MAKALAH

AUDIT PENGOLAHAN DATA ELEKTRONIK

OPERASI KOMPUTER

Dosen Pengampu:
Indah Anisykurlillah, S. E., M. Si., Akt.
Kuat Waluyo Jati, S. E., M. Si.

Disusun Oleh:
1. Alifah Nurfarindha 7211417014
2. Ria Ronatama Marpaung 7211417018
3. Novi Wijayaningsih 7211417060
4. Muhammad Kristianto Wibisono 7211417170

FAKULTAS EKONOMI
UNIVERSITAS NEGERI SEMARANG
SEMARANG
2020
 PRAKATA

Puji syukur kami panjatkan kehadirat Tuhan Yang Maha Esa karena dengan rahmat,
karunia, serta hidayah-Nya kami dapat menyelesaikan makalah tentang Operasi Komputer. Dan
juga kami berterimakasih kepada Ibu Indah Anisykurlillah, S.E., M.Si, Akt. dan Bapak Kuat
Waluyo Jati, S.E., M.Si. selaku dosen mata kuliah Audit Pengolahan Data Elektronik (EDP)
yang telah memberikan tugas ini kepada kami.

Kami sangat berharap makalah ini dapat berguna dalam rangka menambah wawasan serta
pengetahuan kita mengenai operasi komputer pada audit pengolahan data elektronik. Serta
bagaimana pengendalian sistem operasi tersebut.

Semoga makalah sederhana ini dapat dipahami oleh siapapun yang membacanya. Kami
menyadari sepenuhnya bahwa dalam makalah ini terdapat kekurangan dan jauh dari kata
sempurna. Oleh sebab itu kami berharap adanya kritik, saran, dan usulan demi perbaikan
makalah yang telah kami buat di masa yang akan datang, mengingat tidak ada sesuatu yang
sempurna tanpa saran yang membangun.

Semarang, Maret 2020

Penulis

i
 Daftar Isi
PRAKATA..................................................................................................................................................... i
DAFTAR ISI.................................................................................................. Error! Bookmark not defined.
BAB I PENDAHULUAN ............................................................................................................................. 1
1.1 Latar Belakang .................................................................................................................................... 1
1.2 Rumusan Masalah ............................................................................................................................... 1
1.3 Tujuan ................................................................................................................................................. 2
BAB II PEMBAHASAN .............................................................................................................................. 3
2.1 Pengendalian Sistem Operasi Dan Pengendalian Sistem Keseluruhan............................................... 3
2.1.1 Keamanan Sistem Operasi ........................................................................................................... 3
2.1.2 Ancaman-Ancaman Terhadap Integritas Sistem Operasi ............................................................ 4
2.2 Pengendalian Keseluruhan Sistem ...................................................................................................... 5
2.2 1 Mengendalikan Hak Akses ........................................................................................................... 5
2.2.2 Pengendalian Kata Sandi............................................................................................................. 5
2.2.3 Mengendalikan Objek Yang Merusak Dan Risiko E-Mail ........................................................... 8
2.2.4 Mengendalikan Jejak Audit Elektronik ...................................................................................... 15
2.3 Sistem Komputer Pribadi (Pc) .......................................................................................................... 18
2.3.1 Sistem Operasi Pc ...................................................................................................................... 19
2.3.2 Risiko dan Pengendalian Sistem PC .......................................................................................... 20
BAB III PENUTUP .................................................................................................................................... 28
3.1 Kesimpulan ....................................................................................................................................... 28
3.2 Saran ................................................................................................................................................. 28
DAFTAR PUSTAKA ................................................................................................................................. 29

ii
 BAB I PENDAHULUAN

1.1 Latar Belakang

Perkembangan teknologi informasi telah menginspirasi rekayasa ulang berbagai
proses bisnis tradisional untuk mendukung operasi yang lebih efisien dan untuk
meningkatkan komunikasi dalam entitas serta antara entitas dengan para pelanggan dan
pemasoknya. Sesuai perkembangan zaman, komputer mulai dipergunakan untuk
mengolah beberapa data untuk diubah menjadi informasi yang sangan berguna nantinya.
Dengan mengolah data menggunakan komputer, lebih mempermudah kerja operator dan
menghemat waktu, serta dapat membantu suatu organisasi mengolah informasi.

Sistem operasi adalah program pengendali dalam komputer. Sistem ini

memungkinkan para pengguna dan aplikasi di dalamnya untuk berbagi dan mengakses
sumber daya komputer bersama, seperti prosesor, memori utama, basis data, dan printer.
Jika integritas sistem operasi menjadi lemah, pengendalian dalam tiap aplikasi akuntansi
mungkin akan melemah pula atau dinetralkan. Operasi komputer dalam kegiatan audit
berkaitan dengan berbagai isu ancaman dan pengendaliannya.

Berbagai risiko, pengendalian, dan isu audit berkaitan dengan lingkungan

komputasi pribadi. Lingkungan komputer pribadi (PC) memiliki berbagai fitur penting
yang merupakan ciri dan yang membedakannya dari lingkungan main-frame dan klien-
server.Sistem operasi komputer mengendalikan CPU, mengakses RAM, menjalankan
program, dan menerima input, menarik dan menyimpan data ke dan dari peralatan
penyimpanan sekunder, menampilkan data di layar monitor, mengendalikan printer, dan
melakukan berbagai fungsi lainnya yang mengendalikan sistem peranti keras.

1.2 Rumusan Masalah

Berdasarkan latar belakang masalah tersebut di atas, maka rumusan masalah yang
akan dikaji sebagai berikut:

a. Bagaimana keamanan sistem operasi dan ancaman terhadap integritas sistem operasi?
b. Bagaimana mengendalikan keseluruhan sistem operasi?
c. Bagaimana sistem operasi dalam komputer pribadi (PC) serta bagaimana risiko dan
pengendaliannya?

1
1.3 Tujuan
Tujuan penulisan makalah ini adalah sebagai berikut:

a. Untuk mengetahui bagaimana keamanan sistem operasi dan ancaman terhadap

integritas sistem operasi.
b. Untuk mengetahui bagaiman mengendalikan keseluruhan sistem operasi.
c. Untuk mengetahui bagaiman sistem operasi dalam komputer pribadi (PC) serta
bagaiman risiko dan pengendaliannya.

2
 BAB II PEMBAHASAN

2.1 Pengendalian Sistem Operasi Dan Pengendalian Sistem Keseluruhan

Operating system (OS) adalah program pengendalian komputer. OS
membenarkan pengguna untuk membagi dan mengakses sumberdaya komputer yang
umum, seperti processors, main memory, database, dan printers. Akuntan modern butuh
untuk mengakui peran operating system dalam keseluruhan gambaran pengendalian
untuk menaksir resiko-resiko dengan tepat yang mengancam sistem akuntansi. Operating
system melaksanakan tiga tugas utama. Pertama, OS menerjemahkan bahasa tingkat
tinggi, seperti COBOL, BASIC, C languages, dan SQI, kedalam bahasa tingkat mesin
yang mana komputer dapat execute (melaksanakan suatu instruksi). Kedua, OS
mengalokasikan sumberdaya komputer ke para pengguna, workgroups, dan aplikasi-
aplikasi. Ketiga, OS mengatur (manages) tugas-tugas penjadwalan pekerjaan dan banyak
pemrograman (multiprogramming).

Untuk melaksanakan tiga tugas secara konsisten dan dapat diandalkan, operating
system harusmencapai lima tujuan pengendalian fundamental:

a) Operating system harus melindungi dirinya sendiri dari para pengguna

b) Operating system harus melindungi para pengguna dari satu sama lain
c) Operating system harus melindungi para pengguna dari diri mereka sendiri
d) Operating system harus dilindungi dari dirinya sendiri
e) Operating system harus dilindungi dari lingkungannya

2.1.1 Keamanan Sistem Operasi

Operating system security meliputi kebijakan, prosedur dan pengendalian yamg
menentukan siapa yang dapat mengakses operating system, yang mana sumberdaya (files,
programs, printers) yang dapat mereka akses, dan tindakan apa yang dapatmereka ambil.
Berikut ini komponen-komponen yang ditemukan pada operating system yang aman:

1. Logon Procedure

Sebuah logon procedure yang formal adalah garis pertahanan (defense) pertama
operating sistem terhadap akses yang tidak diotorisasi. Ketika pengguna memulai proses,
dia disajikan dengan sebuah kotak dialog yang meminta ID dan password pengguna.
Sistem tersebut membandingkan ID dan password ke database sah pengguna.

3
 2. Access Token

Jika usaha logon sukses, operating sistem menciptakan sebuah tanda (bukti) yang
berisi informasi kunci mengenai pengguna, temasuk ID pengguna, password, user group, dan
hak istimewa yang diberikan kepada pengguna. Informasi dalam tanda (bukti) akses yang
digunakan untuk mengesahkan semua tindakan yang diusahakan oleh pengguna selama
session (pembahasan).

3. Access Control List

Akses ke sumberdaya sistem seperti directories, files, programs dan printers

dikendalikan oleh sebuah daftar (catatan) akses pengendalian yang ditugaskan ke setiap
sumberdaya. Ketika pengguna berusaha untuk akses sumberdaya, sistem membandingkan ID
nya dan hak istimewa yang terkandung pada tanda (bukti) akses dengan yang terkandung
pada catatan (list) akses pengendalian.

4. Discretionary Access Control

Administrator pusat sistem biasanya menentukan siapa yang memberikan akses ke

sumberdaya khusus dan mempertahankan catatan akses pengendalian. Dalam sistem yang
terdistribusi, meskipun demikian, sumberdaya dapat dikendalikan oleh pengguna akhir. Para
pemilik sumberdaya pada setting ini dapat diberikan akses pengendalian yang bebas untuk
menentukan, yang membenarkan mereka untuk memberikan akses hak istimewa ke para
pengguna yang lainnya.

2.1.2 Ancaman-Ancaman Terhadap Integritas Sistem Operasi

Sasaran sistem operasi terkadang tidak tercapai dikarenakan adanya ancaman
sistem operasi itu sendiri, baik secara disengaja maupun tidak disengaja.

 Accidental threats
Contoh: kegagalan hardware yang menyebabkan sistem operasi error
 Intentational threats
Ancaman yang disengaja seperti akses data illegal atau melanggar privacy
pemakai untuk keuntungan financial.

Intentational threat dapat datang dari 3 sumber, yaitu:

a) Individu yang memliki hak akses istimewa menyalahgunakan hak istimewa yang
mereka miliki.
b) Individu yang mengotak-atik sistem operasi dengan tujuan merusak sistem
c) keamanan operasi.
d) Individu yang sengaja memasukkan virus atau bentuk lainnya yang dapat merusak
e) program sistem operasi.

4
2.2 Pengendalian Keseluruhan Sistem
Membahas mengenai pengendalian sistem.

2.2 1 Mengendalikan Hak Akses

Merupakan hak istimewa untuk mengakses tugas invidual atau seluruh tugas yang
diotorisasi oleh sistem. Hak istimewa meliputi petunjuk, file, aplikasi dan berbagai
sumber-baik akses ke individu maupun secara keseluruhan. Manajemen harus
memastikan bahwa individu telah melakukan segala sesuatu yang merupakan tugasnya.
Misalnya saja, juru tulis diberi kuasa untuk mengakses dan diperbolehkan melakukan
perubahan dalam piutang dagang.

Audit Objective:

Memeriksa bahwa hak istimewa telah diberikan secara konsisten dengan

kebutuhan untuk pemisahan fungsi dan sejalan dengan kebijakan organisasi.

Audit procedure:

 Meninjau ulang kebijakan-kebijakan organisasi untuk memisahkan fungsi-fungsi

yang bertentangan dan memastikan bahwa fungsi-fungsi tersebut layak.
 Meninjau ulang hak istimewa dari suatu pemilihan grup pengguna dan individu
untuk menentukan jika hak akses mereka sesuai dengan diskripsi tugas dan posisi-
posisi mereka. Auditor harus memeriksa bahwa individu yang memiliki hak
istimewa mengakses data dan program sebatas yang mereka perlu ketahui.
 Meninjau ulang catatan personalia untuk menentukan apakah karyawan yang
memiliki hak istimewa telah menjalani izin keamanan intensive yang cukup
dalam memenuhi kebijakan perusahaan.
 Meninjau ulang catatan personal untuk menentukan apakah pegguna secara
formal pada umumnya memahami adanya tanggung jawab untuk/ memelihara
kerahasiaan data perkumpulan.
 Meninjau ulang pemberian izin. Pemberian izin harus sesuai dengan tugas yang
sedang dikerjakan.

2.2.2 Pengendalian Kata Sandi

Password adalah kode rahasia yang dimasukkan oleh pemakai untuk dapat
mengakses sistem, aplikasi, file data, atau sebuah jaringan server. Apabila pemakai tidak
dapat memberikan password yang benar, sistem operasi akan menunda akses. Walaupun
password dapat memberikan keamanan, bila membebankan pada nonsecurityminded
pemakai, prosedur password dapat mengakibatkan kesulitan dalam akses sistem operasi
itu sendiri. Keadaan yang sering terjadi berkaitan dengan penggunaan password:

1) Password lupa dan sistem menjadi terkunci

2) Terlalu sering mengganti password dapat menjadi kelemahan

5
3) Setelah syndrome, dengan bantuan password sama dengan menulis dan menunjukkan
untuk dilihat
4) Password dapat dengan mudah mengantisipasi kejahatan dengan menggunakan
komputer.

a. Reusable Password

Metode yang paling banyak digunakan untuk pengawasan password adalah

reusable password. Pemakai menetapkan password sekali kepada sistem dan kemudian
digunakan kembali untuk mendapat akses di masa datang. Sistem operasi yang sering
digunakan hanya mengatur standar utama untuk menerima password. Kualitas dari
keamanan ditetapkan oleh reusable password tergantung pada kualitas password itu
sendiri. Alternatif penggunaan reusable password adalah one-time password.

b. Kata Sandi Sekali Pakai

Kata sandi sekali pakai didesain untuk mengatasi berbagai masalah dalam
pengunaan kata sandi. Dalam pendekatan ini, kata sandi jaringan milik pengguna akan
secara konstan diubah. Untuk mengakses jaringan, pengguna harus memberikan nomor
identifikasi pribadi (personal identification number – PIN) yang dapat digunakan
berulang kali dan kata sandi sekali pakai saat ini untuk waktu tersebut. Tentu saja,
masalahnya adalah bagaimana caranya memberitahukan pengguna yang valid kata sandi
yang terkini?

Salah satu teknologi yang dapat digunakan adalah menggunakan alat seukuran
kartu kredit (kartu pintar) yang berisi sebuah mikroprosesor yang diprogram dengan
algoritme tertentu yang akan menghasilkan, dan secara elektronik menampilkan, sebuah
kata sandi yang baru dan unik setiap 60 detik. Kartu tersebut bekerja bersama dnegan
peranti lunak autentikasi khusus, hingga kapan saja, baik kartu pintar maupun peranti
lunak jaringan menghasilkan kata sandi yang sama untuk pengguna yang sama.

Untuk mengakses jaringan, pengguna memasukkan PIN diikuti dengan kata sandi
terkini yang ditampilkan di kartu. Kata sandi tersebut dapat digunakan sekali saja.
Misalnya jika seorang hacker komputer berhasil mendapatkan kata sandi dan PIN selama
transmisi serta mencoba menggunakannya dalam kerangka waktu satu menit, akses akan
ditolak. Selain itu, jika kartu pintar tersebut jatuh ke tangan seorang penjahat komputer,
maka akses tidak akan didapat karena tidak ada PIN.

c. Kebijakan Kata Sandi

Pihak manajemen eksekutif dan manajemen SI harus membentuk kebijakan kata

sandi yang dapat mengatasi berbagai risiko dan menyediakan potensi pengendalian.
Kebijakan yang disarankan ada 7, yaitu:

6
1) Penyebaran yang tepat: Menyebarluaskannya, menggunakannya dalam pelatihan atau
orientasi karyawan, dan mencari berbagai cara untuk meningkatkan kesadaran dalam
perusahaan.
2) Panjang kata sandi yang sesuai: Menggunakan paling tidak delapan karakter. Makin
banyak karakternya, makin sulit untuk ditebak atau dipecahkan. Delapan karakter adalah
panjang yang efektif untuk mencegah proses penebakan jika digabungkan dengan hal di
bawah ini.
3) Kekuatan yang sesuai: Gunakan huruf, angka, dan berbagai karakter khusus. Makin
banyak karakter non huruf, makin sulit untuk ditebak atau dipecahkan.
4) Tingkat akses atau kompleksitas yang sesuai: Gunakan beberapa tingkat akses yang
membutuhkan beberapa kata sandi. Gunakan sebuah matriks kata sandi untuk
memberikan hak read-only, baca/tulis, atau tidak memberikan akses untuk tiap fiels data
per pengguna. Gunakan biometrik (seperti sidik jari, suara). Gunakan alat akses
tambahan, seperti kartu pintar, atau kata sandi beeper untuk login jarak jauh. Gunakan
prosedur yang ditetapkan berdasarkan pengguna.
5) Perubahan tepat waktu yang sesuai: Dalam rentang waktu yang teratur, perintahkan
karyawan untuk mengubah kata sandi mereka.
6) Perlindungan yang sesuai: Larang praktik berbagi kata sandi atau adanya kata sandi
ditulis pada kertas post-it dan diletakkan di komputer salah seorang karyawan.
7) Penghapusan yang tepat: Perintahkan penghapusan segera akun karyawan yang sudah
berhenti untuk mencegah seorang karyawan yang kecewa melakukan aktivitas negatif.

d. Tujuan Audit

Pastikan bahwa perusahaan memiliki kebijakan kata sandi yang memadai dan
efektif untuk mengendalikan akses ke sistem operasi.

e. Prosedur Audit

1) Memverifikasi bahwa semua pengguna diharuskan memiliki kata sandi.

2) Memverifikasi bahwa semua pengguna diberikan arahan dalam penggunaan kata
sandi mereka dan peran penting pengendalian kata sandi.
3) Tentukan apakah telah ada prosedur untuk mengidentifikasi berbagai kata sandi yang
gampang lemah. Proses ini dapat melibatkan penggunaan peranti lunak untuk
memindai file kata sandi secara teratur.
4) Nilai kecukupan standar kata sandi seperti dalam hal panjangnya dan interval
kedaluarsanya.
5) Tinjau kembali kebijakan dan prosedur penguncian akun. Kebanyakan sistem operasi
memungkinkan administrator sistem menetapkan tindakan yang akan dilakukan
setelah ada beberapa kali usaha yang gagal untuk logon. Auditor harus menentukan
berapa banyak usaha logon gagal yang dibiarkan terjadi sebelum akun tersebut

7
 dikunci. Durasi penguncian (lockout) juga perlu dilihat. Proses ini dapat berkisar dari
penguncian dalam beberapa menit hingga permanen yang akan membutuhkan
aktivasi kembali akun terkait.

2.2.3 Mengendalikan Objek Yang Merusak Dan Risiko E-Mail

a) Mengendalikan Risiko E-mail

Surat elektronik (e-mail) adalah fungsi internet yang paling terkenal, dna jutaan
pesan beredar di seluruh dunia setiap hari. Kebanyakan perusahaan menerima e-mail,
bahkan walaupun mereka tidak memiliki server e-mails endiri. Akan tetapi, e-mail
memiliki berbagai risiko inheren dalam penggunaannya, yang harus dipikirkan oleh
auditor. Salah satu risiko yang signifikan bagi sistem perusahaan adalah infeksi dari
sebuah virus atau worm yang sedang berkembang luas. Virus hampir baisanya dapat
disebarkan melalui lampiran (attachment) e-mail. Penulis pesan menyembunyikan
maksudnya dengan hati-hati dan sering kali, akan menggunakan buku alamat para
korbannya untuk mengirimkan berbagai pesan ke kontak dalam buku alamat tersebut,
seolah-olah berasal dari korban, hingga menipu penerimanya. Proses ini membuat
lampiran e-mail tampak meyakinkan dan bahkan memiliki alamat pengembalian pesan e-
mail yang benar dan dieknal.

Virus bertanggungjawab atas jutaan dollar kerugian perusahaan setiap tahunnya.

Kadang-kadang ada satu buah virus yang menimbulkan biaya jutaan dollar sendiri.
Berbagai kerugian tersebut diukur dari segi kerusakan dan kehancuran data, penurunan
kinerja komputer, perusakan peranti keras, pelanggraan privasi, dan waktu yang
dikorbankan untuk memperbaiki kerusakan yang terjadi.

Beberapa jenis program perusak yang umum serta beberapa kekhawatiran lainnya
yang berkaitan dengan email:

1. Virus

Virus adalah sebuah program (biasanya merusak) yang melekatkan dirinya ke

sebuah program yang sah untuk memasuki sistem program. Virus menghancurkan
berbagai program aplikasi, file data, dan sistem operasi dalam berbagai cara. Salah satu
teknik yang umum adalah virus mereplikasi dirinya terus-menerus dalam memori utama,
hingga menghancurkan data atau program apapun yang aslinya menempati memori
tersebut. Salah satu aspek virus yang paling dapat merusak secara perlahan
kemampuannya untuk menyebar di seluruh sistem dna ke sistem lainnya sebelum
melakukan tindakan perusakannya. Biasanya sebuah virus akan memiliki built-in counter
yang akan membawa peran perusaknya sampai virus tersebut memperbanyak diri dalam
jumlah tertentu ke berbagai program dan sistem lainnya. Virus tersebut kemudian
berkembang secara geometris, yang akan membuat pelacakan ke sumber awalnya sulit
dilakukan.

8
 Mikrokomputer adalah sumber utama penetrasi virus. Ketika dikoneksikan ke
dalam suatu jaringan atau mainframe, mikrokomputer yang terinfeksi dapat memasukkan
virus ke komputer host. Begitu berada di dalam host, virus tersebut akan menyebarkan
diri di seluruh sistem operasi dan pengguna lainnya.

Karena adanya ketergantungan yang besar pada konektivitas, peningkatan jumlah

mikrokomputer dan kebutuhan akan adanya pemrograman aplikasi yang luas, maka tidak
mungkin meniadakan ancaman virus dari lingkungan bsinis modern. Kadang, virus dibuat
secara internal oleh karyawan yang kecewa tidak memiliki posisi yang penting. Kadang,
mereka dibuat di luar peusahaan dan dibawa masuk oleh pengguna yang tidak sadar
tetapi memiliki hak akses sah ke sistem. Pemahaman akan bagaimana virus bekerja dan
bagaimana virus menyebar antar sistem adalah hal yang penting agar dapat
mengendalikannya secara efektif.

Program virus biasanya melekatkan dirinya ke berbagai file berikut ini:

a) File program .EXE atau .COM

b) File program .OVL (overlay)
c) Bagian boot (boot sector) suatu disket
d) Program driver suatu peralatan
e) File sistem operasi (contohnya, DLL)

Ketika program yang terinfeksi virus dijalankan, virus akan menjelajahi sistem
untuk mencari program yang belum terinfeksi dan memperbanyak dirinya ke berbagai
program ini. Virus tersebut kemudian menyebar ke berbagai aplikais pengguna lainnya
atau ke sistem operasi itu sendiri.

PC adalah sumber infeksi virus yang paling umum. Peningkatan jumlahnya di

lingkungan bsinis dan masyarakat, disertai sistem operasinya yang relatif tidak terlalu
canggih, telah menciptakan lingkungan yang subur tempat virus dapat berkembang dan
menyebar. Faktor lain yang berkontribusi pada penyebaran virus adalah adanya
penggunaan program bersama antar pengguna. Mendownload program public-domain
dari papan buletin jaringan dan pertukaran peranti lunak „bootleg‟ secara tidak sah adalah
berbagai metode transfer virus. Karena kurangnya fitur pengendalian dalam sistem
operasi mikrokomputer, mikrokomputer yang terkoneksi ke mainframe menghadirkan
ancaman serius bagi lingkungan main frame. Contohnya, sebuah programmer aplikasi
dapat saja mengembangkan dan menguji berbagai program dalam sebuah mikrokomputer
dan kemudian melakukan upload sistem yang telah jadi tersebut ke mainframe. Jika
sebuah virus berada dalam mikrokomputer tempat program tersebut dibuat, maka virus
tersebut dapat menyebar ke mainframe melalui aplikasi baru tersebut. Ketika program
tersebut dijalankan, maka virus dapat tersebar ke aplikasi-aplikasi lainnya dalam
mainframe.

9
2. Worm

Istilah worm (cacing) dianggap hampir sama dengan virus. Worm adalah program
peranti lunak yang menyembunyikan diri ke dalam memori komputer dan mereplikasi
dirinya ke berbagai area memori yang tidak digunakan. Worm secara sistematis akan
menempati memori yang tidak digunakan hingga memori akan penuh dan sistem gagal.
Worm berbeda dari virus dalam hal modul repliaksi worm tetap berhubungan dengan
worm aslinya yang mengendalikan perkembangannya. Sebaliknya, modul virus yang
direplikasi akan berkembang secara independen dari virus aslinya.

3. Bom Logika

Bom logika (logic bom) adalah program perusak, seperti virus, yang dipicu oleh
beberapa peristiwa yang telah ditentukan sebelumnya. Seringkali berupa tanggal (seperti
jumat tanggal 13, April Mop, atau hari ulang tahun) akan menjadi logika pemicu bom.
Virus Michaelangelo yang terkenal (yang dipicu oleh tanggal lahirnya) adalah contoh
dari bom logika. Bom logika juga dapat dipicu oleh berbagai peringatan peristiwa yang
tidak terlalu umum, seperti penghentian seorang karyawan. Conthnya, dalam periode
pemecatan kerja normal dua minggu, programer yang dipecat dapat saja melekatkan
sebuah bom logika ke dalam sistem akan aktif enam bulan setelah kepergiannya dari
perusahaan tersebut.

4. Pintu Belakang

Pintu belakang (back door, disebut juga sebagai pintu jebakan atau trap door)
adalah program peranti lunak yang memungkinkan akses secara tidak sah ke sistem tanpa
melalui prosedur logon yang normal (pintu depan atau front door). Para progamer yang
ingin memiliki akses tidak terbatas ke program yang mereka kembangakn bagi pengguna
dapat membuat prosedur logon yang akan menerima kata sandi pribadi pengguna serta
kata sandi rahasia mereka sendiri, hingga menciptakan pintu belakang dalam sistem.
Tujuan dari pintu belakang dapat saja untuk menyediakan akses yang mudah dalam
melakukan pemeliharaan program, atau dapat untuk melakukan penipuan atau
menyelipkan sebuah virus ke dalam sistem.

5. Kuda Troya

Kuda troya (trojan horse) adalah program yang tujuannya menangkap ID dan kata
sandi dari pengguna yang tidak menaruh curiga. Program tersebut didesain untuk
menyerupai prosedur logon yang normal dalam sistem operasi terkait. Ketika pengguna
memasukkan ID dan kata sandinya, maka kuda troya akan menyimpan salinannya dalam
sebuah file tersembunyi. Beberapa hari kemudian, pembuat kuda troya akan
menggunakan ID dan kata sandi untuk mengakses sistem dan menyamar sebagai
pengguna yang sah.

10
 Ancaman dari berbagai program yang merusak dapat secara substansial dikurangi
melalui penggabungan pengendalian teknologi dan prosedur administrasi. Contoh-contoh
berikut ini dapat digunakan dalam kebanyakan sistem operasi.

 Beli peranti lunak hanya dengan vendor yang bereputasi dan terima produk aslinya,
dengan segel dari pabriknya.
 Tetapkan kebijakan keseluruhan perusahaan berkaitan dengan penggunaan peranti lunak
tidak sah atau penyalinan tidak sah (bootleg) atas peranti lunak yang memiliki hak cipta.
 Pelajari semua pembaruan (upgrade) dari semua vendor peranti lunak untuk mendeteksi
virus sebelum diimplementasikan.
 Mengawasi semua peranti lunak domain publik akan adanya infeksi virus sebelum
digunakan.
 Buat prosedur keseluruhan perusahaan untuk perubahan dalam program produksi.
 Buat program pendidikan untuk meningkatkan kesadaran pengguna mengenai berbagai
ancaman akibat virus serta berbagai program perusak lainnya.
 Instal semua aplikasi baru dalam sebuah komputer terpisah dan uji secara keseluruhan
dan mendalam dengan peranti lunak antivirus sebelum mengimplementasikannya di
mainframe atau di dalam server LAN.
 Secara rutin buat salinan cadangan berbagai file penting yang disimpan dalam
mainframe, server, dan terminal kerja.
 Jika memungkinkan, batasi pengguna dengan hak hanya untuk membaca atau
menjalankan saja. Kebijakan ini memungkinkan paar pengguna untuk mengekstraksi data
dan menjalankan aplikasi yang diotorisasi, tetapi akan tidak mengakui kemampuan untuk
menulis secara langsung ke mainframe dan direktori server.
 Syaratkan adanya berbagai protokol yang secara eksplisit mendukung prosedur logon
sistem operasi agar memotong akses kuda troya. Skenario yang umum adalah seorang
pengguna duduk di sebuah terminal yang telah menunjukkan layar untuk logon dan
memasukkan ID serta kata sandi miliknya. Akan tetapi, layar logon tersebut dapat saja
merupakan kuda troya, bukan prosedur sah sesungguhnya. Beberapa sistem operasi
mengijinkan penggunanya untuk secara langsung mendukung prosedur logon sistem
operasi dengan memasukkan urutan karakter seperti CTRL + ALT + DEL. Pengguna
kemudian mengetahui bahwa prosedur logon di layar adalah prosedur yang sah.
 Secara teratur, pindai sistem. Pemindaian ini menggunakan peranti lunak antivirus (yang
juga disebut sebagi vaksin) untuk mempelajari apakah dalam program aplikasi serta
sistem operasi terdapat virus atau tidak dan jika ada menyingkirkannya dari program
yang terkena virus. Program antivirus digunakan untuk menjaga mainframe, server
jaringan, dan PC. Kebanyakan program antivirus berjalan di belakang komputer host dan
secara otomatis menguji semua file yang dimasukkan ke dalam komputer host. Akan
tetapi, peranti lunak tersebut hanya jalan untuk virus yang telah diketahuinya. Jika ada

11
 sebuah virus yang dimodifikasi sedikit saha (bermutasi) maka tidak ada jaminan bahwa
vaksin akan bekerja. Oleh karenanya, penting untuk memelihara kekinian versi vaksin.

6. Spoofing
Spoofing melibatkan penipuan yang membuat sebuah pesan tampak berasal dari
seseorang atau perusahaan yang memiliki otorisasi, padahal sesungguhnya tidak
demikian. Pesan tersebut tidak berisi tanda tangan yang benar atau tidak menggunakan
logo yang sesungguhnya. Jadi, tidak mudah bagi kebanyakan orang untuk bias
memastikan kebenaran pengirimnya. Tujuannya adalah untuk membodohi penerima agar
melakukan tindakan tertentu yang diyakini sebagai permintaan sah dari nama orang yang
berada diakhir pesan. Contohnya, sebuah pesan dapat disebarkan ke semua karyawan
dengan menggunakan nama CEO di akhir pesan serta mengumumkan hari libur bagi
semua karyawan, padahal, kenyataanya, pesan tersebut dikirim oleh orang lain, bukan
CEO terkait. Pengendalian yang tepat adalah berupa pelatihan bagi semua karyawan
mengenai tanda-tanda spoofing.

7. Spamming
Mungkin semua orang yang menggunakan email pernah menerima surat yang
tidak diinginkan atau tidak diminta. Spam secara umum didefinisikan sebagai email yang
tidak diharapkan. Akan tetapi, spam juga dihubungkan dengan permintaan jenis penipuan
yang melibatkan uang (con artist). Pesan semacam itu dapat saja menawarkan untuk
menjual cetak biru sebuah bom atom yang dijatuhkan di Hiroshima, atau proposal disuatu
negara lain. Spamming adalah hal yang mengkhawatirkan karena volume pesan yang
dapat mengisi server e-file tidak penting, karyawan juga butuh banyak waktu untuk
menghapus berbagai pesan tersebut. Peranti lunak anti spam tersedia untuk menyaring
spam, dengan tingkat keberhasilan yang berbeda-beda, sebelum server email entitas
menerimanya.

8. Surat Berantai
Jenis pesan lainnya yang tidak berguna adalah surat berantai (chain letters). Pesan
jenis ini biasanya berkaitan dengan beberapa hal yang menarik secara emosional bagi

12
 penerimanya. Sebagai contoh, salah satu surat berantai menyatakan bahwa Bill Gates
akan memberikan uang bagi anak-anak yang berhak berdasarkan jumlah pesan yang
dikirim. Surat berantai lainnya menjanjikan diskon di Gap atau berupa cerita lain yang
“terlalu indah untuk benar-benar terjadi.” Tujuan penulis pesan ini adalah untuk melihat
seberapa banyak salinan dari pesan tersebut beredar di seluruh dunia, atau seberapa lama
pesan tersebut akan kembali ke pengirim aslinya. Surat tersebut akan selalu diakhiri
dengan petunjuk yang tegas untuk mengirimkan surat tersebut kesemua teman seseorang.
Surat berantai, seperti juga spam, memenuhi kotak email. Sekali lagi pelatihan atau
penyaringan email yang masuk dapat berfungsi sebagai pengendalian.

9. Cerita Legenda
Berbagai cerita sejenis ini telah ada selama berabad-abad. Contohnya, anda
mungkin pernah mendengar cerita (urban legend) mengenai pembicaraan antara kapten
sebuah kapal dengan sesorang yang dikiranya adalah kapten kapal lainnya dalam arah
yang bertabrakan. Masing-masing berargumentasi bahwa pihak satunyalah yang harus
mengubah haluan. Akhirnya orang kedua memberitahukan kapten kapal pertama bahwa
dia sendiri juga bukan kapten kapal, tetapi penjaga menara mercusuar. Cerita semacam
ini umumnya menghibur, dan baris terakhir dalam pesan tersebut akan mendorong
penerima untuk meneruskannya ke teman-temannya.

10. Peringatan Tipuan Akan Virus

Bentuk penipuan lainnya adalah mengirim peringatan akan virus (hoax virus
warnaing). Peringatan semacam ini menjelaskan adanya berbagai konsekuensi serius
beberapa virus yang bahkan tidak ada, dan pada akhri pesan akan ada permintaan jelas
untuk memberitahukan semua teman anda sebelum mereka terkena virus tersebut. Hal
yang sesungguhnya terjadi adalah, pesan yang terakhir tersebut adalah tujuan dari penulis
suratnya, yaitu untuk melihat pesannya beredar diseluruh dunia.

Perhatikan bahwa masalah ini dan dua masalah sebelumnya memiliki tujuan yang
sama, yaitu penggandaan (multiplikasi). Baris terakhir pesan sebenarnya adalah

13
 peringatan yang dapat membantu untuk mengidentifikasi ketiga jenis email negatif dan
agak merusak ini.

11. Pencacimakian
Perilaku manusia di internet ada batasan fisik berupa interaksi melalui tatap muka.
Oleh karenanya, banyak yang akan melakukan atau mengatakan (menulis) berbagai hal
yang tidak akan diwujudkannya di muka umum. Pencacimakian (flaming) adalah sebuah
pesan dimana penulisnya menyerang penerimanya dengan berbagai istilah yang terlalu
kasar. Pesan semacam ini meliputi kata-kata yang bersifat menghina mengenai pihak lain
atau perusahaan. Risiko pencacimakian akan lebih serius karena adanya hukum federal
yang berkaitan dengan berbagai isu seperti pelecehan seksual. Pengendaliannya meliputi
pelatihan dan kebijakan untuk melarang pencacimakian dengan menerapkan bebagai
hukuman jika tertangkap.

Tujuan Audit
 Memverifikasi bahwa ada kebijakan dan prosedur manajemen yang efektif untuk mencegah
masuknya dan menyebarnya objek yang merusak.

Prosedur Audit
a. Melalui wawancara dengan personel operasional, tentukan apakah mereka pernah dididik
mengenai virus komputer dan menyadari praktik penggunaan komputer yang beresiko yang
dapat memasukkan serta menyebarkan virus dan berbagai program merusak lainnya.
b. Mengkaji berbagai prosedur operasional untuk menentukan apakah disket atau CD yang
dapat berisi virus secara rutin digunakan untuk mentransfer data antarkelompok kerja
c. Memverifikasi bahwa para administrator sistem secara rutin memindai terminal kerja, server
file, dan server email untuk mendeteksi virus.
d. Memverifikasi bahwa peranti lunak baru diuji di terminal kerja yang terpisah sebelum
diimplementasikan deserver host atau jaringan.
e. Memverifikasi bahwa peranit lunak antivirus diperbaiki secara teratur dan di download ke
tiap terminal kerja.

14
2.2.4 Mengendalikan Jejak Audit Elektronik

Jejak audit (audit trail) adalah daftar yang dapat didesain untuk mencatat
berbagai aktivitas dalam tingkat sistem, aplikasi, dan pengguna. Jika diimplementasikan
dengan benar, jejak audit memberikan pengendalian deteksi yang penting untuk
membantu mewujudkan tujuan kebijakan keamanan. Banyak sistem operasi mengizinkan
pihak manajemen perusahaan untuk memilih peristiwa (event) mana saja yang akan
dicatat dalam daftar tersebut. Kebijakan audit yang efektif akan memenangkan semua
peristiwa yang signifikan tanpa mengacaukan daftar tersebut dengan aktivitas yang tidak
penting. Setiap perusahaan harus memutuskan batas antara informasi dengan fakta yang
tidak penting. Jejak audit biasanya terdiri atas dua jenis data audit: (1) daftar terperinci
mengenai tiap ketikan, dan (2) daftar yang berorientasi pada peristiwa (event oriented
log).

a) Pengawasan Ketikan
Pengawasan ketikan (keystroke monitoring) melibatkan pencatatan ketikan
pengguna dan respon sistem. Daftar semacam ini dapat digunakan sebagai bukti setelah
kejadian untuk merekonstruksi perincian suatu peristiwa atau sebagai pengendali real
time untuk memonitor atau mencegah pelanggaran tidak sah. Pengawasan ketikan dapat
disamakan dengan penyadapan telepon, tetapi versi komputernya. Beberapa kondisi dapat
saja membenarkan tingkat pengawasan ini. Akan tetapi, dalam beberapa kondisi,
pengawasan ketikan dapat dianggap sebagai pelanggaran atas privasi. Sebelum
mengimplementasikan pengendalian jenis ini, pihak manajemen dan para auditor harus
mempertimbangkan kemungkinan implikasi hukum, etika, dan keperilakuannya.

b) Pengawasan Peristiwa
Pengawasan peristiwa (event monitoring) meringkas berbagai aktivitas utama
yang berkaitan dengan pengguna, aplikasi, dan sumber daya sistem. Daftar peristiwa
biasanya mencatat ID semua pengguna yang mengakses sistem, waktu, dan durasi

15
 penggunaan, program yang dijalankan selama penggunaan, dan semua file, basis data,
printer, dan sumber daya lain yang diakses.

c) Tujuan Jejak Audit

Jejak audit dapat digunakan untuk mendukung tujuan keamanan melalui tiga cara:
(1) mendeteksi akses tidak sah ke sistem, (2) memfasilitasi rekonstruksi peristiwa, dan (3)
meningkatkan akuntabilitas personal.
a. Mendeteksi akses tidak sah ke sistem. Mendeteksi akses tidak sah dapat terjadi secara
real time atau setelah kejadian. Tujuan utama dari deteksi secara real time adalah
melindungi sistem dari pihak luar yang mencoba untuk menembus pengendalian
sistem. Jejak audit real time juga dapat digunakan untuk melaporkan berbagai
perubahan dalam kinerja sistem yang dapat mengindikasikan adanya virus atau worm.
Tergantung dari seberapa banyak aktivitas yang dicatat dan dikaji, deteksi secara real
time dapat menambah overhead dalam jumlah tinggi atas sistem operasi, yang dapat
menurunkan kinerja operasionalnya. Daftar deteksi setelah kejadian dapat disimpan
secara elektronik dan dikaji secara berkala untuk melihat apakah akses tidak sah dapat
terjadi, atau dicoba tetapi gagal.
b. Rekonstruksi peristiwa. Analisis audit dapat digunakan untuk merekonstruksi
berbagai tahapan yang dapat mengarah pada berbagai peristiwa seperti kegagalan
sistem, pelanggaran keamanan oleh seseorang, atau kesalahan pemrosesan aplikasi.
Pengetahuan mengenai berbagai kondisi yang ada pada waktu terjadinya kegagalan
sistem dapat digunakan untuk membagi tanggungjawab dan untuk menghindari
situasi yang sama dimasa mendatang. Contohnya, dengan memelihara catatan
mengenai semua perubahan dalam saldo akun, jejak audit dapat digunakan untuk
merekonstruksi berbagai file data akuntansi yang rusak akibat kegagalan sistem.
c. Meningkatkan akuntabilitas personal. Jejak audit dapat digunakan untuk memonitor
aktivitas pengguna pada tingkat perincian yang terendah. Kemampuan ini adalah
pengendalian preventif yang dapat digunakan untuk mempengaruhi perilaku. Orang
cenderung tidak akan melanggar kebijakan keamanan perusahaan jika dia tahu bahwa
tindakannya dicatat dalam daftar audit.

16
 Daftar audit juga dapat berfungsi sebagai pengendali deteksi untuk membebankan
akuntabilitas personal atas berbagai tindakan yang dilakukan dan yang melanggar
kebijakan keamanan kesalahan yang serius dan penyalahgunaan wewenang adalah hal
yang paling jadi perhatian. Mungkin lebih mudah mencegah pelanggar tidak sah masuk
mengakses sistem daripada memastikan bahwa para pengguna yang sah hanya bertindak
sesuai dengan wewenang yang diberikan padanya. Contohnya, seorang staf administrasi
bagian putang usaha diberikan otorisasi untuk mengakses catatan pelanggan. Daftar audit
dapat mengungkapkan bahwa staf administrasi tersebut telah mencetak catatan dalam
jumlah tidak wajar yang dapat menjadi indikasi bahwa staf tersebut menjual informasi
pelanggan.

d) Mengimplementasikan Jejak Audit

Informasi yang terdapat dalam daftar audit berguna bagi para akuntan dalam
mengukur potensi kerusakan dan kerugian finansial yang berhubungan dengan kesalahan
aplikasi, penyalahgunaan wewenang, serta akses tidak sah oleh pelanggar tidak sah dari
luar. Daftar tersebut juga menyediakan bukti yang berharga untuk menilai kecukupan
pengendalian yang ada dan kebutuhan pengendalian tambahan. Akan tetapi, daftar audit
dapat menghasilkan data begitu terperinci. Informasi yang penting dapat dengan mudah
hilang diantara begitu banyak perincian operasi harian. Jadi, daftar yang tidak didesain
dengan baik dapat benar-benar tidak berfungsi. Melindungi eksposur dengan potensi
kerugian finansial yang besar harus mendorong keputusan pihak manajemen dan
seberapa banyak perincian yang akan didaftar. Seperti juga dengan semua pengendalian
lainnya, manfaat dari daftar audit harus dipertimbangkan bersama dengan biaya
implementasinya.

e) Tujuan Audit
Memastikan bahwa audit para pengguna dan peristiwa cukup untuk mencegah dan
mendeteksi barbagai penyalahgunaan, rekonstruksi berbagai peristiwa penting yang
mengawali kegagalan sistem, dan untuk merencanakan alokasi sumber daya.

17
 f) Prosedur Audit
Kebanyakan sistem operasi memberikan beberapa fungsi bagian manajer audit
untuk spesifikasi berbagai peristiwa yang akan diaudit. Auditor terkait harus
memverifikasi jejak audit peristiwa apa yang diaktifkan sesuai dengan kebijakan
perusahaan.
 Banyak sistem operasi menyediakan tampilan daftar audit yang memungkinkan para
auditor memindai daftar untuk mencari aktivitas yang tidak biasa. Daftar tersebut dapat
dikaji di layar atau melalui arsip file untuk kajian selanjutnya.

Auditor dapat menggunakan alat ekstraksi data bertujuan umum seperti ACL
untuk menilai berbagai file daftar yang diarsip untuk mencari keberadaan berbagai
kondisi yang telah ditetapkan, seperti:
1) Pengguna yang tidak sah atau yang sudah diberhentikan
2) Periode ketidakaktifan
3) Aktivitas disusun berdasar pengguna, kelompok kerja, atau departemen
4) Waktu logon dan logoff
5) Usaha untuk logon yang gagal
6) Akses ke file atau aplikasi tertentu.

 Kelompok keamanan perusahaan memiliki tanggung jawab untuk mengawasi dan

melaporkan adanya pelanggaran keamanan. Auditor harus memiliki sebuah sampel kasus
pelanggaran keamanan dan mengevaluasi jenisnya untuk menilai efektivitas kelompok
kemanan.

2.3 Sistem Komputer Pribadi (Pc)

Bagian bab ini mempelajari berbagai risiko, pengendalian dan isu audit yang
berkaitan dengan lingkungan komputasi pribadi. Lingkungan PC memiliki berbagai fitur

18
 penting yang merupakan ciri dan membedakannya dari lingkungan mainframe dan klien-
server. Beberapa bagian yang paling penting dari fitur ini dicantumkan dibawah ini:
1) Sistem PC relatif sederhana untuk dioperasikan dan diprogram serta tidak
membutuhkan pelatihan profesional yang ekspresif.
2) Sistem ini sering kali dikendalikan dan dioperasikan oleh pengguna akhir, bukan oleh
administrator sistem.
3) PC menggunakan pemrosesan data yang interaktif, bukan pemrosesan batch.
4) PC biasanya menjalankan berbagai peranti lunak aplikasi komersial yang didesain
untuk meminimalkan usaha. Biasanya, data dimasukkan oleh pengguna akhir dan
dapat dimasukkan ke mainframe atau server jaringan untuk pemrosesan lebih lanjut..
5) Sistem mainframe dan klien-server bekerja dibelakang layar. PC mendownload data
dari mesin ini untuk pemrosesan lokal.
6) Pengguna dapat mengembangkan peranti lunaknya sendiri dan memelihara datanya
(di spreadsheet dan basis data).

2.3.1 Sistem Operasi Pc

Sistem operasi diaktifkan (boot) dan terletak dalam memori utama komputer
selama komputer dinyalakan. Sistem operasi memiliki beberapa fungsi. Sistem ini
mengendalikan CPU, mengakses RAM, menjalankan program, menerima input dari
papan ketik (keyboard) atau alat input lainnya, menarik dan menyimpan data ke dan dari
peralatan penyimpanan sekunder, menampilkan data dilayar monitor, mengendalikan
printer, dan melakukan berbagai fungsi lainnya yang mengendalikan sistem peranti keras.
Sistem operasi terdiri atas dua jenis perintah. System-resident commands (perintah yang
berada dalam sistem) aktif dalam memori utama sepanjang waktu untuk
mengoordinasikan permintaan input/output serta menjalankan program. Disk resident
commands (perintah yang berada dalam disket/cakram) adalah alat penyimpanan
sekunder sampai ada permintaan untuk menjalankan program utilitas bertjuan khusus ini.
Dulu, sistem operasi yang paling terkenal untuk computer yang sesuai dengan IBM
(disebut juga PC4) adalah DOS (Disk Operating System). Microsoft Corporation menjual
produk ini dibawah nama MS-DOS (Microsoft Disk Operating System). Banyak
mikrokomputer menjalankan versi DOS ini, sebagai akibatnya, ada banyak sekali peranti

19
 lunak aplikasi untuk komputer DOS. Selanjutnya, Microsoft memodifikasi sistem
operasinya untuk mengakomodasi multitasking (yang memungkinkan lebih dari satu
pekerjaan dijalankan secara bersamaan oleh sebuah komputer), multipengguna (jaringan),
dan memori yang lebih besar, hingga sistem operasi yang baru tersebut masuk kedalam
keluarga lingkungan operasi Windows. Sistem operasi ini memanfaatkan kelebihan
berbagai chip mikroprosesor yang lebih baru dan lebih canggih, seperti Intel Pentium,
yang menangani lebih banak memori dan jauh lebih cepat daripada mikroprosesor yang
lama.
Sistem operasi komputer menentukan keluarga peranti lunak yang dapat
digunakan komputer. Peranti lunak aplikasi ditulis untuk sistem operasi tertentu.
Contohnya, pengguna mikrokomputer yang sesuai dengan IBM dengan sistem operasi
Windows harus memilih berbagai program dari peranti lunak yang tersedia dan yang
ditulis untuk sistem operasi tersebut dan, bahkan, mungkin versi mikrokomputer tersebut
(contohnya, kebanyakan aplikasi ditulis untuk Windows versi yang lebih awal [‟98 atau
sebelumnya] tidak akan dapat jalan diversi terbarunya). Pengguna mikrokomputer yang
kompatibel dengan IBM yang memiliki sistem operasi berbeda, seperti OS/2 atau Linux,
biasanya harus memilih peranti lunak yang berbeda.

2.3.2 Risiko dan Pengendalian Sistem PC

1) Penilaian Risiko

Salah satu fungsi auditor yang paling penting saat ini, baik auditor internal
maupun eksternal, adalah pekerjaan untuk menilai risiko. Standar audit internal
mensyaratkan auditor untuk memulai rencana audit dengan melakukan penilaian risikc.
Audit keuangan selalu berkaitan dengan risiko, dan telah dibahas di Bab 1, namun
Sarbanes-Oxley membuatnya menjadi keharusan bagi auditor eksternal untuk melakukan
analisis menyeluruh atas risiko yang berkaitan dengan audit. PC memperkenalkan banyak
sekali risiko tambahan, atau risiko yang berbeda, yang tidak ada kaitannya dengan sistem
lama dan mainframe. Oleh karenanya, auditor harus menganalisis semua aspek PC untuk
memastikan berbagai risiko yang dihadapi oleh perusahaan karena adanya PC. Dalam
beberapa kondisi, risiko yang berkaitan dengan lingkungan PC dapat tetap merupakan
eksposur, karena tidak ada cara yang efektif dari segi biaya untuk mengatasinya.

2) Kelemahan Inheren

20
 Kebalikan dari sistem mianframe, PC hanya menyediakan kcamanan minimal atas
file data dan program. Kelemahan pengendalian ini inheren dalam filosofi di belakang
desain sistem Operasi PC. Ditujukan terutama sebagai sistem berpengguna tunggal, PC
didesain untuk membuat komputer mudah digunakan dan untuk memfasilitasi akses,
bukan untuk membatasinya. Filosofi ini, walaupun perlu untuk mendorong komputasi
pengguna akhir (end-user computing), kadang bertentangan dengan tujuan pengendalian
internal. Data yang disimpan dalam mikrokomputer dan yang digunakan bersama oleh
beberapa pengguna akan terekspos ke akses yang tidak sah, manipulasi, dan perusakan.
Ketika seorang pelaku kejahatan komputer mendapatkan akses ke mikrokomputer
pengguna, maka akan ada sedikit atau tidak ada sama sekali cara untuk
mengendalikannya dari mencuri atau memanipulasi data yang disimpan dalam hard drive
internal.

Teknologi yang canggih dan kelebihan sistem PC yang modern sangat berbeda
dengan lingkungan operasional yang relatif tidak canggih tempat PC berada.
Pengendalian lingkungan ini sangat tergantung pada pengendalian fisik Bcherapa nsiko
yang lebih Signifikan dan teknik pengendalian yang memungkinkan, dijelaskan secara
gans besar dalam beberapa bagian berikut ini.

3) Pengendalian Akses yang Lemah

Peranti Iunak keamanan menyediakan prosedur logon yang tersedia untuk PC„
Akan tetapi, kebanyakan dari program ini hanya akan aktif ketika komputer diaktifkan
dari hard drive. Seorang pelaku keiahatan komputer yang mencoba nntuk memasuki
prosedur logon dapat melakukan hal tersebut dcngan memaksa komputer untuk
diaktifkan dari drive A:, atau drive CD-ROM, sementara sebuah sistem operasi yang
tidak terkendali dapat dimasukkan ke dalam memori kbmputer. Dengan memotong
sistem operasi yang tersimpan di dalam komputer dan peranti lunak keamanannya, pelaku
kejahatan tersebut memiliki akses tidak terbatas ke data dan program di hard disk drive.

4) Pemisahan Pekeriaan yang Tidak Memadai

Dalam lingkungan PC, terutama dalam pcrusahaan kecil, seorang karyawan dapat
memiliki akses ke beberapa aplikasi yang memproses berbagai transaksi vang tidak
saling bersesuaian. Contohnya, seorang karyawan mungkin bertanggung jawab untuk
memasukkan semua data cransaksi, termasuk pesanan penjualan, penerimaan kas, dan
pengeluaran. Biasanya, buku besar dan buku pembantu diperbarui secara otomatis dari
berbagai sumber inpUt ini. Tingkat Otoritas ini akan hampir sama saja, dalam sistem
manual, dengan memberikan tanggung jawab yang berkaitan dengan piutang usaha, utang
usaha, penerimaan kas, pengeluaran kas, dan buku besar kc satu orang yang sama.
Eksposur ini akan makin bertambah ketika operator juga bertanggung jawab untuk

21
 mengembangkan (memprogram) aplikasi yang dijalankannya. Dalam Operasi perusahaan
kecil, mungkin hanya sedikit yang dapat dilakukan untuk meniadakan konflik pekerjaan
yang inheren ini. Akan tetapi, pengendalian kata sandi multitingkat dapat mengurangi
berbagai risiko ini.

5) Pengendalian Kata Sandi Multitingkat

Pengendalian kata sandi multitingkat (multilevel password control) digunakan

untuk membatasi para karyawan yang berbagi komputer yang sama untuk direktori,
program, dan file data tertentu. Karyawan terkait diminta untuk menggunakan kata sandi
yang berbeda di tiap tingkatan sistem untuk mendapatkan akses. Teknik ini menggunakan
beberapa tabel otorisasi yang disimpan untuk dapat membatasi akses seseorang ke
kemampuan baca saja (read-only), input data, modifikasi data, dan menghapus data.
Walaupun bukan merupakan pengganti teknik pengendalian tradisional seperti supervisi
karyawan dan laporan pihak manajemen yang memerinci semua transaksi dan berbagai
pengaruhnya terhadap saldo akun, pengendalian kata sandi multintingkat ini dapat benar-
benar memngkatkan lingkungan pengendallan perusahaan kecil.

Pendekatan yang hampir sama dengan pengendalian kata sandi multitingkat

adalah pengendalian akses multisegi (multifaceted access control). Dalam pengendalian
ini, sistem pengendalian akses menggunakan lebih dari sacu jenis pengendalian akses,
sebagai ganti dari pengendalian kata sandi yang lebih dari satu tingkat. Contohnya,
sebagai tambahan dari kata sandi, sistem dapat meminta informasi biometrik. Biometrik,
yang dibahas nanti dalam bab lain, menambahkan beberapa hal fisik ke dalam sistem
pengendalian akses, seperti sidik jari, pemindai, atau bahkan urutan ketikan khusus.
Berbagai fitur semacam itu secara unik -akan mengidentifikasi seseorang hingga dapat
membatasi “spoofing” oleh pengguna yang sah.

6) Risiko Kerugian Fisik

Karena ukurannya, PC mudah dicuri. Hal yang sama tidak akan terjadi pada
mainframe dan minikomputer. Portabilitas laptop menempatkan laptop pada risiko yang
tertinggi. Harus ada prosedur untuk membuat pengguna bertanggung jawab atas PC.
Paling tidak, entitas terkait harus menyimpan daftar PC yang digunakan. Daftar tcrsebut
hams berisi nomor seri PC, lokasinya di perusahaan, clan pihak yang bertanggung jawab.

7) Risiko Kehilangan Data

22
 Dalam sistem komputer saat ini, data menjadi makin bernilai secara intrinsik. Jika
data hancur, ada biaya (nilai) tertentu yang timbul karena memulihkan data tersebut. Jadi,
ada yang menggunakan data sebagai alat yang strategis, hingga bagi entitas semacam ini,
data memiliki nilai tertinggi untuk skenarioskenario berikut ini. Olch karenanya, terdapat
risiko kehila..gan data akibat kegagalan sisrem, sabocase, backer/cracker, dan
sebagainya. Kehati-hatian harus diterapkan untuk melindungi data sebagai aset, seperti
juga yang auditor harus lakukan untuk aset berharga lainnya.

Risiko Pengguna Akhir. Risiko lain atas data adalah dari penggunanya sendiri.
Pengguna akhir yang terkoneksi ke sistem jaringan memiliki peluang untuk dengan
sengaja menghapus hard drive, merusak, atau menyabotase nilai data, mencuri data, dan
menimbulkan kerugian serius dalam data perusahaan di lingkungan PC. Jika ada
perhatian lebih untuk membatasi risiko ini melalui pengendalian seperti pelatihan dan
pembuatan kebijakan yang efektif mengenai penggunaan komputer, termasuk penalti
yang akan dikenakan untuk pencurian atau perusakan data.

Risiko prosedur Pembutan Cadangan yang Tidak Memadai. Untuk menjaga

integritas data yang sangat penting bagi misi perusahaan, perusahaan membutuhkan
prosedur pembuatan cadangan yang formal. Cadangan file yang sangat pcnting sccara
mcmadai sesungguhnya lebih sulit dicapai dalam Iingkungan yang sederhana daripada
dalam lingkungan yang canggih. Dalam lingkungan mainframe dan jaringan, cadangan
dikendalikan secara otomatis oleh sistem operasi, dengan menggunakan peranti lunak dan
peranti keras khusus. Tanggung jawab untuk melakukan pembuatan cadangan dalam
lingkungan PC iatuh pada penggunanya. Sering kali, karena kurangny„a pengalaman
dengan komputer dan pelatihan, para pengguna tidak menghargai peran penting prosedur
pembuatan cadangan hingga sudah terlambat.

Kegagalan komputer, yang biasanya berupa kegagalan disket, adalah penyebab

utama hilangnya data dalam jumlah besar di lingkungan PC. Jika hard drive
mikrokomputer gagal, maka mungkin saja merupakan hal yang tidak mungkin untuk
memulihkan data yang disimpan dalam disket tersebut. Prosedur formal untuk membuat
salinan cadangan berbagai data (dan program) yang sangat penting dapar benar-benar
mengurangi ancaman ini. Terdapat scjumlah pilihan yang tersedia berkaitan dengan
masalah ini.

 Cadangan lokal di media yang tepat. Berbagai media dapat digunakan untuk membuat
cadangan file data di PC lokal. Media tersebut dapat meliputi disket floppy (walaupun
makin kurang praktis), CD-R/CD-RW (compart disc), DVD, dan disket Zip. File harus
dibuat cadangannya secara lokal dari PC ke media yang tepat sebagai bagian dari
kegiatan rutin. Disket data ini kemudian dapat disimpan jauh dari komputer. Jika terjadi
kegagalan mikrokomputer, file data dapat direkonstruksi dari disket cadangannya. Proses

23
 ini membutuhkan usaha yang sadar dari pengguna. Kegagalan untuk membuat cadangan
data bahkan walaupun sekali saja, dapat mengakibatkan kehilangan data.
 Hard drive internal ganda. Mikrokomputer dapat dikonfigurasikan untuk dua hard disk
internal fisik. Salah satu disket dapat digunakan untuk menyimpan data produksi
sementara lainnya menyimpan file cadangan. Sebuah program batch atau program peranti
lunak khusus yang dijalankan sebelumnya atau segera secelah tiap kali sesi pemrosesan
data, dapat menyalin berbagai file data ke alat salinan cadangan. Jadi, pembuatan
cadangan hampir transparan bagi pengguna dan tidak membutuhkan banyak usaha. Ini
adalah teknik yang berguna untuk membuat cadangan berbagai file berukuran besar yang
tidak dapat disimpan secara efektif di disket floppy. Jika salah satu hard drive internal
gagal, file data dapat ditarik dari hard drive yang tersisa.
 Hard drive eksternal. Pilihan pembuatan cadangan yang terkenal adalah hard drive
eksternal dengan cartridge disket yang dapat dipindahkan dan yang dapat menyimpan
data dalam beberapa gigabyte per media. Peralatan media semacam itu meliputi CD,
DVD, dan disket Zip. Ketika sebuah alat disket telah diisi, pengguna dapat
memindahkannya dan memasukkan yang baru. Drive yang dapat dipindahkan
menawarkan kelebihan berupa kapasitas penyimpanan yang tidak terbatas, kemudahan
dibawa, dan keamanan fisik. Teknologi ini tidak secara material menurunkan kinerja
kornputer. Hard drive eksternal lebih baik daripada hard drive internal dalam hal
kecepatan aksesnya.

Hard drive eksternal dapat digunakan sebagai teknik pembuatan cadangan yang
efektif dan sederhana. Drive eksternal ganda dapat digunakan untuk menyimpan file
produksi dan cadangannya. Dengan menggunakan dua drive terpisah, pembuatan
cadangan dapat dilakukan secara otomatis sebelum, selama, atau setelah sesi pemrosesan
data. Oleh karenanya, pengguna tidak perlu secara fisik mengganti cartridge dan secara
sadar melakukan prosedur pembuatan cadangan hingga peluang terjadinya kesalahan
manusia dapat dikurangi. Selain itu, dengan kedua versi kedua data di dalam driue
eksternal, pengendalian akses akan lebih baik. Cadangan maupun file aslinya dapat
dipindahkan dan disimpan di b_eberapa lokasi terpisah jauh dari mikrokomputernya.

8) Risiko yang Berkaitan dengan Infeksi Virus

Salah satu ancaman yang paling serius bagi integritas PC dan ketersediaan sistem
adalah infeksi virus. Ketaatan yang mutlak dengan kebijakan dan prosedur perusahaan
yang menjaga dari infeksi virus adalah hal yang sangat pcnting untuk dapat secara efektif
mengendalikan virus. Auditor harus memveriflkasi bahwa kebijakan dan proseciur
semacam itu ada dan bahwa berbagai prosedur dan kebijakan tersebut dipatuhi. Akan
tetapi, kebijakan saja tidak akan mencegah pelaku penipuan yang keras kepala.
Perusahaan karenanya harus mencari berbagai pengendalian teknis tambahan dalam

24
 bentuk peranti lunak antivirus. Auditor bisa mendapatkan bukti yang mendukung
mengenai kecukupan pengendalian virus dengan melakukan berbagai pengujian berikut
ini:

1. Auditor harus memverifikasi bahwa perusahaan mengikuti kebijakan pembelian

peranti lunak hanya dari vendor yang bereputasi.

2. Auditor harus mengkaji kebijakan perusahaan dalam penggunaan peranti lunak

antivirus. Kebijakan ini dapat meliputi berbagai poin berikut ini:

 Peranti lunak antivirus seharusnya diinstal di semua mikrokomputer dan digunakan

sebagai bagian prosedur startup ketika komputer dinyalakan. Cara ini akan memastikan
bahwa semua sektor penting hard disk diperiksa sebelum ada apa pun ditransfer melalui
jaringan.
 Semua pembaruan (upgrade) dari para vendor peranti lunak seharusnya diperiksa untuk
deteksi virus sebelum diimplementasikan.
 Semua peranti lunak ranah publik harus diperiksa untuk mendeteksi virus sebelum
digunakan.
 Versi terkini dari peranti lunak antivirus seharusnya tersedia bagi semua pengguna.
Verifikasi bahwa file data virus terkini telah di-download secara teratur, dan bahwa
program antivirus tersebut memang jalan di PC secara terus-menerus, dan karenanya,
dapat memindai semua dokumen yang masuk. Versi perusahaan biasanya meliputi
pembaruan dengan cara “push” di mana peranti lunak secara otomatis memeriksa situs
web utama vendor antivirus untuk melakukan pembaruan secara otomatis setiap kali
komputer dikoneksikan ke Internet dan PC diaktifkan.

3. Auditor harus memvcrifikasi bahwa hanya peranti lunak yang sah saka yang
dimasukkan ke dalam PC. Langkah ini tidak hanya penting dalam kaitannya dengan
virus, tetapi juga penting karena risiko yang ditimbulkan peranti lunak bajakan.

9) Risiko Pengembangan Sistem dan Prosedur Pemeliharaan yang Tidak Memadai

Dalam Bab 4, akan dipelajari berbagai isu pengendalian di sekitar pengembangan

dan pemcliharaan aplikasi komputer. Lingkungan mikrokomputer memiliki kelemahan
baik dari sisi fitur sistem operasinya maupun pemisahan pekerjaan yang tidak saling
bersesuaian dan yang penting untuk pengendalian. Oieh karenanya, pihak manajemen
harus mengimbang eksposur inheren ini dengan lainnya, yaitu dengan teknik
pengendalian yang lebih konvensional.

Sejauh mungkin, para pengguna harus mendapatkan peranti lunak komersial dari
penjual yang bereputasi untuk aplikasi akuntansi di PC-nya. Banyak dari ratusan paket

25
 peranti lunak di pasar adalah sistem akuntansi bertujuan umum. Lainnya adalah sistem
bertujuan khusus yang didesain untuk memcnuhi kebutuhan khusus dari industri tertentu.
Peranti lunak komersial yang dibeli dari vendor yang bereputasi biasanya teruji
seluruhnya dan sangat andal.

Bahkan perusahaan kecil harus menggunakan prosedur pemilihan peranti lunak

yang formal dan yang biasanya terdiri atas beberapa langkah berikut ini:

1. Melakukan analisis formal atas masalah dan kebutuhan pengguna.

2. Meminta penawaran dari beberapa vendor.

3. Mengevaluasi berbagai produk yang bersaing dalam hal kemampuan mereka untuk
memenuhi kebutuhan yang celah diidentifikasi. (Pada poin ini, sering kali akan lebih
bijak jika mencari bantuan konsultan ahli.)

4. Menghubungi para pengguna saat ini peranti lunak komersial yang akan digunakan
untuk mendapat berbagai pendapat mereka atas produk terkait.

5. Membuat pilihan. (Perusahaan harus ingat tingkat dukungan yang dibutuhkan dan
pastikan bahwa vendor bersedia serta mampu untuk menyediakan dukungan tersebut.

Tujuan Audit

 Memverifikasi bahwa ada pengendalian untuk melindungi data, program, dan

komputer dari akses secara tidak sah, manipulasi penghancuran dan pencurian.
 Memverifikasi kecukupan supervisi dan prosedur operasi untuk mengimbangi
kurangnya pemisahan berbagai pekérjaan antara pengguna, programer, dan operator.
 Memverifikasi bahwa ada prosedur pembuatan cadangan untuk mencegah kehilangan
data serta program karena kegagalan sistem, kesalahan dan sebagainya.
 Memverifikasi bahwa prosedur pemilihan dan pengadaan sistem menghasilkan
aplikasi yang berkualitas tinggi, dan melindungi dari perubahan yang tidak sah.
 Memverifikasi bahwa sistem bébas dari virus dan cukup terlindungi untuk
meminimalkan risiko terinfeksi virus arau objek yang hampir sama lainnya.

Prosedur Audit

 Auditor harus memverifikasi bahwa mikrokomputer serta file nya secara fisik
terkendali. Komputer desktop seharusnya buat permanen untuk mengurangi peluang

26
 terjadinya pemindahan. Kunci harus ada untuk menutup kemungkinan mput dari
keyboard dan drive A.
 Auditor harus memverifikasi dari struktur organisasi, deskripsi pekerjaan, dan
observasinya bahwa para programer aplikasi yang melakukan fungsi keuangan yang
signifikan tidak mengoperasikan pula berbagai sistem tersebut. Dalam unit
perusahaan yang lebih kecil di mana pemisahan fungsi akan menjadi tidak praktis,
auditor harus memverifikasi bahwa ada supervisi yang memadai atas berbagai
pekerjaan ini.
 Auditor harus mengonfimasikan bahwa laporan transaksi yang diproses, daftar akun
yang diperbarui, dan total pengendali dibuat, disebarluaskan, dan direkonsiliasi oleh
pihak manajemen yang terkait secara reguler dan tepat waktu.
 Jika dibutuhkan, auditor harus menentukan apakah pengendalian kata sandi
multitingkat digunakan untuk membatasi akses ke data dan aplikasi.
 Jika digunakan hard drive yang dapat dipindahkan. auditor hams memveriiikasi
bahwa drive terkait dipindahkan dan disimpan dalam sebuah lokasi yang aman ketika
tidak digunakan.
 Dengan memilih suatu sampel file cadangan, auditor dapat memverifikasi bahwa
prosedur pembuatan cadangan ditaati. Dengan membandingkan nilai data dan tanggal
di disket cadangan, untuk file produksi, auditor dapat menilai frekuensi dan
kecukupan prosedur pembuatan cadangan.
 Auditor harus memverifikasi bahwa kode sumber aplikasi secara fisik aman (seperti
disimpan dalam lemari besi) dan bahwa hanya versi kompilasinya saja yang disimpan
di mikrokomputer.
 Dengan mengkaji pengendalian pemilihan dan pengadaan sistem, auditor harus
memverifikasi bahwa pcranti lunak komersial yang digunakau dalam mikrokomputer
dibeli dari vendor yang bereputasi untuk memastikan bahwa kebutuhan pengguna
telah dipertimbangkan penuh dan bahwa peranti lunak yang dibcli memenuhi
kebutuhan tersebut.
 Auditor harus mengkaii berbagai teknik pengendalian virus.

27
 BAB III PENUTUP

3.1 Kesimpulan
Keamanan sistem operasi komputer dapat ditemukan dalam berbagai komponen
keamanan, berupa prosedur logon, access token, daftar pengendalian akses, dan
pengendalian akses mandiri. Berbagai ancaman dalam integritas sistem berasal dari tiga
sumber, yaitu personel dengan hak tertentu yang menyalahgunakan wewenangnya,
orang-orang yang menjelajahi sistem operasi untuk mengidentifikasi dan mengeksploitasi
kelemahan keamanan, dan orang yang mneyelipkan virus komputer ke dalam sistem
operasi.

Pengendalian keseluruhan sistem dilakukan dengan mengendalikan hak akses,

kata sandi, objek yang merusak dan risiko e-mail, serta jejak audit elektronik. Sistem
pengendalian PC terdiri atas dua perintah, yaitu system-resident commands dan disk-
resident commands. Terdapat berbagai risiko dalam sistem pengendalian PC, baik itu
yang disebabkan oleh virus, pengembangan sistem, maupun pengendalian operasi.

3.2 Saran
Keseluruhan sistem operasi harus dapat dikendalikan dengan baik serta dapat
dikembangkan dan dipelihara dengan prosedur yang memadai. Hal ini dikarenakan
banyaknya ancaman terhadap integritas sistem operasi dan risiko yang mungkin terjadi.
Oleh karena itu dibutuhkan pengendalian dan prosedur audit operasi komputer yang
sesuai untuk mencapai tujuan audit.

28
 DAFTAR PUSTAKA
Hall, James A dan Tommie Singleton. 2011. Information Technology Auditing and
Assurance. Jakarta: Salemba Empat.

29