Ruhma Syafia Dewi

17/411792/EK/21442

REVIEW CHAPTER 3 : SECURITY PART I: AUDITING OPERATING SYSTEMS

AND NETWORKS

Kontrol sistem operasi adalah program kontrol komputer yang mengendalikan user dan
aplikasi dalam berbagi dan mengakses sumber daya komputer secara umum, seperti prosesor,
memori utama, database, dan printer. Tujuan kontrol sistem operasi, antara lain:
1. Sistem operasi dapat melindungi diri dari user, sehingga terhindar dari hal-hal yang
merusak sistem operasi atau data.
2. Melindungi user terhadap user lainnya, sehingga tidak dapat saling merusak atau
menghancurkan data.
3. Melindungi user dari dirinya sendiri, misalnya module.
4. Melindungi diri dari sistem operasi itu sendiri, tidak ada module yang saling merusak.
5. Dilindungi dari lingkungannya, menghindari kegagalan daya atau bencana lain.
Keamanan sistem operasi adalah kebijakan dan kendali yang menentukan siapa saja yang
memiliki akses untuk menjalankan sistem operasi, sumber daya apa yang dapat digunakan, dan
tindakan apa saja yang dapat dilakukan. Komponen keamanan sistem operasi yaitu : (1)
Prosedur Log-On; (2) Akses token; (3) Akses control list; (4) Discretionary Access Privileges.
Beberapa ancaman yang dapat terjadi pada sistem operasi yaitu :
1. Penyalahgunakan pemberian wewenang terkait akses.
2. Celah kelemahan dari keamanan yang dimanfaatkan oleh individu.
3. Individu, sengaja atau tidak, memasukkan virus ke dalam sistem operasi.
Dalam rangka memastikan sistem operasi dari berbagai ancaman yang ada, test audit yang
dapat dilakukan pada sistem operasi, antara lain: (1) Controlling Access Privileges : auditor
memastikan access privilege sesuai dengan kebutuhan pemisahan tugas dan wewenang
perusahaan; (2) Password Control : auditor memastikan bahwa password terlindungi dengan
baik; (3) Pengendalian terhadap program yang berbahaya dan merusak : pengendalian dapat
berupa keamanan yang dirancang dengan administrasi yang baik. Jejak audit terhadap sistem
operasi juga dapat diketahui melalui (a) Keystroke Monitoring dan (b) Event Monitoring.
Tujuan mengetahui jejak audit adalah untuk mendeteksi akses yang tidak seharusnya terjadi,
melakukan rekonstruksi peristiwa, dan menjaga akuntabilitas pengguna. Mengaudit jejak audit
sistem operasi merupakan hal yang penting karena memastikan bahwa jejak audit telah cukup
memadai dalam mencegah atau mendeteksi penyalahgunaan yang mungkin terjadi.
Selain sistem operasi, audit juga dilakukan pada jaringan, baik intranet maupun internet,
yang masing-masing memiliki risiko. Risiko intranet yaitu : sniffing, akses illegal pada
database, dan penyalahgunaan privileges access, sedangkan risiko internet antara lain : IP
Spoofing, Denial of Service Attack (DOS), Smurf Attack, Distributed Denial of Service
(DDOS). Berdasarkan risiko yang kemungkinan terjadi pada jaringan, perusahaan perlu
mengetahui cara mengendalikan risiko tersebut, yaitu dengan:
a. Firewall, memaksa lalu lintas jaringan melalui jaringan dengan otorisasi. Terbagi
menjadi network-level firewall dan application-level firewall.
b. Mengendalikan DOS
c. Enkripsi, mengubah atau mengkonversi data menjadi sebuah kode rahasia. Terdapat
private key dan public key.
d. Tanda tangan digital
e. Sertifikat digital
f. Penomoran urutan pesan
g. Log transaksi pesan
h. Teknik permintaan respon
i. Call-back device
Ruhma Syafia Dewi
17/411792/EK/21442

Tujuan audit terkait pengendalian risiko di atas yaitu memberikan jaminan keamanan dan
keabsahan transaksi keuangan dengan memastikan bahwa pengendalian jaringan telah berjalan
dengan memadai.
Electronic Data Interchange (EDI) adalah kesepakatan supplier dan pelanggan
dimana pertukaran informasi dapat diproses melalui komputer antar perusahaan secara umum.
Beberapa keuntungan penggunaan EDI, antara lain:
a. Data keying
b. Error reduction
c. Pengurangan kertas
d. Mengurangi biaya pengiriman dokumen
e. Prosedur otomatis
f. Pengurangan persediaan
EDI memiliki pengendalian dan akses pengendalian yang perlu diaudit dengan tujuan
pengujian kendali otorisasi dan validasi, pengujian akses pengendalian, serta pengujian
pengendalian jejak audit.
PC-Based Accounting Systems memiliki kelemahan yaitu sistem operasi yang lemah,
akses pengendalian lemah, ketidak cukupan pada pemisahan tugas, risiko pencurian, prosedur
backup lemah, dan adanya risiko terkena virus. Banyaknya daftar risiko PC, audit perlu
dilakukan dengan tujuan:
a. Memastikan bahwa terdapat pengendalian yang menjaga data, program, dan perangkat
yang bersangkutan.
b. Memastikan adanya pengawasan yang baik pada operasional.
c. Memastikan prosedur backup data dapat menghindari risiko kehilangan data.
d. Memastikan bahwa prosedur pemilihan sistem menghasilkan aplikasi kualitas baik.
e. Memastikan sistem terbebas dari virus dan terlindung secara memadai dari risiko terkena
virus.

REVIEW CHAPTER 11 : ENTERPRISE RESOURCE PLANNING SYSTEMS

Enterprise Resource Planning (ERP) Systems adalah paket perangkat lunak modular yang
dirancang untuk mengintegrasikan proses-proses utama dalam suatu organisasi sehingga satu
sistem dapat melayani kebutuhan informasi semua bidang fungsional. Tipe sistem ERP
termasuk dua aplikasi yaitu (1) Core Application : aplikasi yang mendukung aktivitas hari per
hari dari suatu bisnis dan (2) Business Analysis Application. Selain membantu dalam
pemrosesan transaksi, sistem ERP juga membantu manajemen dalam pengambilan keputusan,
On-line Analytical Processing (OLAP) yang berkaitan dengan pengambilan keputusan,
pengambilan informasi, kapabilitas what-if. OLAP dilaksanakan melalui tahapan konsolidasi
data, drill-down untuk melihat detail data, dan slicing dan dicing untuk melihat data dari sudut
pandang yang berbeda. Konfigurasi sistem ERP : (1) Two-tier : menghandle baik aplikasi dan
kepentingan database, digunakan utamanya pada LAN; (2) Three-tier : klien menghubungkan
kepada server aplikasi kemudian memulai koneksi kedua ke server database, digunakan
utamanya pada WAN; (3) Databases and Bolt-Ons : konfigurasi database dan bolt-on software
dati pihak ketiga yang menyajikan software dengan fungsi khusus.
Data warehouse adalah multideimensional database yang seringkali menggunakan
penyimpanan gigabytes atau bahkan terabytes. Database dibangun untuk pencarian cepat,
pengambilan, dan kemudahan dalam penggunaan data. Tanpa adanya data warehouse, sistem
ERP masih tetap dapat berjalan. Terdapat lima langkah proses data warehouse, yaitu:
Ruhma Syafia Dewi
17/411792/EK/21442

1. Pemodelan data untuk data warehouse.

Terdiri dari data yang dinormalisasi. Tabel yang dinormalisasi berkaitan dengan
peristiwa yang dipilih .
2. Pengekstrakan data dari database operasional.
Proses pengumpulan data dari database operasional, flat-files, arsip, dan sumber data
eksternal. Snapshots vs Stabilized Data : fitur utama data warehouse yaitu data yang
terkandung di dalamnya berada dalam status stabil.
3. Membersihkan data yang diekstrak.
Melibatkan perbaikan data yang tidak valid sebelum disimpan pada warehouse.
Melibatkan transformasi data menjadi istilah bisnis standar dengan nilai data standar.
4. Mengubah data menjadi model warehouse.
Dalam rangka meningkatkan efisiensi, data ditransformasikan ke dalam rangkuman
sebelum diproses.
5. Pemrosesan data menuju data warehouse database.
Data warehouse harus dibentuk dan dirawat secara terpisah dari database operasional.
Risiko yang berkaitan dengan sistem ERP:
a. Kecepatan implementasi
b. Oposisi untuk berubah
c. Pemilihan ERP yang keliru
d. Pemilihan konsultan yang tidak sesuai
e. Cost yang tinggi dan kelebihan cost
f. Gangguan operasi
Implikasi untuk pengendalian internal dan audit : (1) Otorisasi transaksi; (2) Pemisahan
tugas dan wewenang; (3) Supervisi; (4) Catatan akuntansi; (5) Pengendalian akses; (6) Akses
ke gudang data; (7) Perencanaan yang berkelanjutan; dan (8) Verifikasi mandiri.