SECURITY PART I: AUDITING OPERATING SYSTEM AND NETWORKS

Tugas Mata Kuliah

Auditing EDP

Oleh
Zafrilda Fauziah Insani 170810301136
Sri Wulandari 170810301156
Putri Pratiwi Rahmawati 170810301173
Eva Mei Yunitasari 170810301225
Melinda Resma Devi 170810301232

PROGRAM STUDI AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS JEMBER
2020

1
 DAFTAR ISI
DAFTAR ISI................................................................................................................... 2

PENDAHULUAN........................................................................................................... 3

Latar Belakang..........................................................................................................3

PEMBAHASAN............................................................................................................. 4

2.1 Sistem Operasi Audit......................................................................................4

2.2 Jaringan Audit...............................................................................................10

2.3 Auditing Electronic Data Interchange(EDI).................................................17

2.4 Auditing Sistem Akuntansi Berbasis PC.....................................................21

PENUTUP.................................................................................................................... 26

Kesimpulan............................................................................................................. 26

DAFTAR PUSTAKA....................................................................................................27

2
 PENDAHULUAN

Latar Belakang
Perkembangan zaman yang semakin pesat dihadapkan pada persaingan yang
ketat, kebutuhan akan pengambilan sebuah keputusan yang cepat dan akurat, serta
pertumbuhan dunia usaha menuntut dukungan penggunaan teknologi mutakhir yang
kuat dan handal. Dalam konteks ini keberhasilan organisasi akan sangat dipengaruhi
oleh kemampuan dalam memanfaatkan teknologi informasi secara optimal. Begitupun
seorang auditor internal dituntut tidak hanya mampu menghadapi dan mencegah
resiko dan ancaman bisnis pada faktor non-teknologi tetapi sukses tidaknya auditor
internal sangat tergantung kepada kemampuan menyumbang nilai terhadap organisasi
melalui pemanfaatan tekhnologi informasi secara efektif.
Tujuan dari auditing operating system and network untuk pengendalian sistem.
Karena hak akses yang diberikan terhadap masing-masing pengguna dapat
memberikan pengaruh terhadap kemanan sistem. Hak akses tertentu hendaknya
diberikan secara hati-hati dan dibatasi berdasarkan keputusan yang telah
dipertimbangkan, serta diawasi penggunannya agar tidak menyimpang dari kebijakan
yang telah ditetapkan organisasi sesuai dengan internal control.

3
 PEMBAHASAN

2.1 SISTEM OPERASI AUDIT

Sistem operasi merupakan program pengendali yang ada di komputer. Hal itu
memungkinkan pengguna dan aplikasinya untuk berbagi dan mengakses sumber daya
komputer yang umum (prosesor, memori utama, basis data, dan printer). Jika integritas
sistem operasi dikompromikan, kontrol dalam aplikasi akuntansi individual juga dapat
dinetralkan. Semakin besar fasilitas komputer, semakin besar skala potensi kerusakan.

2.1.1 Tujuan Sistem Operasi

Sistem operasi melakukan tiga tugas utama. Pertama, melakukan terjemahan
untuk bahasa tingkat tinggi, seperti COBOL, C++, BASIQ, dan SQL, ke dalam bahasa
sistem yang dapat menjalankan komputer. Kedua, sistem operasi mengalokasikan
sumberdaya komputer untuk pengguna, tim kerja, dan aplikasi. Ini menugaskan ruang
kerja penyimpanan untuk aplikasi dan otorisasi akses ke terminal, jaringan
telekomunikasi, database, dan printer. Ketiga, sistem operasi mengendalikan tugas
jadwal kerja dan berbagai program.
Untuk melakukan tugas secara konsisten, sistem operasi harus mencapai lima
dasar tujuan pengendalian :
a) Sistem operasi harus melindungi dirinya dari pengguna.
b) Sistem operasi harus melindungi pengguna dari satu sama lain.
c) Sistem operasi harus melindungi pengguna dari dirinya sendiri.
d) Sistem operasi harus dilindungi dari dirinya sendiri.
e) Sistem operasi harus terlindungi dari lingkungannya.

2.1.2 Keamanan Sistem Operasi

Keamanan sistem operasi melibatkan kebijakan, prosedur, dan kontrol yang
menentukan siapa yang dapat mengakses sistem operasi, sumber daya mana (file,
program, printer) yang dapat mereka gunakan dan tindakan yang dapat dilakukan.:
a) Log On Prosedur
Sebuah prosedur log formal pada prosedur pertahanan sistem operasi terhadap
akses yang tidak sah. Jika menemukan kecocokan, maka log on diautentikasi.
Namun, jika tidak benar, log on gagal dan pesan dikembalikan ke pengguna.
Setelah beberapa percobaan yang spesifik, sistem harus mengunci pengguna
dari sistem.

4
 b) Akses Token
Jika log on berhasil, sistem operasi membuat token akses yang berisi informasi
utama tentang pengguna, termasuk ID user, grup pengguna kata sandi, dan
hak istimewa yang diberikan kepada pengguna.
c) Daftar Pengendalian Akses
Akses ke berbagai sumber daya sistem seperti direktori, file, program, dan
printer dikendalikan oleh daftar pengendalian akses (acces control list) yang
dibuat untuk tiap sumber daya. Daftar tersebut memuat informasi yang
mendefinisikan hak istimewa akses untuk semua pengguna sumber daya yang
sah.
d) Pengendalian Akses Mandiri
Administrator pusat biasanya menentukan siapa yang diberi akses ke sumber
daya tertentu dan mengelola daftar kontrol akses. Akan tetapi, dalam sistem
terdistribusi, sumber daya dapat dikendalikan oleh pengguna akhir. Pemilik
sumber daya dalam dapat diberikan pengendalian akses mandiri (discretionary
acces control) dimana mereka memberi pengguna lain. hak istimewa akses.

2.1.3 Ancaman Keutuhan Sistem Operasi

Ancaman yang tidak disengaja meliputi kegagalan perangkat keras
menyebabkan sistem operasi macet. Kesalahan dalam program aplikasi pengguna
menyebabkan kegagalan sistem operasi. Ancaman yang disengaja terhadap sistem
operasi dilakukan untuk mengakses data secara tidak sah atau melanggar privasi
pengguna untuk keuntungan finansial. Berbagai eksposur ini berasal dari tiga sumber:
1. Personel dengan hak tertentu yang menyalahgunakan wewenangnya.
2. Orang-orang yang menjelajahi sistem operasi untuk mengidentifikasi dan
mengeksploitasi kelemahan keamanan.
3. Orang yang menyelipkan virus komputer atau bentuk lain program penghancur
lainnya ke dalam sistem operasi.Kadang-kadang kejadian ini dapat tidak
disengaja dan disengaja.

2.1.4 Kontrol Sistem Operasi dan Uji Audit

Jika integritas sistem operasi terganggu, kontrol dalam aplikasi akuntansi
individual yang berdampak pada pelaporan keuangan juga dapat dikompromikan.
Desain dan penilaian kontrol keamanan sistem operasi adalah masalah kepatuhan

5
SOX. Berbagai teknik kontrol untuk menjaga integritas sistem operasi dan menjelaskan
tes terkait yang dapat dilakukan auditor. Area-area yang diperiksa:
a. Mengendalikan Hak Akses
Hak akses para pengguna diberikan ke beberapa orang dan ke seluruh
kelompok kerja yang diotorisasi untuk menggunakan sistem. Keamanan
keseluruhan sistem dipengaruhi oleh bagaiman hak akses diberikan.
 Tujuan Audit
Memverifikasi bahwa hak akses diberikan dalam cara yang konsisten
dengan kebutuhan untuk memisahkan berbagai fungsi yang tidak saling
bersesuaian
 Prosedur Audit
1. Kaji kebijakan perusahaan atas berbagai fungsi yang tidak saling
bersesuaian
2. Kaji berbagai hak sekelompok pengguna dan orang-orang tertentu untuk
menentukan apakah hak akses mereka sesuai dengan deskripsi
pekerjaan.
3. Kaji catatan personalia untuk menentukan para karyawan yang
diberikan hak tersebut menjalani pemeriksaan keamanan intensif sesuai
kebijakan.
4. Kaji catatan karyawan untuk menentukan apakah para pengguna telah
mengetahui tanggung jawab mempertahankan kerahasiaan data.
5. Kaji waktu logon yang diizinkan untuk para pengguna (Harus sesuai
dengan pekerjaan yang dilakukan)

b. Pengendalian Kata Sandi

Kata sandi (password) adalah kode rahasia yang dimasukkan oleh pengguna
untuk mendapatkan akses ke sistem, aplikasi, file data, atau server jaringan.
Bentuk paling umum perilaku yang bertentangan dengan keamanan meliputi:
1) Lupa kata sandi dan akhirnya dikeluarkan dari sistem
2) Tidak sering mengubah kata sandi
3) Sindrom post-in (kata sandi ditulis di kertas kecil dan dipajang hingga dapat
dilihat orang lain)
4) Kata sandi yang terlalu sederhana hingga mudah ditebak oleh pelaku
kejahatan komputer

6
 Kata sandi yang dapat digunakan kembali. Pengguna menentukan kata sandi
di sistem satu kali kemudian menggunakannya berulang kali untuk akses
selanjutnya. Jika kata sandi tersebut berhubungan dengan hal pribadi dari
pengguna, penjahat komputer akan dapat menebaknya.
Kata sandi sekali pakai. Teknologi yang dapat digunakan adalah alat
seukuran kartu kredit (kartu pintar) yang berisi sebuah mikroprosesor yang
diprogram dengan algoritme tertentu yang akan menghasilkan, dan secara
elektronik menampilkan, sebuah kata sandi yang baru dan unik setiap 60 detik.
Kartu tersebut bekerja bersama dengan pirantu lunak autentikasi khusus kapan
saja, baik kartu pintar maupun piranti lunak jaringan menghasilkan kata sandi
yang sama untuk pengguna yang sama.
 Tujuan audit yang berkaitan dengan kata sandi
Pastikan bahwa perusahaan memiliki kebijakan kata sandi yang memadai dan
efektif untuk mengendalikan akses ke sistem operasi.
 Prosedur audit yang berkaitan dengan kata sandi
1. Verifikasi bahwa semua pengguna diharuskan memiliki kata sandi
2. Verifikasi bahwa semua pengguna diberikan arahan dalam penggunaan
kata sandi mereka dan peran penting pengendalian kata sandi.
3. Tinjau prosedur kontrol kata sandi untuk memastikan bahwa kata sandi
diubah secara teratur.
4. Tinjau file kata sandi untuk menentukan bahwa kata sandi yang lemah
diidentifikasi dan tidak diizinkan.
5. Verifikasi bahwa file kata sandi dienkripsi dan kunci enkripsi diamankan
dengan benar.
6. Menilai kecukupan standar kata sandi seperti panjang dan interval
kedaluwarsa.
7. Tinjau kembali kebijakan dan prosedur penguncian akun. Auditor harus
menentukan berapa banyak usaha logon gagal yang dibiarkan terjadi
sebelum akun tersebut dikunci.

c. Pengendalian terhadap Program yang jahat dan merusak.

Ancaman dari berbagai program yang merusak dapat secara substansial
dikurangi melalui penggabungan pngendalian teknologi dan prosedur
administrasi. Pengendalian dalam kebanyakan sistem operasi.
1) Beli piranti lunak dari vendor yang original dan ada segel dari pabriknya.

7
 2) Tetapkan kebijakan perusahaan berkaitan dengan penggunaan piranti
lunak tidak sah atau bootleg atas piranti lunak yang memiliki hak cipta.
3) Pelajari pembarauan dari semua vendor piranti lunak untuk mendeteksi
virus sebelum diimplementasikan.
4) Periksa perangkat lunak domain publik untuk infeksi virus sebelum
digunakan.
5) Menetapkan prosedur untuk membuat perubahan pada program produksi.
6) Tetapkan sebuah program edukasi untuk meningkatkan kesadaran
pengguna tentang ancaman dari virus dan program jahat.
7) Pasang semua aplikasi baru pada komputer yang berdiri sendiri dan uji
coba mereka dengan perangkat lunak antivirus sebelum menerapkannya di
server jaringan mainframe atau area lokal.
8) Secara rutin menyalin salinan file kunci yang tersimpan pada mainframe,
server dan workstatio.
9) Batasi pengguna untuk membaca dan mengeksekusi dengan benar saja.
10) Meminta protokol yang secara eksplisit memanggil log sistem operasi pada
prosedur untuk memotong kuda trojan.
11) Gunakan perangkat lunak antivirus untuk memeriksa program aplikasi dan
sistem operasi dan menghapusnya dari program yang terkena dampak.
 Tujuan Audit terkait dengan Virus dan Program Merusak Lainnya
Tujuan auditor adalah untuk memverifikasi bahwa ada kebijakan dan prosedur
manajemen yang efektif untuk mencegah pengenalan dan penyebaran
program-program destruktif, termasuk virus, worm, bom logika, dan kuda troya.
 Prosedur Audit terkait dengan Virus dan Program Merusak Lainnya
1. Melalui wawancara, tentukan bahwa personel operasi telah dididik
tentang virus komputer dan mengetahui praktik komputasi berisiko.
2. Verifikasi bahwa perangkat lunak baru diuji pada workstation mandiri
sebelum diimplementasikan pada host atau server jaringan.
3. Verifikasi bahwa versi perangkat lunak antivirus saat ini diinstal pada
server dan bahwa pembaruan diunduh secara teratur ke workstation.

d. Sistem Audit Jejak Kontrol

Jejak audit sistem adalah log yang mencatat aktivitas pada sistem, aplikasi,
dan penggunaan tingkat pengguna. Sistem operasi memungkinkan manajemen

8
 untuk memilih tingkat audit yang akan dicatat dalam log. Jejak audit biasanya
terdiri dari:
 Pemantauan keystroke.
Bentuk log ini sebagai kontrol real time untuk mencegah instrusi yang tidak
sah. Pemantauan keystroke adalah komputer yang setara dengan
penyadapan telepon.
 Pemantauan acara
Log peristiwa biasanya mencatat Id semua pengguna yang mengakses
sistem; waktu dan durasi sesi pengguna, program yang dijalankan selama
sesi berlangsung, dan file, database, printer dan sumber daya lainnya
diakses.

e. Menetapkan Sistem Audit Trail

Jejak audit digunakan untuk mendukung tujuan keamanan dengan tiga cara:
1) Mendeteksi akses yang tidak sah ke sistem
2) Rekonstruksi acara
3) Akuntabilitas pribadi

f. Menetapkan Jalur Audit Sistem

Informasi yang terdapat dalam log audit berguna bagi akuntan dalam
mengukur potensi kerusakan dan kerugian finansial yang terkait dengan
kesalahan aplikasi, penyalahgunaan wewenang, atau akses tidak sah oleh
penyusup luar. Manfaat audit log harus diimbangi dengan biaya penerapannya.

g. Tujuan Audit yang Berkaitan dengan Jalur Audit Sistem

Tujuan auditor adalah untuk memastikan bahwa jalur audit sistem yang
mapan memadai untuk mencegah dan mendeteksi pelanggaran, rekonstruksi
peristiwa penting yang mendahului kegagalan sistem, dan merencanakan alokasi
sumber daya.
1. Auditor harus memverifikasi bahwa jejak audit telah diaktifkan sesuai
dengan kebijakan organisasi.
2. Banyak sistem operasi menyediakan penampil log audit yang
memungkinkan auditor memindai log untuk aktivitas yang tidak biasa. Ini
dapat ditinjau di layar atau dengan pengarsipan file untuk file log berikutnya
untuk mencari kondisi yang ditentukan seperti:

9
  Pengguna yang tidak diotorisasi atau diakhiri
 Masa tidak aktif
 Aktivitas oleh pengguna, kelompok kerja, atau departemen
 Waktu log-on dan log-out
 Gagal mencatat usaha
 Akses ke file atau aplikasi tertentu
3. Kelompok keamanan organisasi memiliki tanggung jawab untuk memantau
dan melaporkan pelanggaran keamanan. Auditor harus memilih kasus
pelanggaran keamanan yang sederhana dan mengevaluasi disposisi
mereka untuk mengakses keefektifan kelompok keamanan.

2.2 JARINGAN AUDIT

Ketergantungan pada jaringan untuk komunikasi bisnis menimbulkan
kekhawatiran tentang akses tidak sah ke informasi rahasia. Ketika LANS menjadi
platform untuk aplikasi dan data misi-kritis, informasi proprictary, data pelanggan, dan
catatan keuangan berisiko. Organisasi yang terhubung dengan pelanggan dan mitra
bisnis mereka melalui Internet sangat terbuka. Tanpa perlindungan yang memadai,
perusahaan membuka pintu bagi peretas komputer, perusak, pencuri, dan mata-mata
industri baik secara internal maupun dari seluruh dunia. Paradoks dari jaringan adalah
bahwa jaringan ada untuk menyediakan akses pengguna ke sumber daya bersama,
namun tujuan paling penting dari jaringan apa pun adalah untuk mengontrol akses
tersebut. Oleh karena itu, untuk setiap argumen produktivitas yang mendukung akses
jarak jauh, ada alasan keamanan yang menentangnya. Manajemen organisasi terus
mencari keseimbangan antara peningkatan akses dan risiko bisnis terkait.

2.2.1 Resiko Intranet

Intranet terdiri dari LAN (jaringan kecil) dan WAN (jaringan besar). Intranet
digunakan untuk menghubungkan karyawan dalam satu gedung, antar gedung
maupun lokasi geografis yang sama. Intranet menghubungkan aliran informasi
perusahaan untuk semua fungsi yang ada. Namun ketergantungan perusahaan pada
intranet tidak mengingkari adanya ancaman terhadap keamanan informasinya.
Aktivitas karyawan yang tidak sah dan illegal secara internal merupakan bentuk nyata
dari adanya ancaman keamanan data. Karywan yang memiliki dan mengetahui akses
informasi perusahaan dapat melakukan tindak penyelewengan dengan mencuri,
menyadap, memanipulasi atau bahkan menjual informasi tersebut kepada pihak lain

10
untuk kepentingan pribadinya. Bentuk tidak illegal karyawan yang menjadi resiko
intranet adalah
1. Interpersepsi pesan jaringan, setiap informasi perusahaan terhubung dalam
intranet. Karyawan memiliki ID pengguna yang dapat mereka akses kapanpun
membuat resiko kebocoran informasi cukup tinggi. Tindakan interpersepsi
pesan disebut sniffing. Resiko ini akan semakin besar ketika intranet terbung
dengan jaringan internet. Administrator akan secara berkala melakukan
pengecekan terhadap sistem, sehingg dapat memungkinkan mereka
melakukan tindakan untuk mencegat informasi masuk melalui jaringan intranet.
2. Akses kedatabase perusahaan, intranet yang terhubung dengan database
perusahaan pusat meningkatkkan resiko bahwa karyawan akan mengubah,
merusak, melihat dan menyalin data.
3. Karyawan Istimewa, manajer menengah sering memiliki hak akses ⁸yang
memungkinkan mereka untuk mengesampingkan kontrol, paling sering dituntut
atas7 kejahatan orang dalam. Sistem informasi yang dimiliki karyawan dalam
organisasi adalah kelompok lain yang diberdayakan dengan mengabaikan hak
istimewa yang dapat mengizinkan akses ke data penting-misi.

2.2.2 Resiko Internet

Terdapat tiga resiko utama yang melekat pada internet, yaitu:
1. IP Spoffing adalah suatu bentuk penyamaran yang digunakan untuk
memperoleh akses tidak sah ke web server dan melakukan tindakan yang
melanggar hukum tanpa mengunkapkan indentitas.
2. Penolakan layanan (Denial Services Attack) adalah serangan pada web server
untuk mencegah melayani pengguna sah. Ancaman semacam ini sangat
berpengaruh pada bisnis, karena mencegah bisnis untuk menerima dan
mengolah transaksi dari pelanggan. Terdapat tigas jenis serangan seperti ini
yaitu SYN Flood attack, smurf dan ditributed denial of services.
a. SYN flood attack
Ketika seorang pengguna membuat koneksi di Internet melalui TCP/IP,
jabat tangan tiga arah terjadi. Server penghubung mengirim kode inisiasi
yang disebut paket SYN (SYNchronize) ke server penerima. Server
penerima kemudian mengakui permintaan tersebut dengan mengirinmkan
kembali informasi SYNchronize-ACKnowledge (SYN-ACK). Akhirnya,
mesin host yang memulai merespons dengan kode paket ACK. Ancaman

11
dicapai dengan tidak mengirimkan pengakuan akhir ke respons SYN-ACK
server, yang menyebabkan server terus memberi sinyal untuk pengakuan
sampai server kehabisan waktu. Individu atau organisasi yang melakukan
SYN flood attack mentransmisikan ratusan paket SYN ke penerima yang
ditargetkan, tetapi tidak pernah menanggapi dengan ACK untuk
menyelesaikan koneksi. Akibatnya, port server penerima tersumbat
dengan permintaan komunikasi tidak lengkap yang mencegah transaksi
yang sah diterima dan diproses. Dengan demikian, organisasi yang
diserang dapat dicegah untuk menerima pesan Internet selama berhari-
hari. Jika organisasi target dapat mengidentifikasi server yang
meluncurkan serangan, dapat diprogram untuk mengabaikan semua
komunikasi dari situs itu. Namun serangan semacam itu, merupakan
sumber pesan yang sulit. Program spoofing IP yang mengacak alamat
sumber penyerang telah ditulis dan didistribusikan secara publik melalui
Internet. Oleh karena itu, ke situs penerima, tampak bahwa transmisi
datang dari seluruh Internet. mencegah karena mereka menggunakan
spoofing IP untuk menyamarkan.
b. Smurf

Serangan smurf melibatkan tiga pihak, yaitu pelaku, perantara dan

korban. Serangan ini dilakukan untuk mengekspliitasi alat pemeliharaan
internet yang disebut dengan ping. Alat ini berfungsi untuk mengecek
adanya hambatan pada jaringan dengan mengirim pesan permintaan
kepada host untuk kemudian penerima pesan memberi respon. Pelaku
smurf attack melakukan tindakannya dengan menggunakan program
ping untuk membuat paket pesan ping dan alamat IP palsu dari
komputer korban dan mencegahnya memperoleh informasi dari

12
 komputer asli. Salah satu metode untuk mengalahkan serangan smurf
adalah dengan menonaktifkan opsi alamat penyiaran IP di setiap firewall
jaringan dan dengan demikian menghilangkan peran perantara.
Menanggapi langkah ini, bagaimanapun, penyerang telah
mengembangkan alat untuk mencari jaringan yang tidak menonaktifkan
pengalamatan siaran. Jaringan ini selanjutnya dapat digunakan sebagai
perantara dalam serangan smurf. Juga, pelaku telah mengembangkan
alat yang memungkinkan mereka untuk meluncurkan serangan smurf
secara bersamaan dari beberapa jaringan perantara untuk efek
maksimum pada korban.
c. Distributed Denial of Services (DDoS)
Ancaman ini merupakan beentuk kolaborasi dari acaman sebelumnya,
yaitu SYN flood attack dan smurf. Perbedaanya terletak dari ruang
lingkup serangan ini. Pelaku serangan DDos dapat menggunakan
pasukan virtual komputer yang disebut zombie atau bot (robot) untuk
meluncurkan serangan. Karena dibutuhkan sejumlah besar perantara
yang tidak curiga, serangan itu sering melibatkan satu atau lebih
jaringan obrolan Internet-relay (IRC) sebagai sumber zombie. IRC
adalah layanan interaktif populer di Internet yang memungkinkan ribuan
orang dari seluruh dunia terlibat dalam komunikasi waktu nyata melalui
komputer mereka. Masalah dengan jaringan IRC adalah bahwa mereka
cenderung memiliki keamanan yang buruk. Dengan demikian, pelaku
dapat dengan mudah mengakses IRC dan mengunggah program jahat
seperti Trojan yang berisi skrip serangan ini. Program ini selanjutnya
diunduh ke PC dari ribuan orang yang mengunjungi situs IRC. Program
serangan berjalan di latar belakang pada komputer zombie baru, yang
sekarang berada di bawah kendali pelaku. Serangan DDOS merupakan
ancaman yang jauh lebih besar bagi korban daripada serangan SYN

13
 tradisional atau serangan smurf. Misalnya, banjir SYN yang berasal dari
ribuan komputer terdistribusi dapat melakukan kerusakan jauh lebih
banyak daripada satu dari satu komputer. Juga, serangan smurf yang
berasal dari subnetwork komputer perantara semuanya berasal dari
server yang sama. Pada waktunya, server dapat ditemukan dan
diisolasi dengan memprogram firewall korban untuk mengabaikan
transmisi dari situs penyerang. Sebaliknya, serangan DDOS secara
harfiah berasal dari situs di seluruh Internet. Ribuan komputer serangan
individu lebih sulit untuk dilacak dan dimatikan.
Risiko dari topologi Kegagalan Peralatan terdiri dari berbagai konfigurasi (1) jalur
komunikasi (kabel twisted-pair, kabel coaxial, gelombang mikro, dan serat optik), (2)
komponen perangkat keras (modem, multiplexer, server, dan ujung depan) prosesor),
dan (3) perangkat lunak (protokol dan sistem kontrol jaringan). Selain ancaman
subversif yang dijelaskan di bagian sebelumnya, topologi jaringan berisiko terhadap
kegagalan peralatan. Sebagai contoh, kegagalan peralatan dalam sistem komunikasi
dapat mengganggu, menghancurkan, atau merusak transmisi antara pengirim dan
penerima. Kegagalan peralatan juga dapat menyebabkan hilangnya database dan
program yang disimpan di server jaringan.

2.2.3 Mengontrol Jaringan

Terdappat beberapa teknik kontrol yang dapat digunakan untuk menguraikan
resiko. Beberapa kontrol yang digunakan untuk ancaman subversif, seperti firewall,
inspeksi paket, enkripsi dan teknik kontrol pesan. Serta diikuti dengan tujuan audit dan
prosedur audit tersebut.

2.2.4 Pengendalian Resiko dari Ancaman Subversif

Firewall adalah perangkat yang digunakan untuk mengendalikan akses
terhadap siapapun yang memiliki akses terhadap jaringan privat dari luar. Karakteristik
firewall:
1. Semua lalu lintas antara jaringan luar dan intranet organisasi harus melewati
firewall
2. Hanya lalu lintas resmi antara organisasi dan luar, sebagaimana ditentukan
oleh kebijakan keamanan formal, diizinkan untuk melewati firewall
3. Firewall harus kebal terhadap penetrasi baik dari luar maupun dari dalam
organisasi

14
Network-level Firewall
Tingkat keamanan sudah efisien tetapi masih tergolong lemah karena bekerja
dengan menyaring permintaan akes dari luar hanya berdasarkan aturan yang telah
diprogramkan.

Application-level Firewall
Sistem firewall yang berkerja dengan cara menjalankan perangkat keamanan
berupa proxi yang memperbolehkan layanan rutin untuk lewat. Sistem firewall mampu
menjalankan fungsi yang canggih seperti otentifikasi pengguna serta menyediakan log
transmisi dan alat audit untuk melaporkan aktivitas yang tidak mendapatkan izin atau
tidak diotorisasi.

Firewall berlapis juga memungkinkan untuk digunakan

Ada 3 cara untuk melakukan pencegahan serangan:
1. Mengendalikan DDoS (serangan yang dilakukan dengan cara membanjiri lalu
lintas jaringan internet pada server, sistem, atau jaringan).
2. Smuff Attack: mengabaikan paket dari situs penyerang segera setelah
alamatnya diidentifikasi.
3. SYN Flood Attack :
a. Firewall akan menolak semua paket yang berasal dari alamat yg tidak
teridentifikasi
b. Software keamanan yang mampu mendeteksi pesan yang tidak diikuti
paket ACK, dan segera mengembalikan koneksi yang tidak terbalas.
DDos memiliki Intrusion Prevention System (IPS) yang menjalankam deep
packet inspection (DPI) dan mengevaluasi keseluruhan isi dari paket pesan. Berbeda
dengan inspeksi normal, dengan menginspeksi keseluruhan isi lebih dalam, DPI
mampu mengidentifikasi dan mengklasifikasikan paket jahat untuk kemudian ditahan
dan diarahkan ke tim keamanan.

Enkripsi
Enkripsi addalah mengkonversi data menjadi kode rahasia baik dalam
penyimpanan maupun transmisi.

15
Public Key Encryption. Pengirim membutuhkan public key receiver untuk meng-
encoding dan mengirim pesan. Encoding adalah proses konversi informasi dari suatu
sumber (objek) menjadi data.

Private Key Encription. private key receiver digunakan untuk meng-decoding pesan
agar dapat terbaca. Proses decoding adalah menerjemahkan kode yang tidak
dimengerti oleh manusia, sehingga lebih bisa dimengerti.

Tanda Tangan Digital (Digital Signature) yaitu otentifikasi elektronik yang tidak dapat
ditiru dan dapat dikirimkan melalui elektronik.

Sertifikat Digital (Digital Certificate) yaitumemverifikasi identitas pengirim. Digital

Certificate dikeluarkan oleh certification authority (CA). Digital Certificate dikirimkan
kepada pengguna dan dienkrip dengan CA public key untuk memperoleh sender
publick key.

Penomoran Urutan Pesan (Message Sequence Numbering): untuk menanggulangi

pesan yang dihapus, dengan merubah urutannya, atau diduplikasi oleh penggangu,
maka nomor urut pada tiap-tiap pesan.

Log Transaksi Pesan (Message Transaction Log) yaitu setiap pesan masuk dan
keluar, serta upaya akses terhadap pesan dicatat dalam log transaksi pesan. Log
tersebut mencatat user ID, waktu akses, dan asal atau nomor telepon dimana akses
berasal.

Teknik Permintaan Respon (Request-Response Technique) yaitupesan kendali dari

sender dan respon dari penerima dikirim secara periodik, interval yang tersinkronisasi.
Pewaktuan pesan bersifat random sehingga sulit diperdaya.

Call-Back Device yaitu otentifikasi sebelum koneksi terjadi, dimana sistem akan
memutus dan membalas permintaan koneksi dengan menghubungi caller melalui
koneksi baru.
Tujuan Audit yang berhubungan dengan Subversive Threats yaitu menjamin
keamanan dan keabsahan transaksi financial dengan menentukan apakah network
kontrol:

16
 1. Mendeteksi dan mencegah akses ilegal baik dari dalam maupun dari luar
2. Setiap data yang berhasil dicuri menjadi tidak berguna
3. Secara layak menjamin integritas dan keamanan fisik dari data yang terkoneksi
ke jaringan
Beberapa contoh upaya audit terhadap Subversive Threads:
a. menilai kemampuan firewall
b. menguji kemampuan IPS dengan DPI
c. Mereview kebijakan administratif penggunaan data encription key
d. Mereview log transaksi pesan, apakah semua pesan sampai tujuan
e. Menguji call-back feature

2.2.5 Mengontrol Risiko dari Kegagalan Peralatan

Kesalahan jaringan Masalah paling umum dalam komunikasi data adalah
kehilangan data karena kesalahan jaringan. Struktur pesan dapat rusak melalui
kebisingan pada jalur komunikasi. Misalnya, dalam kasus program pembaruan basis
data, adanya kesalahan garis dapat mengakibatkan nilai transaksi yang salah diposting
ke akun, Dua teknik berikut ini biasanya digunakan untuk mendeteksi dan memperbaiki
kesalahan data sebelum diproses.
a) Echo Check. Echo Check melibatkan penerima pesan yang mengembalikan
pesan ke pengirim. Pengirim membandingkan pesan yang dikembalikan dengan
salinan asli yang tersimpan. Jika ada perbedaan antara pesan yang dikembalikan
dan yang asli, yang menunjukkan kesalahan transmisi, pesan tersebut dikirim
kembali.
b) Parity check. Parity check menggabungkan bit ekstra (bit paritas) ke dalam
struktur string bit ketika dibuat atau dikirim. Parity dapat berupa vertikal dan
horizontal (longitudinal). Parity vertikal menambahkan bit parity ke setiap karakter
dalam pesan ketika karakter awalnya diberi kode dan disimpan dalam bentuk
magnetik.
Tujuan Audit Terkait dengan pengendalian risiko kegagalan peralatan adalah
untuk memverifikasi integritas transaksi perdagangan elektronik dengan menentukan
bahwa ada pengendalian untuk mendeteksi dan memperbaiki kehilangan pesan
karena kegagalan pengiriman.
Prosedur Audit Terkait dengan pengendalian risiko kegagalan peralatan, yaitu :
a) auditor dapat memilih sampel pesan dari log transaksi dan memeriksanya untuk
konten yang rusak yang disebabkan oleh ganguan jalur,

17
 b) auditor harus memverifikasi bahwa semua pesan yang rusak berhasil dikirim
ulang.

2.3 AUDITING ELECTRONIC DATA INTERCHANGE (EDI)

Untuk mengoordinasikan operasi penjualan dan produksi untuk menjaga aliran
bahan yang tidak terputus, banyak organisasi mengadakan perjanjian mitra dagang
dengan pemasok dan pelanggan mereka. Perjanjian ini adalah dasar untuk proses
bisnis yang sepenuhnya otomatis yang disebut Electronic data interchange (EDI).
Definisi umum EDI adalah Pertukaran informasi bisnis yang dapat diproses dengan
komputer antar perusahaan dalam format standar. Definisi tersebut mengungkapkan
beberapa fitur penting EDI. Pertama, EDI adalah upaya interorganisasi, sebuah
perusahaan tidak terlibat dalam EDI sendiri. Kedua, sistem informasi dari mitra
dagang secara otomatis memproses transaksi. Dalam lingkungan EDI murni, tidak ada
perantara manusia untuk menyetujui atau mengesahkan transaksi. Otorisasi,
kewajiban timbal balik, dan praktik bisnis yang berlaku untuk transaksi semuanya
ditentukan terlebih dahulu di bawah perjanjian mitra dagang. Ketiga, informasi
transaksi dikirim dalam format standar. Ini memungkinkan perusahaan dengan sistem
internal yang berbeda dapat bertukar informasi dan melakukan bisnis.
Gambar 3.8 menunjukkan gambaran koneksi EDI antara dua perusahaan.
Gambar 3.9 menunjukkan hubungan komunikasi pribadi langsung antara dua
perusahaan. Namun, banyak perusahaan memilih untuk menggunakan jaringan nilai
tambah pihak ketiga (VAN) untuk terhubung ke mitra dagang mereka. Gambar 3.10
menggambarkan pengaturan. Perusahaan asal mentransmisikan pesan EDI-nya ke
jaringan daripada langsung menukar komputer mitra. Jaringan mengarahkan setiap
transmisi EDI ke tujuannya dan menyimpan pesan di kotak surat elektronik yang
sesuai. Pesan tetap berada di kotak surat sampai sistem perusahaan penerima
mengambilnya. VANS juga dapat memberikan tingkat kontrol penting atas transaksi
EDI. Kami memeriksa masalah kontrol EDI nanti di bagian ini.

2.3.1 Standar EDI

Kunci keberhasilan EDI adalah penggunaan format standar untuk pengiriman
pesan antar sistem yang berbeda. Selama bertahun-tahun, baik di Amerika Serikat
dan internasional, sejumlah format telah digunakan. Standar di Amerika Serikat adalah
format American National Stan- dards Institute (ANSI) X.12. Standar yang digunakan

18
secara internasional adalah format EDI untuk administrasi, perdagangan, dan
transportasi (EDIFACT) format.

2.3.2 Manfaat EDI

EDI telah membuat terobosan besar di sejumlah industri, termasuk otomotif,
bahan makanan, ritel, perawatan kesehatan, dan elektronik. Berikut ini adalah
beberapa penghematan biaya EDI umum yang membenarkan pendekatan ini.
 Data Keying. EDI mengurangi atau bahkan menghilangkan kebutuhan untuk
entri data.
 Error Reduction. Perusahaan yang menggunakan EDI melihat pengurangan
kesalahan penguncian data, interpretasi manusia dan kesalahan klasifikasi, dan
kesalahan pengarsipan (kehilangan dokumen).
 Pengurangan kertas. Penggunaan amplop dan dokumen clectronic secara
drastis mengurangi bentuk kertas dalam sistem.
 Mengurangi Ongkos kirim. Dokumen yang dikirim diganti dengan transmisi
data yang jauh lebih murah.
 Prosedur otomatis. EDI mengotomatiskan kegiatan manual yang terkait dengan
pembelian. pemrosesan pesanan penjualan, pengeluaran uang tunai, dan
penerimaan uang tunai.
 Pengurangan inventaris. Dengan memesan langsung sesuai kebutuhan dari
vendor, EDI mengurangi jeda waktu yang mempromosikan akumulasi
persediaan.

2.3.3 Financial EDI

Menggunakan transfer dana elektronik (EFT) untuk pembayaran tunai dan
pemrosesan penerimaan kas lebih rumit daripada menggunakan EDI untuk kegiatan
pembelian dan penjualan. EFT membutuhkan bank perantara antara mitra dagang.
Sistem EDI pembeli menerima faktur pembelian dan secara otomatis menyetujuinya
untuk pembayaran. Pada tanggal pembayaran, sistem pembeli secara otomatis
membuat EFT ke bank asalnya (OBK). OBK memindahkan dana dari rekening
pembeli dan mengirimkannya secara elektronik ke bank penampungan (ACH). ACH
adalah bank sentral yang membawa rekening untuk bank-bank anggotanya. ACH
mentransfer dana dari OBK kepada RBK, yaitu rekening penjual.
Masalah muncul karena cek transfer dana biasanya untuk pembayaran
beberapa tagihan, atau hanya sebagian, perbedaan persetujuan harga, kerusakan

19
barang, atau pengiriman yang belum diselesaikan. Permasalahan ini biasanya
diselesaikan dengan pesan melekat.

2.3.4 Kontrol EDI

Otorisasi dan Validasi Transaksi
Baik pelanggan dan pemasok harus menetapkan bahwa transaksi yang sedang
diproses adalah untuk (atau dari) mitra dagang yang sah dan diotorisasi. Ini dapat
dicapai pada tiga poin dalam proses.
1. Beberapa VANS memiliki kemampuan untuk memvalidasi kata sandi dan kode
ID pengguna untuk vendor dengan mencocokkannya dengan file pelanggan
yang valid. VAN menolak transaksi mitra dagang yang tidak resmi sebelum
mencapai sistem vendor.
2. Sebelum dikonversi, perangkat lunak terjemahan dapat memvalidasi ID dan
kata sandi mitra dagang terhadap file validasi dalam database perusahaan.
3. Sebelum diproses, perangkat lunak aplikasi mitra dagang mereferensikan
pelanggan dan file vendor yang valid untuk memvalidasi transaksi.

2.3.5 Kontrol Akses

Untuk menjaga dari akses yang tidak sah, setiap perusahaan harus membuat vendor
dan file pelanggan yang valid. Dengan demikian, penyelidikan terhadap basis data
dapat divalidasi, dan upaya akses yang tidak sah dapat ditolak. Tabel otoritas
pengguna juga dapat dibuat, yang menentukan tingkat akses yang diizinkan mitra
dagang.
Jejak Audit EDI
Tidak adanya dokumen sumber dalam transaksi EDI menghilangkan jejak audit
tradisional dan membatasi kemampuan akuntan untuk memverifikasi validitas,
kelengkapan, waktu, dan keakuratan transaksi. Salah satu teknik untuk
memulihkan jejak audit adalah mempertahankan log kontrol, yang mencatat
aliran transaksi melalui setiap fase sistem EDI.

Tujuan Audit Terkait dengan EDI

Tujuan auditor adalah untuk menentukan bahwa (1) semua transaksi EDI
disahkan, divalidasi, dan sesuai dengan perjanjian mitra dagang; (2) tidak ada
organisasi yang tidak sah mendapatkan akses ke catatan basis data; (3) mitra

20
 dagang yang sah hanya memiliki akses ke data yang disetujui; dan (4) kontrol
yang memadai untuk memastikan jejak audit lengkap dari semua transaksi EDI.

Prosedur Audit Terkait dengan EDI

Untuk mencapai tujuan kontrol ini, auditor dapat melakukan tes kontrol berikut.
Tes Kontrol Otorisasi dan Validasi. Auditor harus menetapkan bahwa kode
identifikasi mitra dagang diverifikasi sebelum transaksi diproses. Untuk
mencapai hal ini, auditor harus (1) meninjau perjanjian dengan fasilitas VAN
untuk memvalidasi transaksi dan memastikan bahwa informasi mengenai mitra
dagang yang valid sudah lengkap dan benar, dan (2) memeriksa file mitra
dagang yang valid dari organisasi untuk akurasi dan kelengkapan.
Tes Kontrol Akses. Keamanan atas file mitra dagang yang valid dan database
merupakan pusat kerangka kerja kontrol EDI. Auditor dapat memverifikasi
kecukupan kontrol dengan cara-cara berikut:
1. Auditor harus menentukan bahwa akses ke vendor atau file pelanggan yang
valid dibatasi hanya untuk karyawan yang berwenang. Auditor harus
memverifikasi bahwa kata sandi dan tabel otoritas mengontrol akses ke file
ini dan bahwa data dienkripsi.
2. Perjanjian perdagangan akan menentukan tingkat akses yang harus dimiliki
oleh mitra dagang ke catatan basis data perusahaan (seperti tingkat
inventaris dan daftar harga). Auditor harus merekonsiliasi ketentuan
perjanjian perdagangan dengan hak akses mitra dagang yang dinyatakan
dalam tabel otoritas basis data.
3. Auditor harus mensimulasikan akses oleh sampel mitra dagang dan
berupaya melanggar hak akses.
Tes Kontrol Jejak Audit. Auditor harus memverifikasi bahwa sistem EDI
menghasilkan log transaksi yang melacak transaksi melalui semua tahap
pemrosesan. Dengan memilih sampel transaksi dan melacaknya melalui
proses, auditor dapat memverifikasi bahwa nilai data utama dicatat dengan
benar di setiap titik.

2.4 AUDIT SISTEM AKUNTANSI BERBASIS PC

Sebagian besar sistem PC dirancang modular. Modul bisnis yang umum
termasuk pemrosesan pesanan penjualan dan AR, pembelian dan hutang dagang,
penerimaan kas, pengeluaran tunai, buku besar umum dan pelaporan keuangan,

21
kontrol inventaris, dan penggajian. Desain modular mereka memberikan pengguna
beberapa tingkat fleksibilitas dalam menyesuaikan sistem untuk kebutuhan spesifik
mereka. Banyak vendor menargetkan produk mereka untuk kebutuhan unik industri
tertentu, seperti perawatan kesehatan, transportasi, dan layanan makanan, Dengan
melakukan hal itu, perusahaan-perusahaan ini melepaskan keuntungan dari
fleksibilitas untuk mencapai ceruk pasar. Teknik desain modular diilustrasikan pada
Gambar 3.15.

2.4.1 Risiko dan Kontrol Sistem PC

Sistem akuntansi PC menciptakan masalah kontrol yang unik untuk akuntan
yang timbul dari kelemahan yang melekat pada sistem operasi mereka dan lingkungan
PC umum. Beberapa risiko yang lebih signifikan dan teknik kontrol yang mungkin
diuraikan dalam sebagai berikut.
Kelemahan Sistem Operasi
Data yang disimpan pada mikrokomputer yang digunakan bersama oleh
banyak pengguna dihadapkan pada akses yang tidak sah, manipulasi, dan
penghancuran. Setelah seorang kriminal komputer mendapatkan akses PC
pengguna, mungkin ada sedikit atau tidak ada sama sekali cara kontrol untuk
mencegahnya mencuri atau memanipulasi data yang tersimpan di hard drive
internal.

Kelemahan Akses Kontrol

Seorang penjahat komputer yang berusaha menghindari prosedur logon dapat
melakukannya dengan memaksa komputer untuk boot dari CD-ROM, di mana
sistem operasi yang tidak terkontrol dapat dimuat ke dalam memori komputer.
Setelah melewati sistem operasi tersimpan dan paket keamanan komputer,

22
penjahat mungkin memiliki akses tidak terbatas ke data dan program pada
drive hard disk.

Pemisahan Tugas yang Tidak Memadai

Karyawan di lingkungan PC, terutama yang dari perusahaan kecil, mungkin
memiliki akses ke beberapa aplikasi yang merupakan tugas yang tidak
kompatibel. Eksposur diperparah ketika operator juga bertanggung jawab
untuk pengembangan (pemrograman) aplikasi yang dia jalankan. Dalam
operasi perusahaan kecil, mungkin ada sedikit yang dapat dilakukan untuk
menghilangkan konflik tugas yang melekat ini. Namun, kontrol kata sandi
bertingkat, dapat mengurangi risiko.

Kontrol Kata Sandi Multilevel

Kontrol kata sandi multilevel digunakan untuk membatasi karyawan yang
berbagi komputer yang sama dengan direktori, program, dan file data tertentu.
Di bawah pendekatan ini, kata sandi yang berbeda digunakan untuk
mengakses fungsi yang berbeda. Dengan demikian, setiap karyawan
diharuskan untuk memasukkan kata sandi untuk mengakses aplikasi dan
datanya.

Risiko Pencurian
Karena ukurannya, PC adalah objek pencurian dan portabilitas laptop
menempatkan mereka pada risiko tertinggi. Kebijakan formal harus ada untuk
membatasi data keuangan dan data sensitif lainnya hanya untuk PC desktop.

Prosedur Pencadangan yang Lemah

Kegagalan komputer, biasanya kegagalan disk, adalah penyebab utama
hilangnya data di lingkungan PC. Jika hard drive PC gagal, memulihkan data
yang tersimpan di dalamnya mungkin tidak mungkin. Untuk menjaga integritas
data dan program penting-misi, organisasi memerlukan prosedur pencadangan
formal. Pilihan lain yang sangat baik adalah membuat kontrak dengan layanan
cadangan online yang mengenkripsi dan menyalin data yang disimpan PC ke
lokasi yang aman. Pencadangan dilakukan secara otomatis setiap kali PC
terhubung ke Internet.

23
Risiko Infeksi Virus
Infeksi virus adalah salah satu ancaman paling umum terhadap integritas PC
dan ketersediaan sistem. Ketaatan yang ketat terhadap kebijakan dan
prosedur organisasi yang menjaga dari infeksi virus sangat penting untuk
pengendalian virus yang efektif. Organisasi juga harus memastikan bahwa
perangkat lunak antivirus yang efektif diinstal pada PC dan selalu terbarui.

Tujuan Audit Terkait dengan Keamanan PC

Tujuan audit untuk menilai kontrol di lingkungan PC meliputi:
 Verifikasi bahwa ada kontrol untuk melindungi data, program, dan komputer
dari akses, manipulasi, penghancuran, dan pencurian yang tidak sah.
 Pastikan ada pengawasan dan prosedur operasi yang memadai untuk
mengimbangi kurangnya pemisahan antara tugas pengguna, programer,
dan operator.
 Pastikan prosedur pencadangan tersedia untuk mencegah hilangnya data
dan program karena kegagalan sistem, kesalahan, dan sebagainya.
 Pastikan prosedur pemilihan dan akuisisi sistem menghasilkan aplikasi
yang berkualitas tinggi, dan terlindungi dari perubahan yang tidak sah.
 Verifikasi bahwa sistem bebas dari virus dan dilindungi secara memadai
untuk meminimalkan risiko terinfeksi virus atau objek serupa.

Prosedur Audit Terkait dengan Keamanan PC

 Auditor harus mengamati bahwa PC secara fisik berlabuh untuk
mengurangi peluang pencurian.
 Auditor harus memverifikasi dari bagan organisasi, uraian pekerjaan, dan
pengamatan bahwa pemrogram sistem akuntansi juga tidak
mengoperasikan sistem itu.
 Auditor harus mengkonfirmasi bahwa laporan transaksi yang diproses,
daftar akun yang diperbarui, dan total kontrol disiapkan, didistribusikan, dan
direkonsiliasi oleh manajemen yang tepat secara berkala dan tepat waktu.
 Bila perlu, auditor harus menentukan bahwa kontrol kata sandi bertingkat
digunakan untuk membatasi akses ke data dan aplikasi dan bahwa otoritas
akses yang diberikan konsisten dengan deskripsi pekerjaan karyawan.

24
 Jika hard drive yang dapat dilepas atau eksternal digunakan, auditor harus
memverifikasi bahwa drive dilepas dan disimpan di lokasi yang aman saat
tidak digunakan.
 Dengan memilih sampel file cadangan, auditor dapat memverifikasi bahwa
prosedur cadangan sedang diikuti
 Dengan memilih sampel PC, auditor harus memverifikasi bahwa paket
perangkat lunak komersialnya dibeli dari vendor terkemuka dan merupakan
salinan legal.
 Auditor harus meninjau kebijakan organisasi untuk menggunakan perangkat
lunak antivirus. Kebijakan ini dapat mencakup hal-hal berikut:
1. Perangkat lunak antivirus harus diinstal pada semua mikrokomputer dan
dipanggil sebagai bagian dari prosedur startup ketika komputer
dihidupkan.
2. Semua upgrade ke perangkat lunak vendor harus diperiksa untuk virus
sebelum diterapkan.
3. Semua perangkat lunak domain publik harus diperiksa untuk
mengetahui infeksi virus sebelum digunakan.
4. Verifikasi bahwa file data virus terbaru sedang diunduh secara teratur,
dan bahwa program antivirus memang berjalan di latar belakang PC
terus menerus, dan dengan demikian dapat memindai semua dokumen
yang masuk.

25
 PENUTUP

Kesimpulan

Sistem operasi adalah program pengendalian yang ada di komputer yang

bertugas untuk melakukan terjemahan ke dalam bahasa sistem, mengalokasikan
sumberdaya komputer untuk pengguna dan mengendalikan berbagai program dalam
perangkat lunak. Pengamanan perangkat lunak memfokuskan pada sistem operasi
karena perangkat lunak aplikasi juga memberi resiko keamanan. Sistem operasi
memungkinkan manajemen untuk memilih tingkat audit yang akan dicatat dalam log.
Jejak audit biasanya terdiri dari: Pemantauan keystroke dan pemantauan acara.
Electronic Data Interchange (EDI) adalah proses transfer data yang terstruktur
dalam format standar yang disetujui dari satu sistem komputer ke sistem komputer
lainnya dalam bentuk elektronik. Transaksi EDI diproses secara otomatis. Semua
perangkat yang ada di dalam komputer akan memberi manfaat jika dipergunakan
dengan benar, dan akan menjadi ancaman dan berisiko jika pengguna tidak
mengetahui komponen control pengendaliannya. Maka dari itu dalam keberhasilan
organisasi sangat dipengaruhi oleh kemampuan dalam mengoperasikan dan
memanfaatkan teknologi informasi secara efektif dan optimal.

DAFTAR PUSTAKA

26
Hall, J. A., 2011. Information Technology Auditing and Assurance. Third penyunt.
Natrop Blvd, Deerfield: South-Westren.

27