COBIT DAN ERP

Tugas Mata Kuliah

Auditing EDP

Oleh:
Yudhistira Dewa Kartika Hediansyah (200810301036)
Rizky Nugroho Santoso (200810301113)
Alfath Dhafin (200810301157)

Program Studi Akuntansi

Fakultas Ekonomi dan Bisnis
Universitas Jember
2023
SURAT PERNYATAAN INTEGRITAS PENYUSUNAN RESUME

Yang bertanda tangan di bawah ini :

Nama : Rizky Nugroho Santoso

NIM : 200810301113

Sebagai perwakilan anggota kelompok 8, dengan ini menyatakan bahwa resume

materi yang berjudul “Security Part I: Auditing, Operating Systems & Network”
merupakan karya orisinal kelompok dan tidak menjiplak hasil pekerjaan orang lain.

Jika di kemudian hari ditemukan ketidakbenaran informasi, maka anggota kelompok

bersedia menerima segala konsekuensi yang diberikan oleh dosen pengampu mata
kuliah Audit EDP.

Jember, 19 Maret 2023

Rizky Nugroho Santoso

PENDAHULUAN:
Jelaskan:
1. Apa yang akan kelompok saudara tulis?
Jawab : Kelompok kami akan menulis sebuah resume yang berjudul “Security
Part I: Auditing, Operating Systems & Network”, dimana dalam resume ini akan
membahas berbagai macam pengendalian dari sistem operasi serta jaringan
audit.

2. Mengapa topik tersebut menarik untuk dipelajari?

Jawab : Menurut kelompok kami, topik ini menarik untuk dipelajari mengingat
perkembangan akan teknologi cukup berkembang pesat akhir-akhir ini. Sehingga
membuat para peretas maupun pencuri data menggunakan teknologi tersebut
untuk mengambil data perusahaan secara ilegal. Oleh karena itu, diperlukan
sebuah sistem keamanan yang kuat sebagai bentuk pengendalian system
operasi dan jaringan dalam perusahaan.
A. AUDITING OPERATING SYSTEMS
Sistem operasi adalah program kontrol komputer. Ini memungkinkan pengguna
dan aplikasinya untuk berbagi dan mengakses sumber daya komputer umum,
seperti prosesor, memori utama, database, dan printer.
a. Operating System Objectives
Sistem operasi melakukan tiga tugas utama yaitu:
1. Menerjemahkan bahasa tingkat tinggi, seperti COBOL, C++, BASIC,
dan SQL, ke dalam bahasa tingkat mesin yang dapat dijalankan oleh
komputer.
2. Sistem operasi mengalokasikan sumber daya komputer kepada
pengguna, kelompok kerja, dan aplikasi.
3. Sistem operasi mengelola tugas penjadwalan pekerjaan dan
multiprogramming.

Untuk melakukan tugas-tugas tersebut secara konsisten dan andal, sistem

operasi harus mencapai lima pengendalian mendasar:

1. Sistem operasi harus melindungi dirinya dari pengguna. Pengguna tidak

boleh mengontrol atau mengutak-atik sistem operasi dengan cara apa pun
yang dapat menyebabkan berhenti fungsi atau merusak data.
2. Sistem operasi harus melindungi pengguna satu sama lain. Satu pengguna
tidak boleh dapat mengakses, menghancurkan, atau merusak data atau
program pengguna lain.
3. Sistem operasi harus melindungi pengguna dari dirinya sendiri. Aplikasi
pengguna mungkin terdiri dari beberapa modul yang disimpan di lokasi
memori terpisah, masing-masing dengan miliknya sendiri data. Satu modul
tidak boleh dibiarkan menghancurkan atau merusak modul lainnya.
4. Sistem operasi harus dilindungi dari dirinya sendiri. Sistem operasi juga
terdiri dari modul individu. Tidak boleh ada modul yang dibiarkan rusak atau
rusak modul lain.
5. Sistem operasi harus dilindungi dari lingkungannya. Dalam hal kegagalan
daya atau bencana lainnya, sistem operasi harus dapat mencapai
penghentian aktivitas yang terkendali yang nantinya dapat dipulihkan.
b. Operating System Security
Keamanan sistem operasi melibatkan kebijakan, prosedur, dan kontrol yang
menentukan siapa dapat mengakses sistem operasi, sumber daya apa (file,
 program, printer) yang dapat mereka gunakan, dan tindakan apa yang dapat
mereka lakukan. Komponen keamanan berikut ditemukan di secure sistem
operasi:
1. Log-On Procedure
Prosedur log-on formal adalah garis pertahanan pertama sistem operasi
terhadap akses yang tidak sah. Saat pengguna memulai proses, dia
disajikan dengan dialog kotak yang meminta ID dan kata sandi pengguna.
2. Access Token
Jika upaya masuk berhasil, sistem operasi membuat token akses yang
berisi informasi kunci tentang pengguna, termasuk ID pengguna, kata sandi,
grup pengguna, dan hak istimewa yang diberikan kepada pengguna.
3. Access Control List
Daftar kontrol akses ditetapkan ke setiap sumber daya TI yang mengontrol
akses ke sumber daya. Daftar ini berisi informasi yang menentukan hak
akses untuk semua pengguna sumber daya yang valid.
4. Discretionary Access Privileges
Administrator sistem pusat biasanya menentukan siapa yang diberikan
akses tertentu
sumber daya dan memelihara daftar kontrol akses.
c. Threats to Operating System Integrity
Tujuan pengendalian sistem operasi mungkin tidak tercapai karena kelemahan
dalam sistem operasi yang dieksploitasi baik secara sengaja maupun tidak
disengaja. Ancaman yang tidak disengaja termasuk kegagalan perangkat keras
yang menyebabkan sistem operasi macet.
Ancaman yang disengaja terhadap sistem operasi paling sering adalah upaya
untuk mengakses data secara ilegal atau melanggar privasi pengguna untuk
keuntungan finansial. Namun, ancaman yang berkembang bersifat merusak
program dari mana tidak ada keuntungan yang jelas. Eksposur ini berasal dari
tiga sumber:
1. Pegawai istimewa yang menyalahgunakan kewenangannya.
2. Individu, baik internal maupun eksternal organisasi, yang menelusuri sistem
operasi untuk mengidentifikasi dan mengeksploitasi kelemahan keamanan.
3. Perorangan yang dengan sengaja (atau tidak sengaja) menyisipkan virus
komputer atau lainnya bentuk program yang merusak ke dalam sistem
operasi.
d. Operating System Controls and Audit Tests
Jika integritas sistem operasi dikompromikan, kontrol dalam akuntansi individu
aplikasi yang berdampak pada pelaporan keuangan juga dapat dikompromikan.
Untuk alasan ini, desain dan penilaian kontrol keamanan sistem operasi sesuai
dengan SOX masalah. Bagian ini menyajikan berbagai teknik pengendalian
untuk menjaga integritas sistem operasi dan menjelaskan pengujian terkait
yang mungkin dilakukan oleh auditor.
1. Controlling Access Privileges
Hak akses pengguna diberikan kepada individu dan seluruh kelompok kerja
yang berwenang menggunakan sistem. Hak istimewa menentukan direktori,
file, aplikasi, dan sumber daya lainnya yang dapat diakses individu atau
grup.
2. Audit Objectives Relating to Access Privileges
Tujuan auditor adalah untuk memverifikasi bahwa hak akses diberikan
dengan cara yang benar konsisten dengan kebutuhan untuk memisahkan
fungsi yang tidak kompatibel dan sesuai dengan kebijakan organisasi
3. Audit Procedures Relating to Access Privileges
Untuk mencapai tujuannya, auditor dapat melakukan pengujian
pengendalian berikut:
a. Meninjau kebijakan organisasi untuk memisahkan fungsi yang tidak
kompatibel dan pastikan bahwa mereka mempromosikan keamanan
yang wajar.
b. Meninjau hak istimewa kelompok pengguna dan individu pilihan untuk
menentukan apakah hak ases mereka sesuai dengan deskripsi
pekerjaan dan posisi mereka.
c. Meninjau catatan personel untuk menentukan apakah karyawan
istimewa menjalani pemeriksaan izin keamanan yang cukup intensif
sesuai dengan kebijakan perusahaan.
d. Meninjau catatan karyawan untuk menentukan apakah pengguna telah
mengakui secara formal tanggung jawab mereka untuk menjaga
kerahasiaan data perusahaan.
e. Meninjau waktu log-on yang diizinkan pengguna. Izin harus sepadan
dengan tugas-tugas yang dilakukan.
4. Password Control
 Kata sandi adalah kode rahasia yang dimasukkan pengguna untuk
mendapatkan akses ke sistem, aplikasi, data file, atau server jaringan. Jika
pengguna tidak dapat memberikan kata sandi yang benar, operasi sistem
harus menolak akses.
5. Audit Objectives Relating to Passwords
Tujuan auditor di sini adalah untuk memastikan bahwa organisasi memiliki
kebijakan kata sandi yang memadai dan efektif untuk mengendalikan akses
ke sistem operasi.

B. Auditing Networks

Ketergantungan pada jaringan untuk komunikasi bisnis menimbulkan

kekhawatiran tentang akses tidak sah ke informasi rahasia. Ketika LANS menjadi
platform untuk aplikasi dan data misi-kritis, data pelanggan, dan catatan keuangan
berisiko. Organisasi yang terhubung dengan pelanggan dan mitra bisnis mereka
melalui Internet sangat terbuka. Tanpa perlindungan yang memadai, perusahaan
membuka pintu bagi peretas komputer, perusak, pencuri, dan mata-mata industri baik
secara internal maupun dari seluruh dunia. Paradoks dari jaringan adalah bahwa
jaringan ada untuk menyediakan akses pengguna ke sumber daya bersama, namun
tujuan paling penting dari jaringan apa pun adalah untuk mengontrol akses tersebut.
Oleh karena itu, untuk setiap argumen produktivitas yang mendukung akses jarak jauh,
ada alasan keamanan yang menentangnya. Manajemen organisasi terus mencari
keseimbangan antara peningkatan akses dan risiko bisnis terkait.

1. Resiko Intranet

Intranet terdiri dari LAN (jaringan kecil) dan WAN (jaringan besar). Intranet
digunakan untuk menghubungkan karyawan dalam satu gedung, antar gedung
maupun lokasi geografis yang sama. Intranet menghubungkan aliran informasi
perusahaan untuk semua fungsi yang ada. Namun ketergantungan perusahaan pada
intranet tidak mengingkari adanya ancaman terhadap keamanan informasinya.
Aktivitas karyawan yang tidak sah dan ilegal secara internal merupakan bentuk nyata
dari adanya ancaman keamanan data. Karyawan yang memiliki dan mengetahui akses
informasi perusahaan dapat melakukan tindak penyelewengan dengan mencuri,
menyadap, memanipulasi atau bahkan menjual informasi tersebut kepada pihak lain
untuk kepentingan pribadinya. Bentuk tidak illegal karyawan yang menjadi resiko
intranet adalah
a. Interpersepsi pesan jaringan, setiap informasi perusahaan terhubung dalam
intranet. Karyawan memiliki ID pengguna yang dapat mereka akses kapanpun
membuat resiko kebocoran informasi cukup tinggi. Tindakan interpersepsi pesan
disebut sniffing. Resiko ini akan semakin besar ketika intranet terbung dengan
jaringan internet. Administrator akan secara berkala melakukan pengecekan
terhadap sistem, sehingg dapat memungkinkan mereka melakukan tindakan untuk
mencegat informasi masuk melalui jaringan intranet.
b. Akses kedatabase perusahaan, intranet yang terhubung dengan database
perusahaan pusat meningkatkkan resiko bahwa karyawan akan mengubah,
merusak, melihat dan menyalin data.
c. Karyawan Istimewa, manajer menengah sering memiliki hak akses ⁸yang
memungkinkan mereka untuk mengesampingkan kontrol, paling sering dituntut
atas kejahatan orang dalam. Sistem informasi yang dimiliki karyawan dalam
organisasi adalah kelompok lain yang diberdayakan dengan mengabaikan hak
istimewa yang dapat mengizinkan akses ke data penting-misi.

2. Resiko Internet

Terdapat tiga resiko utama yang melekat pada internet, yaitu:

2.1 IP Spoffing adalah suatu bentuk penyamaran yang digunakan untuk

memperoleh akses tidak sah ke web server dan melakukan tindakan yang
melanggar hukum tanpa mengunkapkan indentitas.

2.2 Penolakan layanan (Denial Services Attack) adalah serangan pada web server
untuk mencegah melayani pengguna sah. Ancaman semacam ini sangat
berpengaruh pada bisnis, karena mencegah bisnis untuk menerima dan mengolah
transaksi dari pelanggan. Terdapat tigas jenis serangan seperti ini yaitu SYN Flood
attack, smurf dan ditributed denial of services.
a. SYN flood attack
Ketika seorang pengguna membuat koneksi di Internet melalui TCP/IP,
jabat tangan tiga arah terjadi. Server penghubung mengirim kode inisiasi
yang disebut paket SYN (SYNchronize) ke server penerima. Server
penerima kemudian mengakui permintaan tersebut dengan mengirinmkan
kembali informasi SYNchronize-ACKnowledge (SYN-ACK). Akhirnya,
mesin host yang memulai merespons dengan kode paket ACK. Ancaman
dicapai dengan tidak mengirimkan pengakuan akhir ke respons SYN-ACK
server, yang menyebabkan server terus memberi sinyal untuk pengakuan
sampai server kehabisan waktu. Individu atau organisasi yang melakukan
SYN flood attack mentransmisikan ratusan paket SYN ke penerima yang
ditargetkan, tetapi tidak pernah menanggapi dengan ACK untuk
menyelesaikan koneksi. Akibatnya, port server penerima tersumbat
dengan permintaan komunikasi tidak lengkap yang mencegah transaksi
yang sah diterima dan diproses. Dengan demikian, organisasi yang
diserang dapat dicegah untuk menerima pesan Internet selama berhari-
hari. Jika organisasi target dapat mengidentifikasi server yang
meluncurkan serangan, dapat diprogram untuk mengabaikan semua
komunikasi dari situs itu. Namun serangan semacam itu, merupakan
sumber pesan yang sulit. Program spoofing IP yang mengacak alamat
sumber penyerang telah ditulis dan didistribusikan secara publik melalui
Internet. Oleh karena itu, ke situs penerima, tampak bahwa transmisi
datang dari seluruh Internet. mencegah karena mereka menggunakan
spoofing IP untuk menyamarkan.
b. Smurf
Serangan smurf melibatkan tiga pihak, yaitu pelaku, perantara dan korban.
Serangan ini dilakukan untuk mengekspliitasi alat pemeliharaan internet
yang disebut dengan ping. Alat ini berfungsi untuk mengecek adanya
hambatan pada jaringan dengan mengirim pesan permintaan kepada host
untuk kemudian penerima pesan memberi respon. Pelaku smurf attack
melakukan tindakannya dengan menggunakan program ping untuk
membuat paket pesan ping dan alamat IP palsu dari komputer korban dan
mencegahnya memperoleh informasi dari komputer asli. Salah satu
metode untuk mengalahkan serangan smurf adalah dengan menonaktifkan
opsi alamat penyiaran IP di setiap firewall jaringan dan dengan demikian
menghilangkan peran perantara. Menanggapi langkah ini, bagaimanapun,
penyerang telah mengembangkan alat untuk mencari jaringan yang tidak
menonaktifkan pengalamatan siaran. Jaringan ini selanjutnya dapat
digunakan sebagai perantara dalam serangan smurf. Juga, pelaku telah
mengembangkan alat yang memungkinkan mereka untuk meluncurkan
serangan smurf secara bersamaan dari beberapa jaringan perantara untuk
efek maksimum pada korban.
c. Distributed Denial of Services (DDoS)
 Ancaman ini merupakan beentuk kolaborasi dari acaman sebelumnya,
yaitu SYN flood attack dan smurf. Perbedaanya terletak dari ruang
lingkup serangan ini. Pelaku serangan DDos dapat menggunakan
pasukan virtual komputer yang disebut zombie atau bot (robot) untuk
meluncurkan serangan. Karena dibutuhkan sejumlah besar perantara
yang tidak curiga, serangan itu sering melibatkan satu atau lebih
jaringan obrolan Internet-relay (IRC) sebagai sumber zombie. IRC
adalah layanan interaktif populer di Internet yang memungkinkan ribuan
orang dari seluruh dunia terlibat dalam komunikasi waktu nyata melalui
komputer mereka. Masalah dengan jaringan IRC adalah bahwa mereka
cenderung memiliki keamanan yang buruk. Dengan demikian, pelaku
dapat dengan mudah mengakses IRC dan mengunggah program jahat
seperti Trojan yang berisi skrip serangan ini. Program ini selanjutnya
diunduh ke PC dari ribuan orang yang mengunjungi situs IRC. Program
serangan berjalan di latar belakang pada komputer zombie baru, yang
sekarang berada di bawah kendali pelaku. Serangan DDOS merupakan
ancaman yang jauh lebih besar bagi korban daripada serangan SYN
tradisional atau serangan smurf. Misalnya, banjir SYN yang berasal dari
ribuan komputer terdistribusi dapat melakukan kerusakan jauh lebih
banyak daripada satu dari satu komputer. Juga, serangan smurf yang
berasal dari subnetwork komputer perantara semuanya berasal dari
server yang sama. Pada waktunya, server dapat ditemukan dan
diisolasi dengan memprogram firewall korban untuk mengabaikan
transmisi dari situs penyerang. Sebaliknya, serangan DDOS secara
harfiah berasal dari situs di seluruh Internet. Ribuan komputer serangan
individu lebih sulit untuk dilacak dan dimatikan.

Risiko dari topologi Kegagalan Peralatan terdiri dari berbagai konfigurasi (1) jalur
komunikasi (kabel twisted-pair, kabel coaxial, gelombang mikro, dan serat optik), (2)
komponen perangkat keras (modem, multiplexer, server, dan ujung depan) prosesor),
dan (3) perangkat lunak (protokol dan sistem kontrol jaringan). Selain ancaman
subversif yang dijelaskan di bagian sebelumnya, topologi jaringan berisiko terhadap
kegagalan peralatan. Sebagai contoh, kegagalan peralatan dalam sistem komunikasi
dapat mengganggu, menghancurkan, atau merusak transmisi antara pengirim dan
penerima. Kegagalan peralatan juga dapat menyebabkan hilangnya database dan
program yang disimpan di server jaringan.
 3. Mengontrol Jaringan

Terdappat beberapa teknik kontrol yang dapat digunakan untuk

menguraikan resiko. Beberapa kontrol yang digunakan untuk ancaman subversif,
seperti firewall, inspeksi paket, enkripsi dan teknik kontrol pesan. Serta diikuti dengan
tujuan audit dan prosedur audit tersebut.

4. Pengendalian Resiko dari Ancaman Subversif

Firewall adalah perangkat yang digunakan untuk mengendalikan akses

terhadap siapapun yang memiliki akses terhadap jaringan privat dari luar. Karakteristik
firewall:

a. Semua lalu lintas antara jaringan luar dan intranet organisasi harus melewati
firewall

b. Hanya lalu lintas resmi antara organisasi dan luar, sebagaimana ditentukan
oleh kebijakan keamanan formal, diizinkan untuk melewati firewall

c. Firewall harus kebal terhadap penetrasi baik dari luar maupun dari dalam
organisasi

Network-level Firewall

Tingkat keamanan sudah efisien tetapi masih tergolong lemah karena bekerja
dengan menyaring permintaan akes dari luar hanya berdasarkan aturan yang telah
diprogramkan.

Application-level Firewall

Sistem firewall yang berkerja dengan cara menjalankan perangkat keamanan

berupa proxi yang memperbolehkan layanan rutin untuk lewat. Sistem firewall mampu
menjalankan fungsi yang canggih seperti otentifikasi pengguna serta menyediakan log
transmisi dan alat audit untuk melaporkan aktivitas yang tidak mendapatkan izin atau
tidak diotorisasi.

Firewall berlapis juga memungkinkan untuk digunakan

Ada 3 cara untuk melakukan pencegahan serangan:

1. Mengendalikan DDoS (serangan yang dilakukan dengan cara membanjiri lalu

lintas jaringan internet pada server, sistem, atau jaringan).

2. Smuff Attack: mengabaikan paket dari situs penyerang segera setelah

alamatnya diidentifikasi.

3. SYN Flood Attack :

a. Firewall akan menolak semua paket yang berasal dari alamat yg
tidak teridentifikasi
b. Software keamanan yang mampu mendeteksi pesan yang tidak
diikuti paket ACK, dan segera mengembalikan koneksi yang tidak
terbalas.

DDos memiliki Intrusion Prevention System (IPS) yang menjalankam deep

packet inspection (DPI) dan mengevaluasi keseluruhan isi dari paket pesan. Berbeda
dengan inspeksi normal, dengan menginspeksi keseluruhan isi lebih dalam, DPI
mampu mengidentifikasi dan mengklasifikasikan paket jahat untuk kemudian ditahan
dan diarahkan ke tim keamanan.

Enkripsi

Enkripsi addalah mengkonversi data menjadi kode rahasia baik dalam

penyimpanan maupun transmisi.

Public Key Encryption. Pengirim membutuhkan public key receiver untuk meng-
encoding dan mengirim pesan. Encoding adalah proses konversi informasi dari suatu
sumber (objek) menjadi data.
Private Key Encription. private key receiver digunakan untuk meng-decoding pesan
agar dapat terbaca. Proses decoding adalah menerjemahkan kode yang tidak
dimengerti oleh manusia, sehingga lebih bisa dimengerti.

Tanda Tangan Digital (Digital Signature) yaitu otentifikasi elektronik yang tidak dapat
ditiru dan dapat dikirimkan melalui elektronik.

Sertifikat Digital (Digital Certificate) yaitumemverifikasi identitas pengirim. Digital

Certificate dikeluarkan oleh certification authority (CA). Digital Certificate dikirimkan
kepada pengguna dan dienkrip dengan CA public key untuk memperoleh sender
publick key.

Penomoran Urutan Pesan (Message Sequence Numbering): untuk menanggulangi

pesan yang dihapus, dengan merubah urutannya, atau diduplikasi oleh penggangu,
maka nomor urut pada tiap-tiap pesan.

Log Transaksi Pesan (Message Transaction Log) yaitu setiap pesan masuk dan
keluar, serta upaya akses terhadap pesan dicatat dalam log transaksi pesan. Log
tersebut mencatat user ID, waktu akses, dan asal atau nomor telepon dimana akses
berasal.

Teknik Permintaan Respon (Request-Response Technique) yaitupesan kendali dari

sender dan respon dari penerima dikirim secara periodik, interval yang tersinkronisasi.
Pewaktuan pesan bersifat random sehingga sulit diperdaya.
Call-Back Device yaitu otentifikasi sebelum koneksi terjadi, dimana sistem akan
memutus dan membalas permintaan koneksi dengan menghubungi caller melalui
koneksi baru.

Tujuan Audit yang berhubungan dengan Subversive Threats yaitu menjamin

keamanan dan keabsahan transaksi financial dengan menentukan apakah network
kontrol:

1. Mendeteksi dan mencegah akses ilegal baik dari dalam maupun dari luar

2. Setiap data yang berhasil dicuri menjadi tidak berguna

3. Secara layak menjamin integritas dan keamanan fisik dari data yang
terkoneksi ke jaringan

5. Mengontrol Risiko dari Kegagalan Peralatan

Kesalahan jaringan Masalah paling umum dalam komunikasi data adalah

kehilangan data karena kesalahan jaringan. Struktur pesan dapat rusak melalui
kebisingan pada jalur komunikasi. Misalnya, dalam kasus program pembaruan basis
data, adanya kesalahan garis dapat mengakibatkan nilai transaksi yang salah diposting
ke akun, Dua teknik berikut ini biasanya digunakan untuk mendeteksi dan memperbaiki
kesalahan data sebelum diproses.
a) Echo Check. Echo Check melibatkan penerima pesan yang
mengembalikan pesan ke pengirim. Pengirim membandingkan pesan yang
dikembalikan dengan salinan asli yang tersimpan. Jika ada perbedaan antara
pesan yang dikembalikan dan yang asli, yang menunjukkan kesalahan
transmisi, pesan tersebut dikirim kembali.

b) Parity check. Parity check menggabungkan bit ekstra (bit paritas) ke dalam
struktur string bit ketika dibuat atau dikirim. Parity dapat berupa vertikal dan
horizontal (longitudinal). Parity vertikal menambahkan bit parity ke setiap karakter
dalam pesan ketika karakter awalnya diberi kode dan disimpan dalam bentuk
magnetik. Parity adalah Sebuah sistem pendeteksi keadaan error yang menguji
integritas data antara sistem komputer dan jaringannya. Cek parity menggunakan 9
bit ekstra yang mencakup nilai 0-1 (tergantung dari kandungan data dari byte).
Setiap kali sebuah byte ditransfer atau ditransmisi, terjadi tes parity bit.
 Tujuan Audit Terkait dengan pengendalian risiko kegagalan peralatan adalah
untuk memverifikasi integritas transaksi perdagangan elektronik dengan menentukan
bahwa ada pengendalian untuk mendeteksi dan memperbaiki kehilangan pesan
karena kegagalan pengiriman.

Prosedur Audit Terkait dengan pengendalian risiko kegagalan peralatan, yaitu :

a. Auditor dapat memilih sampel pesan dari log transaksi dan memeriksanya
untuk konten yang rusak yang disebabkan oleh ganguan jalur,
b. Auditor harus memverifikasi bahwa semua pesan yang rusak berhasil dikirim
ulang

C. Auditing Electronic Data Interchange (EDI)

Untuk mengoordinasikan penjualan dan produksi dan memertahankan arus dari

bahan baku. Banyak perusahan melakukan kerjasama antar rekan bisnis dengan
pemasok dan pelanggan. Kerjasama inilah yang menjadi dasar dari adanya
otomatisasi proses bisnis yang dinamakan Electronic Data Interchange (EDI). EDI
adalah sebuah sistem perusahaan dimana dalam sistem tersebut, ditunjukkan proses
produksi dari bahan baku hingga menjadi barang jadi serta dapat melakukan otorisasi
transaksi yang disesuaikan dengan kerjasama. Hal ini dapat membuat perusahaan
dengan sistem internal yang berbeda dapat melakukan pertukaran informasi dan
melakukan aktivitas bisnis.

a. EDI Standards

Kunci kesuksesan dari EDI ialah penggunaan dari format yang standar
untuk pertukaran sistem guna menyelaraskan informasi. Di Amerika Seritkat,
standar yang digunakan untuk EDI ialah X.12 format. Standar yang digunakan
secara internasional ialah EDIFACT (EDI for Administration, Commerce, and
Transport). Format X.12 mengandung alamat elektronik dari receiver, protokol
komunikasi, dan informasi kontrol.

b. Benefits of EDI

Adapun beberapa manfaat dari EDI apabila diimplementasikan di suatu

perusahaan, antara lain:

1. Data keying
 2. Error reduction
3. Reduction of paper
4. Postage
5. Automated procedures
6. Inventory reduction

c. Financial EDI

Menggunakan EFT (Electronic Funds Transfer) untuk pencarian uang

dan pengambilan kas cenderung lebih rumit daripada menggunakan EDI untuk
penjualan dan pembelian. Transaksi dengan EFT membutuhkan bank antar
rekan bisnis.

d. EDI Controls

Pelanggan dan pemasok harus menentukan transaksi yang diproses

dari (ke) perusahaan dari rekan kerja yang valid dan terotorisasi. Hal ini dapat
dicapai dari tiga poin dari proses:

1. VAN (Value Added Network) memiliki kapabilitas untuk memvalidasi dari

password dan user ID untuk vendor untuk dicocokkan dengan dokumen
pelanggan yang valid.
2. Sebelum diubah, software dapat memvalidasi dari ID rekan kerja dan
password terhadap dokumen validasi dalam database perusahaan.
3. Sebelum diproses, perangkat lunak aplikasi mitra dagang mereferensikan file
pelanggan dan vendor yang valid untuk memvalidasi transaksi.

e. Access Control

Untuk EDI berjalan lancar, antar rekan bisnis harus memperbolehkan

beberapa akses terhadap beberapa data files yang kemungkinan tidak
diperbolehkan dalam proses tradisional. Perjanjian antar rekan bisnis
menentukan seberapa besar akses yang diperbolehkan antar rekan bisnis. Untuk
menghindari akses ilegal, tiap perusahaan harus menentukan vendor yang valid
dan data pelanggan setelah itu melakukan validasi dan akses ilegal dapat ditolak.

Auditing PC-Based Accounting Systems

 Pasar perangkat lunak menawarkan ratusan sistem akuntansi berbasis PC.
Berbeda dengan sistem mainframe dan client-server yang sering dirancang khusus
untuk memenuhi kebutuhan pengguna tertentu, aplikasi PC cenderung menjadi sistem
tujuan umum yang melayani berbagai kebutuhan. Strategi ini memungkinkan vendor
perangkat lunak untuk memproduksi massal produk standar berbiaya rendah dan
bebas kesalahan. Tidak mengherankan, sistem akuntansi PC populer dengan
perusahaan kecil, yang menggunakannya untuk mengotomatisasi dan mengganti
sistem manual sehingga menjadi lebih efisien dan kompetitif. Sistem PC juga telah
membuat terobosan dengan perusahaan besar yang memiliki operasi terdesentralisasi.

a. PC Systems Risks and Controls

Beberapa risiko dan pengendalian dalam sistem PC ialah sebagai

berikut:

1. Operating System Weakness

2. Weak Access Control
3. Inadequate Segregation of Duties
4. Multilevel Password Control
5. Risk of Theft
6. Weak Backup Procedures
7. Risk of Virus Infection
8. Audit Objective Associated with PC Security
9. Audit Procedures Associated with PC Security
REFERENSI
James A. Hall. 2011. Information Technology Auditing and Assurance. Cengage
Learning.