Tujuan pengendalian sistem operasi mungkin dapat tidak tercapai karena sistem
operasi yang dieksploitasi secara sengaja atau tidak. Kesalahan aplikasi yang
tidak dibaca oleh sistem operasi termasuk kegagalan sistem operasi, kegagalan
ssistem yang disengaja dapat membuang memori ke disk dan printer sehingg
dapat terjadi kebocoran informasi rahasia yang tidak sengaja. Ancama yang
disengaja terhadap sistem operasi merupakan mengakses data secara ilegak
demi keuntungan finansial. Namun, anacaman yang sering berkembang adalah
ancaman destruktif yang tidak ada keuntunganya.
Keistimewaan akses ini diberikan kepada pengguna atau pekerja yang diberikan
otorisasi atas hak akses menggunakan sistem. Administrator sistem yang dapat
memberikan hak akses atau keistimewaan akses kepada pengguna. Manajemen
harus memastikan bahwa dalam memberikan hak akses untuk tidak diberikan
yang tidak sesuai dengan tugasnya, sehingga dalam pemberian hak akses harus
mempertimbangkanya. Oleh karena itu hak akses harus dikelola hati-hati dan
diawasi sehingga dapat patuh pada kebijakan dan penegndalian internal
organisasi.
Tujuan auditor adalah untuk memverifikasi bahwa hak akses diberikan dengan
cara yang konsisten dengan kebutuhan untuk memisahkan fungsi yang tidak
kompatibel dan sesuai dengan kebijakan organisasi.
Kontrol kata sandi merupakan kode akses untuk dapat mengakses sistem,
aplikasi, file data dan jaringan. Jika pengguna tidak memiliki kode kata sandi
maka sistem harus menolak memberikan akses. Metode kontrol kata sandi yang
paling umum adalah kata sandi yang dapat digunakan kembali. Kata sandi yang
dapat digunakan kembali, pengguna dapat memasukkan kata sandi sekali dalam
sistem, kemudian sistem akan menerima akse untuk kedepanya. Jika kata sandi
yang digunakan merupakan informasi pribadi seperti nama anak, tanggal lahir
dan sebagainya maka, kata sandi tersebut lemah, dan akan mempengaruhi
keamanan sistem operasi. Oleh karena itu, biasanya manajer meminta kata
sandi yang diagnati secara teratur, sehingga ketika pengguna menggunakan
kata sandi lama untuk mengakses, sistem akan merespon untuk memperbarui
kata sandi atau memasukkan kata sandi yang baru. Sistem ini juga
menggunakan basis data ekstensif yakni memvalidasi kata sandi yang baru dan
melarang kata sandi yang lemah. Alernatif kata sandi yang dapat digunakan
kembali adalah kata sandi satu kali. Kata sandi satu kali didesain untuk
mengatasi kelemahan pada kata sandi yang dapat digunakan kembali.
3. Tinjau prosedur kontrol kata sandi untuk memastikan bahwa kata sandi
diubah secara teratur.
4. Tinjau file kata sandi untuk menentukan bahwa kata sandi yang lemah
diidentifikasi dan dibubarkan. Ini mungkin melibatkan penggunaan
perangkat lunak untuk memindai file kata sandi untuk kata sandi lemah
yang diketahui,
5. Periksa apakah file kata sandi dienkripsi dan kunci enkripsi diamankan
dengan benar.
Program jahat dan deskruptif bertanggung jawab atas kerugiaan jutaan dolar
perusahaan. Kerugian diukur dalam hal kerusakan dan kerusakan data,
penurunan kinerja komputer, kerusakan perangkat keras, pelanggaran privasi,
dan waktu personel yang ditugaskan untuk memperbaiki kerusakan. Kelas
program ini mencakup virus, cacing, bom logika, pintu belakang, dan kuda Troya.
Memverifikasi bahwa ada kebijakan dan prosedur manajemen yang efektif untuk
mencegah pengenalan dan penyebaran program-program destruktif, termasuk
virus, worm, pintu belakang, bom logika, dan kuda Trojan.
3. Pastikan versi perangkat lunak antivirus saat ini diinstal pada server dan
pemutakhiran diunduh secara teratur ke workstation.
Jejak audit sistem merupakan log yang mencatat dan menelusuri aktivitas dalam
sistem, aplikasi dan pengguna. Sistem operasi memungkinkan manajemen untuk
menentukan tingkat audit yang akan dicatatat dalam log. Manajemen harus
memastikan ambang batas untuk memisalhakn antara fakta dan yang tidak
relevan. Jejak audit biasanya terdiri dari dua jenis log audit: (1) log terperinci dari
penekanan tombol individu dan (2) log berorientasi peristiwa. Pemantauan
keystroke, pemantauana acara, menetapkan tujuan jejak audit, mendeteksi
akses yang tidak sah, merekontruksi acara, akuntabilitas pribadi.
B. Auditing Networks
Risiko Intranet
Intranet terdiri dari LAN kecil dan WAN besar yang berisi ribuan node.
Intranet digunakan untuk menghubungkan karyawan dalam satu gedung, antara
gedung pada fisik yang sama, dan antara lokasi yang tersebar. Kegiatan umum
pada intranet yaitu pengarahan email, pemrosesan transaksi antar unit bisnis,
dan menghubungkan ke internet luar.
Risiko Internet
Pengendalian Jaringan
Beberapa kontrol untuk menangani ancaman penyelewengan termasuk
firewall, pengawasan mendalam, enkripsi, dan teknik kontrol pesan. Hal ini diikuti
dengan tujuan dan prosedur audit yang terkain mengenai kontrol ini. Kemudian
menyajikan kontrol, tujuan audit, dan prosedur audit yang berhubungan dengan
ancaman equipment failure.
Untuk mencapai tujuan kontrol ini, auditor dapat memilih sampel pesan
dari log transaksi dan memeriksanya untuk konten yang rusak. Auditor harus
memverifikasi bahwa semua pesan yang rusak berhasil dikirim ulang.
Standar EDI
Kunci keberhasilan EDI adalah penggunaan format standar untuk
pengiriman pesan antar sistem yang berbeda. Selama bertahun-tahun, baik di
Amerika Serikat dan internasional, sejumlah format telah diusulkan. Standar di
Amerika Serikat adalah format American National Stan- dards Institute (ANSI)
X.12. Standar yang digunakan secara internasional adalah format EDI untuk
administrasi, perdagangan, dan transportasi (EDIFACT).
Manfaat EDI
EDI Keuangan
Kontrol EDI
Tidak adanya keterlibatan manusia dalam proses EDI memunculkan hal unik
untuk masalah kontrol tradisional, termasuk memastikan bahwa transaksi
diotorisasi dan valid, mencegah akses yang tidak sah ke file data, dan
mempertahankan jejak audit transaksi. Teknik-teknik berikut digunakan dalam
menangani masalah ini.
Kontrol Akses
Mitra dagang EDI harus mengizinkan tingkat akses ke file data pribadi
yang akan dilarang di lingkungan tradisional. Perjanjian mitra dagang akan
menentukan tingkat kontrol akses yang berlaku. Sebagai contoh, hal itu dapat
memungkinkan sistem pelanggan untuk mengakses file inventaris vendor untuk
menentukan apakah invoice tersedia. Selain itu, mitra dagang dapat menyetujui
bahwa harga pesanan pembelian akan mengikat kedua belah pihak. Pelanggan
secara berkala mengakses file daftar harga vendor untuk menjaga informasi
harga terkini. Atau, vendor mungkin perlu akses ke daftar harga pelanggan
untuk memperbarui harga. Untuk menjaga dari akses yang tidak sah, setiap
perusahaan harus membuat vendor dan file pelanggan yang valid. Dengan
demikian, penyelidikan terhadap basis data dapat divalidasi, dan upaya akses
yang tidak sah dapat ditolak. Tabel otoritas pengguna juga dapat dibuat, yang
menentukan tingkat akses yang diizinkan mitra dagang. Misalnya, mitra mungkin
berwenang untuk membaca inventaris atau data harga tetapi tidak mengubah
nilai.
Pada audit sistem operasi dan jaringan ini membahas topik mengenai
risiko dan pengendalian atas sistem operasi, jaringan, EDI, dan sistem akuntansi
berbasis PC. Ancaman utama terhadap sistem operasi adalah (1) akses yang
tidak sah, (2) penyisipan virus yang disengaja maupun tidak disengaja, serta (3)
hilangnya data karena kegagalan fungsi sistem.
Jaringan dan tautan komunikasi rentan terhadap paparan baik dari
subversi kriminal dan kegagalan peralatan. Ancaman subversif dapat
diminimalkan melalui berbagai langkah keamanan dan akses cantral termasuk
firewall, IPS, DPI, enkripsi data, dan perangkat feedback. Kegagalan peralatan
biasanya berupa error, yang mengganggu jalur komunikasi. Hal ini dapat
dikurangi secara efektif melalui pemeriksaan echo dan pemeriksaan paritas.
EDI, di mana perusahaan dihadapkan dengan berbagai eksposur yang
timbul dalam kaitannya dengan lingkungan yang tidak memiliki ruang bagi
manusia untuk mengotorisasi atau meninjau transaksi. Kontrol dalam lingkungan
EDI dicapai terlebih dahulu melalui prosedur yang diprogram untuk mengotorisasi
transaksi. membatasi akses ke file data, dan memastikan transaksi sesuai
proses sistem yang valid.
Risiko dan kontrol yang terkait dengan lingkungan PC. Tiga dari paparan
yang paling serius adalah (1) kurangnya tugas yang dipisahkan dengan benar,
(2) sistem aplikasi PC yang tidak memiliki kecanggihan mainframe dan
mengekspos data ke akses yang tidak sah, serta (3) kegagalan komputer dan
prosedur cadangan yang tidak memadai, yang terlalu bergantung pada intervensi
manusia dan mengancam keamanan pencatatan akuntansi.
Audit pada sistem operasi dan jaringan perusahaan harus dilakukan
dengan oleh auditor secara independen tanpa intervensi pihak manapun.
Dengan dilakukannya audit pada sistem operasi dan jaringan perusahaan,
diharapkan auditor dapat memberikan opini berupa perbaikan pada sistem
operasional manajemen perusahaan sesuai dengan kebutuhan. Sehingga
kebutuhan manajemen dapat terpenuhi, berjalan efektif dan tujuan perusahaan
dapat tercapai.