Tugas Audit Sistem Informasi Terkait Outsourcing IT Function

1. Mengapa outsourcing IT function dapat memperbaiki proses bisnis ?

Jawab : Dengan adanya pihak lain (outsourcing) dalam pengembangan dan pengelolahan IT
maka proses bisnis dalam perusahaan akan semakin efektif dan efisien karena system yang
digunakan tentu saja baik dan memiliki kemugkinan kecil untuk gagal. Selain itu system IT
diolah dengan orang yang professional dan berpengalaman.

2. Mengapa outsourcing IT function dapat memperbaiki kinerja IT ?

Jawab : Dengan menggunakan pihak lain (outsourcing) untuk suatu pekerjaan yang bukan
menjadi corebussiness suatu perusahaan adalah hal yang menguntungkan untuk perusahaan.
Dengan outsourcing pihak perusahaan akan lebih banyak memperoleh manfaat karena sudah
tentu jasa tersebut berasal dari orang yang sudah professional. Para pihak professional (pihak
lain) perusahaan tentu saja sudah mengerti terkait perkembangan dan pemeliharaan IT karena
sudah menjadi corebussiness mereka. Dengan begitu, mudah saja bagi mereka untuk terus
memperbarui dan mengembangkan kinerja suatu system teknologi informasi yang ada disuatu
perusahaan (client ). Maka dari itu penggunaan outsourcing dalam perusahaan yang
corebussinessnya bukan pada IT akan membantu dan meningkatkan kinerja.

3. Mengapa outsourcing IT function dapat mengurangi biaya IT ?

Jawab : Jika menggunakan para pegawai perusahaan (corebussiness tidak IT) maka perusahaan
perlu mengeluarkan biaya untuk pelatihan pegawai, belum lagi IT itu adalah hanya lah hal
pendukung bagi perusahaan. Selain itu jika menggunakan para pegawai perusahaan
ketidakpastian akan suatu system atau pengembangan system tentu semakin besar dan nantinya
akan menimbulkan kerugian bagi perusahaan. Maka dari itu, bekerjasama dengan perusahaan
lain (outsourcing) adalah suatu cara yang tepat untuk mengatasi hal – hal semacam ini karena
para outsource adalah orang –orang yang sudah berpengalaman dan professional pada bidang IT
sehingga tidak perlu lagi mengeluarkan biaya – biaya pelatihan terkait dengan pengembangan
dan pengelolahan IT.

4. Apa yang dimaksud Asersi manajemen ?

Jawab : Representasi pernyataan yang tersirat atau diekspresikan oleh manajemen tentang kelas
transaksi dan akun serta pengungkapan yang terkait dalam laporan keuangan.
TUJUAN PEMBELAJARAN

1. Mampu mengidentifikasi ancaman utama terhdap system operasi dan control teknik yang
digunakan untuk meminimalkan kemungkinan paparan yang sebenarnya.
2. Akrab dengan resiko utama yang terkait dengan perdagangan yang dilakukan melalui
internet serta memahami teknik control yang digunakan.
3. Terbiasa dengan resiko yang terkait dengan system komputerisasi pribadi
4. Kenali ekspour unik yang muncul sehubung dengan pertukaran data elektronik ( EDI )
dan paham bagaimana ekspour ini dapat dikurangi

AUDITING OPERATING SYSTEM

1. Operating Syatem Control Objectives
Untuk menjalankan tugasnya secara konsisten dan andal, system operasi harus mencapai 5
kontrol hal mendasar :
a. System operasi harus melindungi dirinya dari pengguna. Aplikasi pengguna tidak boleh
mengendalikan atau merusak dengan cara apapun yang akan berdampak pada berhentinya
system yang berjalan dan menghancurkan data
b. System operasi harus melindungi pengguna dari satu dengan yang lain. Seorang
pengguna tidak boleh mengakses, menghancurkan, atau merusak data dan program
pengguna lain.
c. System operasi harus melindungi pengguna dari diri mereka sendiri. Aplikasi pengguna
dapat terdiri dari beberapa modul yang disimpan dilokasi memori yang terpisah, masing –
masing dengan datanya sendiri.
d. System operasi harus dilindungi dari dirinya sendiri. System operasi juga dibuat dari
modul- modul individu.tidak ad modul yang diperbolehkan merusak atau menghentikan
modul lainnya
e. System operasi harus dilindungi dari lingkungannya termasuk padamnya listrik atau
bencana lainnya.

f. iewi
 2. Operating System Security
Berikut ini komponen dari keamanan system operasi adalah ;
a. Log on procedure. Garis pertahanan pertama melawan akses yang tidak terdeteksi atau
diotorisasi.
b. Access Token. Jika log on berhasil maka system operasi akan membuat token yang
berisi informasi kunci tentang pengguna yang digunakan untuk membuktikan semua
tindakan yang dicoba oleh pengguna selama sesi berlangsung.
c. Access control list. Ditugaskan untuk setiap sumber daya IT dan digunakan untuk
mengontrol akses ke sumber.
d. Discretionary access privileges. Mengizinkan pengguna untuk memperbolehkan akses
kepada pengguna lain
e. iuheh
3. Threats to Operating System Integrity
Ancaman kegagal/kecelakaan mencakup perangkat keras yang gagal dan aplikasi pengguna
eror. Sedangkan kegagalan yang disengajasering diupayakan untuk mengakses data secara illegal
atau merusak privasi untuk keuntungan secara financial. Dan ancaman yang berkembang adalah
program yang merusak tanpa keuntungan nyata yang bisanya berasal dari tiga sumber yaitu ;
a. Personil istemewa yang menyalhkan wewenang mereka. Administrator dan programmer
memilki kebebasan untuk mengakses program hal ini sering disalhgunakan oleh mereka.
b. Individu yang berasal baik dari dalam ataupun dari luar perusahaan berusahaan untuk
mengidentifikasi atau mengekploitasi kelemahan dari keamanan suatu system
c. Orang yang dengan sengaja (tidak sengaja) memasukkan virus ataupun merusak program
dalam system operasi
d. isyfi
4. Operating System Control
a. Control Access Privileges
Akses Istimewa – Objek Audit
Memverifikasi bahwa hak akses diberikan dengan cara konsisten dengan kebutuhan
untuk memisahkan fungsi yang tidak kompitabel dan sesuai dengan kebijakan organisasi
Akses Istimewa - Prosedur Audit
 Tinjau kebijakan untuk memisahkan fungsi yang tidak kompitebel
 Tinjau sebuah sampel dari hak isntimewa, terkhusus mengakses data dan
program
 Tinjauan catatan para karyawan untuk melihat apakah mereka telah menjaga
kerahasiaan data perusahaan
 Tinjau catatan personel untuk menentukan apakah karywan yang berhak
menjalankan pemeriksaan izin keamanan intensif yang memadai sesuai dengan
kebijakan perusahaan
 Tinjau waktu log – on yang diizinkan pengguna
uyyr
b. Password Control
Sebuah password adalah kode masuk pengguna untuk dapat mengakses program atau data.
Kebiasaan – kebiasaan umum yang dilakukan antara lain ;
 Lupa password atau gagal untuk mengubah password
 Menyimpan password dilayar display
 Password yang mudah yang kemudian dapat dengan mudah untuk digunakan
oleh tindak kejahatan
Kebanyakan password dapat digunakan kembali, manajemen harus mengubah dan melarang
password yang dinilai lemah. Dan on – time password adalah otomatisasi yang dihasilkan terus
– menerus oleh system saat pengguna memasukkan pin.

Pengendalian Password – Objek Audit

Memastikan kecukupan dan efektivitas dari kebijakan password untuk mengendalikan
akses ke system operasi

Pengendali Password – Prosedur Audit

 Memverifikasi password yang dibutuhkan untuk semua pengguna dan pengguna
baru yang diintruksikan untuk kepentingan dan penggunaan mereka
 Memastikan pengendalian pengubahan password secara teratur
 Meninjau data password untuk password yang lemah
 Memverifikasi enkripsi dari data password
  Mengaskses kecukupan dari standar password
 Menijau kembali prosedur dan kebijakan keluarnya akun
 hfha
c. Control Against Malicious And Destructive Programs
Ancaman dari program yang merusak dapat dikurangi secara subtansial melalui kombinasi
control teknologi dan prosedur administrasi. Berikut ini adalah hal – hal yang relevan dengan
system operasi ;
 Membeli perangkat lunak dari penjual yang terkemuka dan membeli yang asli
 Mnegeluarkan kebijakan kepada seluruh entitas terkait dengan penggunaan
perangkat lunak yang illegal
 Memeriksa semua pembaruan dan dominasi public perangkat lunak terkait virus
sebelum di terapkan dan digunakan
 Mengimplementasikan prosedur untuk mengubah program
 Menedukasi pengguna terkait kegagalan
 Menguji semua aplikasi sebelum digunakan
 Membuat cadangan frekuensi dan batas pengguna untuk membaca dan
menjalankan hak/kepentingan kapanpun
 Mengharuskan protocol untuk memotong kuda Trojan dan menggunakan
perangkat lunak antiviral

Virus Dan Kerusakan Program – Objek Audit

Memverifikasi efektivitas dari prosedur untuk melindungi program dari virus, worms,
back door, logic bomb, dan Trojan horses

Virus Dan Kerusakan Program – Prosedur Audit

 Mewawancari untuk memutuskan bahwa operator telah memiliki pengetahuan
dan mengerti tentang resiko
 Memverifikasi perangkat lunak baru yang diuji pada stasiun kerja sebelum
diimplementasikan
 Memverifikasi bahwa perangkat lunak antivirus mutakhir dan pemutakhiran
sering diunduh
  sygdi
d. System Audit Trial Control
System pemeriksaan jejak adalah catatan yang merekam aktivitas system, aplikasi dan level
pengguna. Dua jenis dari catatan pemeriksaan adalah ;
 Kunci pengawasan yang melibatkan perekeman keystroke pengguna dan respon
system
 Meringkas pengawasan peristiwa kegiatan inti yang berkaitan dengan sumber
daya system

Jejak Pemeriksaan – Audit Objective

Jejak pemeriksaan dapat digunakan untuk mendeteksi akses yang tidak diizinkan, rekontruksi
peristiwa, dan memajukan akuntabilitas seseorang. Manfaat harus seimbang dengan biaya.

Jejak Pemeriksaan System – Objek Audit

 Memastikan kecakpan system jejak audit memadai untuk mencegah dan
mendeteksi pelanggaran, rekontruksi kegiatan inti, dan rencana alokasi sumber
daya
 Jejak pemeriksaan –audit procedure
 Memverifikasi jejak audit telah di aktifkan sesuai kenijakan perusahaan
 Menggunakan alat ekstraksi data untuk mencari kepastian kondisi seperti ;
pengguna yang tidak diautorisasi, ketidakaktifab dari periode, aktivitas dari
periode mencakup jam masuk dan keluar, kegagalan masuk, dan specific akses
 Contoh kasus kerusakan keamanan dan evaluasi ketidak tepatan posisi mereka
untuk mengakses efektifitas keamanan kelompok.

AUDITING NETWORK
1. Intranet Risk
a. Intercepting network messages. Melacak penangkapan dari ID pengguna, password,
email yang kurang meyakinkan, dan dokumen – dokumen data keuangan
b. Accessing corporate database. Menghubungkan kepada pusat database tentang
peningkatan resiko yang dapat diakses oleh pegawai
 c. Pegawai dengan hak istimewa.
 Mengesampingkan izin akses critical data yang tidak terautorisasi
 Organisasi enggan untk menuntut
 Kelalaian pekerjaan memerlukan atasan untuk memeriksa latar belakang
pegawai. Pengadilan menanggapi aduan atasan untuk tindak kejahatan pegawai
yang dapat dicegah dengan memeriksa latar belakang.
 hfq
2. Internet Risk
a. IP Spoofing
menyamar untuk dapat mengakses sebuah server web dan/atau untuk tindakan melawan hokum
tanpa mengungkapkan siapa. DOS Attack adalah serangan untuk server web agar tidak dapat
menjalankan layanan pengguna.
 Terutama hancur pada entitas bisnis yang tidak dapat menerima dan memproses
transaksi bisnis.
 Motivasi boleh untuk menghukum perusahaan untuk sebuah keluhan atau boleh
melkaukan untuk keuntungan financial.
 gyuu
b. Denial of service Attack
Topologi jaringan kerja adalah subjek – subjek untuk resiko – resiko kegagalan alat yang
dapat disebabkan oleh corrupt atau kerusakan. Ada 3 jenis umum dari DOS Attacks ;
 SYN Flood. Ketika pihak ketiga membutuhkan kecukupan kesempatan
hubungan internet, informasi akhir tidak dikirim oleh DOS Attack, dengan
demikian mengikat server penerimaan sambil menunggu.
 Smurf. DOS menggunakan banyak sekali computer menengah untuk arus target
computer dengan pesang “pings” karena kemacetan jaringan kerja.
 Distributed Denial of Services. Memperbolehkan mengambil bentuk dari Smurf
SYN attacks tetapi dibedakan oleh nomor dari computer yang dibajak untuk
meluncurkan perlawanan.
  bsfdig
3. Controlling Risks From Subversive Threats
a. Firewall
 Mencegah akses yang tidak terautorisasi atau jaringan kerja yang bersifat privat.
Untuk menyelesaikan ini ;
 Semua lalu lintas antara jaringan luar dan hubungan didalam perusahaan harus
lulus melalui firewall
 Hanya lalu lintas resmi antara organisasi dan luar, sebagai keamanan formal,
kebijakan penentu, diizinkan melewati firewall.
 Firewall harus kebal terhadap penetrasi baik dari dalam maupun dari luar
perusahaan
Tingkat jaringan firewall menyediakan control keamanan yang rendah. Tipe firewall
terdiri dari router penyaringan yang memeriksa sumber dan tujuan alamat yang dilampirkan ke
paket pesan masuk. Firewall menerima atau menolak mengakases permintaan berdasarkan aturan
penyaringan yang elah deprogram kedalamnya. Firewall mengarahkan panggilan masuk ke
simpul penerimaan internal yang benar. Tingkat jaringan firewall tidak aman karena mereka
dirancang untuk memfasilitasi arus informai yang bebas daripada membatasi. Metode ini tidak
secara eksplisit mengontetikasi pengguna luar.
Tingkat aplikasi firewall menyediakan tingkat keamanan jaringan yang lebih tinggi,
tetapi mereka menambahkan overhead kepada kenektivitas. System ini dikonfigurasi untuk
menjalankan aplikasi keamanan yang disebut proxy yang mengizinkan layanan rutin seperti
email untuk melewati internet firewall tetapi dapat melakukan fungsi – fungsi canggih seperti
otentikasi pengguna untuk spesifik tugas. Firewall tingkat aplikasi juga menyediakan pencatatan
dan transmisi yang komprehensif alat audit untuk melaporkan aktivitas yang tidak sah.

b. Controlling Denial Of Service Attacks

Dalam Smurf Attacks, organisasi yang ditargetkan dapat memprogram firewall mengabaikan
semua konikasi dari situs penyerang setelah alamat IP penyerang ditentukan. Serangan SYN
Flood yang menggunakan IP Spoofing untuk menyamarkan sumber adalah masalah yang lebih
serius. Meskipun serangan itu sebenarnya berasal dari satu situs yang disamarkan, host computer
yang menjadi korban melihat transmisi ini berasal dari semua hal melalui internet
 Sebagai penanggulangan terhadap serangan DOS, banyak organisasi telah berinvestasi dalam
Intrusion Prevention System (IPS) yang menggunakan Deep Pocket Indpection ( DPI ). Yang
berfungsi sebagai filter / penyaring yang menghapus paket berbahaya dari aliran sebelum mereka
dapat mempengaruhi server dan jaringan

c. Encryption
Enkripsi adalah konversi data menjadi kode rahasia untuk penyimpanan dalam database dan
tranmisi melalui jaringan. Pengirim menggunakan alogaritma enkripsi untuk mengkonversi
pesan asli ( cleartext ) menjadi kode yang setara ( ciphertext ). Pada penerima kahir ciphertext
dikodekan kembali menjadi cleartext. Meode enkripsi paling awal disebut cipher Caesar
dikatakan telah biasa mengirim pesan berkode ke jendralnya dilapangan.seperti zaman modern
enkripsi memiliki dua komponen mendasar ; kunci dan alogaritma.
 Kunci adalah nilai matematika yang dipilih pengirim.
 Alogaritma dsalah prosedur menggeser setiap huruf dalam pesan teks, jumlah
posisi yang menunjukan nilai
Dua metode umum dalam enkripsi yaitu ;
 Private key encryption , advance enkripsi standar adalah enkripsi 128 – bit
teknik yang telah menjadi standar pemerintah AS untuk enkripsi kunci privat.
AES menggunakan satu kunci yang diketahu oleh pengirim dan penerima pesan.
 Public Key Encryption menggunakan dua kunci berbedan ; satu untuk
menyadikan pesan dan yang lain untuk mengkode pesan. Setiap penerima
memiliki kunci pribadi yang diismpan secara rahasia dan kunci public yang
diterbitkan.
 hsdifaai
d. Digital Signature And Certifite
Tanda tangan digital adalah otentikasi elektronik yang tidak dapat dipalsukan. Memastikan
pesan atau dokumen yang dikirim pengirim tidak rusak setelah tanda tangan diterapkan

Sertifikat digital, Memverifikasi identitas pengirim membutuhkan seritifikat digital, yang

dikeluarkan oleh pihak ketiga terpercaya yang disebut otoritas sertifikasi (CA). sertifikat digital
digunakan bersama dengan kunci public system enkripsi untuk mengotentikasi pengirim pesan.
Proses sertifikasi bervariasitergantung pada tingkat sertifikasi yang diinginkan.
 e. Other subversive threat control
 Penomoran urutan pesan (Message Sequence Numbering) memasukkan nomor
urut disetiap pesan dan setiap upaya pengrusakan, mengubah atau mengduplikat
akan dicegah dan akan menjadi jelas dipihak penerima.
 Log transaksi pesan (Message Transaction Log),semua pesan masuk dan keluar
juga dicoba akses (gagal), harus dicatat dalam log transaksi. Log harus direkam
pengguna ID, waktu akses, dan lokasi terminal atau nomor telepon dari dimana
akses berasal
 Teknik permintaan respon(Request Response Tehnique), ketika pengirim dan
penerima tidak dalam kontak konstan, penerima mungkin tidak tahu jika saluran
komunikasi telah terputus dan pesan telah dialihkan. Maka dengan teknik
permintaan respon akan dikirim secara berkala interval sinkron
 Perangkat panggilan balik (Call Back Device) seperti yang telah kita lihat,
jaringan dapat dilengkapi dengan fitur keamanan seperti kata sandi, perangkat
otentikasi, dan enkripsi, namun kelemahannya menerapkan langkah – langkah
keamanan setelah penjahat terhubung ke server jaringan.
 hfta
f. Subversive Threat – Audit Objective
Tujuan auditor adalah untuk memverifikasi keamanan dan integrasi transaksi keuangan oleh
menentukan bahwa control jaringan;
 Dapat mencegah dan mendeteksi akses illegal baik secara internal maupun dari
internet
 Akan membuat data apapun yang berhasil ditangkapp oleh pelaku
 Cukup untuk menjaga integrasi dan fisik keamanan data terhubung ke jaringan.
 Hduaguf
g. Subversive Threat – Audit Procedure
 Meninjau kecukupan firewall dalam mencapai keseimbangan antara control yang
tepat dan kenyamanan berdasarkan pada tujuan bisnis organisasi dan risiko
potensial
  Pastikan bahwa system pencegahan intruksi (IPS) dengn inpeksi paket
mendalam (DPI) tersedia untuk organisasi yang rentan terhadap serangan DOS
seperti institusi keuangan.
 Meninjau prosedur keamanan yang mengatur administrasi kunci enkripsi data
 Memverifikasi proses enkripsi dengan mengirimkan pesan pengujian dan
memeriksa konten diberbagai titik di sepanjang saluran antara pengirim dan
penerimaan lokasi
 Meninjau log transaksi pesan untuk memverifikasi bahwa semua pesan diterima
dalam log mereka
 Menguji operasi fitur panggilan balik dengan menempatkan panggilan tidak sah
dari luar instansi.
 dcagug
4. Controlling Risk From Equipment Failure
Masalah yang paling umum dalam komunikasi data adalah kehilangan data karena kesalhan
saluran. Sedikit struktur pesan dapat rusak melalui kebisingan pada jalur komunikasi. Dua teknik
berikut ini biasanya digunakan untuk mendeteksi dan memperbaiki data tersebut;
 Echo check – melibatkan penerima pesan yang mengembalikan pesan – pesan ke
pengirim
 Parity Check – memasukkan bit string ketika dibuat atau dikirim
 jdiguGF
a. Audit Objective
Tujuan auditor adalah untuk memverifikasi integrasi transaksi perdagangan elektronik dengan
menentukan bahwa ada control untuk mendeteksi dan memperbaiki kehilangan pesan karena
kegagalan peralatan.

b. Audit procedure
Prosedur pemeriksaan terkait dengan kegagalan peralatan untuk mencapai tujuan control ini,
auditor dapat memilih sampel pesan dari log transaksi dan memeriksanyauntuk konten kacau
yang disebabkan oleh derau baris. Auditor harus memverifikasi bahwa semua pesan yang rusak
berhasil dikirim ulang.
AUDITING ELECTRONIC DATA INTERCHANGE ( EDI )
EDI adalah pertukaran antar perusahaaan dari informasi bisnis yang dapat diproses
dengan computer dalam format standar.
Kunci keberhasilan EDI adalah penggunaan format standar untuk pengiriman pesan antar
system yang berbeda. Berikut ini adalah manfaat dari EDI yaitu ;
a. Penguncian data. EDI mengurangi atau bahkan menghilangkan kebutuhan untuk entri
data
b. Pengurangan kesalahan. Perusahaan yang menggunakan EDI melihat pengurangan
kesalahan penguncian data, kesalahan interpretasi dan klarifikasi manusia, dan kesalahan
pengarsipan (kehilangan dokumen)
c. Pengurangan kertas. Penggunaan amplop dan dokumen elektronik secara drastic
mengurangi bentuk kertas dalam system
d. Ongkos kirim. Dokumen yang dikirim diganti dengan tranmisi data yang jauh lebih
murah
e. Prosedur otomatis. EDI mengotomatiskan kegiatan manual yang terkait dengan
pembelian, pemrosesan pesanan penjualan, pengeluaran uang tunai, dan penerimaan uang
tunai.
f. Pengurangan inventaris. Dengan memesan langsung sesuai kebutuhan dari vendor, EDI
mengurangi jeda waktu yang mempromosikan akumulasi persediaan
Menggunakan transfer dana elektronik ( EFT ) untuk pembayaran tunai dan pemrosesan
penerimaan kas lebih rumit daripada menggunakn EDI untuk kegiatan pembelian dan penjualan.
Pelanggan dan pemasok harus memastikan bahwa transaksi yang sedang diproses ke (atau
dari) mitra dagang yang valid dan disahkan. Ini bias dicapai pada tiga poin dalam proses ;
a. Beberapa VAN memiliki kemmapuan untuk memvalidasi kata sandi dan kode ID
pengguna untuk vendor dengan mencocokkan ini dengan file pelanggan yang valid. VAN
menolak transaksi mitra dagang tidak resmi sebelum mencapai system vendor
b. Sebelum dikonversi, perangkat lunak terjemahan dapat memvalidasi ID mitra dagang dan
kata sandi terhadap file validasi dalam basisdata perusahaan
c. Sebelum diproses, perangkat lunak aplikasi mitra dagang merefrensikan pelanggan dan
file vendor yang valid untuk memvalidasi transaksi.
 Tidak adanya dokumen sumber dalam transaksi EDI menghilangkan audit tradisional
melacak dan membatasi kemampuan akuntan untuk memverifikasi validitas, kelengkapan,
waktu, dan akurasi transaksi.

1. Audit Objective – EDI

Tujuan auditor adalah untuk menentukan bahwa ;
a. Semua transaksi EDI diotirisasi, divalidasi, dan sesuai dengan perjanjian mitra dagang
b. Tidak ada yang tidak sah organisasi mendapatkan akses ke catatan basis data
c. Mitra dagang resmi memilki akses hanya untuk yang disetuju
d. Control yang memadai untuk memastikan audit lengkap jejak semua transaksi
e. sahsa
2. Audit Procedure – EDI
a. Tests of Authorization and Validation Controls
 Meninjau perjanjian dengan fasilitas VAN untuk memvalidasi transaksi dan
memastikan bahwa informasi mengenai mitra dagang yang valid sudah lengkap
dan benar
 Memeriksa file mitra dagang organisasi yang valid untuk akurasi dan
kelengkapan
 bjdhaah
b. Tests of Access Controls
 Auditor harus menentukan bahwa akses ke vendor atau file pelanggan yang valid
dibatasi hanya untuk karyawan yang berwenang
 Perjanjian perdagangan akan menentukan tingkat akses yang harus dimilki oleh
mitra dagang harus kecatatan basis data perusahaan.
 Auditor harus mensimulasikan akses oleh sampel mitra dagang dan berupaya
untuk melanggar hak akses.
 skjdfk
c. Test of Trial Controls
Auditor harus memverifikasi bahwa system EDI menghasilkan log transaksi yang melacak
transaksi melalui semua tahap pemrosesan
AUDITING PC – BASED ACCOUNTING SYSTEMS
1. PC System Risk And Controls
Kelemahan system operasi berbeda dengan system mainframe, PC hanya memberikan
keamanan minimal untuk fie data dan program yang terkandung didalamnya. Sekali seorang
penjahat computer mendapatkan akses ke PC pengguna, mungkin ada sedikit atau tidak sama
sekali jalan dari pengendlaian untuk mencegah nya dari pencurian atau memanipulasi data.

a. Weak Acces Control

Perangkat lunak keamanan yang menyediakan prosedur masuk tersedia untuk PC. Sebagian
besar dari program ini, namun aktif hanya saat computer diboot dari penyimpanan.

b. Indequence Segretion Of Duties

Karywan dilingkungan PC, terutama yang dari perusahaan kecil mungkin memilki akses ke
bebrapa aplikasi yang merupakan tugas yang tidak kompitebel.

c. Multilevel Password Control

Control kata sandi bertingkat digunakan untuk membatasi karyawan yang berbagi hal yang
sama. Computer ke direktori, program dan file data tertentu

d. Risk Of Threat
Karena ukurannya, PC adalah objek pencurian dan portabilitas laptop menempatkannya
dengan resiko tertinggi.

e. Weak Back Up Procedure

Kegagalan computer, biasanya kegagalan disk, adalah penyebab utama hilangnya data
lingkungan

f. Risk Of Virus Infection

Kegagalan computer, biasanya kegagalan disk adalah penyebab utama hilanya data
lingkungan PC

g. Audit Objectives Associated With PC Security

 Memastikan ada pengendalian untuk melindungi data, program, dan computer
dari akses, manipulasi, penghancuran, dan pencurian yang tidak sah
  Pastikan ada pengawasan dan prosedur operasi yang memadai untuk
memebrikan kompensasi kurangnya pemisahan antara tugas pengguna,
pemrogram, dan operator.
 Memastikan ada prosedur cadangan untuk mencegah hilangnya data dan
program kegagalan system, kesalahan dan sebagainya
 Memastikan prosedur pemilihan dan akuisisi system menghasilkan aplikasi yang
berkualitas tinggi dan dilindungi dari perubahan yang tidak sah
 Memastikan bahwa system bebas dari virus dan dilindungi secara memadai
untuk meminimalkan risiko terinfeksi virus atau benda serupa
a. oskpok
h. Audit Procedure Associated With PC Security
 Auditor harus memperhatikan bahwa PC secara fisik berlabuh untuk mengurangi
peluang pencurian.
 Auditor harus memverifikasi dari bagan organisasi, uraian tugas, dan
pengamatan bahwa pemrograman system akuntansi juga tidak mengoperasikan
system tersebut
 Auditor harus mengkofirmasi bahwa laporan transaksi yang diproses, daftar
akun yang diperbarui dan total control disiapkan, didistribusikan dan
direkonsiliasi oleh manajemen yang tepat secara berkala dan tepat waktu .
 Auditor hatus menentukan bahwa ontrol kata sandi bertingkat digunakan untuk
membatasi akses ke data dan aplikasi dan bahwa otoritas akses diberikan
konsisten dengan enkripsi pekerjaan karyawan.
 Jika penyimpanan yang dapat dilepas atau eksternal digunakan, auditor harus
memverifikasi bahwa penyimpanan dilepas dan disimpan dilokasi yang aman
saat tidak digunakan
 TUGAS RANGKUMAN AUDIT SISTEM INFORMASI

Security Part 1 : Auditing Operating Systems and Networks

Oleh ;

BULAN AGUSTIN PUTRI

170503005

S1 AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS SUMATERA UTARA
MEDAN

2019