, juga menyebabkan kegagalan sistem operasi.
Kegagalan sistem terkadang dapat menyebabkan seluruh segmen memori yang akan dibuang ke
disk dan printer, sehingga dalam pengungkapan informasi rahasia yang tidak disengaja
d. Pengendalian sistem operasi dan uji audit
Jika integritas sistem operasi terganggu, kontrol dalam akuntansi individual aplikasi yang
berdampak pelaporan keuangan juga dapat terganggu. Yang dapat dilakukan auditor:
Pengendalian hak akses
Bentuk
Tujuan
Prosedur audit
Hak pengguna diberikan Memverifikasi bahwa hak Meninjau
kebijakan
kepada individu dan sekuruh akses yang diberikan telah
organisasi
dalam
kelompok
kerja
yang sesuai, konsisten terhadap
pemisahan fungsi yang
diizinkan untuk menggunakan kebutuhan akan pemisahan
tidak
sesuai
dan
sistem.
fungsi dan sesuai dengan
meyakinkan
bahwa
kebijakan organisasi.
manajemen menerapkan
keamanan yang layak.
Melakukan tinjauan dan
verifikasi atas pemilihan
kewenangan dari kelompok
pengguna dan individu
untuk menentukan jika hak
akses
mereka
sesuai
dengan jobdesc dan posisi
mereka.
Meninjau riwayat kerja
pegawai
untuk
menentukan apakah para
pengguna secara formal
memahami
tanggung
jawab
mereka
untuk
menjaga kerahasiaan data
perusahaan.
Meninjau waktu log-on
8

yang diijinkan dari para


penggunan.
Izin
seharusnya
sepadan
dengan tugas yang harus
dikerjakan.
Pengendalian password
Bentuk
Tujuan
Beberapa
bentuk Meyakinkan
bahwa
pengendalian yang dapat organisasi
telah
secara
dilakukan adalah:
memadai dan efektif dalam
kebijakan
Password yang dapat menerapkan
untuk
digunakan
berulang. password
Password yang baik adalah mengendalikan akses ke
dalam sistem oprerasi.
dengan
mengkombinasikan huruf
dan angka serta huruf
besar dan kecil, diganti
secara
berkala,
tidak
dituliskan pada tempat
umum
serta
bukan
merupakan
kombinasi
yang mudah ditebak.
Password yang hanya
digunakan satu kali.
Sistem ini memerlukan
sebuah alat/kartu yang
akan
meng-generate
password baru ketika diswype/gesek dengan alat
pembaca password dan
membentuk
password
baru.
Penggunaannya
diikuti dengan PIN yang
hanya diketahui oleh
pemilik kartu untuk
menghindari
penyalahgunaan.
Pengendalian melawan Program berbahaya dan merusak
Bentuk
Tujuan
Beberapa bentuk pengendalian
Memverifikasi bahwa
akan virus adalah:
kebijakan dan prosedur
Membeli software hanya manajemen telah efektif

Prosedur audit
Memverifikasi
bahwa
semua user wajib memiliki
password
Memverifikasi bahwa user
baru telah diinstruksikan
tentang
penggunaan
password dan pentingnya
pengendalian password
Meninjau
prosedur
pengendalian
password
untuk menyakini bahwa
password diganti secara
teratur
Meninjau data password
untuk menentukan bahwa
password yang lemah
dapat diidentifikasi dan
dilarang penggunaannya
Memverifikasi bahwa data
password dienkripsi dan
kunci enkripsi cukup aman
Menilai kewajaran standar
password seperti panjang
dan
jangka
waktu
kadaluarsanya
Meninjau prosedur dan
kebijakan
mengunci
password

Prosedur audit
Melalui
wawancara,
temukan bahwa pegawai
telah mengerti tentang
9

dari penyedia yang memiliki


reputasi baik dan hanya
menerima produk yang asli
dan masih terbungkus rapi
Menerbitkan
kebijakan
melarang
penggunaan
software ilegal
Menguji semua perbaikan
software dari penyedia
terhadap virus sebelum
diterapkan
Melakukan inspeksi semua
software yang tersedia secara
umum terhadap virus sebelum
digunakan, dll

dalam
mencegah
penggunaan
dan
penyebaran program yang
merusak

virus
dan
program
berbahaya serta waspada
terhadapnya
Memverifikasi
bahwa
software baru telah dites
pada komputer yang
berdiri sendiri sebelum
diterapkan pada host atau
server
Memverifikasi
bahwa
antivirus terupdate secara
teratur

Pengendalian jejak sistem audit


Bentuk
Tujuan
Prosedur audit
Pengendalian jejak audit
Memberi keyakinan Memverifikasi bahwa audit
dapat ditentukan sesuai bahwa audit trail yang ada
trail telah berjalan sesuai
kebijakan
manajemen, telah
secara
memadai
dengan
kebijakan
misalnya dengan memilih mencegah dan mendeteksi
organisasi
mengawasi jejak pengguna pelanggaran, merekonstruksi Sistem
operasi
secara
pribadi
ataupun kejadian-kejadian
penting
menyediakan alat untuk
berdasarkan
peristiwa yang
menyebabkan
membaca log audit yang
tertentu.
kegagalan
sistem
dan
memungkinkan
auditor
perencanaan alokasi sumber
melakukan scan terhadap
daya
aktivitas yang tidak biasa
Auditor dapat memilih
sampel
pelanggaran
keamanan
dan
mengevaluasi disposisi tim
keamanan it organisasi
untuk menilai keefektifan
tim keamanan it
2. AUDIT JARINGAN
a. Resiko intranet
Intranet terdiri dari LAN kecil dan WAN besar yang dapat berisikan ribuan node. Intranet
digunakan untuk menghubungkan karyawan di dalam suatu bangunan, antar bangunan dalam
satu kampus, dan antara lokasi yang terpisah secara geografis.

10

Ancaman intranet berasal dari karyawan yang memiliki kegiatan ilegal dan tidak diijinkan. Contoh
ancaman/resiko intranet anatara lain:
Penyadapan pesan jaringan
Akses database perusahaan
Karyawan Istimewa : Faktor yang berkontribusi terhadap kejahatan komputer adalah banyak
organisasi yang tidak mau menuntuti para penjahat.
b. Resiko internet
IP spoofing: bentuk samaran untuk mendapatkan akses yang tidak diijinkan ke server web
dengan cara mengubah IP address dan mengambil data/identitas asli dari pengguna. Sebagai
contoh, seorang hacker bisa spoof perusahaan manufaktur dengan order penjualan palsu
yang tampaknya berasal dari seorang pelanggan yang sah.
Penolakan serangan layanan : Sebuah penolakan serangan layanan (Dos) adalah serangan
terhadap server web untuk mencegah dari pelayanan pada customer. Tiga jenis umum
Serangan Dos adalah:
SYN flood attack(Ketika seorang pengguna menetapkan koneksi di Internet melalui TCP /
IP ),
smurf(Pelaku serangan smurf menggunakan sebuah program untuk membuat paket
pesan ping yang berisi alamat IP palsu dari komputer (IP spoofing) korban daripada yang
dari komputer sumber yang sebenarnya. Pesan ping kemudian dikirim ke perantara,
yang sebenarnya sebuah subnetwork seluruh komputer. Dengan mengirimkan ping ke
alamat broadcast IP jaringan, pelaku memastikan bahwa setiap node pada jaringan
perantara menerima echo meminta secara otomatis. Akibatnya, setiap node perantara
mengirimkan tanggapan gema untuk pesan ping, yang dikembalikan ke alamat IP
korban, tidak dari komputer sumber.,
distributed denial of service (DDos): Pelaku serangan DDos dapat menggunakan virtual
tentara disebut zombie atau bot (robot) komputer untuk meluncurkan serangan. Karena
jumlah besar perantara tidak curiga diperlukan, serangan sering melibatkan satu atau
lebih Internet menyampaikan chatting (IRC) jaringan sebagai sumber zombie
c. Resiko pengendaian dari ancaman tersembunyi
Dengan dua risiko terhadap jaringan baik intranet maupun internet maka diperlukan
pengendalian terhadap risiko dari ancaman subversif (hacker), beberapa hal yang dapat
dilakukan adalah:
Penggunaan firewall
Melakukan proses enkripsi data
Penggunaan tandatangan digital
Penggunaan sertifikat digital
Pengendalian ini dilakukan dengan tujuan untuk memverifikasi bahwa pengendalian atas
jaringan memberikan keamanan dan integritas transaksi keuangan. Proses jejak auditl yang
dilakukan adalah sebagai berikut:
Meninjau ketersediaan firewall
11

Meninjau prosedur keamanan melalui data enkripsi


Meninjau message transaction logs

d. Resiko pengendalian dari kegagalan peralatan


Salah satu contoh kegagalan peralatan misalnya kabel jaringan yang rusak. Bentuk pengendalian
yang dilakukan adalah melakukan hal berikut:
Mengecek echo : termasuk penerima pesan mengirimkan pesan kembali ke pengirim.
Mengecek parity (keseimbangan): Cek paritas menggabungkan bit tambahan (bit paritas) ke
dalam struktur string bit ketika dibuat atau dikirim. Paritas dapat bersifat vertikal dan
horizontal (memanjang).
Tujuan melakukan pengendalian ini adalah menverifikasi integritas transaksi keuangan secara
elektronik untuk mendeteksi dan mengkoreksi pesan yang hilang yang disebabkan kegagalan
peralatan. Proses penelusuran audit dilakukan dengan memilih sampel pesan dari log transaksi
dan mengujinya.
3. AUDIT ELECTRONIC DATA INTERCHANGE (EDI)
a. Standar EDI
Untuk menkoordinasikan penjualan dan operasi produksi dan untuk memelihara aliran bahan baku yang
tidak benar, banyak organisasi memasukkan dalam perjanjian perdagangannya dengan suplier dan
customer mereka. Perjanjian adalah dasar untuk proses bisnis otomasi penuh yang disebut electronic
data interchange (edi). Defenisi umum dari edi: Pertukaran informasi bisnis berproses komputer dalam
perusahaan dengan format standar.

Beberapa standar EDI yang digunakan misalnya format American National Standards Institute
(ANSI) X.12 dan EDIFACT (EDI for administration, commerce and transport).
b. Manfaat EDI
EDI telah diterapkan di banyak perusahaan karena memiliki banyak manfaat antara lain:
Minimalisasi data kunci
Mengurangi kesalahan
Mengurangi penggunaan kertas
Prosedur otomatis
Mengurangi penggunaan persediaan
Mengurangi biaya persuratan
c. Keuangan EDI
Oleh karena berbagai manfaat EDI tadi, EDI mulai marak digunakan pada sistem keuangan. EDI
digunakan secara bersama-sama dengan electronic fund transfer (EFT) untuk proses pembelian
dan penjualan.
d. Pengendalian EDI

12

Meskipun mengurangi adanya intervensi manusia berkat penggunaan EDI namun tetap
diperlukan pengendalian yaitu menyakinkan bahwa transaksi telah diotorisasi dan valid,
pencegahan akses yang tidak memiliki izin, dan menjaga audit trail transaksi.
e. Pengendalian akses
Tujuan audit terhadap EDI antara lain adalah
Semua transaksi diotorisasi dan valid dan patuh terhadap kesepakatan
Tidak ada proses tak diotorisasi yang mengakses database
Rekan dagang yang resmi hanya memperoleh data-data yang diperlukan saja
Terwujudnya kontrol yang memadai untuk melengkapi audit trail transaksi EDI
Adapun prosedur audit yang dilakukan adalah dengan melakukan beberapa tes yaitu: tes
pengendalian atas otorisasi dan validasi, tes terhadap akses pengendalian dan tes terhadap
pengendalian audit trail
4. AUDIT SISTEM AKUNTANSI BERBASIS KOMPUTER
Aplikasi PC cenderung sistem dengan tujuan umum yang melayani berbagai kebutuhan. Strategi ini
memungkinkan vendor perangkat lunak untuk memproduksi produk massal murah dan standar,
bebas dari kesalahan. Tidak mengherankan, sistem akuntansi PC populer di perusahaanperusahaan kecil, yang menggunakan PC untuk mengotomatisasi dan menggantikan sistem
manual dan dengan demikian menjadi lebih efisien dan kompetitif. Kebanyakan sistem PC memiliki
desain modular. Desain modular mereka memberikan pengguna dengan beberapa derajat
fleksibilitas dalam menyesuaikan sistem dengan kebutuhan spesifik mereka. Program kontrol
pusat menyediakan antarmuka pengguna ke sistem. Dari titik kontrol ini, pengguna membuat
pilihan menu untuk memanggil modul aplikasi yang diperlukan. Sistem komersial biasanya
memiliki modul terintegrasi. Ini berarti bahwa transfer data antara modul terjadi secara otomatis.
Resiko Dan Pengendalian Sistem PC Komputer
a. Kelemahan Sistem Operasi
b. Kelemahan Pengendalian Akses
c. Pembagian tugas yang tidak memadai
d. Pengendalian pasword multilevel: Kontrol password Multilevel digunakan untuk membatasi
karyawan yang berbagi komputer untuk direktori tertentu, program, dan file data. Dalam
pendekatan ini, berbeda password yang digunakan untuk mengakses fungsi yang berbeda.
Dengan demikian, setiap karyawan diwajibkan untuk memasukkan password untuk mengakses
aplikasi dan data.
e. Resiko Pencurian
f. Kelemahan Prosedur Back up : karena kurangnya pengalaman komputer dan pelatihan,
pengguna gagal menghargai pentingnya prosedur backup sampai terlambat. Untungnya,
sistem backup otomatis yng tidak mahal untuk PC yang tersedia. Untuk kenyamanan, backup
dapat diarahkan ke hard drive eksternal di lokasi pengguna.
g. Resiko infeksi virus
h. Tujuan audit terkait dengan keamanan PC
13

Tujuan Audit untuk menilai kontrol dalam lingkungan PC meliputi berikut ini:
Pastikan bahwa kontrol berada di tempat untuk melindungi data, program, dan komputer
dari yang Akses tidak sah , manipulasi, kehancuran, dan pencurian.
Pastikan pengawasan yang memadai dan prosedur operasi ada untuk mengkompensasi
kurangnya pemisahan antara tugas pengguna, programmer, dan operator.
Pastikan bahwa prosedur backup berada di tempat untuk mencegah data dan kehilangan
Program akibat kegagalan sistem, kesalahan, dan sebagainya.
Pastikan bahwa sistem seleksi dan akuisisi prosedur menghasilkan aplikasi yang berkualitas
tinggi, dan dilindungi dari perubahan tidak sah.
Pastikan bahwa sistem ini bebas dari virus dan dilindungi secara memadai untuk
meminimalkan risiko terinfeksi virus atau benda serupa.
i. Prosedur Audit terkait dengan keamanan PC
Auditor harus amati bahwa PC secara fisik berlabuh untuk mengurangi kesempatan
pencurian.
Auditor harus memverifikasi dari bagan organisasi, uraian tugas, dan observasi bahwa
programmer sistem akuntansi tidak juga mengoperasikan sistem tersebut. dalam unit
organisasi yang lebih kecil di mana pemisahan fungsional tidak praktis, auditor harus
memverifikasi bahwa ada pengawasan yang memadai atas tugas-tugas ini.
Auditor harus mengkonfirmasi bahwa laporan transaksi yang diproses, daftar akun
diperbarui, dan total kontrol disusun, didistribusikan, dan didamaikan oleh manajemen yang
tepat secara berkala dan tepat waktu.
Apabila diperlukan, auditor harus menentukan bahwa kontrol password multilevel
digunakan untuk membatasi akses ke data dan aplikasi dan bahwa otoritas akses yang
diberikan konsisten dengan deskripsi pekerjaan karyawan.
Jika hard drive removable atau eksternal digunakan, auditor harus memverifikasi bahwa
drive dihapus dan disimpan di lokasi yang aman jika tidak digunakan.
Dengan memilih sampel file backup, auditor dapat memverifikasi bahwa prosedur backup
ditaati. Dengan membandingkan nilai data dan tanggal pada disk cadangan untuk file
produksi , auditor dapat menilai frekuensi dan kecukupan prosedur cadangan. Jika layanan
backup online yang digunakan, auditor harus memverifikasi bahwa kontrak saat ini dan
cukup untuk memenuhi kebutuhan organisasi.
Dengan memilih sampel PC, auditor harus memastikan paket perangkat lunak komersial
dibeli dari vendor terkemuka dan memiliki salinan hukum. Auditor harus meninjau pilihan
dan akuisisi prosedur untuk memastikan bahwa pengguna akhir kebutuhan sepenuhnya
dipertimbangkan dan bahwa perangkat lunak yang dibeli memenuhi kebutuhan mereka.
Auditor harus meninjau kebijakan organisasi untuk menggunakan perangkat lunak antivirus.
kebijakan ini dapat mencakup hal-hal berikut:
- software antivirus harus diinstal pada semua mikrokomputer dan dipanggil sebagai
bagian dari prosedur startup ketika komputer dinyalakan. Ini akan memastikan bahwa
semua sektor kunci dari hard disk diperiksa sebelum data ditransfer melalui jaringan.
- Semua upgrade ke vendor perangkat lunak harus diperiksa untuk virus sebelum mereka
diimplementasikan.
14

Semua perangkat lunak publik domain harus diperiksa untuk infeksi virus sebelum itu
digunakan.
Versi ter kini software antivirus harus tersedia untuk semua pengguna. verifikasi bahwa
file data virus saat ini sedang didownload secara teratur, dan bahwa Program antivirus
ini memang berjalan di latar belakang PC terus menerus, dan sehingga mampu
memindai semua dokumen yang masuk. Versi perusahaan umumnya meliputi "push"
update di mana perangkat lunak secara otomatis memeriksa situs rumah web vendor
antivirus untuk update baru setiap kali terhubung ke Internet dan PC di-boot.

==================================End========================================

15