INFORMATION TECHNOLOGY AUDITING

“AUDITING OPERATING SYSTEMS AND NETWORKS”

Disusun oleh :
1. Ninda Silviani Nadhiroh (041711333009)
2. Alyssa Novia Rachma (041711333051)
3. Rendah Oktavianti Ningtyas (041711333052)
4. Ayu Trikaton (041711333055)
5. Indira Karima Umaroe (041711333058)

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS AIRLANGGA
SURABAYA
2020
SISTEM OPERASI AUDIT

Sistem Operasi adalah program pengendalian komputer yang memungkinkan pengguna dan
aplikasi untuk berbagi dan mengakses sumber daya yang umum komputer, seperti prosesor,
memori utama, database, dan printer.

Tujuan Sistem Operasi

 Sistem operasi melakukan tiga tugas utama, yaitu:

1. Menerjemahkan bahasa tingkat tinggi, seperti COBOL, C++, BASIC, dan SQL,
ke dalam bahasa tingkat mesin yang dapat dieksekusi oleh komputer. Modul
penerjemah bahasa dalam sistem operasi disebut compilers dan interpreters.
2. Mengalokasikan sumber daya kepada pengguna, kelompok kerja (workgroups),
dan aplikasi.
3. Mengelola tugas pengelolaan kerja (job scheduling) dan multiprograming.
 Untuk melakukan tugas-tugas tersebut, sistem operasi harus mencapai lima tujuan
pengendalian fundamental:
1. Sistem operasi harus melindungi dirinya sendiri dari pengguna.
2. Sistem operasi harus melindungi pengguna dari pengguna lainnya.
3. Sistem operasi harus melindungi pengguna dari pengguna itu sendiri.
4. Sistem operasi harus dilindungi dari sistem operasi itu sendiri.
5. Sistem operasi harus dilindungi dari lingkungannya sendiri.

Keamanan Sistem Operasi

1. Keamanan sistem operasi mencakup kebijakan, prosedur, dan pengendalian yang

menentukan siapa yang dapat mengakses sistem operasi, di mana sumber daya (files,
program, printers) dapat mereka gunakan, dan tindakan apa yang dapat mereka lakukan.
2. Komponen keamanan sistem operasi yang ditemukan dalam sistem operasi yang aman,
adalah prosedur log-on, access Token, Access Control List, dan Discretionary Access
Privileges.

Ancaman terhadap Sistem Operasi

 Ancaman terhadap sistem operasi dapat berasal dari tiga sumber, yaitu:
 1. Pegawai berwenang yang menyalahgunakan wewenangnya.
2. Individu, baik internal maupun eksternal organisasi, yang menelusuri sistem
operasi untuk mengidentifikasi dan mengeksploitasi celah-celah keamanannya.
3. Individual yang secara sengaja maupun tidak sengaja memasukkan virus komputer
atau program destruktif bentuk lainnya ke dalam sistem operasi.

Pengendalian Sistem Operasi dan Pengujian Audit

Berbagai teknik kontrol untuk menjaga integritas sistem operasi dan pengujian terkait yang dapat
dilakukan oleh auditor, adalah sebagai berikut.

1. Mengendalikan hak akses.

 Tujuan audit yang berkaitan dengan hak akses.
Tujuan auditor adalah untuk memastikan bahwa hak akses yang diberikan dengan cara
yang konsisten dengan kebutuhan untuk memisahkan fungsi yang tidak kompatibel dan
sesuai dengan kebijakan organisasi.
 Prosedur audit yang berkaitan dengan hak akses.
a) Meninjau kebijakan organisasi untuk memisahkan fungsi yang tidak kompatibel dan
memastikan bahwa mereka mempromosikan keamanan yang wajar.
b) Meninjau hak istimewa dari pilihan kelompok pengguna dan individu untuk
menentukan apakah hak akses mereka sesuai dengan deskripsi pekerjaan dan posisi
mereka.
c) Meninjau catatan personil untuk menentukan apakah karyawan yang diberi
kewenangan menjalani pemeriksaan izin keamanan secara intensif sesuai dengan
kebijakan perusahaan.
d) Meninjau catatan karyawan untuk menentukan apakah pengguna telah secara formal
mengakui tanggung jawab mereka untuk menjaga kerahasiaan data perusahaan.
e) Meninjau berapa kali log-on pengguna yang diizinkan. Izin harus sepadan dengan
tugas yang dilakukan.
2. Pengendalian Password
 Password adalah kode rahasia yang dimasukkan oleh user untuk dapat mengakses sistem,
aplikasi, file data, atau server jaringan.
 Jenis password ada dua, yaitu: reusable passwords dan one-time passwords.
  Tujuan auditor terkait password adalah untuk memastikan bahwa organisasi memiliki
kebijakan password memadai dan efektif untuk mengendalikan akses terhadap sistem
operasi.
 Prosedur audit terkait password antara lain.
a) Memverifikasi bahwa semua pengguna diharuskan untuk memiliki password.
b) Memverifikasi bahwa pengguna baru diinstruksikan dalam penggunaan password dan
pentingnya pengendalian password.
c) Meninjau prosedur pengendalian password untuk memastikan bahwa password diubah
secara teratur.
d) Meninjau file password untuk menentukan bahwa password yang lemah diidentifikasi
dan tidak diijinkan.
e) Memverifikasi bahwa file password dienkripsi dan bahwa kunci enkripsi telah
diamankan dengan baik.
f) Menilai kecukupan standar password seperti panjangnya password dan jangka waktu
kadaluwarsa password.
g) Meninjau kebijakan dan prosedur penguncian (lockout).
3. Pengendalian terhadap program yang berbahaya dan destruktif
 Tujuan audit terkait virus dan program destruktif lainnya adalah untuk memverifikasi
kebijakan dan prosedur manajemen yang efektif telah ditempatkan untuk mencegah
pemasukan dan penyebaran program-program destruktif, seperti virus, worms, back doors¸
logic bombs, dan Trojan Horse.
 Prosedur audit terkait dengan virus dan program destruktif lainnya, antara lain.
a) Melalui interview, menentukan bahwa karyawan operasional telah dididik mengenai
virus komputer dan sadar akan risiko penggunaan komputer yang dapat memasukkan
dan menyebarkan virus dan program berbahaya lainnya.
b) Memverifikasi bahwa software baru telah diuji pada workstation mandiri sebelum
diimplementasikan pada host atau jaringan server.
c) Memverifikasi bahwa versi terkini software antivirus telah diinstal pada server dan
upgrade-nya diunduh secara teratur pada workstation.
4. System Audit Trail Controls
 System audit trails adalah log yang merekam aktivitas di sistem, aplikasi, dan tingkat
pengguna. Sistem operasi memungkinkan manajemen untuk memilih tingkat audit
yang akan dicatat dalam log.
 Audit trails umumnya terdiri dari dua tipe log audit, yaitu
a) Keystroke Monitoring, mencakup perekaman keystroke pengguna dan respon
sistem.
b) Event Monitoring, merangkum kegiatan kunci yang terkait dengan sumber
daya sistem
 Audit trails digunakan untuk mendukung tujuan keamanan dalam tiga cara, meliputi :
Mendeteksi akses yang tidak diotorisasi ke dalam sistem, Memfasilitasi rekonstruksi
kejadian, Mendorong akuntabilitas personal.
 Tujuan dari audit trails ini yaitu untuk menjamin bahwa system audit trail telah
mencukupi untuk mencegah dan mendeteksi pelanggaran, merekonstruksi kejadian
kunci yang mengawali kegagalan sistem, dan merencanakan alokasi sumber daya.
 Prosedur audit terkait System Audit Trails, yaitu
 Sebagian besar system operasi menyediakan beberapa bentuk fungsi manager
audit untuk menentukan peristiwa apa yang akan diaudit. Auditor juga harus
memverifikasi bahwa jejak audit telah diaktifkan sesuai dengan kebijakan
organisasi
 Banyak system operasi menyediakan penampil log audit yang memungkinkan
auditor untuk memindai log untuk aktivitas yang tidak biasa. Ini dapat ditinjau
pada layar atau dengan pengarsipan file untuk diperiksa berikutnya. Auditor
dapat menggunakan alat ekstraksi data untuk mengakses file log yang
diarsipkan untuk mencari kondisi yang ditentukan seperti : pengguna yang
tidak diotorisasi atau diakhiri, periode tidak aktif, aktivitas oleh pengguna dan
kelompok atau departemen, waktu log-on dan log-off, upaya masuk yang gagal
akses, akses yang spesifik.
 Kelompok keamanan organisasi memiliki tanggung jawab untuk memantau dan
melaporkan pelanggaran keamanan. Auditor harus memilih sampel kasus
 pelanggaran keamanan dan mengevaluasi disposisi mereka untuk menilai
efektivitas dari kelompok keamanan.

AUDITING NETWORKS

Intranet Risks
 Intranet terdiri dari jaringan LAN kecil dan WAN besar yang mungkin terdiri dari ribuan
node individu. Intranet digunakan untuk menghubungkan karyawan dalam suatu bangunan
tunggal, antar bangunan dalam kampus fisik yang sama, dan antar lokasi yang tersebar
secara geografis. Umumnya, aktivitas intranet meliputi routing e-mail, pemrosesan
transaksi antar unit bisnis, dan menghubungkan dengan internet luar.
 Risiko intranet antara lain intersepsi jaringan pesan (sniffing), akses terhadap database
perusahaan, dan karyawan-karyawan dengan hak istimewa.

Internet Risks
 IP Spoofing: penyamaran/meniru IP atau identitas komputer user untuk memperoleh
akses atau melakukan sesuatu tanpa ingin diketahui identitasnya (jejaknya). Umumnya
dilakukan dengan menyamar sebagai komputer yang ditelah dikenal oleh korban.
 SYN Flood Attack - Memanfaatkan Paket SYNchronize-ACKnowledge (SYN-ACK),
penyerang memulai koneksi kepada server, kemudian dibalas dengan SYN. Penyerang
sebagai receiving server tidak akan membalas dengan ACK sehingga server organisasi
menjadi sibuk dengan paket yang tidak dapat ditindaklanjuti dan tidak dapat memproses
paket yang lain (dari kostumer/clien sebenarnya). Firewall dapat saja mem-blokir alamat
yang melakukan Flood Attack, tetapi apabila dikombinasikan dengan IP spoofing, maka
akan menjadi lebih sulit karena penyerang akan terus dianggap sebagai alamat yang
berbeda.
 Smurf Attack: melibatkan Perperator (sebagai penyerang), intermediary, dan victim. Ping
(sejenis sonar dalam jaringan untuk menguji koneksi) dikirimkan oleh perperator (yang
menyamar (IP Spoofing) sebagai victim) kepada intermediary. Intermediary yang
jumlahnya banyak dan berada pada subnetwork dari victim, mengirimkan kembali
pantulan ping kepada victim. Hal ini membebani lalu lintan data victim dan dapat
membuatnya tidak dapat digunakan sebagaimana seharusnya.
  Distributed Denial of Service (DDos): perperator menciptakan bot atau zombie dalam
komputer yang terhubung pada jaringan internet (dalam modul, kasusnya adalah IRC).
Komputer-komputer yang telah ditanamkan zombie (disebut botnet) dikendalikan oleh
perpetaor dengan zombie control program untuk melakukan serangan yang dapat
berupa SYN Flood atau smurf attack. Karena jumlahnya berkali lipat, serangan ini lebih
berbahaya.
 Alasan Melakukan Dos Attack
menghukum organisasi atau sekedar pamer kemampuan. Alasan keuangan juga bisa
menjadi alasan, dengan melakukan serangan dan kemudian meminta bayaran untuk
menarik serangan tersebut.
 Risiko Kegagalan Peralatan: selain risiko diatas, Data juga berisiko untuk terganggu,
rusak, atau hancur akibat terganggunya sistem komunikasi antara senders dan receivers.
Kerusakan peralatan juga dapat menyebabkan hilangnya database dan program yang
tersimpan di server jaringan.

Controlling Risk from Subversive Threats

Firewalls adalah suatu perangkat lunak maupun keras yang memberi otorisasi pada lalu lintas
jaringan komputer yang dianggapnya aman untuk melaluinya dan melakukan pencegahan terhadap
jaringan yang dianggap tidak aman. Perlindungan dengan firewall ini sangat penting untuk
diterapkan pada komputer atau perangkat lainnya sebagai komputasi perangkat yang diaktifkan
dengan koneksi internat. Meningkatkan tingkat keamanan jaringan komputer dengan memberikan
informasi rinci tentang pola-pola lalu lintas jaringan.

Fungsi firewalls

Sebelum memahami fungsi dari firewall, mari pahami beberapa atribut firewall, sebagai berikut :

- Semua jaringan komunikasi melewai firewall

- Hanya lalu lintas resmi yang diperbolehkan oleh firewall
- Memiliki kemampuan untuk menahan dari serangan internet

Fungsi Firewall untuk mengatur, memfilter dan mengontrol lalu lintas data yang diizinkan untuk
mengakses jaringan privat yang dilindungi.
Jenis-jenis firewall, antara lain :

a) Network-level Firewall, menyaring router yang memeriksa alamat sumber dan

tujuan.
b) Application-level Firewall, menjalankan keamanan aplikasi yang disebut proxy.
1. Mengendalikan DOS Attacks.
Denial of Service atau biasa disebut dengan DOS adalah serangan untuk menyerang suatu
sistem dan juga server website. Biasanya serangan ini dijumpai pada website-website terkenal,
khususnya website milik pemerintah. Serangan DOS ini sangat membahayakan karena dapat
mematikan pelayanan pada sistem website tersebut.
Serangan-serang DOS dapat dikendalikan dengan beberapa cara yaitu :
 Smurf Attacks
Organisasi dapat memprogram firewall untuk mengabaikan situs penyerang ketika
terdeteksi.
 SYN Flood Attacks
a) Menggunakan firewall pada host internet yang dapat memblokir alamat IP yang tidak
valid.
b) Menggunakan software pengaman yang dapat memindai koneksi yang setengah
terbuka.
 Ddos Attacks
Banyak organisasi menggunakan Intrusion Prevention Systems (IPS) yang melakukan
inspeksi paket mendalam (deep packet inspection – DPI)
2. Enkripsi
 Enkripsi adalah konversi data ke dalam kode rahasia untuk penyimpanan dan transmisi.
Algoritma enkripsi menggunakan kunci (keys), yang umumnya memiliki panjang 56
hingga 128 bit. Semakin banyak bit dalam kunci, semakin kuat metode enkripsinya.
 Pendekatan umum dalam enkripsi adalah enkripsi private key dan public key.
a) Private key encryption
 Standar enkripsi lanjutan (Advance Encryption Standard – AES),
menggunakan kunci tunggal yang diketahui oleh pengirim dan penerima
pesan.
  Triple Data Encryption Standard (DES), menggunakan tiga kunci. Dua
bentuk enkripsi triple-DES adalah EEE3 dan
EDE3.
b) Public Key Encription
 Menggunakan dua kunci yang berbeda, satu untuk encoding pesan, dan yang
lainnya untuk decoding pesan.
 Masing-masing penerima memiliki private key yang disimpan secara
rahasia dan public key yang di-published.
3. Tanda Tangan Digital
 Tanda tangan digital merupakan teknik otentikasi untuk memastikan bahwa pesan
yang ditransmisikan berasal dari pengirim yang berwenang dan pesan tidak dirusak
setelah tanda tangan dimasukkan.
4. Sertifikat digital
 Sertifikat digital mirip seperti kartu identifikasi elektronik dengan sistem enkripsi
public key. Berfungsi untuk memverifikasi kewenangan pengirim pesan.
5. Penomoran urutan pesan, berfungsi untuk mendeteksi adanya pesan yang hilang.
6. Log transaksi pesan, untuk mendaftar semua pesan masuk dan keluar untuk mendeteksi
adanya upaya hacker.
7. Teknik request-response, merupakan suatu pengendalian pesan dari pengirim dan respon dari
penerima yang dikirimkan dalam interval periodik dan tersinkronisasi.

Call-back devices, merupakan suatu alat di mana penerima memanggil kembali pengirim pada
nomor telepon yang telah diotorisasi sebelumnya, sebelum transmisi diselesaikan.

Tujuan Audit terkait Pengendalian dari Ancaman Subversif

 Tujuan audit terkait pengendalian dari ancaman subversif adalah untuk memverifikasi
keamanan dan keutuhan transaksi keuangan dengan menentukan bahwa pengendalian
jaringan :
1) dapat mencegah dan mendeteksi akses ilegal dari internal perusahaan atau dari
internet,
2) akan menjadikan data tidak berguna dan pelaku berhasil ditangkap,
 3) cukup untuk menjaga keutuhan dan keamanan fisik dari data yang terhubung
ke jaringan.

Prosedur Audit terkait Pengendalian dari Ancaman Subversif

1. Meninjau kecukupan firewall dalam menyeimbangkan kontrol dan kenyamanan

o Fleksibilitas, firewall harus cukup fleksibel untuk mengakomodasi layanan baru.
o Layanan Proxy, aplikasi proxy yang memadai harus pada tempatnya untuk
menyediakan otentikasi pengguna secara eksplisit terhadap layanan, aplikasi, dan
data yang sensitif.
o Filtering, firewall harus membedakan layanan mana yang diizinkan untuk diakses
oleh pengguna, mana yang tidak.
o Perangkat Audit, firewall harus menyediakan keseluruhan kumpulan audit dan
me-log perangkat yang mengidentifikasi dan mencatat aktivitas mencurigakan.
o Pemeriksaan Kelemahan, memeriksa kelemahan firewall secara periodik yang
dapat ditemukan oleh hacker.
2. Memverifikasi bahwa sistem pencegahan intrusi (intrusion prevention system – IPS)
terdapat pada organisasi yang rentan terhadap serangan Ddos, seperti institusi keuangan.
3. Meninjau prosedur keamanan yang mengelola administrasi kunci enkripsi data.
4. Memverifikasi proses enkripsi denan mentransmisikan pesan pengujian dan memeriksa
konten pada berbagai poin di sepanjang saluran antara lokasi pengiriman dan penerimaan.
5. Meninjau log transaksi pesan untuk memverifikasi bahwa semua pesan diterima dalam
urutan yang sesuai.
6. Menguji operasi fitur call-back dengan menempatkan panggilan yang tidak terotorisasi dari
luar instalasi.

Mengendalikan Risiko Kegagalan Peralatan

Line Errors

Permasalahan yang umum terjadi dalam komunikasi data adalah hilangnya data yang disebabkan
oleh kesalahan jaringan. Pengendalian dalam kegagalan peralatan ini adalah:

1. Echo Check, penerima pesan mengembalikan pesan kepada pengirim.

 2. Parity Check, menambahkan bit tambahan (bit paritas) ke dalam struktur suatu string bit
ketika dibuat atau ditransmisikan. Jumlah parity bit (1 maupun 0) haruslah sama dari saat
dikirim dengan saat diterima. Hanya saja, terkadang, gangguan dapat mengubah bit secara
simultan, sehingga error tidak terdeteksi. Antara Vertical Parity Bit dan Horizontal Parity
Bit, Horizontal cenderung lebih dapat diandalkan. (Figure 3.8)

Tujuan audit terkait pengendalian risiko kegagalan peralatan adalah untuk memverifikasi keutuhan
transaksi dengan menentukan bahwa pengendalian telah dilakukan untuk mendeteksi dan
mengkoreksi pesan yang hilang akibat kegagalan peralatan. Prosedur audit yang dilakukan untuk
mengendalikan risiko kegagalan peralatan adalah:
1. Memilih sampel pesan dari log transaksi dan mengujinya untuk konten yang kacau yang
disebabkan oleh gangguan jalur.
2. Memverifikasi bahwa semua pesan yang korup telah ditransmisikan ulang dengan sukses.

AUDITING ELECTRONIC DATA INTERCHANGE (EDI)

Supplier dan customer sebagai trading partner membentuk perjanjian dimana pertukaran informasi
yang dapat diproses dengan computer antar perusahaan dalam format standar. Dalam EDI,
transaksi diproses secara otomatis, bahkan dalam EDI murni, keterlibatan manusia dalam otoriasi
transaksi ditiadakan. Bentuk EDI (Figure 3.9) dan EDI yang menggunakan Value-Added Network
(Figure 3.10)
Salah satu format EDI yang digunakan di Amerika adalah American National Standards Institute
(ANSI) X.12 Format. Sedangkan standar yang digunakan secara internasional adalah EDI for
Administration, Commerce, and Transport (EDIFACT) format.
Keuntungan EDI
EDI telah membuat terobosan besar disejumlah industri. Berikut adalah beberapa penghematan
biaya yang dilakukan oleh pendekatan EDI:
 Data Keying: mengurangi kebutuhan entri data.
 Error Reduction: mengurangi kesalahan interpretasi dan klasifikasi manusia, dan
kehilangan dokumen.
 Pengurangan kertas: penggunaan amplop dan dokumen elektronik secara drastis
mengurangi bentuk kertas dalam sistem.
 Mengurangi biaya pengiriman dokumen: dokumen yang dikirim diganti dengan
transmisi data yang jauh lebih murah.
 Otomatisasi Prosedur: EDI mengotomatiskan kegiatan manual yang terkait dengan
pembelian, pemrosesan pesanan penjualan, pembayaran tunai, dan penerimaan kas.
 Pengurangan persedian: dengan memesan langsung sesuai kebutuhan vendor, EDI
mengurangi jeda waktu yang mempromosikan akumulasi persediaan.
Financial EDI menggunakan Electronic Funds Transfer (EFT) lebih kompleks daripada EDI
pada pembelian dan penjualan. Bentuknya adalah sebagai berikut (Figure 3.13)
EDI pembeli menerima tagihan pemebelian dan secara otomatis menyetujui pembayaran. Pada
tanggal pembayaran, sistem pembeli secara otomatis membuat EFT kepada bank sumber (OBK).
OBK mentransfer dana dari rekening pembeli kepada Bank Penampungan (ACH). ACH kemudian
mentransfer dana tersebut kepada RBK, yaitu rekening penjual. Masalah dapat muncul karena cek
transfer dana biasanya untuk pembayaran beberapa tagihan, atau hanya sebagian, perbedaan
persetujuan harga, kerusakan barang, atau pengiriman yang belum diselesaikan. Permasalahan ini
biasanya diselesaikan dengan pesan melekat.
EDI Control
1. VAN dibekali dengan proses validasi ID dan password yang memachingkan antara vendor
dengan file pelanggan.
2. Translation Software akan memvalidasi trading partner’s ID dan password dengan file
validasi di database perusahaan
3. Sebelum memproses, software aplikasi lawan transaksi mereferensikan file pelanggan dan
vendor yang valid untuk memvalidasi transaksi.
Access Control agar berjalan dengan lancar, setiap partner harus berbagi akses terhadap data file
private yang sebelumnya (dalam cara tradisional) tidak diperbolehkan. Untuk itu, pengaturan
mengenai seberapa dalam akses dapat diberikan harus diatur secara jelas. Selain itu, perlindungan
juga harus dibuat misalnya data persediaan dan harga dapat dibaca tetapi tidak dapat diubah.

EDI Audit Trail (Jejak Audit) hilangnya penggunaan dokumen menharuskan EDI memiliki
control log. (Figure 3.14)
Tujuan Audit Terhadap EDI:
- Menguji terhadap Kendali Otorisasi dan Validasi
- Menguji Access Control
- Menguji kendali Jejak Audit

AUDITING PC-BASED ACCOUNTING SYSTEMS

Risiko dan Kendali PC System

- Kelemahan OS
- Access Control yang lemah
- Pemisahan Tugas yang tidak cukup
- Multilevel Password Control
- Risiko kecurian
- Prosedur Backup yang lemah
- Risiko terinfeksi Virus
Tujuan Audit yang berhubungan dengan keamanan PC
- Memastikan bahwa control pada tempatnya untuk melindungi data, program, dan komputer
dari akses yang tidak diinginkan, manipulasi, penghancuran, dan pencurian
- Memastikan pengawasan yang cukup dan adanya prosedur operasional untuk
mengkompensasi kurangnya pembagian tugas, programer, dan operator.
- Memastikan prosedur backup dapat mencegah kehilangan data dan program yang
diakibatkan kegagalan sistem, eror, dan sejenisnya.
 - Memastikan bahwa prosedur pemilihan dan perolehan sistem menghasilkan aplikasi yang
berkualitas tinggi dan terlindungi dari perubahan yang tidak diinginkan
- Memastikan bahwa sistem bebas dari virus dan dilindungi secara memadai untuk
meminimalkan risiko terindeksi virus atau sejenisnya
Beberapa prosedur dalam mengaudit keamanan PC
- Meninjau apakah PC secara fisik terlindungi untuk mengurangi peluang dicuri
- Memastikan dari bagan organisasi, apakah programer dari sistem akuntansi tidak terlibat
sebagai pengguna sistem tersebut. Dalam organisasi yang lebih kecil, pengawasan yang
memadai ada untuk mengimbangi kelemahan pembagian tugas tersebut.
- Auditor mengkonfirmasi apakah transaksi yang diproses, daftar akun yang diupdate, dan
total control disiapkan, didistribusikan, dan direkonsiliasi oleh manajemen yang tepat
dalam interval rutin dan tepat waktu.
- Dimana harus diaplikasikan, auditor menentukan bahwa kendali multilevel password
digunakan untuk membatasi akses data dan aplikasi sesuai dengan deskripsi pekerjaan.
- Jika ada, hardisk eksternal dan removeable dilepas dan disimpan di tempat yang aman
saat tidak digunakan.
- Dengan menguji sampel backup, auditor memverifikasi apakah prosedur backup
dilaksanakan dengan benar. Dengan membandingkan isi data dan tanggal pada tempat
backup dengan file asal, auditor dapat mengetahui frekuensi dan kecukupan prosedur
backup. Jika menggunakan media backup online, auditor harus memastikan bahwa
kontraknya masih berlaku dan sesuai dengan kebutuhan organisasi.
- Dengan sampel PC, auditor memastikan bahwa paket software komersial diperoleh dari
vendor yang terpercaya dan merupakan salinan sah. Proses perolehan sendiri harus
mengakomodasi kebutuhan organisasi
- Antivirus haruslah terinstal pada setiap perangkat komputer dan pengaktivannya
merupakan bagian dari prosedur startup saat komputer dinyalakan. Hal ini untuk
memastikan bahwa setiap sekmen penting dari hard disk diperiksa sebelum data apapun
ditransfer melalui jaringan. Setiap perubahan software (update) harus terlebih dahulu dicek
terhadap virus sebelum digunakan. Domain publik discan terhadap virus sebelum
digunakan. Dan antivirus versi terkini haruslah tersedia untuk semua user.