AUDITING IT GOVERNANCE CONTROLS

PENDAHULUAN

Saat ini, kemajuan teknologi menyebabkan kebutuhan manusia semakin

bertambah, terdapat keterkaitan antara kemajuan teknologi dengan bertambahnya
kebutuhan manusia, yaitu kebutuhan manusia menjadi lebih mudah untuk dipenuhi.
Secara tidak langsung manfaat dari berkembangnya teknologi adalah membantu manusia
dalam memenuhi kebutuhan hidupnya. Seperti penggunaan sistem operasi atau dalam
bahasa inggris disebut operating system atau OS adalah perangkat lunak sistem yang
bertugas untuk melakukan kontrol dan manajemen peragkat keras serta operasi - operasi
dasar sistem, termasuk menjalankan software aplikasi. Secara umum, sistem operasi
adalah software pada lapisan pertama yang ditaruh pada memori komputer pada saat
komputer dinyalakan.

Sistem operasi komputer diartikan sebagai kumpulan elemen-elemen terkait untuk

melakukan aktivitas yang berhubungan dengan penggunaan komputer, di mana komputer
sendiri dalam kehidupan sehari-hari dapat membantu manusia dalam melakukan
pekerjaannya dan pemenuhan akan transaksi pengolahan data menjadi informasi yang
mampu berjalan secara cepat, cermat, dan tepat. Menurut definisi, sistem komputer
adalah suatu jaringan elektronik yang terdiri dari perangkat lunak dan perangkat keras
yang melakukan tugas tertentu (menerima input, memproses input, menyimpan perintah-
perintah, dan menyediakan output dalam bentuk informasi).

Topik-topik yang akan diulas pada bab ini dibagi ke dalam beberapa kategori di
antaranya strukturisasi fungsi teknologi informasi (TI), pengendalian operasi pusat
komputer, sistem operasi komputer dan pengendalian keseluruhan sistem, serta
lingkungan komputer pribadi. Dalam bab ini juga akan disajikan gambaran umum
mengenai berbagai fitur sistem operasional multi-pengguna yang umum dalam jaringan
dan mainframe serta tujuan sistem operasional mendasar dan berbagai risikonya yang
mengancam keamanan sistem.
 Setelah mempelajari makalah ini, pembaca diharapkan dapat mengetahui sejarah
dan perkembangan sistem operasi komputer, memahami jenis-jenis sistem operasi
komputer, serta mampu menggunakan atau mengaplikasikan penggunaan sistem operasi
komputer dalam kehidupan sehari-hari.

PEMBAHASAN

TATA KELOLA TEKNOLOGI INFORMASI

Tata kelola TI merupakan hal yang baru dari tata kelola perusahaan yang berfokus
pada manajemen penilaian sumber daya TI. Tujuan utama tata kelola TI adalah untuk
mengurangi risiko dan memastikan bahwa investasi dalam sumber daya TI dapat
menambah nilai bagi perusahaan.

Meskipun semua masalah tata kelola TI penting bagi organisasi, tidak semuanya
merupakan masalah pengendalian internal di bawah SOX yang berdampak pada proses
pelaporan keuangan. Dalam bab ini akan dipertimbangkan mengenai tiga hal masalah tata
kelola TI yaitu:

 Sktrukturisasi fungsi TI
 Operasi komputer pusat
 Rencana pemulihan bencana

STRUKTURISASI FUNGSI TEKNOLOGI INFORMASI

Administrasi Basis Data

Perusahaan yang dikelola secara terpusat memelihara sumber daya datanya

dalam sebuah lokasi terpusat yang digunakan bersama oleh semua pengguna akhirnya.
Administrator basis data bertanggung jawab atas keamanan dan interitas basis data.

Pemrosesan Data

Bagian pemrosesan data mengelola sumber daya komputer yang digunakan untuk
melakukan pemrosesan harian berbagai transaksi. Bagian ini terdiri atas fungsi
organisasional seperti: pengendalian data, konversi data, operasi komputer, dan
perpustakaan data.
Pengendalian Data

Bagian ini berfungsi sebagai penghubung antara pengguna akhir dengan

pemrosesan data, dan sebagai fungsi pengendali untuk operasi yang terkomputerisasi.

Konversi Data

Bagian ini mentranskripsikan data transaksi dari dokumen sumber kertas ke dalam
input komputer.

Operasi Komputer

File elektronik yang dihasilkan kemudian diproses oleh komputer pusat, yang
dikelola oleh bagian operasi komputer.

Perpustakaan Data

Sebuah ruang yang berada di sebelah pusat komputer yang memberikan tempat
penyimpanan yang aman untuk berbagai file data off-line. Contohnya DVD, CD-ROM, pita,
atau alat penyimpanan lainnya.

Pengembangan dan Pemeliharaan Sistem

Bagian pengembangan bertanggung jawab untuk menganalisis berbagai

kebutuhan pengguna dan mendesain sistem baru yang dapat memenuhi berbagai
kebutuhan tersebut. Partisipan yang terlibat dalam aktivitas pengembangan sistem di
antaranya praktisi sistem, pengguna akhir, dan pemegang kepentingan. Ketika suatu
sistem baru telah didesain dan diimplemenasikan, bagian pemeliharaan sistem akan
meneruskan tanggung jawab untuk menjaganya tetap sesuai dengan kebutuhan
pengguna.

PEMISAHAN PEKERJAAN YANG TIDAK SALING BERHUBUNGAN

Memisahkan Pengembangan Sistem dan Operasi Komputer

Para ahli pengembangan dan pemeliharaan sistem seharusnya menciptakan dan

memelihara sistem bagi para pengguna, dan seharusnya tidak terlibat dalam proses
memasukkan data, atau menjalankan aplikasi (atau operasi komputer).
Memisahkan Administrasi Basis Data dari Fungsi Lainnya

Pengendalian organisasional lainnya yang penting adalah pemisahan pekerjaan

administrasi basis data (D&A) dari fungsi pusat komputer lainnya. Fungsi D&A
bertanggung jawab atas sejumlah pekerjaan penting yang berkaitan dengan keamanan
basis data, termasuk pembuatan skema basis data dan tampilan pengguna, pemberian
otoritas akses ke basis data dan ke para pengguna, pengawasan penggunaan basis data,
dan perencanaan untuk perluasan di masa depan.

Memisahkan Fungsi Pengembangan Sistem dari Pemeliharaan Sistem

Beberapa perusahaan mengatur fungsi pengembangan sistem internalnya ke

dalam dua bagian yaitu: analisis dan pemograman sistem. Bagian analisis sistem bekerja
dengan para pengguna untuk menghasilkan desain terperinci sistem yang baru. Bagian
pemograman akan mengodekan berbagai program sesuai dengan spesifikasi desain ini.
Walaupun pendekatan ini banyak digunakan, pendekatan ini dihubungkan dengan dua
jenis masalah pengendalian, yaitu dokumentasi yang tidak memadai dan potensi
terjadinya penipuan program.

Memisahkan Perpustakaan Data dari Operasional

Perpustakaan data biasanya berada dalam ruang yang bersebelahan dengan

pusat komputer dan berfungsi sebagai tempat penyimpanan yang aman berbagai file data
off-line, seperti pita magnetis dan removable disk dalam sistem tradisional. Sedangkan
pustakawan data adalah orang yang bertanggung jawab atas penerimaan, penyimpanan,
penarikan, dan pengamanan berbagai file data dan harus mengendalikan akses ke
perpustakaan tersebut.

Tren yang muncul dalam tahun-tahun terkahir menuju pada sistem real-time,
online, dan berakses langsung hingga mengurangi kebutuhan akan penyimpanan pita
secara berurutan. Jadi, perusahaan yang hanya menggunakan pita sedikit sering kali
menugaskan fungsi pustakawan data ke operator tertentu yang melakukan pekerjaan ini
berdasarkan permintaan sebagai tambahan dari fungsi operatornya. Para operator yang
ditugaskan fungsi pustakawan harus memahami peran penting pengendalian dalam
tanggung jawab yang sudah jelas sangat besar ini.
Potensi eksposur dapat digambarkan dalam tiga skenario berikut ini:

 Pusat komputer terkadang sangat sibuk.

 Orang yang tidak berpengalaman melakukan fungsi pustakawan dalam waktu
sibuk mungkin mengembalikan sebuah pita ke dalam lokasi penyimpanan yang
salah di perpustakaan.
 Pustakawan secara langsung bertanggung jawab atas implementasi kebijakan
perusahaan tentang pita yang akan didaur ulang.

Tujuan Audit

 Melakukan penilaian risiko mengenai pengembangan, pemeliharaan, dan operasi

sistem
 Memverifikasi bahwa orang-orang dengan pekerjaan yang tidak kompatibel telah
dipisah sesuai dengan tingkat potensi risikonya
 Memverifikasi bahwa pemisahan tersebutdilakukan dalam cara yang dapat
mendorong lingkungan kerja di mana hubungan formal, bukan informal, ada
antarpekerjaan yang tidak saling bersesuaian tersebut.

MODEL TERDISTRIBUSI

Pemrosesan data terdistribusi (distributed data processing-DDP) merupakan topik

yang cukup luas, menyentuh berbagai topik seperti komputasi penggunaakhir, peranti
lunak komersial, dan otomatisasi kantor. DDP melibatkan reorganisasi fungsi layanan
komputer menjadi beberapa unit TI kecil yang diletakkan di bawah kendali para pengguna
akhir. Unit-unit TI tersebut dapat didistribusikan berdasarkan fungsi bisnisnya, lokasi
geografisnya, atau keduanya.

Risiko yang Berkaitan dengan DDP

 Ketidakefisienan Penggunaan Sumber Daya

Pertama, ada risiko terjadinya kesalahan manajemen atas sumber daya
keseluruhan perusahaan, terutama oleh para pengguna akhir. Kedua, ada risiko
peranti keras dan lunak tidak sesuai satu sama lain, terutama, sekali lagi, di tingkat
pengguna akhir. Ketiga, ada risiko terjadinya pekerjaan yang redundan (rangkap)
berkaitan dengan aktivitas dan tanggung jawab pengguna akhir.
  Kerusakan Jejak Audit
Penggunaan DDP dapat memengaruhi secara negatif jejak audit. Karena jejak
audit dalam sistem yang modern cenderung bersifat elektronik, merupakan hal
biasa jika sebagian atau seluruh jejak audit berada dalam berbagai komputer
pengguna akhir. Apabila pengguna akhir secara tidak sengaja menghapus jejak
audit, maka jejak audit tersebut dapat hilang dan tidak dapat dipulihkan.
 Pemisahan Tugas yang Tidak Memadai
Distribusi layanan TI ke para pengguna dapat menghasilkan terciptanya banyak
unit kecil yang tidak memungkinkan adanya pemisahan bebagai fungsi yang tidak
saling beresuaian.
 Mempekerjakan Profesioanl yang Berkualitas
Risiko kesalahan pemrograman dan kegagalan system akan meningkat secara
langsung bersamaan dengan tingkat inkompetisi karyawan. Masalah ini akan
meluas masuk kedalam ranah kauntan dan auditor, yang membutuhkan keahlian
teknis yang secra khusus dibutuhkan untuk mengaudit sistem informasi akuntansi
yang melekat dalam teknologi komputer dengan baik.
 Kurangnya standar
Karena adanya pendistrubusian tanggung jawab dalam lingkungam DDP standar
untuk mengembangkan dan mendokumentasikan sistem, pemilihan bahasa
pemrograman, pengadaan peranti keras dan lunak, serta evaluasi kinerja mungkin
jarang diaplikasikan atau bahkan tidak ada.Konsisi ini membutuhka adanya
standar yang ditentukan secara terpusat.

Kelebihan DDP

a. Penurunan biaya
Pergeseran ke DDP dapat mengurangi biaya dalam dua hal, pertama data
dapat dimasukan dan diedit di area pengguna, hingga meniadakan pekerjaan
terpusat untuk pembuatan dan pengendalian data, kedua kerumitan aplikasi
dapat dikurangi yang akhirnya akan mengurangi biaya pengembangan serta
pemeliharaan.
b. Peningkatan Tanggung Jawab Pengendalian Biaya
 Jika kemampuan TI sangat penting bagi keberhasilan suatu operasi bisnis,
maka pihak manajemen harus diberikan kendali atas berbagai sumber daya
ini.Pihak – pihak yang mendukung DDP berargumentasi bahwa keuntungan
dari perbaikan sikap pihak manajemen jauh lebih bernilai daripada biaya
tambahan yang timbul dari distribusi berbagai sumber daya ini.
c. Peningkatan Kepuasan Pengguna
Hasil ini berasal dari tiga area kebutuhan yang seringkali tidak terpenuhi dalam
pendekatan pusat yaitu sumber daya yang mempengaruhi profitabilitas
pengguna, kinginan adanya professional sistem dan pengguna ingin dilibatkan
secara aktif dalam pengembangan dan implementasi sistem mereka sendiri.
d. Fleksibilitas Cadangan
Kemampuan untuk membuat cadangan fasilitas computer agar terlindung dari
potensi bencana caranya denagn menyediakan fasilitas komputer kedua.

Mengendalikan Lingkungan DDP

DDP membawa nilai prestise yang tinggi sehingga banyak perusahaan

bergeser ke DDP tanpa mempertimbangkan apakah struktur organisasional yang
terdistribusi nantinya dapat membuat menjadi lebih baik atau sebaliknya. Banyak
sekali usaha terkait DDP yang memang terbukti tidak efektif karena para
pengambil keputusan hanya melihat sisi positif dalam system ini yang bersifat
simbolis dari pada kenyataan, agar tersebut tidak terulang lagi, para pengambil
keputusan harus menilai berbagai sisi positif yang nyata dari system DDP bagi
perusahaan. Disinilah auditor memiliki peluaang dan kewajiban penting untuk
menganalisis hal tersebut.
1. Mengimplementasikan Fungsi TI Perushaan
Didalam banyak perusahaan, masalah pengendalian dapat diatasi dengan
mengimplementasikan fungsi TI perusahaan. Fungsi ini banyak berkurang dari segi
ukuran dan statusnya dibanding model terpusat, dan dalam fungsi ini, terdapat
pengembangan system dan manajemen berbasis data untuk system keseluruhan
perusahaan. Berikut layanan yang disediakan yaitu:
 Pengujian terpusat atas peranti lunak komersial dan peranti keras
Kelompok TI terpusat perusahaan dapat mengevaluasi dengan baik berbagai
sisi positif piranti lunak dan keras yang dijual di pasaran. Setelah dilakukan
 analisa dan pengujian, hasil pengujian tersebut di share ke berbagai area
pengguna sebagai sebuah standar dalam pengadaan.
 Layanan pengguna
Fungsi layanan pengguna menyediakan bantuan teknis bagi para pengguna
dalam melakukan instalasi piranti lunak baru, dan jugamengatasi
permasalahan terkait piranti lunak dan keras, salah satunya dengan
pembuatan papan bulletin elektronik. Beberapa form modern yang juga dapat
memberikan manfaat yang sama yaitu chat room, diskusi bersambung, atau
dukungan dalam bentuk FAQ dan intranet.
 Lembaga pembuat standar
Lingkungan pengendalian yang kurang baik sebagai dampak dari adanya DDP
dapat diperbaiki dengan membuat beberapa petunjuk terpusat, dengan cara
menyebarluaskan ke berbagai area pengguna standar yang tepat untuk
pengembangan system, pemograman dan dokumentasi system.
 Kajian personel
Kelompok perusahaan mugkin lebih baik persiapannya dari pada para
penguna dalam mengevaluasi secara teknis kualifikasi para calon praktisi
system, walauapun para praktisi system sebenarnya menjadi bagian dalam
kelompok pengguna.

2. Tujuan Audit

 Untuk memastikan bahwa struktur fungsi IT terpisah dari area yang tidak
kompatibel dengan tingkat risiko potensial.
 Untuk memastikan bahwa terdapat hubungan yang benar dan sesuai.

3. Prosedur Audit dalam Fungsi IT Terpusat

 Meninjau dokumentasi yang relevan untuk menentukan apakah individu atau
kelompok melakukan fungsi yang tidak sesuai, termasuk bagan organisasi,
pernyataan misi dan deskripsi pekerjaan.
 Meninjau dokumentasi sistem dan catatan perawatan untuk contoh aplikasi
yaitu dengan memastikan pemrogram pemeliharaan tidak termasuk untuk
program yang asli.
  Pastikan operator komputer tidak memiliki akses ke detail operasional logika
internal sistem, termasuk dokumentasi sistem, seperti diagram alur sistem, dan
lain-lain.
 Menentukan bahwa kebijakan pemisahan dalam pantauan yaitu dengan
meninjau log akses ruang operasi, menentukan apakah pemrogram masuk
karena kegagalan sistem atau karena alasan lain.

4. Prosedur Audit dalam Fungsi IT Terdistribusi

 Meninjau bagan organisasi saat ini, pernyataan misi dan deskripsi pekerjaan
untuk fungsi-fungsi utama untuk menentukan apakah individu atau kelompok
melakukan tugas yang tidak sesuai.
 Memastikan bahwa kebijakan dan standar perusahaan diterbitkan dan
disediakan untuk unit TI yang didistribusikan.
 Memastikan kontrol kompensasi digunakan ketika pemisahan tugas yang tidak
kompatibel tidak layak.
 Meninjau dokumentasi sistem untuk memverifikasi bahwa aplikasi, prosedur,
dan basis data dirancang dan berfungsi sesuai dengan standar perusahaan.

PUSAT KOMPUTER

Tujuan dari bagian ini adalah menyajikan pengendalian pusat computer yang dapat
membantu menciptakan lingkungan yang aman. Berikut ini yaitu fitur pengendalian yang
secara langsung dapat berkontribusi pada keamanan lingkungan pusat computer
a. Pengendalian Pusat Komputer
Lokasi fisik
Lokasi ini secara langsung mempengaruhi berbagai resiko bencana dan
ketersediaan. Sebisa mungkin pusat computer harus jauh dari berbagai ahaya yang
ditimbulkan alam dan manusia seperti pabrik pemrosesan, pipa gas, air, bandara dan
wilayah yang tingkat kejahatannya tinggi, dataran yang banjir dan struktur geologi
yang tidak tepat.
Konstruksi
 Idealnya, pusat computer harus ditempatkan di dalam bangunan berlantai satu
yang konstruksinya solid dengan akses terkendali. Utilitas dan saluran komunikasi
seharusnya ditanam dibawah tanah dan juga jendela bangunan tidak boleh terbuka
Akses
Akses pusat komputer harusnya dibatasi hanya untuk para operator dan
karyawanlainnya yang bekerja ditempat tersebut.pengendalian fisik dapat berupa
pintu terkunci yang dapat diakses hanya dengan keypad atau kartu gesek.
Pengatur suhu udara
Suhu udara computer berkisar dari 70 hingga 75 derajat Fahrenheit dengan
kelembapan relative 50%.
Pemadam kebakaran
Beberapa fitur utama dari system yang meliputI:
 Alarm otomati dan manual
 System pemadam kebakaran otomatis
 Alat pemadam kebakaran manual
 Konstruksi bangunan harus bagus
 Pintu keluar darurat ditandai dengan jelas
Toleransi kesalahan
Susunan Redundant of Independent Disks (RAID) yaitu dengan menggunakan disk
paralel. Sumber Daya listrik yaitu diperlukan tenaga yang bersih dan memiliki daya
cadangan (daya tanpa gangguan)
Tujuan audit
Yaitu untuk mengevaluasi bebrgaia pengendalian yang mengatur keamanan pusat
computer. Auditor harus meverifikasi bahwa:
 Pengendalian kemanan fisik memadai untuk secara wajar melindungi perusahaan
dari eksposur fisik
 Jaminan perlengkapan telah memadai untuk meberikan kompnesasi pada
perusahaan jika terjadi kerusakan atau kehancuran
 Dokumentasi operator memadai untuk menangani kegagalan system
Prosedur audit
 Pengujian konstruksi fisik
 Auditor harus menetapakan pakah psuat computer telah dibangun secara kuat dari
bahan yang sudah tahan api harus ada drainase di bawah lantai yang ditinggikan
untuk memungkinkan air mengalir keluar jika terjadi banjir.
 Pengujian system deteksi kebakaran
Auditor harus meyakini bahwa alat pendeteki kebakaran ada, baik manual atau
otomatis serta diuji secara teratur
 Pengujian pengendalian akses
Auditor harus meyakini bahwa akses rutin ke pusat computer terbatas hanya untuk
orang yang berhak.
 Pengujian pasokan listrik cadangan
Harus dilakukan pengujian secara berkala untuk memastikan bahwa tempat
tersebut memiliki kapasitas yang cukup untuk menjalankan computer dan pengatur
suhu udara.
 Pengujian RAID
Menentukan apakah level RAID memadai untuk organisasi, berikan level jika risiko
bisnis terkait dengan kegagalan disk. Jika tidak ada RAID, tinjau prosedur untuk
memulihkan dari kegagalan disk
 Pengujian cakupan asuransi
Auditor setiap tahunnya harus mengkaji cakupan asuransi perusahaan atas peranti
keras, lunak dan fasilitas fisiknya. Pengadaan baru harsu didaftarkan dalam polis
asuransi dan perlengkapan serta peranti yang using harus diganti.

Perencanaan dan Pemulihan Bencana

Perencanaan pemulihan bencana adalah pernyataan yang komprehensif tentang
semua tindakan yang akan dilakukan sebelum, selama dan setelah adanya bencana
jenis apapun, bersama dengan berbagai prosedur yang didokumentasikan dan diuji
yang akan memastikan kebrlanjutan operasi perusahaan. Semua rencana akan baik
jika memiliki tiga fitur yaitu:

1. Mengidentifikasi Aplikasi yang Sangat Penting

Usaha pemulihan harusnya berkonsentrasi pada berbagai aplikasi yang sangat

penting agar perusahaan dapat bertahan dalam jangka pendek. Namun pada akhirnya
untuk tujuan jangka panjang, semua aplikasi harus diperbaiki ke tingkat yang sama
sebelum terjadinya bencana. Bertahan hidup dalam jangka pendek membutuhkan
pemulihan berbagai fungsi yang menghasilkan aliran kas masuk yang memadai untuk
dapat memenuhi berbagai kewajiban jangka pendek. Misalkan saja penjualan, pencatatan
dan penagihan piutang, keputusan produksi, atau fungsi pembelian memengaruhi posisi
arus kas suatu perusahaan. Tentunya berbagai aplikasi yang mendukung hal-hal diatas
secara langsung sangat penting. Oleh karenanya, aplikasi-aplikasi ini seharusnya menjadi
prioritas dalam rencana pemulihan.

Prioritas ini dapat berubah setiap waktu, oleh karenanya keputusan ini harus dinilai
kembali secara terukur dan teratur. Begitu pula DRP yang harus diperbarui untuk
mencerminkan perkembangan baru dan mengidentifikasi berbagai aplikasi yang sangat
penting. Pekerjaan untuk mengidentifikasi hal yang sangat penting dan memprioritaskan
berbagai aplikasi akan membutuhkan keterlibatan aktif berbagai departemen pengguna,
akuntan, serta auditor. Pekerjaan ini merupakan keputusan bisnis dan seharusnya dibuat
oleh mereka yang paling memahami masalahnya.

2. Membentuk Tim Pemulihan dari Bencana

Kegagalan melakukan berbagai pekerjaan penting akan memperlama masa

pemulihan dan mengurangi prospek keberhasilan pemulihan. Untuk menghindari adanya
duplikasi pekerjaan atau pekerjaan yang terlewat maka tanggung jawab pekerjaan harus
secara jelas dikomunikasikan ke berbagai personel yang terlibat. Anggota tim haruslah
para ahli di bidang masing-masing dan memiliki pekerjaan tertentu yang ditugaskan
padanya. Setelah terjadinya bencana, anggota tim mendelegasikan berbagai
subpekerjaan ke bawahan mereka.

3. Menyediakan Lokasi Cadangan

Hot Site/Pusat Operasional Pemulihan. Karena banyak sekali investasi yang dilibatkan,
hot site biasanya digunakan bersama dengan beberapa perusahaan. Perusahaan-
perusahaan ini dapat membeli sebagian atau menjadi pelanggan hot site terkait dengan
membayar biaya bulanan atas hak penggunaannya. Hot site dapat dibuat sesuai
kebutuhan untuk melayani berbagai kebutuhan para anggotanya atau di desain untuk
mengakomodasi sejumlah besar sistem komputer. Keuntungan pilihan hot site apabila
dibandingkan dengan cold site adalah akan benar-benar mengurangi masa pemulihan
awal. Hot site memiliki berbagai fasilitas, perlengkapan, dan bahkan sistem operasi di
dalamnya. Lokasi ini bahkan dapat diatur agar sistem sistem siap dipakai sepanjang
waktu.

Cold Site/Ruang Kosong. Pendekatan ini melibatkan dua lokasi komputer, tetapi tanpa
adanya perlengkapan komputer serta periferal. Pendekatan ruang kosong ini memiliki dua
masalah besar. Pertama, pemulihan tergantung pada ketersediaan peranti keras komputer
yang dibutuhkan untuk memulihkan fungsi pemrosesan data secara tepat waktu. Pihak
manajemen harus mendapatkan jaminan dari vendor peranti keras bahwa para vendor
tersebut akan memberikan prioritas untuk memenuhi berbagai kebutuhan perusahaan jika
terjadi bencana. Masalah kedua adalah potensi adanya persaingan antara beberapa
pengguna atas sumber daya ruangan.

Masa-masa kebingungan setelah terjadinya bencana bukanlah waktu yang tepat

untuk menegosiasikan hak kepemilikan semacam ini. Oleh karena itu, pihak manajemen,
akuntan, dan auditor harus mempertimbangkan potensi masalah yang dapat timbul akibat
dari jumlah anggota yang terlalu banyak dan kelompok area geografis para anggotanya.

Perjanjian Bantuan Saling Menguntungkan. Hal ini merupakan suatu kesepakatan

antara dua atau lebih perusahaan untuk saling membantu dalam hal kebutuhan
pemrosesan data jika terjadi suatu bencana. Perjanjian timbal balik semacam ini adalah
pilihan yang banyak diminati karena relatif bebas biaya selama tidak terjadi bencana dan
memberikan kenyamanan psikologis. Agar dapat mengandalkan kesepakatan ini pada
tingkat terpenting dalam pemulihan dari bencana maka akan dibutuhkan tingkat
kepercayaan tertentu serta kesetiaan yang teruji, yang kesemuanya bukan merupakan ciri
khas dari manajemen yang baik serta para auditornya.

Cadangan yang Disediakan secara Internal. Perusahaan yang lebih besar cenderung
lebih suka mengandalkan diri sendiri dengan syarat adanya pembentukan kelebihan
kapasitas internal. Pilihan ini memungkinkan perusahaan mengembangkan konfigurasi
perangkat keras dan lunak, yang dapat memastikan kesesuaian fungsional antarpusat
pemrosesan datanya dan meminimalkan masalah perpindahan ketika terjadi bencana.
Cadangan Peranti Keras. Jika entitas terkait menggunakan metode cold site untuk
menyediakan lokasi cadangan, maka entitas tersebut harus mendapatkan suatu jaminan
bahwa perlengkapan dalam bantu peranti keras komputer akan siap tersedia ketika terjadi
kondisi darurat.

Cadangan Peranti Lunak: Sistem Operasi. Jika perusahaan menggunakan metode cold
site atau metode yang lainnya yang tidak meliputi sistem operasi yang kompatibel, maka
DRP harus mencakup prosedur untuk membuat salinan dari sistem operasi entitas terkait
yang siap diakses jika terjadi bencana.

Cadangan Peranti Lunak: Aplikasi. DRP harus memasukkan suatu prosedur untuk
menyediakan salinan aplikasi-aplikasi peranti lunak yang penting. Prosedur ini dapat
dicapai dengan menyediakan salinan yang cukup berbagai aplikasi yang sangat penting di
lokasi cadangan yang tepat.

File Data Cadangan. Basis data seharusnya disalin setiap hari ke media berkapasitas
dan berkecepatang tinggi, seperti CD/DVD dan lokasi aman yang berada di luar
perusahaan.

Dokumentasi Cadangan. Dokumentasi sistem untuk berbagai aplikasi yang paling

penting seharusnya dibuaut cadangannya dan disimpan di luar perusahaan dengan cara
yang sama seperti menyimpan file data. Proses tersebut dapat menjadi lebih efisien
melalui penggunaan alat dokumentasi CASE.

Cadangan Dokumen Pasokan dan Dokumen Sumber. Perusahaan harus menyediakan

cadangan persediaan pasokan dan dokumen sumber yang digunakan dalam aplikasi yang
sangat penting. Contohnya adalah kartu persediaan, faktur, pesanan pembelian. DRP
harus memerinci jenis dan kuantitas yang dibutuhkan dokumen khusus ini. Salinan
dokumen DRP terkini juga seharusnya disimpan diluar perusahaan dalam lokasi yang
aman.

Menguji DRP. Pengujian tersebut mengukur kesiapan berbagai personel dan

mengidentifikasi aspek yang hilang atau tidak seimbang dalam rencana terkait. Ketika
ancaman diumumkan, status semua pemrosesan yang terkena dampak harus
didokumentasikan. Idealnya, pengujian meliputi penggunaan berbagai fasilitas dan
perlengkapan cadangan. Pada tahap kesimpulan pengujian, hasil yang didapat kemudian
dianalisis dan laporan DRP dibuat. Pihak manajemen harus mencari tiap ukuran kinerja
pada tiap area berikut: 1) efektivitas personel tim DRP, 2) tingkat keberhasilan konversi, 3)
perkiraan kerugian finansial, dan 4) efektivitas cadangan program, data, dan dokumentasi.

Tujuan Audit. Memverifikasi bahwa rencana pemulihan bencana cukup untuk memenuhi
kebutuhan perusahaan dan bahwa implementasinya dapat dilakukan.

Prosedur Audit. Memverifikasi bahwa DRP pihak manajemen adalah solusi untuk
menangani suatu bencana yang dapat meniadakan sumber daya komputer perusahaan.
Berbagai pengujian berikut ini memfokuskan diri pada area yang paling banyak
dikhawatirkan.

Cadangan Lokasi. Auditor harus mengevaluasi kecukupan pengaturan lokasi cadangan.

Daftar Aplikasi Penting. Hal ini dilakukan untuk memastikan bahwa daftar tersebut
lengkap. Aplikasi yang terlewat dapat menyebabkan kegagalan pemulihan. Begitupun
ketika memasukkan aplikasi yang tidak terlalu dibutuhkan dalam daftar aplikasi maka akan
memecah perhatian dari tujuan utama selama masa pemulihan.

Cadangan Peranti Lunak-Aplikasi. Auditor harus memverifikasi bahwa salinan data

penting disimpan diluar lokasi perusahaan.

Cadangan Data. Auditor harus memverifikasi bahwa salinan file data penting dibuat
cadangannya sesuai DRP.

Cadangan Perlengkapan, Dokumen. Juga harus dibuat cadangannya diluar lokasi

perusahaan.

Tim Pemulihan dari Bencana. DRP harus jelas memncantumkan nama, alamat,, dan
nomor telepon darurat para anggota tim pemulihan bencana. Auditor harus memverifikasi
anggota tim merupakan karyawan yang masih bekerja dan menyadari tanggung jawab
yang diberikan.

Toleransi Kegagalan. Merupakan kemampuan sistem untuk melanjutkan operasinya

ketika sebagian dari sistem tersebut gagal karena adanya kegagalan peranti keras,
program aplikasi, atau kesalahan operator.
MANFAAT IT OUTSOURCING

Kebanyakan perusahaan telah memilih untuk menggunakan tenaga outsourcing,

mempercayakan kepada pihak ketiga untuk mengambil alih tanggung jawab dalam
manajemen aset dan staff, serta pemeliharaan aplikasi. Beberapa keuntungannya antara
lain dapat meningkatkan kinerja bisnis inti, meningkatkan kinerja TI, dan mengurangi biaya
TI.

Risiko Pengalihdayaan IT

 Kemungkinan gagal dilakukan

 Eksploitasi vendor
 Biaya outsourcing melebihi manfaat yang didapatkan
 Perihal keamanan menjadi berkurang
 Hilangnya keunggulan strategis

Implikasi Audit Outsourcing TI

 Manajemen mempertahankan tanggung jawab SOX untuk memastikan kontrol

internal TI yang memadai
 Diperlukan laporan SAS atau audit vendor No. 70

PENGENDALIAN SISTEM OPERASI DAN PENGENDALIAN KESELURUHAN SISTEM

Sistem operasi adalah program pengendali dalam komputer, yang memungkinkan

para pengguna dan aplikasi di dalamnya untuk berbagi dan mengakses sumber daya
komputer bersama, seperti prosesor, basis data, dan printer. Sistem operasi melakukan
tiga kegiatan utama. Pertama, sistem ini menerjemahkan bahasa tingkat tinggi, seperti
COBOL, BASIC, bahasa C san SQL ke dalam bahasa tingkat mesin yang dapat dijalankan
oleh komputer. Kedua, sistem operasi mengalokasikan berbagai sumber daya komputer
ke para pengguna, kelompok kerja, dan aplikasi. Ketiga, sistem operasi mengelola
berbagai pekerjaan penjadwalan pekerjaan dan multipemriigraman.

Keamanan Sistem Operasi. Melibatkan kebijakan, prosedur, dan pengendalian yang

menentukan siapa saja yang dapat mengakses sistem operasi, sumber daya mana yang
dapat diakses, dan tindakan apa yang dapat dilakukan.
Prosedur Logon

Prosedur logon yang formal adalah pertahanan garis depan sistem operasi dari akses
tidak sah, dimana pengguna akan disajikan sebuah kotak dialog yang meminta ID dan
kata sandinya.

Acces Token

Jika usaha logon berhasil, sistem operasi akan membuat acces token yang berisi
informasi utama pengguna, termasuk ID, kata sandi, kelompok pengguna, dan hak yang
diberikan kepada pengguna tersebut.

Daftar Pengendalian Akses

Akses ke berbagai sumber daya sistem seperti direktori, file, program dikendalikan oleh
daftar ini yang dibuat untuk setiap sumber daya. Daftar ini berisi informasi yang
menetapkan hak akses semua pengguna valid atas sumber daya yang terkait.

Pengendalian Akses Mandiri

Dalam sistem terdistribusi, sumber daya dapat dikendalikan oleh pengguna akhi. Para
pemilik sumber daya dapat diberikan pengendalian akses mandiri yang memungkinkan
mereka memberikan hak akses ke pengguna lainnya. Contohnya kontroler, orang yang
merupakan pemilik file buku besar, memberikan hak baca saja kepada seorang manajer di
bagian penganggaran.

Discretionary Access Control

Administrator pusat sistem biasanya menentukan siapa yang memberikan akses
ke sumberdaya khusus dan mempertahankan catatan akses pengendalian. Dalam sistem
yang terdistribusi, meskipun demikian, sumberdaya dapat dikendalikan oleh pengguna
akhir. Para pemilik sumberdaya pada setting ini dapat diberikan akses pengendalian yang
bebas untuk menentukan, yang membenarkan mereka untuk memberikan akses hak
istimewa ke para pengguna yang lainnya.

ANCAMAN-ANCAMAN TERHADAP INTEGRITAS SISTEM OPERASI

 Sasaran sistem operasi terkadang tidak tercapai dikarenakan adanya ancaman
sistem operasi itu sendiri, baik secara disengaja maupun tidak disengaja.
 Accidental threats
Contoh: kegagalan hardware yang menyebabkan sistem operasi error
  Intentational threats
Ancaman yang disengaja seperti akses data illegal atau melanggar privacy
pemakai untuk keuntungan financial. Intentational threat dapat datang dari 3 sumber,
yaitu:
1. Individu yang memliki hak akses istimewa menyalahgunakan hak istimewa yang
mereka miliki.
2. Individu yang mengotak-atik sistem operasi dengan tujuan merusak sistem
keamanan operasi.
3. Individu yang sengaja memasukkan virus atau bentuk lainnya yang dapat
merusak program sistem operasi.

PENGENDALIAN KESELURUHAN SISTEM

Membahas mengenai pengendalian sistem.
PENGENDALIAN HAK AKSES
Merupakan hak istimewa untuk mengakses tugas invidual atau seluruh tugas yang
diotorisasi oleh sistem. Hak istimewa meliputi petunjuk, file, aplikasi dan berbagai sumber-
baik akses ke individu maupun secara keseluruhan. Manajemen harus memastikan bahwa
individu telah melakukan segala sesuatu yang merupakan tugasnya. Misalnya saja, juru
tulis diberi kuasa untuk mengakses dan diperbolehkan melakukan perubahan dalam
piutang dagang.
Audit Objective:
 Memeriksa bahwa hak istimewa telah diberikan secara konsisten dengan kebutuhan
untuk pemisahan fungsi dan sejalan dengan kebijakan organisasi.
Audit Procedure:
 Meninjau ulang kebijakan-kebijakan organisasi untuk memisahkan fungsi-fungsi yang
bertentangan dan memastikan bahwa fungsi-fungsi tersebut layak.
 Meninjau ulang hak istimewa dari suatu pemilihan grup pengguna dan individu untuk
menentukan jika hak akses mereka sesuai dengan diskripsi tugas dan posisi-posisi
 mereka. Auditor harus memeriksa bahwa individu yang memiliki hak istimewa
mengakses data dan program sebatas yang mereka perlu ketahui.
 Meninjau ulang catatan personalia untuk menentukan apakah karyawan yang memiliki
hak istimewa telah menjalani izin keamanan intensive yang cukup dalam memenuhi
kebijakan perusahaan.
 Meninjau ulang catatan personal untuk menentukan apakah pegguna secara formal
pada umumnya memahami adanya tanggung jawab untuk/ memelihara kerahasiaan
data perkumpulan.
 Meninjau ulang pemberian izin. Pemberian izin harus sesuai dengan tugas yang
sedang dikerjakan

PENGENDALIAN PASSWORD
Password adalah kode rahasia yang dimasukkan oleh pemakai untuk dapat
mengakses sistem, aplikasi, file data, atau sebuah jaringan server. Apabila pemakai tidak
dapat memberikan password yang benar, sistem operasi akan menunda akses. Walaupun
password dapat memberikan keamanan, bila membebankan pada nonsecurityminded
pemakai, prosedur password dapat mengakibatkan kesulitan dalam akses sistem operasi
itu sendiri. Keadaan yang sering terjadi berkaitan dengan penggunaan password:
1. Password lupa dan sistem menjadi terkunci
2. Terlalu sering mengganti password dapat menjadi kelemahan
3. Setelah syndrome, dengan bantuan password sama dengan menulis dan menunjukkan
untuk dilihat
4. Password dapat dengan mudah mengantisipasi kejahatan dengan menggunakan
komputer.
Reusable Password
Metode yang paling banyak digunakan untuk pengawasan password adalah
reusable password. Pemakai menetapkan password sekali kepada sistem dan kemudian
digunakan kembali untuk mendapat akses di masa datang. Sistem operasi yang sering
digunakan hanya mengatur standar utama untuk menerima password. Kualitas dari
keamanan ditetapkan oleh reusable password tergantung pada kualitas password itu
sendiri. Alternatif penggunaan reusable password adalah one-time password.
One Time Password
 Pemakai on-time password hanya memasukkan password sekali. Salah satu
teknologi yang menggunakan one time password adalah smart card.
Password Policy
Eksekutif manajemen dan manajemen information sistem sebaiknya memikirkan
kebijakan password yang efektif berdasar pada resiko dan pengawasan. Kebijakan dimulai
dengan komunikasi yakni manajemen harus yakin semua pekerja dan pemakai
mengetahui tentang kebijakan password. Panjang password harus ditentukan,
Audit Objectives
Memastikan bahwa organisasi memiliki kebijakan password yang memadai dan
efektif untuk pengaturan akses ke sistem operasi.
Audit Procedures
 Memeriksa apakah semua pemakai telah memiliki password
 Memeriksa apakah pemakai baru telah diajarkan cara penggunaan password dan
pentingnya pengaturan password.
 Menentukan prosedur-prosedur yang ditempatkan untuk mengidentifikais kelemahan
passwords
 Menilai kecukupan standar password seperti lamanya dan waktu berakhirnya
 Mereview kebijakan dan prosedur akun lokout.

PENGENDALIAN TERHADAP OBYEK YANG MERUSAK DAN RISIKO E-MAIL

Surat elektronik (e-mail) merupakan fungsi internet yang paling popular, dan jutaan
surat berputar ke seluruh dunia tiap hari.Kebanyakan organisasi menerima e-mail,
walaupun mereka tidak memiliki servers e-mail sendiri. Tetapi e-mail memberikan resiko
yang melekat hal itulah yang harus dipertimbangkan oleh auditor. Resiko yang paling
rentan menyerang perusahaan adalah munculnya virus atau worm. Penyebaran virus
biasa melalui attachments ke e-mail. Virus bertanggungjawab atas kerugian perusahaan
yang mencapai jutaan dollar tiap tahunnya. Kerugian terjadi karena virus merubahan dan
menghancurkan data, menurunkan performa komputer, rusaknya hardware, pelanggaran
rahasia, dan menyediakan waktu untuk memperbaiki kerusakan.

Virus
 Virus komputer merupakan program komputer yang dapat menggandakan atau
menyalin dirinya sendiri dan menyebar dengan cara menyisipkan salinan dirinya ke dalam
program atau dokumen lain. Virus komputer dapat dianalogikan dengan virus biologis
yang menyebar dengan cara menyisipkan dirinya sendiri ke sel makhluk hidup. Virus
komputer dapat merusak (misalnya dengan merusak data pada dokumen), membuat
pengguna komputer merasa terganggu, maupun tidak menimbulkan efek sama sekali.
Virus komputer umumnya dapat merusak perangkat lunak komputer dan tidak dapat
secara langsung merusak perangkat keras komputer dengan cara memuat program yang
memaksa over process ke perangkat tertentu misalnya VGA, Memory bahkan Procesor.
Efek negatif virus komputer terutama adalah perbanyakan dirinya sendiri, yang membuat
sumber daya pada komputer (seperti CPU Time, penggunaan memori) menjadi berkurang
secara signifikan. Serangan virus dapat dicegah atau ditanggulangi dengan menggunakan
perangkat lunak antivirus. Jenis perangkat lunak ini dapat juga mendeteksi dan
menghapus virus komputer, asalkan basis data virus komputer yang dimiliki oleh
perangkat lunak antivirus telah mengandung kode untuk menghapus virus tersebut.
Contoh virus antara lain Worm, Trojan, dll. Contoh antivirus yang bisa diandalkan dan
menangkal virus adalah KasperSky, AVG, AntiVir, PCMAV, Norton, Norman, dan McAfee.

Worm
Worm atau cacing komputer dalam keamanan komputer, adalah sebutan untuk
sebuah program yang menyebarkan dirinya di dalam banyak komputer, dengan
menggandakan dirinya dalam memori setiap komputer yang terinfeksi. Sebuah worm
dapat menggandakan dirinya dalam sebuah sistem komputer sehingga dapat
menyebabkan sistem tersebut mengalami crash sehingga mengharuskan server harus di-
restart. Beberapa worm juga menghabiskan bandwidth yang tersedia. Worm merupakan
evolusi dari virus komputer.
Virus komputer memang dapat menginfeksi berkas-berkas dalam sebuah sistem
komputer, tapi worm dapat melakukannya dengan lebih baik. Selain dapat menyebar
dalam sebuah sistem, worm juga dapat menyebar ke banyak sistem melalui jaringan yang
terhubung dengan sistem yang terinfeksi. Beberapa worm, juga dapat mencakup kode-
kode virus yang dapat merusak berkas, mencuri dokumen, e-mail, atau melakukan hal
lainnya yang merusak, atau hanya menjadikan sistem terinfeksi tidak berguna.
Beberapa contoh dari worm adalah sebagai berikut:
  ADMw0rm: Worm yang dapat melakukan ekspolitasi terhadap layanan jaringan
Berkeley Internet Name Domain (BIND), dengan melakukan buffer-overflow.
 Code Red: Worm yang dapat melakukan eksploitasi terhadap layanan Internet
Information Services (IIS) versi 4 dan versi 5, dengan melakukan serangan
buffer-overflow.
 LoveLetter: Worm yang menyebar dengan cara mengirimkan dirinya melalui e-
mail kepada semua akun yang terdaftar dalam Address Book Microsoft Outlook
Express/daftar kontak dalam Microsoft Outlook dengan cara menggunakan kode
Visual Basic Script (VBScript).
 Nimda
 SQL-Slammer
LOGIC BOMB
Salah satu program jahat yang ditempelkan pada program komputer agar
memeriksa suatu kumpulan kondisi di sistem. Ketika kondisi-kondisi yang dimaksud
ditemui, logic bomb mengeksekusi suatu fungsi yang menghasilkan aksi-aksi tak
diotorisasi. Logic bomb menempel pada suatu program resmi yang diset meledak ketika
kondisi-kondisi tertentu dipenuhi. Contoh kondisi-kondisi untuk memicu logic bomb adalah
ada atau tidak adanya file tertentu, hari tertentu dari minggu atau tanggal, atau pemakai
menjalankan aplikasi tertentu. Begitu terpicu, bomb mengubah atau menghapus data atau
seluruh file, menyebabkan mesin berhenti, atau mengerjakan perusakan lain.

BACKDOOR/TRAP DOOR
Trapdoor adalah kode yang menerima suatu barisan masukan khusus atau dipicu
dengan menjalankan ID pemakai tertentu atau barisan tertentu. Trapdoor menjadi
ancaman ketika digunakan pemrogram jahat untuk memperoleh pengaksesan tak
diotorisasi.
TROJAN HORSE
Trojan Horse adalah sebuah program komputer yang dibalik fungsinya/kegunaan
yang terlihat juga memiliki fungsi tambahan tersembunyi (sengaja disembunyikan oleh
pembuatnya) yang akan mengeksploitasi komputer yang menggunakannya serta secara
signifikan akan menurunkan tingkat keamanan komputer. Program trojan horse digunakan
untuk melakukan fungsi-fungsi secara tidak langsung dimana pemakai tak diotorisasi tidak
dapat melakukannya secara langsung. Contoh untuk dapat mengakses file-file pemakai
lain pada sistem dipakai bersama, pemakai dapat menciptakan program trojan horse.
Trojan horse ini ketika program dieksekusi akan mengubah ijin-ijin file sehingga file dapat
dibaca oleh sembarang pemakai. Program trojan horse yang sulit dideteksi adalah
kompilator yang dimodifikasi sehingga menyisipkan kode tambahan ke program-program
tertentu ketika dikompilasi, seperti program login. Kode menciptakan Trapdoor pada
program login yang mengijinkan pencipta log ke sistem menggunakan password khusus.
Trojan horse ini tak pernah dapat ditemukan jika hanya membaca program sumber.
Motifasi dari trojan horse adalah penghancuran data. Program muncul sebagai melakukan
fungsi-fungsi berguna, seperti kalkulator, tapi juga secara diam-diam menghapus file-file
pemakai. Trojan horse biasa ditempelkan pada program-program atau rutin-rutin yang
diambil dari BBS, internet, dan sebagainya.
Spoofing
Pemalsuan IP Address untuk menyerang sebuah server di internet, kegiatan ini
biasanya dilakukan oleh para hacker/cracker.
Spamming
Spamming adalah pengiriman mail yang mungkin tidak diinginkan/tidak disukai
penerima email. Posting yang sering mengakibatkan SPAMMING, misalnya: berita
warning virus, media buyer, multi level marketing, surat berantai, surat yang tidak berarti
(junk mail), bomb mail (mengirim email sama berulang-ulang) dan hoax email (email
bohong, dari sumber yang tidak jelas). Tujuan dari Spamming merupakan kegiatan "nakal"
lainnya di Internet seperti hacking, cracking, carding.

Chain Letters
Surat berantai, yaitu surat yang dikirimkan kepada seseorang untuk dikirim lagi ke
penerima yang lain. Surat berantai sebagian besar berisi berita-berita yang tidak dapat
dipertanggungjawabkan isinya. Cara penyebarannya surat berantai dalam surat berantai
biasanya menawarkan ganjaran uang atau keberuntungan yang akan kita terima jika kita
meneruskan email tersebut kepada orang kita kenal. Mereka menakuti kita dengan
ancaman “bad luck” dan konsekuensi yang akan kita terima kalau kita tidak meneruskan
surat tersebut.
Urban Legends
 Contoh dari urban legends adalah percakapan antara kapten kapal dengan kapal
lain yang ia kira berada dalam jalur tabrakan. Masing-masing meperdebatkan siapa yang
harus keluar dari jalur. Akhirnya orang kedua menginformasikan kepada kapten kapal
bahwa dia bukanlah kapten kapal melainkan penjaga mercusuar.Pada umumnya cerita ini
menarik, dan baris terakhir pada pesan menganjurkan penerima untuk mengirim pesan
tersebut kepada teman-temannya.
Hoax Virus Warning
Pada dasarnya hoax memiliki kesamaan dengan chain letters perbedaannya
dalam hoax tidak memberikan ganjaran uang atau keberuntungan yang akan diterima bila
mengirimkan pesan kepada orang yang dikenalnya. Trik dari hoax virus warning adalah
memberikan peringatan tentang konsekuensi yang serius akibat virus, dan pada akhir
pesan membuat seruan untuk memberitahukan semua teman sebelum mereka terinfeksi.
Dengan membuat pernyataan tersebut penulis mempunyai tujuan untuk mengedarkan
pesannya ke seluruh dunia.
Flamming
Kelakuan manusia dalam internet tidak dapat dibatasi untuk melakukan interaksi.
Karena itu, kebanyakan melakukan atau menulis sesuatu yang tidak mereka lakukan di
depan umum. Flamming adalah pesan yang dibuat penulis untuk menyerang partisipan
lain dengan sangat kasar dan sering menyangkut hubungan perorangan. Flamming juga
memasukkan kata-kata yang menghina orang lain atau suatu organisasi. Resiko dari
flaming lebih serius karena undang-undang federal mengatur mengenai pokok persoalan
seperti pelecehan seksual. Pengawasan akan memasukkan pendidikan dan kebijakan
melarang flaming dengan konsekuensinya.

Audit Objective
 Memeriksa efektifitas kebijakan manajemen dan prosedur untuk mencegah pengenalan
dan penyebaran tujuan untuk merusak.
Prosedur Audit
 Wawancara personel operasi apakah pernah dididik mengenai virus dan praktik
penggunaan komputer yang beresiko memasukkan dan menyebarkan virus dan
program perusak lainnya.
 Mengkaji prosedur operasional
  Memverifikasi administrator sistem rutin memindai terminal kerja, server file, dan
server e-mail untuk mendeteksi virus; Peranti lunak baru di uji di terminal yang
terpisah sebelum diterapkan di server host; Peranti lunak antivirus diperbarui
secara teratur dan di unduh ke tiap terminal kerja.
d. Mengendalikan Jejak Audit Elektronik
Jejak audit adalah daftar untuk mencatat berbagai aktivitas dalam tingkatan sistem,
aplikasi, dan pengguna.Jejak audit membantu mewujudkan tujuan kebijakan
keamanan. Jejak audit terdiri atas 2 jenis data audit: (1) daftar terperinci mengenai
tiap ketikan dan (2) daftar yang berorientasi pada peristiwa.
Pengawasan Ketikan
Pengawasan ketikan melibatkan pencatatan ketikan pengguna dan respons
sistem. Daftar tersebut digunakan sebagai bukti untuk merekonstruksi perincian
sebuah peristiwa atau pengendali real-time untuk memonitor atau mencegah
pelanggaran tidak sah.
Pengawasan Peristiwa
Meringkas aktivitas utama yang berkaitan dengan pengguna, aplikasi, dan sumber
daya sistem. Biasanya mencatat ID yang mengakses sistem; waktu dan durasi
penggunaan; program yang dijalankan; file, basis data, printer, dan sumber daya lain
yang diakses.
Tujuan Jejak Audit
Digunakan untuk mendukung tujuan keamanan melalui 3 cara:
1. Mendeteksi akses tidak sah ke sistem
Dapat terjadi secara real-time atau setelah kejadian. Tujuan deteksi secara real-
time adalah melindungi sistem dari pihak luar yang mencoba menembus
pengendalian sistem dan untuk melaporkan perubahan kinerja sistem yang
mengindikasikan adanya virus atau worm.
2. Rekonstruksi peristiwa
Pengetahuan mengenai kondisi yang ada pada waktu terjadinya kegagalan sistem
digunakan untuk membagi tanggungjawab dan menghindari situasi yang sama di
masa yang akan datang.
3. Meningkatkan akuntabilitas personal
Jejak audit digunakan untuk memonitor aktivitas pengguna pada tingkat perincian
yang terendah dan sebagai pengendali deteksi untuk membebankan akutabilitas
 personal atas berbagi tindakan yang dilakukan dan yang melanggar kebijakan
keamanan.
Mengimplementasikan Jejak Audit
Informasi dalam daftar audit berguna untuk mengukur potensi kerusakan dan
kerugian finansial terkait kesalahan aplikasi, penyalahgunaan wewenang, serta akses
tidak sah oleh pelanggar tidak sah dari luar, dan juga menyediakan bukti yang
berharga untuk menilai kecukupan penegndalian yang ada dan kebutuhan
pengendalian tambahan. Manfaat dan daftar audit harus dipertimbangkan bersama
dengan biaya implementasinya.
Tujuan Audit
Untuk mencegah dan mendeteksi penyalahgunaan, rekonstruksi peristiwa penting
yang mengawali kegagalan sistem dan merencanakan alokasi sumber daya.
Prosedur Audit
 Mengkaji daftar audit di layar atau melalui arsip file untuk kajian selanjutnya.
Auditor dapat menggunakan alat ekstraksi data bertujuan umum seperti ACL
untuk menilai file daftar yang diarsip untuk mencari keberadaan kondisi yang
ditetapkan, seperti:
 Pengguna yang tidak sah atau yang sudah dihentikan
 Periode ketidakaktifan
 Aktivitas disusun berdasarkan pengguna, kelompok kerja, atau departemen
 Waktu logon atau logoff
 Usaha untuk logon yang gagal
 Akses ke file atau aplikasi tertentu

 Kelompok keamanan perusahaan bertanggungjawab untuk memgawasi dan

melaporkan adanya pelanggaran keamanan.
E. Sistem Komputer Pribadi (PC)
Bagian penting dari fitur ini dicantumkan dibawah ini:
 Sistem PC relatif sederhana untuk dioperasikan dan diprogramkan serta tidak
membutuhkan pelatihan professional yang ekstensif.
 Sistem sering kali dikendalikan dan dioperasikan oleh pengguna akhir.
 PC menggunakan pemrosesan data yang interaktif.
  PC biasanya menjalankan berbagai peranti lunak aplikasi komersial yang didesain
untuk meminimalkan usaha.
 Sistem mainframe dank lien-server bekerja dibelakang layar. PC mengunduh data
dari mesin untuk pemrosesan local.
 Pengguna dapat mengembangkan peranti lunaknya sendiri dan memelihara
datanya.
a. Sistem Operasi PC
Sistem operasi terdiri atas dua jenis perintah. System-resident commands untuk
mengoordinasikan permintaan input/output serta menjalankan program. Disk-resident
commands adalah alat penyimpanan sekunder samapai ada permintaan untuk
menjalankan program utilitas bertujuan khusus ini.
Sistem operasi computer menetukan keluarga peranti lunak yang dapat digunakan
computer. Peranti lunak aplikasi ditulis untuk sistem operasi tertentu.
b. Risiko dan Pengendalian Sistem PC
Untuk lingkungan mainframe dan mikrokomputer, sistem operasi computer adalah
elemen penting dalam struktur pengendalian internal. Mainframe karena merupakan
sistem multipengguna, didesain untuk mempertahankan pemisahan antarpengguna
akhir dan hanya mengizinkan pengguna yang diotorisasi untuk mengakses data serta
program.
Terdapat banyak risiko yang baru dan berbeda berkaitan dengan PC.
Penilaian Risiko
Standar audit internal mensyaratkan auditor untuk memulai rencana audit dengan
melakukan penilaian risiko. Audit keuangan selalu berkaitan dengan risiko, keharusan
bagi seorang auditor eksternal untuk melakukan analisis menyeluruh atas risiko yang
berkaitan dengan PC. PC memperkenalkan banyak resiko tambahan atau berbeda
yang tidak ada kaitannya dengan sistem lama atau mainframe. Auditor harus
menganalisis semua aspek PC untuk memastikan resiko yang dihadapi oleh
perusahaan karena adanya PC.
Kelemahan Inheren
PC hanya menyediakan keamanan minimal atas file data dan program. Ditujukan
sebagai sistem berpengguna tunggal, PC didesain untuk membuat computer mudah
digunakan dan memfasilitasi akses, bukan untuk membatasinya. Data yang disimpan
dalam mikrokomputer dan ayang digunakan bersama oleh beberapa pengguna akan
terekspos ke akses yang tidak sah, manipulasi, dan perusakan.
Pengendalian Akses yang Lemah
Peranti lunak menyediakan prosedur logon yang tersedi auntuk PC. Dengan
memotong sistem operasi yang tersimpan di dalam computer dan peranti lunak
keamanannya, pelaku kejahatan memiliki akses tidak terbatas ke data dan program di
hard disk drive.
Pemisahan Pekerjaan yang Tidak Memadai
Dalam lingkungan PC, terutama pada perusahaan kecil, karyawan dapat memiliki
akses ke beberapa aplikasi yang memproses berbagai transaksi yang tidak saling
bersesuaian. Pengendalian kata sandi multitingkat dapat mengurangi resiko ini.
Pengendalian Kata Sandi Multitingkat
Digunakan untuk membatasi karyawan yang berbagi komputer yang sama untuk
direktori, program, dan file data tertentu. Karyawan diminta untuk menggunakan kata
sandi yang berbeda di tiap tingkatan sistem untuk mendapatkan akses. Teknik ini
dapat membatasi akses seseorang ke kemampuan membaca saja, input data,
modifikasi data, dan menghapus data.
Risiko Kerugian Fisik
Karena ukurannya PC mudah dicuri. Entitas harus menyimpan daftar PC yang
digunakan, berisi nomer seri, lokasinya diperusahaan dan pihak yang
bertanggungjawab.
Risiko Kehilangan Data
Jika data hancur, ada biaya yang timbul karena memulihkan data tersebut.
Terdapat resiko kehilangan data akibat kegagalan sistem, sabotase, dan sebagainya.
Kehati-hatian harus diterapkan untuk melindungi data sebagi aset.
Risiko Pengguna Akhir
Pengguna akhir yang terkoneksi ke sistem jaringan memiliki peluang untuk sengaja
menghapus hard drive, merusak, atau menyabotase nilai data, mencur data, dan
menimbulkan kerugian serius dalam data perusahaan di lingkungan PC. Perhatian
untuk membatasi risiko melalui pengendalian seperti pelatihan, kebijakan yang efektif
mengenai penggunaan komputer, dan penalti perlu dilakukan.
Risiko Prosedur Pembuatan Cadangan yang Tidak Memadai
 Untuk menjaga integritas data penting bagi misi perusahaan, perusahaan
membutuhkan prosedur pembuatan cadangan yang formal.
Kegagalan computer, biasanya berupa kegagalan disket adalah penyebabutama
hilangnya data dalam jumlah besar di lingkungan PC. Jika hard drive mikrokomputer
gagal, maka mungkin saja merupakan hal yang tidak mungkin untuk memulihkan data
yang dismpan dalam disket tersebut. Terdapat pilihan terkait hal tersebut, seperti
adangan local di media yang tepat, hard drive internal ganda, dan hard drive
eksternal.
Risiko yang Berkaitan dengan Infeksi Virus
Auditor bisa mendapatkan bukti yang mendukung kecukupan pengendalian virus
dengan melakukan berbagai pengujian, diantaranya:
 Memverifikasi bahwa perusahaan mengikuti kebijakan pembelian peranti lunak
hanya dari vendor yang bereputasi.
 Mengkaji kebijakan perusahaan dalam penggunaan peranti lunak antivirus.
 Memverifikasi bahwa hanya peranti lunak yang sah yang dimasukkan kedalam
PC.

Risiko Pengembangan Sistem dan Prosedur Pemeliharaan yang Tidak Memadai

Lingkungan mikrokomputer memiliki kelemahan dari sisi fitur sistem operasinya

maupun pemisahan pekerjaan yang tidak saling bersesuaian dan yang penting untuk
pengendalian.pihak manajemen harus mengimbang eksposur inheren dengan teknik
pengendalian yang lebih konvensional. Para pengguna harus mendapatkan peranti
lunak komersial dari penjual yang bereputasi.

Tujuan Audit

 Memverifikasi ada pengendalaian untuk melindungi data, program, dan computer

dari akses secara tidak sah, manipulasi penghancuran dan pencurian.
 Memverifikasi kecukupan supervise dan prosedur operasi untuk mengimbangi
kurangnya pemisahan berbagai pekerjaan antara penggunakanya, programer,
dan operator.
 Memverifikasi ada prosedur pembuatan cadangan untuk mencegah kehilangan
data serta program karena kegagalan sistem, kesalahan, dan sebagainya.
 Memverifikasi prosedur pemilihan data dan pengadaan sistem menghasilkan
aplikais yang berkualitas tinggi, dna melindungi dari perubahan yang tidak sah.
 Memverifikasi sistem bebas dari virus dan cukup terlindungi.

Prosedur Audit

 Memverifikasi bahwa mikrokomputer serta file-nya secara fisik terkendali.

 Memverifikasi dari stuktur organisasi, deskripsi pekerjaan, dan observasinya
bahwa programmer aplikasi yang melakukan fungsi keuangan signifikan tidak
mengoperasikan berbagai sistem tersebut.
 Mengonfirmasi laporan transaksi yang diproses, daftar akun yang diperbarui, dan
total pengendali dibuat, disebarluaskan, dan direkonsiliasi oleh pihak manajemen
yang terkait secara regular dan tepat waktu.
 Menentukan apakah pengendalian kata sandi multitingkat digunakan untuk
membatasi akses ke data dan aplikasi.
 Jika digunakan hard drive yang dapat dipindahkan. Auditor memverifikasi bahwa
drive terkait dipindahkan dan disimpan dalam lokasi yang aman.
 Memverifikasi prosedur pembuatan cadangan ditaati.
 Memverifikasi kode sumber aplikasi secara fisik aman dan hanya versi
kompilasinya saja yang disimpan di mikrokomputer.
 Memverifikasi peranti lunak komersial yang digunakan dalam mikrokomputer
dibeli dari vendor yang bereputasi.
 Mengkaji teknik pengendalian virus.
 KESIMPULAN

Pemrosesan data terpusat yaitu semua pemrosesan data yang dilakukan oleh satu
atau lebih komputer besar yang diletakkan di sebuah lokasi terpusat yang melayani
berbagai pengguna di seluruh perusahaan. Sedangkan saat ini perkembangan sistem
yang lebih kecil, canggih, dan murah telah mengubah secara drastis, yang disebut dengan
konsep pemrosesan data terdistribusi. Sistem operasi memungkinkan para pengguna dan
aplikasinya berbagi serta mengakses berbagai sumber daya komputer bersama, seperti
prosesor, memori utama, basis data, dan printer. Integritas sistem operasi berdampak
pada semua program yang dijalankan di sistem terkait. Jika integrasi sistem operasi turun,
pengendalian dalam tiap aplikasi akuntansi mungkin saja telah dinetralkan.

Berdasarkan penjelasan di atas, dapat diketahui bahwa kelangsungan sebuah

organisasi cukup dipengaruhi oleh perkembangan teknologi. Perusahaan membutuhkan IT
untuk memperoleh keuntungan kompetitif dan pertumbuhan perusahaan. Auditing IT
Governance Controls sangat mempengaruhi auditor dalam suatu organisasi dengan
tujuan agar mencegah beberapa kejadian yang tidak diinginkan.
 REFERENSI

Hall, James A. 2011. Information Technology Auditing and Assurance 3rd Edition. South-
Western Cengage Learning, USA: PreMediaGlobal.

Hall, James A; dan Tommie Singleton. 2007. Audit Teknologi Informasi dan Assurance
Edisi 2 Buku 1. Jakarta Selatan: Salemba Empat.