SECURITY PART I : AUDITING OPERATION SYSTEM AND NETWORKS

(BAGIAN KEAMANAN I : AUDIT SISTEM OPERASI DAN JARINGAN)

Tugas Mata Kuliah

Auditing EDP

Oleh :
Annisa Novelia Utami (170810301029)
Hamzah Shalahuddin (170810301045)
Fairul Alviansyah M. (170810301049)
Andika Priwanto (170810301150)

PROGRAM STUDI S1 AKUNTANSI

JURUSAN AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS JEMBER
2020
 PENDAHULUAN

Perkembangan dunia bisnis dan industri saat ini erat kaitannya dengan
perkembangan teknologi yang ada. Hal ini disebabkan oleh semakin meningkatnya
kebutuhan manusia ditambah tuntutan efisiensi dan efektivitas penggunaan sumber
daya yang sangat terbatas. Penggunaan TI disini bertujuan untuk memudahkan segala
jenis kegiatan manusia. Terutama dalam memenuhi kebutuhan informasi dan
komunikasi. Keberadaan Sistem Informasi di era juga sekarang sangat berguna untuk
memenuhi kebutuhan informasi masyarakat tak terkecuali sangat dapat menunjang
proses bisnis entitas perusahaan. Teknologi informasi (TI) digunakan untuk
mendukung perusahaan dalam melihat, mengetahui dan merespon keinginan pasar
serta mencapai tujuan perusahaan. Penerapan TI harus didukung oleh manajemen
dan sumber daya TI atau sering disebut sebagai tata kelola TI yang baik. Tata Kelola
TI yang baik bertujuan mengurangi risiko sehingga penggunaan, penerapan TI di
perusahaan tersebut dapat menambah nilai/value bagi perusahaan. Salah satu tata
kelola TI yang baik yaitu dengan adanya Pengendalian dan audit terhadap sistem
operasi dan Jaraingan perusahaan mengingat semua jenis kegiatan perusahaan telah
terkomputerisasi.
Dalam bab ini akan dibahas mengenai bagaimana pengendalian dan
pengujian audit terhadap sistem operasi perusahaan, jaringan yang ada diperusahaan,
Program data perusahaan dan komputer perusahaan. Dengan kecanggihan elektronik
di era sekarang juga muncul sistem EDI (Electronic Data interchange) yang
mempermudah dalam pekerjaan manusia namum harus ada controling dan standar
yang ditetapkan dalam melaksanakan EDI ini agar saat pengauditan tidak ada
kesulitan dalam mengauditnya. Melalui pembelajaran ini diharapkan bermanfaat bagi
para mahasiswa dan pengguna utamanya perusahaan untuk terus mengendalikan
sistem operasi sebaik mungkin, membatasi penggunaan akses yang berlebih untuk
mecegah kecurangan/kerugian/kebocoran data, dan memberikan wewenang kepada
pengguna/penekrja sesuai denga pembagian pekerjaan dan job-descriptionnya.

2|
 PEMBAHASAN

A. AUDIT SISTEM OPERASI

o Gambaran Umum Sistem Operasi

Sistem Operasi adalah sebuah program yang bertugas mengontrol suatu

komputer guna memberi izin kepada pengguna dan aplikasinya untuk mengakses
sumber daya yang dimiliki komputer seperti prosesor, memori utama, databases
dan printer. Pengendalian terhadap sistem operasi komputer baru-baru ini sangat
penting karena semua perusahaan menggunakan teknologi terkomputerisasi
dalam menjalankan aktivitas bisnisnya. Apabila sistem operasi komputer
terganggu, maka aktivitas bisnis perusahaan juga dapat terganggu. Aplikasi
aplikasi komputer dari berbagai bagian di perusahaan, tak terkecuali aplikasi
akuntansi akan tergagnggu juga penggunaanya.

Terdapat 3 tujuan utama sistem operasi yaitu:

1. Menerjemahkan bahasa pemrograman tingkat tinggi yang sulit dipahami

kedalam bahasa yang dapat dipahami dan dijalankan komputer;

2. Mengalokasikan sumber daya komputer kepada pengguna, kelompok kerja,

dan aplikasi;

3. Mengelola tugas dan pekerjaan dengan baik karena dapat menjadwal dan
mengatur prioritas pekerjaan mana yang harus dikerjakan terlebih dahulu dan
multiprograming karena dapat mengerjakan beberapa tugas/pekerjaan dalam
satu waktu.

Terdapat 5 Dasar yang digunakan sistem operasi untuk mencapai tujuan diatas:

1. Sistem Operasi harus bisa melindungi diri dari Pengguna, maksudnya

Pengguna aplikasi tidak memiliki akses ke dalam sistem operasi yang dapat
menyebabkan sistem berhenti bekerja atau terjadi kerusakan sistem;

2. Sistem Operasi harus bisa melindungi Pengguna dari diri pengguna sendiri,
dikarenakan sebuah aplikasi pengguna terdiri dari beberapa modul yang
tersimpan di lokasi memori yang terpisah maka satu modul seharusnya tidak
diperbolehkan untuk menghancurkan atau merusak modul lain;

3|
3. Sistem Operasi harus bisa melindungi sesama Pengguna, maksudnya sistem
operasi tidak memberikan akses kepada pengguna terhadap pengguna lain,
sehingga tidak ada resiko saling mengakses, merusak atau menghacurkan
antar pengguna;

4. Sistem Operasi harus bisa terlindungi dengan sendirinya, maksudnya tidak

hanya aplikasi pengguna yang hanya terdiri dari berbagai modul, sistem operasi
juga terdiri dari berbagai modul dan antar modul tidakboleh saling merusak;

5. Sistem Operasi harus bisa terlindungi dari lingkungannya, maksudnya karena

kondisi eksternal yang tidak bisa terprediksi dan dapat terjadi sewaktu-waktu
seperti hilangnya data dan bencana alam, maka suatu sistem operasi harus
dapat dipulihkan dikemudian hari.

o Keamanan Sistem Operasi

Karena sistem operasi sangat penting dan dibutuhkan pengendalian dalam

penggunaannya, maka haruslah dibangun sistem keamanan yang baik. Sistem
keamanan ini berisi aturan, prosedur, dan pengendalian yang menentukan siapa
yang bisa mengakses sistem operasi, sumber daya komputer mana saja yang
digunakan, dan aktivitas apa yang bisa mereka lakukan.

Terdapat 4 komponen keamanan sistem operasi:

1. Prosedur Log-On (Log-On Procedures) : Yaitu bentuk pengendalian pertama

dengan memastikan saat pengguna akan memasuki (log-on) sebuah aplikasi
kemudian memasukkan ID dan Password apakah sesuai dengan ID dan
Password yang ada di dalam sistem sehingga apabila ID dan Password
pengguna tersebut cocok maka akan diberikan akses, jika tidak cocok maka
akan ditolak dan memerintahkan pengguna untuk memasukkan ID dan
password yang benar.

2. Token Akses (Acess Token) : Yaitu bentuk pengendalian keamanan saat

upaya log-on berhasil maka sistem operasi menciptakan akses token yang
berisi informasi penting tentang pengguna, termasuk pengguna ID, password,
kelompok pengguna, dan hak istimewa yang diberikan kepada pengguna.

4|
 Informasi dalam akses token tersebut selanjutnya akan digunakan untuk
menyetujui semua tindakan upaya pengguna selama sesi.

3. Daftar Kontrol Akses (Aces Control List) : Yaitu bentuk pengendalian

keamanan pada saat pengguna membandingkan informasi dengan akses
token, dan ternyata cocok, maka pengguna akan diberikan akses. Kemudia
muncullah daftar kontrol akses yang berisi hak akses pengguna kemana saja.

4. Hak akses discretionary (discretionary access privileges) : Yaitu sistem

pengendalian dimana hanya administrator sistem pusatlah yang bisa
mengakses semua sumber daya komputer dan menjaga daftar kontrol akses
sehingga hanya mengijinkan pengguna untuk mengakses bagian tertentu yang
dibutuhkannya sesuai kewenangan dan batasan.

o Ancaman Terhadap Integritas Sistem Operasi

Terdapat Beberapa ancaman terhadap sistem operasi:

1. Penyalahgunaan wewenang Individu yang memiliki Hak Istimewa. Salah satu

sistem keamanan yang dibangun tadi adalah adanya hak akses Diescretionary
dimana hanya administrator sistem atau programer yang dapat mengakses
semua baagian dalam sistem, hak istimewa inilah kadang disalahgunakan
untuk keuntungan pribadi seperti mengakses data pengguna lain;
2. Terdapat seseorang yang berasal dari internal maupun eksternal perusahaan
yang secara sengaja mencoba meng-hack sistem operasi perusahaan dengan
mengakses sistem operasi untuk mencari kelemahan keamanan;
3. Terdapat seseorang yang dengan sengaja memasukkan virus/ program
komputer yang berbahaya yang dapat merusak sistem operasi.

o Pengendalian Sistem Operasi dan Pengujian Audit

Terdapat beberapa pengendalian sistem operasi dan pengujian audit :

1. Pengendalian Hak Akses : Perusahaan utamanya manajemen harus

menerapkan pengendalian internal yang ketat ketika terdapat pemberian hak
akses yang istimewa kepada beberapa pekerja yang ada diperusahaan.

5|
 o Tujuan Audit Berkaitan dengan Hak Akses: Auditor adalah untuk
memverifikasi bahwa hak akses yang diberikan digunakan dengan
konsisten sesuai dengan kebutuhan dan memastikan pemisahan fungsi
yang jelas sesuai dengan kebijakan perusahaan.
o Prosedur Audit Berkaitan dengan Hak Akses
1. Melihat kebijakan organisasi untuk memastikan pemisahan fungsi dan
hak akses dari pengguna sesuai dengan job-description ;
2. Melihat catatan personil  untuk menentukan apakah keistimewaan
karyawan  menjalani pemeriksaan keamanan  dan mendapat izin
memadai  intensif  sesuai dengan kebijakan perusahaan serta secara
resmi mengakui tanggung jawab mereka untuk menjaga
kerahasiaan data perusahaan;
3. Mempersilahkan pengguna untuk sekali log-on . Izin harus sepadan
dengan  tugas-tugas yang dilakukan.

2. Pengendalian Password : Password adalah kode rahasia yang dimasukkan

pengguna untuk dapat masuk dan mengakses sistem, aplikasi, file data, atau
server jaringan. Ada beberapa perilaku pengguna yang berhubungan dengan
ketidakkosistensian dalam pengendalian password yaitu seperti lupa kata sandi
dan terlanjur keluar sistem sehingga tidak bisa mengakses kembali, menulis
sandi dan menempelkannya dekat komputer sehingga pengguna lain dapat
mengakses akun yang sama, atau membuat sandi dengan kata yang mudah
dan sederhana. Salah satu pengendalian yang dapat digunakan adalah
manajemen dapat menggunakan One-Time Password dimana pasword hanya
dapat digunakan sekali log-on dna ketika pengguna keluar maka sandi otomatis
menjadi kadaluarsa. Serta pengendalian lain dalam bentuk melarang
pembuatan dan penggunaan password yang lemah.
o Tujuan Audit Berkaitan dengan Password : Auditor memastikan bahwa
organisasi memiliki kebijakan password yang memadai dan efektif untuk
mengendalikan akses ke sistem operasi.
o Prosedur Audit Berkaitan dengan Password
1. Memastikan semua pengguna diwajibkan memiliki password serta pengguna
baru diinstruksikan dalam penggunaan password dan pentingnya kontrol
password

6|
 2. Mengecek prosedur pengendalian sandi untuk memastikan bahwa password
berubah secara teratur dengan meninjau file password untuk menentukan
bahwa password yang lemah diidentifikasi dan dianulir
3. Pastikan bahwa file password terenkripsi dan bahwa kunci enkripsi dijamin
benar.
4. Menilai kecukupan standar password seperti panjang dan berakhirnya
interval.
5. Meninjau kebijakan akun dan prosedur lockout.

3. Mengontrol Terhadap Program Berbahaya dan Merusak : Ancaman ini

dapat berupa virus atau program yang sengaja ditanam atau tidak sengaja
terunduh saat pengguna mengakses komputer/ server internet. Beberapa
pengendalian yang dapat dilakukan manajemen adalha dengan membeli
Software/aplikasi penting perusahaan yang asli dan kepada vendor terkenal,
penggunaan keamanan dengan software antivirus dan sesering mungkin
melakukan back-up file untuk mengantisipasi adanya kemungkinan kehilangan
data akibat virus.
o Tujuan Audit Terkait dengan Virus dan Program Merusak Lainnya: Auditor
memverifikasi bahwa kebijakan dan prosedur manajemen yang efektif di
tempat untuk mencegah pengenalan dan penyebaran program yang
merusak, termasuk viruses, worms, back doors, logic bombs, and Trojan
horses.
o Prosedur Audit Terkait dengan Virus dan Program Merusak Lainnya
1. Melalui wawancara, menentukan bahwa personil operasi telah diajarkan
tentang virus komputer dan menyadari praktek komputasi berisiko yang
bisa memperkenalkan dan menyebarkan virus dan program berbahaya
lainnya.
2. Pastikan bahwa perangkat lunak baru diuji pada workstation standalone
sebelum dilaksanakan pada host atau server jaringan.
3. Pastikan bahwa versi terbaru dari perangkat lunak antivirus yang diinstal
pada server dan yang upgrade secara teratur download ke workstation

7|
 4. Menerapkan Sistem Audit Trail : Pengendalian lainnya dapat digunakan
dengan penggunaan sistem pencatatan semua kegiatan yang dilakukan users
dalam suatu log
o Tujuan Audit Terkait dengan Sistem Audit Trail: Auditor memastikan bahwa
didirikan audit sistem jejak memadai untuk mencegah dan mendeteksi
pelanggaran, merekonstruksi peristiwa penting yang mendahului sistem
kegagalan, dan alokasi sumber daya perencanaan.
o Prosedur Audit Terkait dengan Sistem Audit Trail
1. Auditor harus memastikan bahwa jejak audit telah diaktifkan sesuai
dengan kebijakan organisasi
2. Auditor dapat menggunakan alat ekstraksi data untuk keperluan umum
untuk mengakses file log arsip untuk mencari kondisi yang sulit
didefinisikan
3. Kelompok keamanan organisasi memiliki tanggung jawab untuk
memantau dan melaporkan pelanggaran keamanan. Auditor harus
memilih sampel kasus pelanggaran keamanan dan mengevaluasi
disposisi mereka untuk menilai efektivitas kelompok keamanan.

B. AUDIT JARINGAN

Ketergantungan pada jaringan untuk komunikasi bisnis menimbulkan

kekhawatiran tentang akses tidak sah ke informasi rahasia. Sebagai LAN menjadi
platform untuk aplikasi mission-critical dan data, informasi kepemilikan, data
pelanggan, dan catatan keuangan beresiko. Organisasi terhubung ke pelanggan
dan mitra bisnis melalui internet, khususnya yang rentan. Tanpa perlindungan
yang memadai, perusahaan membuka pintu mereka untuk hacker komputer,
pengacau, pencuri, dan mata-mata industri baik secara internal maupun dari
seluruh dunia. Manajemen organisasi terus mencari keseimbangan antara
peningkatan akses dan risiko bisnis terkait.

1. Risiko Intranet

Intranet digunakan untuk menghubungkan karyawan dalam sebuah

bangunan tunggal, antara bangunan di kampus fisik yang sama, dan antara
geografis lokasi. Kegiatan intranet khas termasuk routing e-mail, pemrosesan

8|
 transaksi antara unit bisnis, dan menghubungkan ke Internet di luar. Risiko
intranet adalah sebagai berikut:

• Intersepsi Jaringan Pesan

• Akses ke Database Perusahaan
• Penyalahgunaan istimewa Karyawan Authority

2. Risiko Internet

a. IP spoofing adalah bentuk menyamar untuk mendapatkan akses tidak

sah ke server Web dan / atau untuk mengabadikan suatu tindakan yang
melanggar hukum tanpa mengungkapkan identitas seseorang.

b. Denial of service attacks (Dos) Adalah serangan terhadap server web

untuk mencegah pelayanan pengguna yang sah. Meskipun serangan
tersebut dapat ditujukan untuk semua jenis situs Web, mereka sangat
menghancurkan badan usaha yang menghalangi dari menerima dan
memproses transaksi bisnis dari pelanggan mereka. Tiga jenis umum dari
serangan Dos adalah: SYN flood, smurf, dan distributed denial of service
(Ddos).

c. Risiko dari Kegagalan Peralatan

3. Controlling Networks

Pada bagian berikut, kita meneliti berbagai teknik kontrol yang

digunakan untuk mengurangi risiko diuraikan dalam bagian sebelumnya. Kami
mulai dengan meninjau beberapa kontrol untuk menangani ancaman subversif
termasuk firewall, inspeksi paket yang mendalam, enkripsi dan teknik kontrol
pesan. Ini diikuti dengan tujuan audit dan prosedur terkait dengan kontrol ini.
Bagian kemudian kontrol ini, tujuan audit, dan prosedur audit yang berkaitan
dengan ancaman dari kegagalan peralatan

4. Controlling Risk from Subversive Threats

a. Firewall adalah sebuah sistem yang memberlakukan kontrol akses antara

dua jaringan yaitu Network-level firewalls menyediakan efisien tetapi akses-
keamanan rendah kontrol. Jenis firewall terdiri dari screening router yang
meneliti sumber dan tujuan alamat yang melekat pada paket pesan yang

9|
 masuk. Application-level firewalls memberikan penyesuaian tingkat
keamanan jaringan yang lebih tinggi tetapi mereka menambahkan overhead
untuk konektivitas.

b. Encryption adalah konversi data ke dalam kode rahasia untuk penyimpanan

dalam database dan transmisi melalui jaringan

c. Digital signature

d. Memverifikasi identitas pengirim membutuhkan sertifikat digital, yang

dikeluarkan oleh pihak ketiga yang terpercaya disebut otoritas sertifikasi
(CA)

e. Penyusup dalam saluran komunikasi mungkin mencoba untuk menghapus

pesan dari aliran pesan, mengubah urutan pesan yang diterima, atau
menggandakan pesan

f. Penyusup mungkin berhasil menembus sistem dengan mencoba kata sandi

dan kombinasi.

g. Menggunakan teknik permintaan-respon, pesan kontrol dari pengirim dan

tanggapan dari penerima yang dikirim pada periodik, interval disinkronkan.

h. Perangkat panggilan-kembali (call back device) mengharuskan pengguna

dial-in untuk memasukkan password dan diidentifikasi.Sistem kemudian
memecahkan koneksi untuk melakukan otentikasi pengguna.

5. Controlling Risks From Equipment Failure

Masalah yang paling umum dalam komunikasi data adalah kehilangan

data karena kesalahan lini (line error). Cara yang digunakan untuk mengontrol
risiko tersebut adalah.

a. Cek gema (echo check )melibatkan penerima pesan kembali pesan ke

pengirim. Pengirim membandingkan pesan kembali dengan salinan yang
tersimpan dari aslinya. Jika terdapat perbedaan maka pesan akan
ditransmisikan ulang

10 |
 b. Cek paritas (parity check) menggabungkan bit tambahan (bit paritas) ke
dalam struktur string bit ketika dibuat atau dikirim. Paritas dapat menjadi
vertikal dan horizontal.

C. AUDIT Electronic Data Interchange (EDI)

EDI merupakan pertukaran antar perusahaan dari informasi bisnis yang dapat diproses
dengan komputer dalam format standar. Fitur penting EDI. Pertama, upaya
interorganisasi. Kedua, system informasi secara otomatis memproses transaksi.
Ketiga, informasi transaksi dikirimkan dalam format standar.
1. Standar EDI
Kunci keberhasilan EDI adalah penggunaan formatstandar untuk pengiriman
pesan antar system yang berbeda. Selama bertahun tahun, baik di Amerika
Serikat maupun internasional, sejumlah format telah diusulkan. Amerika Serikat
menggunakan format standar American Natioal Standards Institute (ANSI)
X.12. Standar yang digunakan secara internasional adalah format EDI untuk
administrasi, perdagangan, dan transportasi (EDIFACT).

2. Manfaat EDI
 Data keying. EDI mengurangi atau bahkan menghilangkan kebutuhan untuk
entri data.
 Error reduction (Pengurangan kesalahan). Perusahaan menggunakan EDI
melihat pengurangan kesalahan data keying, interpretasi dan klasifikasi
kesalahan manusia, dan pengajuan (dokumen hilang) kesalahan.
 Reduction of paper (Pengurangan kertas.) Penggunaan amplop elektronik
dan dokumen secara drastis mengurangi bentuk kertas dalam sistem
 Postage /Ongkos kirim. Dokumen dikirimkan diganti dengan transmisi data
yang jauh lebih murah.
 Automated procedures /Prosedur otomatis. EDI mengotomatiskan kegiatan
pengguna yang terkait dengan pembelian, pemrosesan order penjualan,
pengeluaran kas, dan penerimaan kas.
 Inventory reduction /Pengurangan persediaan. Dengan memesan langsung
yang diperlukan dari vendor, EDI mengurangi jeda waktu yang
mempromosikan akumulasi persediaan.

11 |
3. Financial EDI
Ini adalah proses menggunakan EDI untuk transfer dana, penerimaan kas,
pengeluaran kas dan kegiatan pembelian dan penjualan lainnya.

Pembeli EDI Sistem menerima tagihan pemebelian dan secara otomatis

menyetujui pembayaran. Pada tanggal pembayaran, sistem pembeli secara
otomatis membuat EFT kepada bank sumber (OBK). OBK mentransfer dana
dari rekening pembeli kepada Bank Penampungan (ACH). ACH kemudian
mentransfer dana tersebut kepada RBK, yaitu rekening penjual.
Masalah dapat muncul karena cek transfer dana biasanya untuk pembayaran
beberapa tagihan, atau hanya sebagian, perbedaan persetujuan harga,
kerusakan barang, atau pengiriman yang belum diselesaikan. Permasalahan ini
biasanya diselesaikan dengan pesan melekat.
4. Kontrol EDI
Tidak adanya campur tangan manusia dalam proses EDI menghadirkan
masalah pada pengontrolan
Otorisasi transaksi dan Validasi
Pelanggan dan pemasok harus menetapkan bahwa transaksi sedang diproses
adalah untuk (atau dari) mitra dagang yang valid dan berwenang. Hal ini dapat
dicapai pada tiga poin dalam proses.
1. Beberapa VAN (Value Added Networks) memiliki kemampuan untuk
memvalidasi password dan kode ID pengguna untuk vendor dengan

12 |
 mencocokkan ini terhadap file pelanggan valid. VAN menolak transaksi
mitra dagang yang tidak sah sebelum mereka mencapai sistem vendor.
2. Sebelum dikonversi, perangkat lunak terjemahan dapat memvalidasi ID
dan password mitra dagang terhadap file validasi dalam database
perusahaan.
3. Sebelum memproses, perangkat lunak aplikasi mitra dagang yang
merefrensikan file pelanggan dan vendor file yang valid untuk
memvalidasi transaksi.

5. Access Control
Untuk berfungsi dengan lancar, mitra dagang EDI harus mengizinkan tingkat
akses ke file data pribadi yang akan dilarang di lingkungan tradisional. Untuk
itu, pengaturan mengenai seberapa dalam akses dapat diberikan harus diatur
secara jelas. Selain itu, perlindungan juga harus dibuat misalnya data
persediaan dan harga dapat dibaca tetapi tidak dapat diubah. Perjanjian mitra
Perdagangan akan menentukan tingkat kontrol akses di tempat.
EDI Audit Trail
Tidak adanya dokumen sumber dalam transaksi EDI menghilangkan jejak audit
tradisional dan membatasi kemampuan akuntan untuk memverifikasi validitas,
kelengkapan, waktu, dan akurasi transaksi. Salah satu teknik untuk memulihkan jejak
audit adalah untuk mempertahankan log kontrol, yang mencatat aliran transaksi
melalui setiap fase dari sistem EDI

 Tujuan audit adalah untuk menentukan bahwa :

1. semua transaksi EDI berwenang, divalidasi, dan sesuai dengan perjanjian
perdagangan mitra;
2. tidak ada organisasi yang tidak sah mendapatkan akses ke catatan database;
3. mitra dagang resmi hanya memiliki akses ke data yang disetujui;
4. kontrol yang memadai untuk memastikan jejak audit lengkap dari semua
transaksi EDI.

Audit Procedure :
1. Pengujian Otorisasi dan Validasi Kontrol.
Auditor harus menetapkan bahwa kode identifikasi mitra dagang diverifikasi
sebelum transaksi diproses. Untuk mencapai hal ini, auditor harus

13 |
 1. perjanjian ulasan dengan fasilitas VAN untuk memvalidasi transaksi dan
memastikan bahwa informasi mengenai mitra dagang yang valid secara
lengkap dan benar, dan
2. mengkaji perdagangan berkas pasangan valid organisasi untuk akurasi dan
kelengkapan.
2. Pengujian Akses Kontrol. Keamanan selama untuk perdagangan berkas
mitra valid dan database merupakan pusat kerangka kontrol EDI. Auditor dapat
memverifikasi kecukupan pengendalian dengan cara berikut:
a) Auditor harus menentukan bahwa akses ke valid vendor atau pelanggan file
dibatasi pada karyawan yang berwenang saja. Auditor harus memverifikasi
bahwa password dan tabel otoritas mengontrol akses ke file ini dan bahwa
data dienkripsi.
b) Perjanjian perdagangan akan menentukan tingkat akses mitra dagang
harus memiliki catatan database perusahaan (seperti tingkat persediaan
dan daftar harga). Auditor harus mencocokkan persyaratan perjanjian
perdagangan terhadap hak akses mitra dagang yang tercantum dalam tabel
otoritas basis data.
c) Auditor harus mensimulasikan akses berdasarkan sampel mitra dagang dan
berupaya untuk melanggar hak akses.
3. Pengujian Kontrol Audit Trail. Auditor harus memverifikasi bahwa sistem EDI
menghasilkan log transaksi yang melacak transaksi melalui semua tahapan
pengolahan. Dengan memilih sampel transaksi dan melacak ini melalui proses,
auditor dapat memverifikasi bahwa nilai data kunci dicatat dengan benar pada
setiap titik.

D. AUDIT PC-Based Accoutning System

Sistem akuntansi berbasis PC sudah banyak ditawarkan di pasar software.

Berbeda dengan mainframe dan client-server sistem yang sering dirancang khusus
untuk memenuhi kebutuhan pengguna tertentu, system aplikasi PC cenderung memiliki
tujuan yang melayani berbagai macam kebutuhan secara umum.

14 |
 Modul Sistem PC Accounting

a. PC Systems Risks and Control

a. Kelemahan Sistem Operasi
Berbeda dengan sistem mainframe, PC hanya menyediakan keamanan
minimal hanya pada file data dan program yang terkait. Kelemahan
Kontrol ini melekat dalam filosofi di balik desain sistem operasi PC.
Dimaksudkan terutama sebagai sistem single-user, mereka dirancang
untuk menggunakan komputer dengan mudah dan untuk memfasilitasi
akses, tidak ada pembatasan itu.
b. Weak Access Control/ Lemahnya Access Control
Keamanan software menyediakan prosedur log-on yang tersedia untuk
PC. Sebagian besar program-program ini, bagaimanapun, hanya aktif
saat computer mengalami boot dari hard drive. Seorang kriminal
komputer mencoba untuk menghindari prosedur log-on dengan
memaksa komputer untuk boot dari CD-ROM, dimana sistem operasi
yang tidak terkontrol dapat dimuat ke dalam memori komputer.

c. Inadequate Segregation of Duties / Pemisahan Tugas yang kurang

memadai
Karyawan di lingkungan PC, terutama dari perusahaan kecil,
kemungkinan memiliki akses ke beberapa aplikasi yang bukan
tugasnya. Misalnya, satu individu mungkin bertanggung jawab untuk
memasukkan semua data transaksi, termasuk order penjualan,
penerimaan kas, faktur, dan pengeluaran.

15 |
 d. Multilevel Password Control
digunakan untuk membatasi karyawan yang berbagi komputer yang
sama ke direktori tertentu, program, dan file data. Dalam pendekatan ini,
password yang berbeda digunakan untuk mengakses fungsi yang
berbeda. Karyawan akan diminta untuk memasukan password untuk
mengakses aplikasi dan data. Teknik ini digunakan untuk
mengautorisasi pembatasan individu dalam mengakses hanya
membaca, memasukan data, modifikasi data, dan menghapus data.

e. Risiko Pencurian (Risk of Theft)

Karena ukuran mereka, PC adalah obyek pencurian dan portabilitas
laptop menempatkan mereka pada risiko tertinggi. Kebijakan formal
harus berada di tempat untuk membatasi data sensitif keuangan dan
lainnya untuk PC desktop saja. Selain itu, organisasi sebaiknya
memberikan pelatihan karyawan tentang penggunaan komputer yang
sesuai.

f. Lemahnya Prosedur Backup

Kegagalan komputer, biasanya kegagalan disk, adalah penyebab utama
kehilangan data di PC, Jika hard drive dari PC gagal, memulihkan data
yang tersimpan di dalamnya mungkin mustahil. Untuk menjaga
integritas data dan program penting, organisasi perlu prosedur untuk
pencadangan formal.

g. Resiko Infeksi Virus

Ancaman paling umum bagi integritas PC dan System adalah serangan
infeksi virus. Ketaatan pada program dan kebijakan organisasi adalah
langkah penting untuk melindungi dari infeksi virus untuk efektifitas
pengendalian virus

b. Tujuan Audit Terkait dengan Keamanan PC

 Memverifikasi bahwa pengendalian berada di tempat dalam melindungi
data, program, dan autorisasi dalam mengakses computer, manipulasi,
penghancuran, dan pencurian.

16 |
  Menverifikasi bahwa pengawasan memadai dan prosedur operasi ada
untuk mengatasi kekurangan pemisahan tugas dari pengguna,
programmer, dan operator.
 Memverifikasi bahwa prosedur back-up anda untuk mencegah
kehilangan data dan program sebagai akibat dari kegagalan system,
eror dan lainya.
 Memverifikasi bahwa pemilihan system dan prosedur menghasilkan
aplikasi yang berkualitas baik, dan melindungi dari perubahan autorisasi
 Memastikan jika system yang dipilih terlindungi dan bebas dari virus
untuk meminimalkan resiko sebagai akibat dari infeksi virus atau
sejenisnya.

c. Prosedur Audit Terkait dengan Keamanan PC

 Auditor harus mengobservasi bahwa pc secara fisik menjamin mampu
mengurangi kesempatan pencurian
 Auditor harus memverifikasi bahwa dari bagan organisasi, deskripsi
tugas, dan mengamati bahwa programmer dari sistem akuntansi tidak
ikut beroperasi dalam system itu juga. Dalam unit organisasi yang lebih
kecil di mana pemisahan fungsional tidak praktis, auditor harus
memverifikasi bahwa ada pengawasan yang memadai atas tugas-tugas
ini.
 Auditor harus dapat mengkonfirmasi bahwa laporan transaksi diproses,
daftar rekening diperbarui, dan total control disusun, didistribusikan, dan
didamaikan berdasarkan manajemen yang tepat secara berkala dan
tepat waktu.
 Apabila diperlukan, auditor harus menentukan bahwa kontrol sandi
multilevel digunakan untuk membatasi akses ke data dan aplikasi dan
bahwa autoritasi akses yang diberikan konsisten dengan deskripsi
kerjaan karyawan.
 Jika hard drive removable atau eksternal yang digunakan, auditor harus
memverifikasi bahwa drive akan dipindahkan dan disimpan di lokasi
yang aman jika tidak digunakan.
 Dengan memilih sampel dari file backup, auditor dapat memverifikasi
bahwa cadangan prosedur sedang diikuti. Dengan membandingkan nilai
data dan tanggal pada disk cadangan untuk file produksi, auditor dapat

17 |
 menilai frekuensi dan kecukupan prosedur cadangan. Jika layanan
backup online yang digunakan, auditor harus memverifikasi bahwa
kontrak adalah saat ini dan cukup untuk memenuhi kebutuhan
organisasi.
 Dengan memilih sampel dari PC, auditor harus memverifikasi bahwa
paket perangkat lunak komersial yang dibeli dari vendor terkemuka dan
salinan hukum. Auditor harus meninjau seleksi dan akuisisi prosedur
untuk memastikan bahwa kebutuhan pengguna akhir sepenuhnya
dipertimbangkan dan bahwa software yang dibeli memenuhi kebutuhan.
 Auditor harus meninjau kebijakan organisasi untuk menggunakan
perangkat lunak antivirus. Kebijakan ini dapat mencakup hal berikut:
1. software antivirus harus diinstal pada semua mikrokomputer dan
digunakan sebagai bagian dari prosedur startup ketika komputer
dihidupkan. Ini akan memastikan bahwa semua sektor kunci dari hard
disk diperiksa sebelum data ditransfer melalui jaringan.
2. Semua upgrade ke vendor perangkat lunak harus diperiksa untuk
memastikan tidak adanya virus sebelum mereka diimplementasikan.
3. Semua perangkat lunak publik-domain harus diperiksa untuk
memastikan adanya infeksi virus sebelum digunakan.
4. versi sekarang dari perangkat lunak antivirus harus tersedia untuk
semua pengguna. Memverifikasi bahwa file data virus terbaru sedang
didownload secara teratur, dan bahwa program antivirus ini memang
berjalan di latar belakang PC terus menerus, dan dengan demikian
dapat memindai semua dokumen yang masuk. Versi perusahaan
umumnya mencakup "push" pembaruan di mana perangkat lunak
secara otomatis memeriksa situs Web rumah vendor antivirus untuk
update baru setiap kali terhubung ke Internet dan PC boot.

18 |
 KESIMPULAN

Sistem operasi yang ada dalam sebuah perusahaan bertanggung jawab atas kendali
dan kontrol komputer-komputer perusahaan. Sistem operasi menghubungkan antara
pengguna dan aplikasi ke sumber daya yang dimiliki komputer, seperti prosesor,
printer, database, dan lain sebagainnya. Penting bagi perusahaan untuk melindungi
sistem operasi yang ada agar tidak terjadi kegagalan sistem yang akan menghambat
kinerja perusahaan dalam melakukan aktivitas bisnisnya. Pengendalian pihak
manajemen dan audit terhadap sistem operasi penting dilakukan untuk ikut menjaga
sistem operasi. Pengawasan yang ketat terhadap individu dengan hak istimewa,
penggunaan password sekali pakai, audit sistem log (trail) dan penggunaan software
asli dan sorftware antivirus serta back up data yang otomatis berulang, merupakan
beberapa bentuk pengendalian terhadap sistem operasi. Selain itu, perusahaan
membutuhkan jaringan yang menghubungkan orang-orang yang ada dalam
perusahaan untuk berkomunikasi Ketergantungan pada jaringan untuk komunikasi
bisnis menimbulkan kekhawatiran tentang akses tidak sah ke informasi rahasia. Tanpa
perlindungan yang memadai, perusahaan membuka pintu mereka untuk hacker
komputer. Adanya audit terhadap sistem operasi, jaringan, serta media pertukaran
data (EDI) dan kendali atas PC dan sistem akuntansi perlu dilakukan untuk menjaga
keberlangsungan dan keamanan data perusahaan.

1|
 REFERENSI

A Hall, James. 2011. Information Technology Auditing. South-Western Cengage

Learning.

2|