SISTEM OPERASI AUDIT

Program kontrol komputer yang memungkinkan pengguna dan aplikasinya untuk berbagi
dan mengakses sumber daya komputer umum seperti prosesor, memori utama, dll.

Tujuan sistem operasi

Untuk melakukan tugas, sistem operasi harus mencapai 5 tujuan pengendalian fundamental:

1. sistem operasi harus melindungi dirinya sendiri dari pengguna

2. sistem operasi harus melindungi pengguna dari satu sama lain
3. melindungi pengguna dari diri mereka sendiri
4. sistem operasi harus dilindungi dari dirinya sendiri
5. sistem operasi harus dilindungi dari lingkungannya.

Keamanan Sistem Operasi

- keamanan sistem operasi melibatkan kebijakan, prosedur, dan kontrol yang

menentukan siapa yang dapat mengakses sistem operasi, sumber daya mana yang
dapat mereka gunakan, dan tindakan apa yang dapat mereka lakukan
- komponen keamanan yang ditemukan dalam sistem operasi yang aman: Prosedur
log-on, token akses, daftar kontrol akses, hak akses diskresioner

Ancaman terhadap integritas sistem operasi

Eksposur ancaman berasal dari 3 sumber; 1) memberikan hak istimewa kepada personel
yang menyalahgunakan wewenangnya, 2) individu, baik internal maupun eksternal
organisasi, yang menelusuri sistem operasi untuk mengidentifikasi dan mengeksploitasi
kelemahan keamanan, 3) individu yang dengan sengaja memasukkan virus komputer, dll.
Ke dalam sistem

operasi Kontrol Sistem Operasi dan Uji Audit

1. Mengontrol Hak Istimewa - hak istimewa menentukan jenis tindakan yang dapat diambil,
hak istimewa harus dikelola dengan hati-hati dan dipantau secara ketat.

Tujuan audit - memverifikasi bahwa hak akses diberikan dengan cara yang konsisten
dengan kebutuhan untuk memisahkan fungsi yang tidak kompatibel

Prosedur audit - tinjau kebijakan organisasi untuk memisahkan fungsi yang tidak kompatibel,
tinjau apakah hak akses sesuai dengan deskripsi pekerjaan mereka, tinjau catatan personel
untuk menentukan apakah karyawan menjalani izin keamanan dan kepatuhan terhadap
kebijakan perusahaan, tinjau apakah pengguna telah mengakui tanggung jawab mereka
untuk menjaga kerahasiaan dan meninjau perm pengguna itted login time

2. Password Control - kode rahasia yang dimasukkan pengguna untuk mendapatkan akses
ke sistem, aplikasi, file data, atau server jaringan. Perilaku kontra-keamanan yang paling
umum termasuk lupa sandi. Metode kontrol kata sandi termasuk kata sandi yang dapat
digunakan kembali, kata sandi satu kali
Tujuan Audit - memastikan organisasi memiliki kebijakan kata sandi yang memadai dan
efektif untuk mengontrol akses ke sistem operasi

Prosedur audit - melakukan tes berikut: semua pengguna diharuskan memiliki kata sandi,
meninjau prosedur pengendalian kata sandi untuk memastikan bahwa kata sandi diubah
secara teratur, tinjau file kata sandi untuk menentukan bahwa kata sandi minggu itu
diidentifikasi dan tidak diizinkan, verifikasi bahwa file kata sandi dienkripsi dan diamankan

3. Mengontrol Terhadap Berbahaya dan Merusak Program- termasuk virus, worm, bom
logika, pintu belakang dan Trojan Horses

Tujuan Audit- memverifikasi bahwa kebijakan dan prosedur manajemen yang efektif tersedia
untuk mencegah pengenalan dan penyebaran program yang merusak

Prosedur audit - melalui wawancara, verifikasi bahwa perangkat lunak baru telah diuji,
verifikasi bahwa versi perangkat lunak antivirus saat ini telah diinstal

4. Audit Sistem Kontrol Jejak Tujuan audit terhadap jejak audit: memastikan bahwa jejak
audit cukup memadai untuk mencegah atau mendeteksi penyalahgunaan, merekonstruksi
kejadian, dan merencanakan alokasi sumber daya. Beberapa hal yang harus dilakukan
adalah dengan menguji apakah log (jejak audit) ini dapat diakses oleh user yang tidak sah,
apakah catatan dibuat secara berkala, apakah catatan merepresentasi aktivitas secara
lengkap.

MENGAUDIT JARINGAN

Intranet /Jaringan Lokal (LAN) Risk:

-sniffing: mencegat arus informasi
-Akses ilegal ke Database
-Penyalahgunaan Privileged Access
Keengganan untuk mengusut: perusahaan, atas alasan menjaga nama baik, terkadang
enggan untuk mengusut kasus pembobolan sistem dan informasi mereka.

Internet Risk:
-IP Spoofing: penyamaran/meniru IP atau identitas komputer user untuk memperoleh akses
atau melakukan sesuatu tanpa ingin diketahui identitasnya (jejaknya). Umumnya dilakukan
dengan menyamar sebagai komputer yang ditelah dikenal oleh korban.
-Serangan yang mematikan layanan (Denial of Service Attack “DOS”):
•SYN Flood Attack - Memanfaatkan Paket SYNchronize-ACKnowledge (SYN-ACK),
penyerang memulai koneksi kepada server, kemudian dibalas dengan SYN. Penyerang
sebagai receiving server tidak akan membalas dengan ACK sehingga server organisasi
menjadi sibuk dengan paket yang tidak dapat ditindaklanjuti dan tidak dapat memproses
paket yang lain (dari customer/client sebenarnya).
•Smurf Attack: melibatkan Perperator (sebagai penyerang), intermediary, dan victim. Ping
(sejenis sonar dalam jaringan untuk menguji koneksi) dikirimkan oleh perperator (yang
menyamar (IP Spoofing) sebagai victim) kepada intermediary.
•Distributed Denial of Service (DDos): perperator menciptakan bot atau zombie dalam
komputer yang terhubung pada jaringan internet (dalam modul, kasusnya adalah IRC).
Digital Signatures : pembuktian keaslian yang memastikan bahwa pesan atau dokumen
yang dikirim tidak dirusak setelah penandatanganan dilakukan.
Digital Certificate : digunakan untuk memverifikasi identitas pengirim dan dikeluarkan oleh
certification authority (CA).
Message Sequence Numbering : Melakukan penomoran urutan pesan yang berfungsi untuk
mencegah penyusup menghapus aliran pesan, mengubah urutan pesan yang diterima, atau
menggandakan pesan.
Message Transaction Log : Mencatat ID pengguna, waktu akses, dan lokasi terminal atau
nomor telepon dari mana akses tersebut berasal.
Request-Response Technique : Menggunakan teknik ini, memanage pesan dari pengirim
dan respons dari penerima dikirim secara berkala dan disinkronkan dengan interval.
Call-Back Devices: Teknik ini untuk membatasi akses ke terminal resmi atau nomor telepon
dan mencegah penyusup menyamar sebagai pengguna yang sah.

Tujuan auditor adalah untuk memverifikasi keamanan dan integritas transaksi keuangan
dengan menentukan kontrol jaringan tersebut
1. Dapat mencegah dan mendeteksi akses ilegal baik secara internal maupun dari
Internet,
2. Akan membuat tidak berguna data apa pun yang berhasil ditangkap oleh pelaku, dan
3. Cukup untuk menjaga integritas dan keamanan fisik data yang terhubung ke
jaringan.

Prosedur Audit Terkait Ancaman Subversif

Untuk mencapai tujuan pengendalian ini, auditor dapat melakukan pengujian pengendalian
berikut:
1. Tinjau kecukupan firewall dalam mencapai keseimbangan yang tepat antara kontrol
dan kenyamanan berdasarkan tujuan bisnis organisasi dan potensi risiko. Kriteria
untuk menilai keefektifan firewall meliputi:
● Fleksibilitas
● Layanan proxy
● Penyaringan.
● Pemisahan sistem.
● Alat audit.
● Selidiki kelemahan.
2. Verifikasi bahwa sistem pencegahan intrusi (IPS) dengan inspeksi paket mendalam
(DPI) diterapkan untuk organisasi yang rentan terhadap serangan DDos, seperti
keuangan institusi.
3. Tinjau prosedur keamanan yang mengatur administrasi kunci enkripsi data.
4. Verifikasi proses enkripsi dengan mengirimkan pesan pengujian dan memeriksa
konten di berbagai titik di sepanjang saluran antara pengiriman dan penerimaan
lokasi.
5. Tinjau log transaksi pesan untuk memverifikasi bahwa semua pesan telah diterima di
dalamnya urutan yang tepat.
6. Uji pengoperasian fitur panggilan kembali dengan melakukan panggilan tidak sah
dari sisi luar instalasi.
Controlling Risk from Equipment Failure
- Line errors
- Echo check
 - Parity Check
Auditing Objectives Relating to Equipment Failure
Memverifikasi integritas transaksi perdagangan elektronik dengan menentukan bahwa
kontrol sudah ada untuk mendeteksi dan mengoreksi kehilangan pesan karena kegagalan
peralatan.
Audit Procedures Relating to Equipment Failure
Auditor dapat memilih sampel pesan dari log transaksi dan memeriksanya untuk konten
yang kacau yang disebabkan oleh gangguan saluran. auditor harus memverifikasi bahwa
semua pesan yang rusak berhasil dikirim ulang.
Electronic Data Interchange (EDI)
EDI adalah pertukaran informasi bisnis yang dapat diproses komputer antar perusahaan
dalam format standar. Beberapa fitur penting EDI:
1. EDI adalah upaya antar organisasi.
2. Sistem informasi mitra dagang secara otomatis memproses transaksi.
3. Informasi transaksi dikirimkan dalam format standar.
Standar EDI → Kunci keberhasilan EDI adalah penggunaan format standar untuk pengiriman pesan
antar sistem yang berbeda.
Manfaat EDI
● Penguncian data
● Pengurangan kesalahan
● Pengurangan kertas
● Postage
● Automated Prosedur
● Pengurangan persediaan

Hal 98-105
Financial EDI
Penggunaan EDI dalam aktivitas pembelian dan penjualan lebih sederhana jika
dibandingkan dengan EFT (Electronic Funds Transfer) yang digunakan untuk penerimaan
dan pengeluaran kas. Dengan menggunakan EDI faktur pembelian otomatis terhubung
dengan pembayaran, dan pada saat pembayaran sistem akan otomatis membuat EFT untuk
bank asal. Proses transfer dana ini memerlukan proses kliring otomatis sebelum dana yang
dibayarkan sampai ke bank tujuan.

EDI Control
Dengan tidak adanya intervensi manusia dalam sistem EDI, maka pengendalian yang dapat
dilakukan adalah dengan menerapkan teknik otorisasi dan validasi, yang dapat dilakukan
dengan :
● VAN dapat memvalidasi password dan ID pengguna untuk pemasok untuk
dicocokkan dengan file pelanggan yang valid
● Sebelum dikonversi, translasi perangkat lunak dapat divalidasi dengan transaksi
partner terhadap validasi file dalam data base
● Sebelum transaksi, aplikasi perangkat lunak mereferensikan file pelanggan dan
pemasok yang valid untuk tujuan validitas transaksi.

Acsess Control
Untuk melindungi dari akses yang tidak sah, setiap perusahaan harus membuat file vendor
dan pelanggan yang valid.
EDI Audit Trail
Salah satu teknik yang diterapkan memulihkan jejak audit adalah dengan mempertahankan
log kontrol, yang mencatat aliran transaksi melalui setiap fase sistem EDI.

Audit Objectives Relating to EDI

Tujuan audit adalah untuk menentukan bahwa 1. ) Semua transaksi telah diotorisasi,
divalidasi, dan telah sesuai dengan kesepakatan perdagangan, 2.) Tidak ada organisasi
yang tidak terotorisasi mendapatkan akses untuk merekam database, 3.) perdagangan yang
mengotorisasi hanya mendapatkan akses untuk menyetujui data, dan 4.) Pengendalian yang
memadai telah ditempatkan untuk memastikan kelengkapan jejak audit untuk transaksi EDI

Audit Procedure Relating to EDI

meliputi :
● Pengujian atas Pengendalian Otorisasi dan Validasi
● Pengujian atas Pengendalian Akses
● Pengujian atas Pengendalian Jejak Audit

Auditing PC-Based Accounting System

Kebanyakan sistem PC memiliki desain modular. Dimana desain modularnya memberikan
keleluasaan bagi pengguna dalam menyesuaikan sistem dengan kebutuhan spesifik
mereka.

PC System Risks and Control

● Operating System Weakness : Data store dan microcomputers yang di bagikan oleh
banyak pengguna terekspos untuk akses yang tidak diotorisasi, pemanipulasian, dan
penghancuran.
● Weak Acsess Control : Kejahatan komputer mencoba untuk menghindari prosedur
login dapat melakukannya dengan memaksa komputer untuk boot dari CD-ROM,
dimana sistem operasi yang tidak terkontrol dapat ditempatkan ke dalam memori
komputer.
● Inadequate Segregation of Duties
● Mulitilevel Password Control
● Risk of Theft
● Weak Backup Procedures : Kegagalan komputer, biasanya disertai kegagalan disk
merupakan sebab utama kehilangan data dalam lingkungan PC.
● Risk of Virus Infection

Audit Objectives Associated with PC Security

tujuan audit adalah untuk memverifikasi pengendalian atas perlindungan, prosedur operasi,
prosedur backup, prosedur seleksi dan akuisisi, dan sistem terbebas dari virus.

Audit Procedures Associated with PC Security

● Auditor harus mengamati bahwa PC secara fisik mengurangi peluang untuk dicuri
● Auditor harus memverifikasi bagan organisasi, deskripsi pekerjaan, dan mengamati
programmer sistem akuntansi dalam mengoperasikan sistem
● Auditor harus mengkonfirmasi pelaporan dan pemrosesan transaksi, daftar akun,
dan pengendalian yang disiapkan, didistribusikan, dan direkonsiliasi oleh manajemen
● Auditor harus menentukan pengendalian multilevel password untuk pembatasan
akses