A.

Sistem Pengoperasian Audit

Sistem operasi merupakan program control komputer. Sistem program

komputer untuk saling berbagi dan mengakses sumber daya komputer, seperti
prosesor, basis data, memori dan printer. Jika integritas komputer terganggu,
maka aplikasi lain juga terganggu. Semakin banyak yang menggunakan atau
pengguna sistem operasi komputer maka semakin besar kemungkinan risiko
kerusakan. Dan banyak pengguna operasi komputer membuat semakin
berkembangnya penggunaan sumber daya komputer, sehingga semakin besar
kerusakan sistemoperasi komputer dan keamanan sistem operasi komputer
menjadi masalah kontrol internal yang penting.

Tujuan Sistem Operasi

Sistem operasi melakukan tiga tugas utama yakni, pertama menerjemahkan

bahasa komputer seperti seperti COBOL, C ++, BASIC, dan SQL ke dalam
bahasa tingkat mesin yang dapat dieksekusi oleh komputer. Kedua,
mengalokasikan sumber daya komputer ke pengguna, kelompok kerja dan
aplikasi. Termasuk memasukkan ruang memori dan mengotorisasi akses. Ketiga,
sistem operasi mengelola tugas-tugasnya. Pekerjaan diserahkan ke sistem
dengan tiga cara: (1) langsung oleh operator sistem, (2) dari berbagai batch
antrian-blowjob, dan (3) melalui tautan telekomunikasi dari stasiun kerja jarak
jauh. Untuk mebuat secara efisien dan efektif maka sistem harus menjadwalkan
proses kerja dengan memprioritaskan yang telah ditetapkan.

Keamanan Sistem Operasi

Keamanan sistem operasi mengenai tentang kebijakan, prosedur, dan kontrol

apa yang dapat diakses, sumber daya yang digunakan, dan tindakan apa yang
akan diambil. Komponen keamanan sistem operasi ini terdiri dari, prosedur log-
on, token akses, daftar kontrol akses, dan hak akses diskresioner.

Ancaman Terhadap Integritas Sistem Operasi

Tujuan pengendalian sistem operasi mungkin dapat tidak tercapai karena sistem
operasi yang dieksploitasi secara sengaja atau tidak. Kesalahan aplikasi yang
tidak dibaca oleh sistem operasi termasuk kegagalan sistem operasi, kegagalan
ssistem yang disengaja dapat membuang memori ke disk dan printer sehingg
dapat terjadi kebocoran informasi rahasia yang tidak sengaja. Ancama yang
disengaja terhadap sistem operasi merupakan mengakses data secara ilegak
demi keuntungan finansial. Namun, anacaman yang sering berkembang adalah
ancaman destruktif yang tidak ada keuntunganya.

Kontrol Sistem Operasi dan Tes Audit

Jika integritas sistem operasi terganggu, kontrol dalam aplikasi akuntansi

individual yang berdampak pada pelaporan keuangan juga dapat desain dan
penilaian kontrol keamanan sistem operasi adalah masalah kepatuhan SOX.
Dalam hal ini, menyajikan berbagai teknik dalam menjaga sistem operasi dan
menjelaskan tes yang dapat dilakukan oleh auditor. Area-area berikut diperiksa:
hak akses, kontrol kata sandi, kontrol virus, dan jejak audit dikompromikan.

Mengontrol Keistimewaan Akes

Keistimewaan akses ini diberikan kepada pengguna atau pekerja yang diberikan
otorisasi atas hak akses menggunakan sistem. Administrator sistem yang dapat
memberikan hak akses atau keistimewaan akses kepada pengguna. Manajemen
harus memastikan bahwa dalam memberikan hak akses untuk tidak diberikan
yang tidak sesuai dengan tugasnya, sehingga dalam pemberian hak akses harus
mempertimbangkanya. Oleh karena itu hak akses harus dikelola hati-hati dan
diawasi sehingga dapat patuh pada kebijakan dan penegndalian internal
organisasi.

Tujuan Audit Terkait dengan Hak Akses.

Tujuan auditor adalah untuk memverifikasi bahwa hak akses diberikan dengan
cara yang konsisten dengan kebutuhan untuk memisahkan fungsi yang tidak
kompatibel dan sesuai dengan kebijakan organisasi.

Prosedur Audit Terkait dengan Akses

Keistimewaan Untuk mencapai tujuannya auditor dapat melakukan tes kontrol

berikut:
 1. Tinjau kebijakan organisasi untuk memisahkan fungsi yang tidak
kompatibel dan memastikan bahwa mereka mempromosikan keamanan
yang wajar.

2. Tinjau hak istimewa pilihan kelompok pengguna dan individu untuk

menentukan apakah hak akses mereka sesuai untuk deskripsi dan posisi
pekerjaan mereka. Auditor harus memverifikasi bahwa individu diberi
akses ke data dan program berdasarkan kebutuhan mereka untuk
mengetahui.

3. Tinjau catatan personel untuk menentukan apakah karyawan yang

istimewa menjalani pemeriksaan keamanan intensif yang memadai
sesuai dengan kebijakan perusahaan.

4. Tinjau catatan karyawan untuk menentukan apakah pengguna telah

secara resmi mengakui tanggung jawab mereka untuk menjaga
kerahasiaan data perusahaan.

5. Tinjau waktu log-on yang diizinkan pengguna. Izin harus sepadan

dengan tugas yang dilakukan.

Kontrol Kata sandi

Kontrol kata sandi merupakan kode akses untuk dapat mengakses sistem,
aplikasi, file data dan jaringan. Jika pengguna tidak memiliki kode kata sandi
maka sistem harus menolak memberikan akses. Metode kontrol kata sandi yang
paling umum adalah kata sandi yang dapat digunakan kembali. Kata sandi yang
dapat digunakan kembali, pengguna dapat memasukkan kata sandi sekali dalam
sistem, kemudian sistem akan menerima akse untuk kedepanya. Jika kata sandi
yang digunakan merupakan informasi pribadi seperti nama anak, tanggal lahir
dan sebagainya maka, kata sandi tersebut lemah, dan akan mempengaruhi
keamanan sistem operasi. Oleh karena itu, biasanya manajer meminta kata
sandi yang diagnati secara teratur, sehingga ketika pengguna menggunakan
kata sandi lama untuk mengakses, sistem akan merespon untuk memperbarui
kata sandi atau memasukkan kata sandi yang baru. Sistem ini juga
menggunakan basis data ekstensif yakni memvalidasi kata sandi yang baru dan
melarang kata sandi yang lemah. Alernatif kata sandi yang dapat digunakan
kembali adalah kata sandi satu kali. Kata sandi satu kali didesain untuk
mengatasi kelemahan pada kata sandi yang dapat digunakan kembali.

Tujuan Audit Terkait dengan Kata Sandi

Tujuan auditor di sini adalah untuk memastikan bahwa organisasi memiliki

kebijakan kata sandi yang memadai dan efektif untuk mengendalikan akses ke
sistem operasi.

Prosedur Audit Terkait dengan Kata Sandi

Auditor dapat mencapai tujuan ini dengan melakukan tes berikut:

1. Verifikasi bahwa semua pengguna harus memiliki kata sandi.

2. Pastikan pengguna baru diinstruksikan dalam penggunaan kata sandi dan

pentingnya kontrol kata sandi.

3. Tinjau prosedur kontrol kata sandi untuk memastikan bahwa kata sandi
diubah secara teratur.

4. Tinjau file kata sandi untuk menentukan bahwa kata sandi yang lemah
diidentifikasi dan dibubarkan. Ini mungkin melibatkan penggunaan
perangkat lunak untuk memindai file kata sandi untuk kata sandi lemah
yang diketahui,

5. Periksa apakah file kata sandi dienkripsi dan kunci enkripsi diamankan
dengan benar.

6. Menilai kecukupan standar kata sandi seperti panjang dan interval

kedaluwarsa.

7. Tinjau kebijakan dan prosedur penguncian akun. Sebagian besar sistem

operasi memungkinkan administrator sistem untuk menentukan tindakan
yang akan diambil setelah sejumlah upaya log-on yang gagal. Auditor
harus menentukan berapa banyak upaya log-on yang gagal diizinkan
sebelum akun dikunci. Durasi penguncian juga perlu ditentukan. Ini
dapat berkisar dari beberapa menit hingga penguncian permanen yang
memerlukan pengaktifan kembali akun secara formal.
Mengontrol Terhadap Program Berbahaya dan Merusak

Program jahat dan deskruptif bertanggung jawab atas kerugiaan jutaan dolar
perusahaan. Kerugian diukur dalam hal kerusakan dan kerusakan data,
penurunan kinerja komputer, kerusakan perangkat keras, pelanggaran privasi,
dan waktu personel yang ditugaskan untuk memperbaiki kerusakan. Kelas
program ini mencakup virus, cacing, bom logika, pintu belakang, dan kuda Troya.

Tujuan Audit Berkaitan dengan Virus dan Program Merusak Lainnya

Memverifikasi bahwa ada kebijakan dan prosedur manajemen yang efektif untuk
mencegah pengenalan dan penyebaran program-program destruktif, termasuk
virus, worm, pintu belakang, bom logika, dan kuda Trojan.

Prosedur Audit yang Berkaitan dengan Virus dan Program

1. Merusak Lainnya Melalui wawancara, tentukan bahwa personel operasi

telah dididik tentang virus komputer dan mengetahui praktik komputasi
berisiko yang dapat memperkenalkan dan menyebarkan virus dan
program jahat lainnya.

2. Verifikasi bahwa perangkat lunak baru diuji pada workstation mandiri

sebelum diimplementasikan pada host atau server jaringan.

3. Pastikan versi perangkat lunak antivirus saat ini diinstal pada server dan
pemutakhiran diunduh secara teratur ke workstation.

Kontrol Jejak Audit Sistem

Jejak audit sistem merupakan log yang mencatat dan menelusuri aktivitas dalam
sistem, aplikasi dan pengguna. Sistem operasi memungkinkan manajemen untuk
menentukan tingkat audit yang akan dicatatat dalam log. Manajemen harus
memastikan ambang batas untuk memisalhakn antara fakta dan yang tidak
relevan. Jejak audit biasanya terdiri dari dua jenis log audit: (1) log terperinci dari
penekanan tombol individu dan (2) log berorientasi peristiwa. Pemantauan
keystroke, pemantauana acara, menetapkan tujuan jejak audit, mendeteksi
akses yang tidak sah, merekontruksi acara, akuntabilitas pribadi.

Tujuan Audit Terkait dengan Jalur Audit Sistem

Tujuan auditor adalah untuk memastikan bahwa jejak audit sistem yang
ditetapkan memadai untuk mencegah dan mendeteksi pelanggaran,
merekonstruksi peristiwa-peristiwa utama yang mendahului kegagalan sistem,
dan merencanakan alokasi sumber daya.

Prosedur Audit Terkait dengan Sistem Audit Trails

1. Sebagian besar sistem operasi menyediakan beberapa bentuk fungsi

manajer audit untuk menentukan peristiwa yang akan diaudit. Auditor
harus memverifikasi bahwa jejak audit telah diaktifkan sesuai dengan
kebijakan organisasi.

2. Banyak sistem operasi menyediakan penampil log audit yang

memungkinkan auditor memindai log untuk aktivitas yang tidak biasa. Ini
dapat ditinjau di layar atau dengan mengarsipkan file untuk ditinjau
selanjutnya. Auditor dapat menggunakan alat ekstraksi data tujuan
umum untuk mengakses file log yang diarsipkan untuk mencari kondisi
yang ditentukan seperti:

a) Pengguna yang tidak sah atau dihentikan

b) Periode tidak aktif

c) Aktivitas oleh pengguna, kelompok kerja, atau departemen •

d) Waktu masuk dan keluar pada upaya

e) Mengakses file atau aplikasi tertentu

f) Grup keamanan organisasi memiliki tanggung jawab untuk

memantau dan melaporkan pelanggaran keamanan. Auditor
harus memilih sampel kasus pelanggaran keamanan dan
mengevaluasi disposisi mereka untuk menilai efektivitas kelompok
keamanan.

B. Auditing Networks

Komunikasi bisnis yang bergantung pada jaringan akan menimbulkan

kekhawatiran mengenai akses yang tidak sah kepada informasi yang
dirahasiakan. LANs menjadi platform untuk data misi-kritis dan aplikasi, informasi
hak milik, data pelanggan, dan catatan keuangan yang berada dalam risiko.
Perusahaan yang terhubung dengan pelanggan dan mitra bisnis mereka sangat
terbuka. Jika tidak ada perlindungan yang memadai, maka perusahaan
membuka pintu bagi peretas komputer perusahaan baik secara internal maupun
dari seluruh dunia. Konflik dari jaringan adalah bahwa jaringan ada untuk
menyediakan akses pengguna ke sumber daya bersama, namun tujuan paling
penting dari jaringan adalah mengontrol akses tersebut. Oleh karena itu, untuk
setiap argumen yang mendukung akses jarak jauh, harus ada alasan keamanan
yang menentangnya. Manajemen organisasi harus terus mencari keseimbangan
antara penigkatan akses dan risiko bisnis terkait. Bagiab berikut menyajikan
berbagaibentuk risiko yang mengancam jaringan.

Risiko Intranet

Intranet terdiri dari LAN kecil dan WAN besar yang berisi ribuan node.
Intranet digunakan untuk menghubungkan karyawan dalam satu gedung, antara
gedung pada fisik yang sama, dan antara lokasi yang tersebar. Kegiatan umum
pada intranet yaitu pengarahan email, pemrosesan transaksi antar unit bisnis,
dan menghubungkan ke internet luar.

Kegiatan karyawan yang ilegal secara internal dapat menimbulkan

ancaman intranet. Ancaman dari karyawan sangat signifikan karena mereka
mengetahui mengenai kontrol sistem perusahaan. Karyawan yang diberhentikan
atau meninggalkan situasi yang kontroversial menyebabkan kekhawatiran
tertentu, yaitu mengenai data operasi, data akuntansi, rahasia dagang, dan
rahasia perusahaan.

1. Intersepsi Pesan Jaringan

Setiap node pada sebagian besar intranet atau terhubung ke saluran
bersama yang melintasi ID pengguna, kata sandi, email rahasia, dan file
data keuangan. Sniffing merupakan intersepsi tidak resmi atas informasi
oleh sebuah simpul pada jaringan. Jika perangkat lunak sniffer di tangan
seorang penjahat, maka dapat digunakan untuk melihat data yang dikirim
melalui saluran intranet bersama.
2. Akses pada Database Perusahaan
 Intranet yang terhubung pada database perusahaan pusat meningkatkan
risiko bahwa karyawan dapat melihat, menyalin, mengubah, atau
merusak data. Orang luar mungkin saja menyuap karyawan untu
mengunduh dan menjual informasi kartu kredit, daftar pelanggan, nomor
jaminan soasial, dan formula dari perusahaan.
3. Karyawan Istimewa
Pada umumnya kontrol internal organisasi ditujukan untuk karyawan
tingkat bawah. Namun menurut studi CSI, manajer menengah sering
memiliki hak akses yang memungkinkan mereka untuk
mengesampingkan kontrol dan sering dituntut atas kejahatan orang
dalam. Sistem informasi karyawan dalam organisasi merupakan
kelompok lain yang diberdayakan dengan hak istimewa yang dapat
mengizinkan akses data misi-kritis.

Keengganan untuk Menuntut. Faktor yang berkonstribusi terhadap

kejahatan komputer yaitu kebanyakan organisasi enggan untuk menuntut
para penjahat. Dari 25 persen yang tidak melaporkan intrusi, takut akan
publisitas negatif yang membuat mereka diam atas kejahatan komputer
yang terjadi. Dengan demikian banyak penjahat komputer yang berulang
kali melakukan pelanggaran. Untuk mengurangi dan menghindari
tindakan kriminal perlu adanya pemeriksaan latar belakang calon
karyawan saat perekrutan.
Banyak negara telah mengeluarkan Undang-Undang yang
melindungi mantan karyawan dari tindakan hukum ketika memberikan
informasi kinerja yang terkait dengan perkerjaan tentang mantan
karyawan ketika 1) penyelidikan berasal dari calon karyawan, 2)
informasikan berdasarkan fakta yang dapat dipercaya, dan 3) informasi
yang diberikan tanpa adanya niat kejahatan.

Risiko Internet

1. IP Spoofing merupakan suatu bentuk penyamaran untuk mendapatkan

akses tidak sah ke server web dan/ atau untuk melakukan tindakan yang
melanggar hukum tanpa mengungkapkan identitas seseorang. Teknik ini
 dapat digunakan untuk membobol jaringan perusahaan untuk melakukan
spionase, penipuan, atau menghancurkan data.

2. Denial of Service Attack (Dos) merupakan serangan pada server web

untuk mencegahnya melayani penggunanya yang sah. Serangan ini
dapat menghancurkan entitas bisnis yang dicegah untuk menerima dan
memproses transaksi bisnis dari pelanggan mereka. Tiga jenis serangan
Dos yang umum adalah: SYN float, smurf, dan denial of service
terdistribusi (DDos).

1) SYN FLOOD Attack. Ketika seorang pengguna membuat koneksi

internat melalui TCP atau IP, maka terjadi three-way handshake.
Server penghubung mengirim kode inisiasi yang disebut paket SYN
ke server penerima. Server penerima kemudia mengakui permintaan
tersebut dengan mengembalikan paket SYN-ACK. Akhirnya, mesin
host yang memulai merespon dengan kode paket ACK.
2) Smurf Attack. Serangan ini melibatkan tiga pihak, yaitu pelaku,
perantara, dan korban. Hal ini dicapai dengan mengeksploitasi alat
pemeliharaan internet yang disebut ping yang digunakan untuk
menguji keadaan kemacetan jaringan dan menetukan apakah
komputer host tertentu terhubung dan tersedia di jaringan.
3) Distributed Denial of Service (DDos). Pelaku serangan DDos dapat
menggunakan pasukan virtual komputer yang disebut bot untuk
meluncutkan serangan. Karena dibutuhkan banyak perantara yang
tidak curiga, serangan itu sering melibatkan satu atau lebih jaringan
Internet Relay Chat (IRC) sebagai sumber bot. Jaringan IRC yang
lemah dapat memudahkan pelaku mengakses IRC dan mengunggah
program buruk seperti Trojan.

3. Risks from Equipment Failure. Topologi jaringan terdiri dari berbagai

konfigurasi 1) jalur komunikasi (kabel twisted-pair, kabel coaxial,
gelombang mikro, dan fiber optic), 2) komponen perangkat keras
(modem, multiplexer, server, dan prosesor front-end), 3) perangkat lunak
(protokol dan jaringan sistem kontrol).

Pengendalian Jaringan
 Beberapa kontrol untuk menangani ancaman penyelewengan termasuk
firewall, pengawasan mendalam, enkripsi, dan teknik kontrol pesan. Hal ini diikuti
dengan tujuan dan prosedur audit yang terkain mengenai kontrol ini. Kemudian
menyajikan kontrol, tujuan audit, dan prosedur audit yang berhubungan dengan
ancaman equipment failure.

Terdapat kekhawatiran yakni ketika selama transmisi, 1 bit akan

dikonversi menjadi 0 bit atau sebaliknya, sehingga merusak integritas karakter
struktur bit. Karakter asli yang salah disajikan sebagai karakter yang berbeda
namun tetap valid. Kesalahan tersebut apabila tidak terdeteksi, dapat mengubah
angka keuangan. Pemeriksaan paritas dapat mendeteksi kesalahan di sisi
penerima. Ketika sistem menghitung 1 bit, yang harus selalu sama dengan
angka ganjil. Jika 1 bit ditambahkan atau dihapus dari struktur bit selama
transmisi, jumlah 1 bit untuk karakter akan genap, yang akan menandakan
kesalahan. Masalah dengan menggunakan paritas vertikal saja adalah
kemungkinan bahwa kesalahan akan mengubah dua bit dalam struktur secara
bersamaan, sehingga mempertahankan paritas karakter. Bahkan, beberapa
perkiraan menunjukkan kemungkinan 40 hingga 50 persen bahwa garis
kebisingan akan merusak lebih dari satu bit dalam karakter. Menggunakan
paritas horizontal dalam hubungannya dengan paritas vertikal dapat mengurangi
masalah ini. Kombinasi paritas vertikal dan horizontal memberikan tingkat
perlindungan yang lebih tinggi dari kesalahan

Tujuan Audit Terkait dengan Kegagalan Peralatan

Tujuan auditor adalah untuk memverifikasi integritas transaksi

perdagangan elektronik dengan menentukan bahwa terdapat kontrol untuk
mendeteksi dan mengoreksi kehilangan pesan karena kegagalan peralatan.

Prosedur Audit Terkait dengan Kegagalan Peralatan

Untuk mencapai tujuan kontrol ini, auditor dapat memilih sampel pesan
dari log transaksi dan memeriksanya untuk konten yang rusak. Auditor harus
memverifikasi bahwa semua pesan yang rusak berhasil dikirim ulang.

C.AUDITING ELECTRONIC DATA INTERCHANGE (EDI)

Perjanjian mitra dagang dengan pemasok dan pelanggan adalah kegiatan yang
dilakukan oleh perusahaan untuk mengoordinasikan operasi penjualan dan
produksi dan untuk menjaga aliran bahan baku yang tidak terputus. Perjanjian ini
adalah dasar untuk proses bisnis yang terotomatisasi atau yang disebut
Electronic data interchange (EDI). Definisi umum EDI adalah: Pertukaran
informasi bisnis proses komputer antar perusahaan dalam format standar.
Definisi tersebut mengungkapkan beberapa fitur penting EDI yaitu pertama, EDI
adalah upaya interorganisasi artinya perusahaan tidak terlibat dalam EDI sendiri.
Kedua, sistem informasi dari mitra dagang secara otomatis memproses
transaksi, artinya dalam lingkungan EDI, tidak ada perantara manusia untuk
menyetujui atau mengesahkan transaksi. Otorisasi, kewajiban timbal balik, dan
praktik bisnis yang berlaku untuk transaksi semuanya ditentukan terlebih dahulu
di bawah perjanjian mitra dagang. Ketiga, informasi transaksi dikirim dalam
format standar, hal ini memungkinkan perusahaan dengan sistem internal yang
berbeda dapat bertukar informasi dan melakukan bisnis.

Asumsikan bahwa transaksi yang diilustrasikan dalam Gambar 3.9 adalah

pembelian inventaris pelanggan (Perusahaan A) dari pemasok (Perusahaan B).
Sistem pembelian Perusahaan A secara otomatis membuat pesanan pembelian
elektronik (PO), yang dikirimkannya ke perangkat lunak terjemahan EDI-nya. Di
sini, PO dikonversi ke pesan elektronik format standar yang siap dikirim. Pesan
tersebut dikirimkan ke perangkat lunak terjemahan Perusahaan B, di mana
pesan itu dikonversi ke format internal pemasok. Sistem pemrosesan pesanan
penjualan Perusahaan B menerima pesanan pelanggan dan memprosesnya
secara otomatis.
 Gambar 3.9 menunjukkan hubungan komunikasi pribadi langsung antara
dua perusahaan. Namun, banyak perusahaan memilih untuk menggunakan
jaringan nilai tambah pihak ketiga (VAN) untuk terhubung ke mitra dagang
mereka. Gambar 3.10 menggambarkan pengaturan ini. Perusahaan asal
mentransmisikan pesan EDI-nya ke jaringan daripada langsung ke komputer
mitra dagang. Jaringan mengarahkan setiap transmisi EDI ke tujuannya dan
menyimpan pesan di kotak surat elektronik yang sesuai. Pesan tetap berada di
kotak surat sampai sistem perusahaan penerima mengambilnya. VANS juga
dapat memberikan tingkat kontrol penting atas transaksi EDI. Kami memeriksa
masalah kontrol EDI nanti di bagian ini.

Standar EDI
 Kunci keberhasilan EDI adalah penggunaan format standar untuk
pengiriman pesan antar sistem yang berbeda. Selama bertahun-tahun, baik di
Amerika Serikat dan internasional, sejumlah format telah diusulkan. Standar di
Amerika Serikat adalah format American National Stan- dards Institute (ANSI)
X.12. Standar yang digunakan secara internasional adalah format EDI untuk
administrasi, perdagangan, dan transportasi (EDIFACT).

Manfaat EDI

EDI telah membuat terobosan besar di sejumlah industri, termasuk

otomotif, bahan makanan, ritel, perawatan kesehatan, dan elektronik. Berikut ini
adalah beberapa penghematan biaya EDI:

a. Penguncian data, EDI mengurangi atau bahkan menghilangkan

kebutuhan untuk entri data.
b. Pengurangan kesalahan, perusahaan yang menggunakan EDI melihat
pengurangan kesalahan penguncian data, interpretasi manusia dan
kesalahan klasifikasi, dan kesalahan pengarsipan (kehilangan dokumen).
c. Data Pengurangan kertas, penggunaan amplop dan dokumen elektronik
secara drastis mengurangi bentuk kertas dalam sistem.
d. Ongkos kirim, dokumen yang dikirim diganti dengan transmisi data yang
jauh lebih murah.
e. Prosedur otomatis, EDI mengotomatiskan kegiatan manual yang terkait
dengan pembelian, pemrosesan pesanan penjualan, pembayaran tunai,
dan penerimaan kas.
f. Pengurangan persediaan, dengan memesan langsung sesuai kebutuhan
dari vendor, EDI mengurangi jeda waktu yang mempromosikan akumulasi
persediaan.

EDI Keuangan

Menggunakan Transfer Dana Elektronik (EFT) untuk pembayaran tunai

dan pemrosesan penerimaan kas lebih rumit daripada menggunakan EDI untuk
kegiatan pembelian dan penjualan. EFT membutuhkan bank perantara antara
mitra dagang. Dalam sistem EDI, pembeli menerima faktur pembelian dan secara
otomatis menyetujuinya untuk dilakukan pembayaran. Pada tanggal
pembayaran, sistem pembeli secara otomatis membuat EFT ke bank asalnya
(OBK). OBK memindahkan dana dari rekening pembeli dan mengirimkannya
secara elektronik ke bank lembaga kliring otomatis (ACH). ACH adalah bank
sentral yang membawa rekening untuk bank-bank anggotanya. ACH
mentransfer dana dari OBK ke bank penerima (RBK), yang pada gilirannya
menerapkan dana ke akun penjual. Mentransfer dana dengan EFT tidak
menimbulkan masalah khusus. Suatu cek dapat dengan mudah diwakili dalam
format X.12. Masalah muncul dengan informasi saran pengiriman uang yang
menyertai cek. Informasi saran pengiriman uang seringkali cukup luas karena
kompleksitas dalam transaksi. Cek mungkin hanya dalam pembayaran beberapa
faktur atau hanya sebagian faktur. Mungkin ada jumlah yang disengketakan
karena ketidaksepakatan harga, barang yang rusak, atau pengiriman yang tidak
lengkap. Dalam sistem tradisional, memodifikasi saran pengiriman uang dan /
atau melampirkan surat yang menjelaskan pembayaran menyelesaikan
permasalahan ini.

Mengonversi informasi pengiriman uang ke bentuk elektronik dapat

menghasilkan data yang sangat besar. Anggota sistem ACH diharuskan untuk
menerima dan memproses hanya format EFT terbatas pada 94 karakter data -
ukuran catatan yang cukup untuk hanya pesan yang sangat mendasar. Tidak
semua bank dalam sistem ACH mendukung format standar ANSI untuk
pengiriman uang, ANSI 820. Dalam kasus seperti itu, informasi pengiriman uang
harus dikirim kepada penjual melalui transmisi EDI yang terpisah atau surat
konvensional. Penjual kemudian harus menerapkan prosedur terpisah untuk
mencocokkan transmisi EDI bank dan pelanggan dalam menerapkan
pembayaran ke rekening pelanggan. Ketika adanya kekosongan antara layanan
yang diminta dan yang didukung dalam sistem ACH, banyak bank telah
menetapkan sebagai bank bernilai tambah (VABS) untuk bersaing
memperebutkan pasar ini. VAB dapat menerima pembayaran elektronik dan
saran pengiriman uang dari klien dalam format apa pun. Ini mengkonversi
transaksi EDI ke format ANSI X.12 dan 820 untuk pemrosesan elektronik. Dalam
hal transaksi non-EDI, VAB menulis cek tradisional kepada kreditor. Layanan
yang ditawarkan VABS memungkinkan klien mereka untuk menggunakan sistem
pembayaran tunai tunggal yang dapat mengakomodasi pelanggan EDI dan non-
EDI.

Kontrol EDI

Tidak adanya keterlibatan manusia dalam proses EDI memunculkan hal unik
untuk masalah kontrol tradisional, termasuk memastikan bahwa transaksi
diotorisasi dan valid, mencegah akses yang tidak sah ke file data, dan
mempertahankan jejak audit transaksi. Teknik-teknik berikut digunakan dalam
menangani masalah ini.

Otorisasi dan Validasi Transaksi

Pelanggan maupun pemasok harus menetapkan bahwa transaksi yang sedang

diproses adalah untuk (atau dari) mitra dagang yang sah dan disahkan. Hal ini
dapat dicapai pada tiga poin dalam proses.

a. Beberapa VANs memiliki kemampuan untuk memvalidasi kata sandi dan

kode ID pengguna untuk vendor dengan mencocokkannya dengan file
pelanggan yang valid. VAN menolak transaksi mitra dagang yang tidak
resmi sebelum mencapai sistem vendor.
b. Sebelum dikonversi, perangkat lunak terjemahan dapat memvalidasi ID
dan kata sandi mitra dagang terhadap file validasi dalam database
perusahaan.
c. Sebelum diproses, perangkat lunak aplikasi mitra dagang mereferensikan
pelanggan dan file vendor yang valid untuk memvalidasi transaksi.

Kontrol Akses

Mitra dagang EDI harus mengizinkan tingkat akses ke file data pribadi
yang akan dilarang di lingkungan tradisional. Perjanjian mitra dagang akan
menentukan tingkat kontrol akses yang berlaku. Sebagai contoh, hal itu dapat
memungkinkan sistem pelanggan untuk mengakses file inventaris vendor untuk
menentukan apakah invoice tersedia. Selain itu, mitra dagang dapat menyetujui
bahwa harga pesanan pembelian akan mengikat kedua belah pihak. Pelanggan
secara berkala mengakses file daftar harga vendor untuk menjaga informasi
harga terkini. Atau, vendor mungkin perlu akses ke daftar harga pelanggan
untuk memperbarui harga. Untuk menjaga dari akses yang tidak sah, setiap
perusahaan harus membuat vendor dan file pelanggan yang valid. Dengan
demikian, penyelidikan terhadap basis data dapat divalidasi, dan upaya akses
yang tidak sah dapat ditolak. Tabel otoritas pengguna juga dapat dibuat, yang
menentukan tingkat akses yang diizinkan mitra dagang. Misalnya, mitra mungkin
berwenang untuk membaca inventaris atau data harga tetapi tidak mengubah
nilai.

Jejak Audit EDI

Tidak adanya dokumen sumber dalam transaksi EDI menghilangkan jejak

audit tradisional dan membatasi kemampuan akuntan untuk memverifikasi
validitas, kelengkapan, waktu, dan keakuratan transaksi. Salah satu teknik
untuk memulihkan jejak audit adalah mempertahankan log kontrol, yang
mencatat aliran transaksi melalui setiap fase sistem EDI.

Tujuan Audit Terkait dengan EDI

Tujuan auditor adalah untuk menentukan bahwa (1) semua transaksi EDI
disahkan, divalidasi, dan sesuai dengan perjanjian mitra dagang; (2) tidak ada
organisasi yang tidak sah mendapatkan akses ke catatan basis data; (3) mitra
dagang yang sah hanya memiliki akses ke data yang disetujui; dan (4) kontrol
yang memadai untuk memastikan jejak audit lengkap dari semua transaksi EDI.
Prosedur Audit Terkait dengan EDI
Untuk mencapai tujuan kontrol ini, auditor dapat melakukan tes kontrol
berikut. Tes Kontrol Otorisasi dan Validasi.
Auditor harus menetapkan bahwa kode identifikasi mitra dagang
diverifikasi sebelum transaksi diproses: Untuk mencapai hal ini, auditor harus (1)
meninjau perjanjian dengan fasilitas VAN untuk memvalidasi transaksi dan
memastikan bahwa informasi mengenai mitra dagang yang valid sudah lengkap
dan benar, dan ( 2) memeriksa file mitra dagang yang valid dari organisasi untuk
akurasi dan kelengkapan. Tes Kontrol Akses.
Keamanan atas file mitra dagang yang valid dan database merupakan
pusat kerangka kerja kontrol EDI. Auditor dapat memverifikasi kecukupan kontrol
dengan cara-cara berikut:
 1. Auditor harus menentukan bahwa akses ke vendor atau file pelanggan
yang valid dibatasi hanya untuk karyawan yang berwenang. Auditor
harus memverifikasi bahwa kata sandi dan tabel otoritas mengontrol
akses ke file ini dan bahwa data dienkripsi.
2. Perjanjian perdagangan akan menentukan tingkat akses yang harus
dimiliki oleh mitra dagang ke catatan basis data perusahaan (seperti
tingkat inventaris dan daftar harga). Auditor harus merekonsiliasi
ketentuan perjanjian perdagangan dengan hak akses mitra dagang yang
dinyatakan dalam tabel otoritas basis data.
3. Auditor harus mensimulasikan akses oleh sampel mitra dagang dan
berupaya melanggar hak akses.
Tes Kontrol Jejak Audit.
Auditor harus memverifikasi bahwa sistem EDI menghasilkan log
transaksi yang melacak transaksi melalui semua tahap pemrosesan. Dengan
memilih sampel transaksi dan melacaknya melalui proses, auditor dapat
memverifikasi bahwa nilai data utama dicatat dengan benar di setiap titik.

D. AUDIT SISTEM AKUNTANSI BERBASIS-PC

Aplikasi PC merupakan sistem yang melayani berbagai kebutuhan dengan
skala luas. Sistem ini sangat populer pada perusahaan kecil, yang digunakan
untuk mengganti sistem manual menjadi sistem otomatis agar operasi menjadi
lebih efisien dan kompetitif. Sistem PC ini juga telah membuat terobosan bagi
perusahaan besar yang memiliki operasi terdesentralisasi.
Sebagian besar sistem PC dirancang secara modular. Modul bisnis yang
umum, termasuk pemrosesan pesanan penjualan, pembelian dan hutang
dagang, penerimaan kas, pengeluaran kas, buku besar dan laporan keuangan,
kontrol persediaan dan penggajian. Desain modular ini memberikan pengguna
beberapa tingkat fleksibilitas dalam menyesuaikan sistem untuk kebutuhan
spesifik mereka.
Program kontrol pusat menyediakan interface pengguna ke sistem. Dari titik
kontrol ini, pengguna membuat pilihan menu untuk mengaktifkan modul aplikasi
seperlunya, Misalnya dengan memilih modul penjualan, pengguna dapat
memasukkan pesanan pelanggan secara real time. Akhirnya, pengguna dapat
memenuhi penerimaan uang tunai, pembelian, dan transaksi penggajian.
 Sistem komersial biasanya memiliki modul yang terintegrasi penuh. Ini
berarti bahwa transfer data antar modul terjadi secara otomatis. Sebagai contoh,
sistem terintregasi akan memastikan bahwa semua transaksi yang ditangkap
oleh berbagai modul telah seimbang dan akun telah diposting ke buku besar dan
buku besar pembantu sebelum menghasilkan laporan keuangan.
Risiko dan Kontrol Sistem PC
Sistem akuntansi PC menciptakan masalah kontrol yang unik untuk akuntan
yang timbul dari kelemahan sistem operasi dan lingkungan umum PC.
Kelemahan Sistem Operasi
Sistem PC hanya memberikan keamanan minimal untuk file data dan
program di dalamnya. Kelemahan kontrol ini melekat dalam filosofi di balik
desain sistem operasi PC. Terutama sebagai sistem pengguna tunggal yang
dirancang untuk memudahkan penggunaan komputer dan untuk memfasilitasi
akses, bukan membatasinya. Data yang disimpan pada mikrokomputer yang
digunakan bersama oleh banyak pengguna dihadapkan pada akses yang tidak
sah, manipulasi, dan penghancuran. Sekali seorang hacker mendapatkan akses
ke PC pengguna, kemungkinan kecil atau tidak sama sekali ada langkah untuk
mencegahnya dari pencurian maupun manipulasi data yang tersimpan pada hard
drive internal.
a. Pengendalian akses Lemah
Keamanan perangkat lunak yang menyediakan prosedur logon telah tersedia
pada PC. Namun, sebagian besar pogram ini, menjadi aktif hanya ketika
komputer di-boot dari hard drive. Seorang hacker yang mencoba untuk
menghentikan prosedur login dapat melakukannya dengan memaksa komputer
untuk boot dari CD-ROM, di mana sistem operasi yang tidak terkontrol dapat
dimuat ke dalam memori komputer. Setelah melewati sistem operasi yang
disimpan komputer dan paket keamanannya, hacker mungkin akan memiliki
akses yang terikat ke data dan program pada hard disk drive.
b. Pemisahan tugas yang tidak memadai
Para pegawai di lingkungan PC, terutama di perusahaan kecil, mungkin
memiliki akses ke beberapa aplikasi yang merupakan tugas yang tidak sesuai.
Sebagai contoh, satu individu mungkin bertanggung jawab untuk memasuki
semua transaksi data, termasuk pesanan penjualan, penerimaan uang tunai,
faktur, dan pengeluaran kas. Kendala lain terjadi ketika operator juga
bertanggung jawab atas pemrograman aplikasi yang dia jalankan. Dalam
operasi perusahaan kecil. mungkin ada yang dapat dilakukan untuk
menghilangkan konflik ini, misalnya dengan kontrol sandi multilevel.
c. Kontrol sandi multilevel
Kontrol sandi multilevel digunakan untuk membatasi pegawai yang
menjalankan komputer yang sama ke direktori, program, dan file data tertentu.
Dalam pendekatan ini, kata sandi yang berbeda digunakan untuk mengakses
fungsi yang berbeda pula. Teknik ini menggunakan tabel otorisasi tersimpan
untuk membatasi lebih lanjut akses individu yaitu hanya untuk membaca, input
data, modifikasi data, dan penghapusan data. Kontrol sandi multilevel ini dapat
meningkatkan kontrol lingkungan pc pada organisasi kecil.
d. Risiko Pencurian
Karena ukurannya. PC adalah objek pencurian dengan laptop pada risiko
pencurian tertinggi. Kebijakan formal harus diterapkan untuk membatasi data
keuangan dan data sensisitif lainnya hanya pada PC desktop. Selain itu,
organisasi harus menyediakan pelatihan karyawan tentang penggunaan
komputer yang sesuai. Termasuk pemberian hukuman atas pencurian ataupun
perusakan data. Kunci keamanan anti-maling juga dapat digunakan untuk
mencegah pencurian. namun tidak akan menghalangi dedikasi pencurian.
e. Prosedur pencadangan yang lemah
Kegagalan komputer, penyebab utama dari hilangnya data di komputer
adalah kegagalan disk. Jika hard drive PC rusak/gagal, maka pemulihan data
akan sangat tidak memungkinkan. Untuk menjaga integritas misi kritis data dan
program, organisasi perlu prosedur pencadangan formal. Pencadangan harus
dikontrol secara otomatis oleh sistem operasi, menggunakan software dan
hardware khusus. Pilihan lain yang sangat baik adalah dengan menggunakan
server pencadangan online yang mengenkripsi dan menyalin data yang disimpan
PC ke lokasi penyimpanan online. Pencadangan akan berjalan secara otomatis
setiap kali PC terhubung ke Internet.
f. Risiko infeksi virus.
Infeksi virus merupakan ancaman paling serius terhadap integritas PC dan
ketersediaan sistem. Ketaatan yang ketat terhadap kebijakan dan prosedur
organisasi dapat menjaga melawan infeksi virus yang sangat penting untuk
pengendalian virus yang efektif. Organisasi juga harus memastikan bahwa
perangkat lunak antivirus yang efektif telah diinstal pada PC dan selalu diupdate.
Tujuan Audit Terkait dengan Keamanan PC
Tujuan audit untuk menilai kontrol dalam lingkungan PC mencakup hal-hal
berikut:
1. Pastikan bahwa ada pengawasan yang tepat untuk menjaga data,
program, dan komputer dari akses yang tidak sah, manipulasi,
kehancuran, dan pencurian.
2. Pastikan ada pengawasan dan prosedur operasi yang memadai untuk
mengkompensasi kurangnya pemisahan antara tugas pengguna,
programer, dan operator.
3. Pastikan prosedur pencadangan tersedia untuk mencegah kehilangan
data dan program karena kegagalan sistem, error, dsb.
4. Pastikan bahwa pemilihan sistem pada prosedur menghasilkan aplikasi
berkualitas tinggi, dan terlindungi dari perubahan yang tidak sah.
5. Pastikan sistem tersebut bebas virus dan dilindungi secara memadai
untuk meminimalkan risiko terinfeksi virus atau objek serupa.
Prosedur Audit Terkait dengan Keamanan PC
1. Auditor harus mengamati bahwa PC secara fisik telah mengurangi
peluang pencurian.
2. Auditor harus memverifikasi struktur organisasi, job desc dan mengamati
bahwa para programer sistem akuntansi bukan yang menjalankan sistem.
3. Auditor harus mengkonfirmasi bahwa laporan transaksi yang diproses,
daftar akun yang diperbarui, dan total control telah disiapkan,
didistribusikan, dan direkonsiliasi oleh manajemen yang tepat secara
berkala dan tepat waktu.
4. Auditor harus menentukan bahwa kontrol kata sandi bertingkat digunakan
untuk membatasi akses ke data dan aplikasi dan bahwa otoritas akses
yang diberikan konsisten dengan deskripsi pekerjaan karyawan.
5. Jika hard drive dapat dilepas atau eksternal hard drive digunakan, auditor
harus memverifikasi bahwa drive dilepas dan disimpan di lokasi yang
aman saat tidak digunakan.
6. Dengan memilih sampel file kackup, auditor dapat memverifikasi bahwa
prosedur cadangan telah diikuti. Jika layanan pencadangan online
 digunakan, auditor harus memverifikasi bahwa kontrak itu sesuai dan
memadai untuk memenuhi kebutuhan organisasi.
7. Dengan memilih sampel PC, auditor harus memverifikasi bahwa paket
peranti lunak komersial dibeli dari vendor yang memiliki reputasi baik dan
legal.
8. Auditor harus meninjau kebijakan organisasi untuk menggunakan
perangkat lunak antivirus. Kebijakan ini dapat mencakup poin-poin
berikut :
a. Perangkat lunak antivirus harus diinstal pada semua mikrokomputer
sebagai bagian dari prosedur startup ketika komputer dihidupkan.
b. Semua pemutakhiran ke perangkat lunak vendor harus diperiksa
virusnya sebelum diterapkan.
c. Semua domain perangkat lunak harus diperiksa dari infeksi virus
sebelum digunakan.
d. Versi software antivirus terkini harus tersedia untuk semua pengguna.
Kesimpulan

Pada audit sistem operasi dan jaringan ini membahas topik mengenai
risiko dan pengendalian atas sistem operasi, jaringan, EDI, dan sistem akuntansi
berbasis PC. Ancaman utama terhadap sistem operasi adalah (1) akses yang
tidak sah, (2) penyisipan virus yang disengaja maupun tidak disengaja, serta (3)
hilangnya data karena kegagalan fungsi sistem.
Jaringan dan tautan komunikasi rentan terhadap paparan baik dari
subversi kriminal dan kegagalan peralatan. Ancaman subversif dapat
diminimalkan melalui berbagai langkah keamanan dan akses cantral termasuk
firewall, IPS, DPI, enkripsi data, dan perangkat feedback. Kegagalan peralatan
biasanya berupa error, yang mengganggu jalur komunikasi. Hal ini dapat
dikurangi secara efektif melalui pemeriksaan echo dan pemeriksaan paritas.
EDI, di mana perusahaan dihadapkan dengan berbagai eksposur yang
timbul dalam kaitannya dengan lingkungan yang tidak memiliki ruang bagi
manusia untuk mengotorisasi atau meninjau transaksi. Kontrol dalam lingkungan
EDI dicapai terlebih dahulu melalui prosedur yang diprogram untuk mengotorisasi
transaksi. membatasi akses ke file data, dan memastikan transaksi sesuai
proses sistem yang valid.
Risiko dan kontrol yang terkait dengan lingkungan PC. Tiga dari paparan
yang paling serius adalah (1) kurangnya tugas yang dipisahkan dengan benar,
(2) sistem aplikasi PC yang tidak memiliki kecanggihan mainframe dan
mengekspos data ke akses yang tidak sah, serta (3) kegagalan komputer dan
prosedur cadangan yang tidak memadai, yang terlalu bergantung pada intervensi
manusia dan mengancam keamanan pencatatan akuntansi.
Audit pada sistem operasi dan jaringan perusahaan harus dilakukan
dengan oleh auditor secara independen tanpa intervensi pihak manapun.
Dengan dilakukannya audit pada sistem operasi dan jaringan perusahaan,
diharapkan auditor dapat memberikan opini berupa perbaikan pada sistem
operasional manajemen perusahaan sesuai dengan kebutuhan. Sehingga
kebutuhan manajemen dapat terpenuhi, berjalan efektif dan tujuan perusahaan
dapat tercapai.