RESUME AUDIT INFORMASI
CHAPTER 1—AUDIT DAN PENGENDALIAN INTERNAL CHAPTER 3- AUDIT SISTEM INFORMASI DAN JARINGAN (BAG.1) (BA G.1)
EVY ARISKA NOVELIA 8D REGULER/07 OKTOBER 2014
CHAPTER 1 : AUDITING AND INTERNAL CONTROL 1. OVERVIEW AUDITING a. Audit eksternal (keuangan)
Audit eksternal merupakan pemeriksaan independen yang dilakukan oleh seorang ahli —yaitu auditor —yang memberikan opini terhadap penyajian laporan keuangan. Jasa ini disebut jasa atestasi, yang dilakukan oleh certified public accountant(CPA) yang bekerja pada kantor akuntan publik bersifat independen dari perusahaan klien yang diaudit. Tujuan audit selalu berhubungan dengan menjamin penyajian yang wajar dari laporan keuangan, sehingga disebut audit keuangan. Auditor eksternal harus mengikuti peraturan baku dalam melakukan audit yang dikeluarkan oleh SEC, dewan pembentuk standar, seperti FASB, AICPA, dan hukum federal. b. Jasa atestasi versus jasa konsultasi
Defenisi jasa atestasi: suatu perjanjian dengan praktisi yang akan memberikan, atau memberikan komunikasi tertulis yang menunjukkan kesimpulan mengenai keandalan asersi tertulis yang merupakan tanggung jawab dari pihak lain (SSAE No.1, AT Sec 100.1) Persyaratan yang harus dipenuhi dalam melakukan jasa atestasi:
Jasa atestasi memerlukan asersi tertulis dan laporan tertulis dari para ahli.
Jasa atestasi memerlukan kriteria pengukuran formal atau deskripsinya dalam penyajian.
Level jasa atestasi terbatas pada pemeriksaan, reviu, dan penerapan prosedur yang telah disetujui.
Defenisi dari jasa konsultasi adalah jasa profesional yang ditawarkan oleh kantor akuntan publik kepada kliennya untuk mengukur efektivitas dan efisiensi perusahaan. Area jasa konsultasi secara sengaja tidak dibatasi sehingga tidak menghambat pada pertumbuhan jasa di masa yang akan datang yang pada saat ini tidak terduga. Unit jasa konsultasi pada kantor akuntan publik bertanggung jawab dalam menyediakan dukungan IT untuk klien terkait pengendalian yang memiliki nama yang berbeda di setiap perusahaan, tetapi mereka semua terlibat dalam tugas-tugas yang dikenal sebagai manajemen resiko TI. c. Audit internal
Institute of Internal Auditors (IIA) mendefinisikan audit internal sebagai fungsi penilaian independen yang dilakukan di dalam organisasi dalam memeriksa dan mengevaluasi kegiatannya sebagai jasa untuk orgasnisasi tersbut. Auditor internal melakukan berbagai kegiatan untuk kepentingan organisasi, meliputi melakukan audit keuangan, memeriksa kepatuhan operasi terhadapa kebijakan organisasi, reviu kepatuhan organisasi, evaluasi efisiensi operasi, dan mendeteksi dan meneliti kecurangan di dalam perusahaan. Sertifikasi auditor internal disebut Certifioed Internal Auditor (CIA) atau certified information system auditor (CISA). STandar, pedoman, dan sertifikasi audit internal dilakukan oleh Institute of Internal Auditors (IIA), dan untuk tingkatan di bawahnya, oleh Information Systems Audit and Control Association (ISACA) d. Auditor eksternal versus auditor internal
1
Auditor eksternal merupakan pihak luar,sedangkan auditor internal mewakili kepentingan organisasi. Namun demikian, dalam kapasitas ini, auditor internal sering bekerja sama dan membantu auditor eksternal dalam melakukan aspek audit keuangan. Independensi auditor internal dapat dikompromikan, sedangkan auditor eksternal dilarang oleh standar operasional. Auditor eksternal dapat menggunakan bukti dari auditor internal dan melaporkannya pada dewan komisaris. e. Audit kecurangan
tujuan dari audit kecurangan adalah untuk menginvestigasi anomali dan mengumpulkan bukti kecurangan untuk memberikan keyakinan terhadap tindakan kriminal. Sertifikasi auditor kecurangan disebut Certified Fraud Examiner (CFE), yang dikeluarkan oleh Association of Certified Fraud Examiners (ACFE). 2. PERANAN KOMITE AUDIT
Dewan direksi dalam perusahaan publik membentuk subkomite yang dikenal dengan komite audit yang memiliki tanggung jawab khusus mengenai audit. Komite ini biasanya terdiri dari tiga orang yang harus orang luar (tidak terkait dengan manajemen eksekituf). Komite audit berfungsi sebagai and balance”
“check
independen untuk funsi audit internal dan dengan audit eksternal.
Penipuan dalam perusahaan sering memiliki hubungan pada kegagalan komite audit. Hal Ini berkaitan dengan kurangnya independensi anggota komite audit, komite audit tidak aktif, total ketiadaan komite audit, dan kurangnya anggota yang berpengalaman dalam komite audit. 3. KOMPONEN AUDIT KEUANGAN a. Standar audit
Standar auditing dibagi menjadi tiga kelas: standar kualifikasi umum, standar lapangan, dan standar pelaporan. GAAS menetapkan kerangka kerja untuk memandu kinerja auditor, tetapi tidak cukup rinci untuk memberikan pedoman yang berarti dalam keadaan tertentu. Untuk memberikan pedoma khusus , American Institute of Certified Public Accountant (AICPA) menerbitkan Pernyataan Standar Auditing pada (SASs) sebagai interpretasi dari GAAs. Generally Accepted Auditing Standard Standar Umum
Auditor
harus
pelatihan
dan
Standar lapangan
memiliki
Pekerjaan
kemampuan
memadai
dalam laporan apakah laporan
direncanakan.
keuangan telah disusun sesuai
teknis yang memadai
Audit
Standar pelaporan
harus
Auditor
harus
menyatakan
prinsip akuntansi dengan yang berlaku umum Auditor
harus
memiliki
independensi sikap mental.
Auditor harus mendapatkan
Laporan
harus
pemahaman cukup tentang
mengidentifikasi keadaan di
struktur pengendalian intern.
mana
prinsip
berlaku
akuntansi
umum
tidak
diterapkan. Auditor
harus
melatih
kepedulian profesional dalam
Auditor harus memperoleh
Laporan
harus
bukti cukup yang kompeten.
mengidentifikasi item yang
kinerja audit dan persiapan
tidak memiliki pengungkapan
laporan.
yang cukup informatif . 2
Laporan
harus
memuat
ekspresi pendapat laporan
auditor
pada
keuangan
secara
keseluruhan. b. Proses sistematis
Pelaksanaan audit merupakan proses yang sistematis dan logis yang diterapkan untuk segala bentuk sistem informasi. Meskipun penting dalam semua pengaturan audit, pendekatan sistematis adalah yang sangat penting dalam lingkungan TI. c. Asersi manajemen dan tujuan audit
Untuk mendapatkan keyakinan yang memadai bahwa laporan keuangan telah disajikan dengan wajar, auditor menetapkan tujuan audit, desain prosedur, dan mendapatkan bukti yang menguatkan atau menyangkal asersi manajemen. Lima kategori umum asersi: Keberadaan atau keterjadian, Kelengkapan, Hak dan kewajiban, Penilaian atau alokasi, Penyajian dan pengungkapan. Asersi manajemen
Tujuan audit
Prosedur audit
Keberadaan atau keterjadian
Persediaan yang tercantum Amati dalam neraca..
Kelengkapan
Hutang
mencakup
penghitungan
persediaan fisik semua
kewajiban periode tersebut.
Bandingkan
laporan
penerimaan, faktur pemasok, pesanan pembelian, dan entri jurnal untuk periode dan awal periode berikutnya.
Hak dan kewajiban
Penilaian atau alokasi
Mesin dan Peralatan yang
Reviu Perjanjian pembelian,
tercantum
polis asuransi, dan dokumen
dalam
neraca
dimiliki oleh entitas.
terkait.
Piutang dinyatakan sebesar
Reviu
net
entitas
Realizable value.
kecukupan penyisihan akun
umur dan
akun
piutang
mengevaluasi
uncorrectable . Penyajian dan pengungkapan
Kontinjensi tidak dilaporkan
Mendapatkan informasi dari
dalam akun keuangan
pengacara entitas tentang
dan
diungkapkan dalam catatan
status litigasi dan perkiraan
kaki
potensi kerugian.
d. Memperoleh bukti e. Memastikan materialitas f. Mengkomunikasikan hasil
3
Auditor harus mengkomunikasikan hasil pemeriksaan mereka pada pengguna. Auditor independen membuat laporan pada dewan direksi dan pemengang saham dari sebuah perusahaan. Laporan audit berisi antara lain opini audit. 4. RESIKO AUDIT a. Komponen resiko audit
Tujuan auditor adalah untuk mencapai tingkat risiko audit yang dapat diterima oleh auditor. Risiko audit yang dapat diterima (Acceptable Risk) diestimasi berdasarkan nilai ex ante dari komponen model risiko audit, yang terdiri dari:
Resiko bawaan : Risiko bawaab dikaitkan dengan karakteristik unik dari bisnis atau industri
perusahaan klien. Industri yang sedang menurun memiliki risiko bawaan lebih besar dari perusahaan-perusahaan yang stabil atau industri yang berkembang. Auditor tidak dapat mengurangi tingkat risiko bawaan. Bahkan dalam suatu sistem dilindungi oleh kontrol yang sangat baik, data keuangan dan, akibatnya, laporan keuangan, dapat salah saji material.
Resiko pengendalian : resiko pengendalian adalah kemungkinan bahwa struktur pengendalian
cacat karena kontrol tidak ada atau tidak memadai untuk mencegah atau mendeteksi kesalahan dalam akun.
Resiko terdeteksi : Risiko terdeteksi adalah risiko bahwa auditor bersedia untuk mengambil
bahwa kesalahan tidak terdeteksi atau dicegah dengan struktur pengendalian juga tidak akan terdeteksi oleh auditor. b. Model resiko audit
Auditor keuangan menggunakan komponen resiko audit dalam model untuk menentukan ruang lingkup, sifat, dan waktu uji substantif. Model resiko audit: AR = IRxCRxDR Contoh: AR= 5% ; IR=40% ; CR= 60% (IR dan CR merupakan komponen yang saling ekslusif, tidak harus 100%) Jadi detection risk sebesar DR =5% / (40%*60%) = 20% c. Hubungan antara uji pengendalian dan uji subs tantif
Uji pengendalian dan uji substantif merupakan teknik audit yang diguakan untuk mengurangi resiko audit pada level yang dapat diterima. Semakin kuat struktur pengendalian internal, sebagaimana ditetapkan melalui uji pengendalian, semakin kecil resiko audit dan semakin sedikit uji substantif yang harus dilakukan oleh auditor. Kesimpulannya, semakin andal suatu pengendalian internal, semakin kecil kemungkinan resiko pengendalian dan semakin kecil resiko terdeteksi, yang akhirnya beujung pada semakin sedikitnya uji substantif yang diperlukan. 5. AUDIT TI
Struktur audit TI : Perencanaan audit; Uji Pengendalian; Uji substantif
4
6. PENGENDALIAN INTERNAL a. Tujuan, Prinsip dan Model
Tujuan : untuk menjaga aset perusahaan, untuk menjamin akurasi dan keandalan pencatatan
akuntansi dan informasi, untuk mendorong efisiensi operasi perusahaan, untuk menjamin kepatuhan manajemen sesuai kebijakan dan prosedur.
Model PDC
Pencegahan merupakan baris pertama dalam pertahanan struktur pengendalian. Pengendalian pencegahan merupakan teknik pasif yang dibentuk untuk mengurangi frekuensi kejadian peristiwa yang tidak diinginkan.
Pengendalian deteksi merupakan baris kedua pertahanan. Pengendalian deteksi adalah aat, teknik dan prosedur yang dibentuk untuk menidrntifikasi dan mengetahui peristiwa yang tidak diinginkan yang menghindari pengendalian pencegahan
Kegiatan koreksi harus dilakukan untuk membalik efek dari kesalahan terdeteksi. Terdapat perbedaan penting antara pengendalian detektif dan pengendalian korektif. Pengendalian detektif mengidentifikasi kejadian yang tidak diinginkan dan memberikan perhatian pada kesalahan., pengendalian korekstif untuk mengatasi hal tersebut.
b. Kerangka pengendalian internal COSO Komponen COSO :
5
Pengendalian lingkungan : merupakan dasar dari 4 komponen lainnya. Pengendalian
lingkungan mengatur irama organisasi dan mempengaruhi kesadaran pengendalian dari manajemen dan karyawan.
Penilaian resiko : organisasi harus melakukan penilaian resiko untuk mengidentifikasi, analisis,
dan mengatur resiko yang berhubungan dengan pelaporan keuangan. SAS 109 mensyaratkan bahwa auditor memperoleh pengetahuan yang cukup tentang risiko organisasi prosedur penilaian untuk memahami bagaimana manajemen mengidentifikasi, memprioritaskan, dan mengelola risiko yang terkait dengan pelaporan keuangan.
Informasi dan komunikasi : Sistem informasi akuntansi terdiri dari catatan dan metode yang
digunakan untuk memulai, mengidentifikasi, menganalisis, mengklasifikasi, dan mencatat transaksi organisasi dan untuk memperhitungkan aktiva dan kewajiban terkait. Kualitas informasi bahwa informasi akuntansi sistem menghasilkan kemampuan dampak manajemen untuk mengambil tindakan dan membuat keputusan sehubungan dengan operasi organisasi dan untuk mempersiapkan laporan keuangan yang dapat diandalkan.
Monitoring : Manajemen harus menentukan bahwa pengendalian internal berfungsi
sebagaimana dimaksud. pemantauan adalah proses dimana kualitas desain pengendalian internal dan operasi dapat akan dinilai. Hal ini dapat dicapai dengan prosedur yang terpisah atau kegiatan yang sedang berlangsung.
Kegiatan pengendalian : Kegiatan pengendalian adalah kebijakan dan prosedur yang digunakan
untuk memastikan bahwa tindakan yang tepat
diambil untuk menangani risiko yang
teridentifikasi organisasi. Kegiatan pengendalian dapat dikelompokkan menjadi dua kategori yang berbeda: kontrol fisik dan kontrol teknologi informasi (TI).
=====================================
End=======================================
6
CHAPTER 3: SECURITY PART I: AUDITING OPERATING SYSTEMS AND NETWORKS 1. AUDIT SISTEM OPERASI
Sistem operasi adalah program kendali komputer. Jika integritas sistem operasi dapat dikompromikan, kontrol dalam diri aplikasi akuntansi individu juga dapat disiasati atau dinetralisir. a. Tujuan sistem operasi Sistem operasi melakukan tiga tugas utama, yaitu: OS menterjemahkan bahasa tingkat tinggi, seperti COBOL, C ++, BASIC, dan SQL, ke dalam level
bahasa yang dapat dijalankan komputer. Modul penerjemah bahasa dari sistem operasi disebut compiler dan interpreter.
OS mengalokasikan sumber daya komputer kepada pengguna, kelompok kerja, dan aplikasi.
Ketiga, sistem operasi mengelola tugas-tugas penjadwalan pekerjaan dan multiprogramming. Pada setiap titik, berbagai aplikasi user (pekerjaan) yang mencari akses ke komputer sumber daya di bawah kendali sistem operasi. Pekerjaan diserahkan ke sistem dalam tiga cara: (1) langsung oleh operator sistem, (2) dari berbagai antrian batch-job, dan (3) melalui link telekomunikasi dari workstation remote
Untuk melaksanakan tiga tugas utama di atas secara konsisten dan andal, OS harus memenuhi lima tujuan dasar pengendalian, yaitu: Sistem operasi harus melindungi diri dari pengguna. Pengguna aplikasi tidak boleh menguasai,
atau kerusakan dengan cara apapun, sistem operasi, sehingga menyebabkan OS berhenti beroperasi atau merusak data. Sistem operasi harus melindungi pengguna satu sama lain. satu pengguna tidak harus dapat
mengakses, merusak, atau merusak data atau program dari user lain. Sistem operasi harus melindungi pengguna dari diri mereka sendiri. Aplikasi pengguna mungkin
terdiri dari beberapa modul yang tersimpan dalam lokasi memori yang terpisah, masing-masing dengan data tersendiri. Satu modul tidak diperbolehkan untuk menghancurkan atau merusak modul lain. Sistem operasi harus dilindungi dari dirinya sendiri. Sistem operasi ini juga terdiri dari modul
individu. Tidak ada modul yang diperblehkan men ghancurkan atau merusak modul lain. Sistem operasi harus dilindungi dari lingkungannya. Dalam hal terjadi gangguan listrik atau
bencana lainnya, sistem operasi harus dapat mencapai terminal pengendaian . b. Keamanan sistem operasi Keamanan sistem operasi termsauk kebijakan, prosedur dan pengedalian yang menentukan siapa yang dapat mengakses sistem operasi, diantaranya dilakukan dengan cara sebagai berikut:
Prosedur log-on : prosedur log on formal adalah baris pertama pertahanan os melawan akses yang tidak diotorisasi.
Akses token: jika log on sukses, os membuat akses token yang berisi informasi kunci tentang pengguna, termasuk user id, pasword, grup pengguna, dan hak pengguna.
7
Daftar akses kendali : daftar kontrol kendali diterapkan untuk setiap sumberdaya IT, yang mengendalikan akses terhadap sumber daya. Daftar ini berisi informasi yang mendefinisikan hak akses untuk semua pengguna valid terhadap sumberdaya.
Hak akses istimewa: sistem administrator terpusat biasanaya menentukan siapa yang mempunyai akses yang diberikan untuk sumberdaya spesifik dan memelihara dafatar kendali akses. Pemiliki sumberdaya dalam pengaturan ini disebut hak akses diskresioner, yang mengijinkan merekan untuk mendapatkan akses kepada pengguna lain.
c. Ancaman integritas sistem operasi Tujuan pengendalian Sistem operasi tidak dapat dicapai karena kelemahan dalam sistem operasi yang dieksploitasi baik sengaja atau tidak sengaja. Ancaman Terkadang termasuk kegagalan hardware yang menyebabkan sistem operasi crash. Kesalahan dalam program aplikasi pengguna yang sistem operasi tidak dapat menafsirkan, juga menyebabkan kegagalan sistem operasi. Kegagalan sistem terkadang dapat menyebabkan seluruh segmen memori yang akan dibuang ke disk dan printer, sehingga dalam pengungkapan informasi rahasia yang tidak disengaja d. Pengendalian sistem operasi dan uji audit Jika integritas sistem operasi terganggu, kontrol dalam akuntansi individual aplikasi yang berdampak pelaporan keuangan juga dapat terganggu. Yang dapat dilakukan auditor:
Pengendalian hak akses Bentuk Hak
Tujuan pengguna
diberikan
Memverifikasi
Prosedur audit bahwa
hak
Meninjau
kebijakan dalam
kepada individu dan sekuruh
akses yang diberikan telah
organisasi
kelompok
yang
sesuai, konsisten terhadap
pemisahan
diizinkan untuk menggunakan
kebutuhan akan pemisahan
tidak
sistem.
fungsi dan sesuai dengan
meyakinkan
bahwa
kebijakan organisasi.
manajemen
menerapkan
kerja
fungsi
yang
sesuai
dan
keamanan yang layak.
Melakukan tinjauan dan verifikasi atas pemilihan kewenangan dari kelompok pengguna
dan
individu
untuk menentukan jika hak akses
mereka
sesuai
dengan jobdesc dan posisi mereka.
Meninjau
riwayat
pegawai
kerja untuk
menentukan apakah para pengguna
secara
memahami jawab
formal
tanggung
mereka
untuk
menjaga kerahasiaan data perusahaan.
Meninjau
waktu
log-on 8
yang diijinkan dari para penggunan.
Izin
seharusnya
sepadan
dengan tugas yang harus dikerjakan.
Pengendalian password Bentuk
Tujuan
Beberapa
bentuk
pengendalian
yang
dapat
dilakukan adalah:
Password
Prosedur audit
Meyakinkan organisasi
bahwa telah
secara
dapat
berulang.
digunakan
menerapkan
kebijakan
password
password
untuk
Password yang baik adalah
mengendalikan
akses
dengan
dalam sistem oprerasi.
Memverifikasi bahwa user baru telah diinstruksikan
ke
tentang
penggunaan
password dan pentingnya
mengkombinasikan huruf
pengendalian password
dan angka serta huruf
Meninjau
prosedur
besar dan kecil, diganti
pengendalian
password
secara
untuk
berkala,
dituliskan umum
pada
tidak tempat
serta
merupakan
bukan
yang
digunakan
satu
secara
Meninjau data password untuk menentukan bahwa
hanya
password
kali.
dapat
Sistem ini memerlukan
yang
lemah
diidentifikasi
dan
dilarang penggunaannya
sebuah alat/kartu yang akan
diganti
bahwa
teratur
kombinasi
Password
menyakini
password
yang mudah ditebak.
bahwa
semua user wajib memiliki
memadai dan efektif dalam
yang
Memverifikasi
meng-generate
Memverifikasi bahwa data password dienkripsi dan
password baru ketika di-
kunci enkripsi cukup aman
swype/gesek dengan alat
Menilai kewajaran standar
pembaca password dan
password seperti panjang
membentuk
dan
baru.
password
Penggunaannya diketahui
pemilik
kartu
waktu
kadaluarsanya
diikuti dengan PIN yang hanya
jangka
Meninjau
oleh
kebijakan
untuk
password
prosedur
dan
mengunci
menghindari penyalahgunaan.
Pengendalian melawan Program berbahaya dan merusak Bentuk
Tujuan
Beberapa bentuk pengendalian akan virus adalah:
Membeli
software
Prosedur audit Memverifikasi bahwa
kebijakan hanya
manajemen
dan telah
prosedur efektif
Melalui
wawancara,
temukan bahwa pegawai telah
mengerti
tentang 9
dari penyedia yang memiliki
dalam
reputasi baik dan hanya
penggunaan
menerima produk yang asli
penyebaran program yang
dan masih terbungkus rapi
merusak
Menerbitkan
virus
dan
dan
program
berbahaya serta waspada terhadapnya
kebijakan
melarang
mencegah
Memverifikasi
bahwa
software baru telah dites
penggunaan
pada
komputer
software ilegal
berdiri
sendiri
Menguji semua perbaikan
diterapkan pada host atau
software
dari
penyedia
server
terhadap
virus
sebelum
diterapkan Melakukan
Memverifikasi
yang
sebelum
bahwa
antivirus terupdate secara inspeksi
semua
teratur
software yang tersedia secara umum terhadap virus sebelum digunakan, dll
Pengendalian jejak sistem audit Bentuk
Tujuan
Pengendalian dapat
ditentukan
kebijakan misalnya
jejak
audit sesuai
manajemen, dengan
Prosedur audit Memberi
keyakinan
trail telah berjalan sesuai
telah
dengan
secara
memadai
mencegah dan mendeteksi
mengawasi jejak pengguna
pelanggaran, merekonstruksi
secara
kejadian-kejadian
berdasarkan tertentu.
ataupun peristiwa
Memverifikasi bahwa audit
bahwa audit trail yang ada
memilih
pribadi
yang kegagalan
kebijakan
organisasi
Sistem
operasi
penting
menyediakan alat untuk
menyebabkan
membaca log audit yang
sistem
dan
memungkinkan
auditor
perencanaan alokasi sumber
melakukan scan terhadap
daya
aktivitas yang tidak biasa
Auditor
dapat
sampel
memilih
pelanggaran
keamanan
dan
mengevaluasi disposisi tim keamanan
it
organisasi
untuk menilai keefektifan tim keamanan it 2. AUDIT JARINGAN
a. Resiko intranet Intranet terdiri dari LAN kecil dan WAN besar yang dapat berisikan ribuan node. Intranet digunakan untuk menghubungkan karyawan di dalam suatu bangunan, antar bangunan dalam satu kampus, dan antara lokasi yang terpisah secara geografis.
10
Ancaman intranet berasal dari karyawan yang memiliki kegiatan ilegal dan tidak diijinkan. Contoh ancaman/resiko intranet anatara lain:
Penyadapan pesan jaringan
Akses database perusahaan
Karyawan Istimewa : Faktor yang berkontribusi terhadap kejahatan komputer adalah banyak organisasi yang tidak mau menuntuti para penjahat.
b. Resiko internet
IP spoofing: bentuk samaran untuk mendapatkan akses yang tidak diijinkan ke server web dengan cara mengubah IP address dan mengambil data/identitas asli dari pengguna. Sebagai contoh, seorang hacker bisa spoof perusahaan manufaktur dengan order penjualan palsu yang tampaknya berasal dari seorang pelanggan yang sah.
Penolakan serangan layanan : Sebuah penolakan serangan layanan (Dos) adalah serangan terhadap server web untuk mencegah dari pelayanan pada customer. Tiga jenis umum Serangan Dos adalah: -
SYN flood attack(Ketika seorang pengguna menetapkan koneksi di Internet melalui TCP / IP ),
-
smurf(Pelaku serangan smurf menggunakan sebuah program untuk membuat paket pesan ping yang berisi alamat IP palsu dari komputer (IP spoofing) korban daripada yang dari komputer sumber yang sebenarnya. Pesan ping kemudian dikirim ke perantara, yang sebenarnya sebuah subnetwork seluruh komputer. Dengan mengirimkan ping ke alamat broadcast IP jaringan, pelaku memastikan bahwa setiap node pada jaringan perantara menerima echo meminta secara otomatis. Akibatnya, setiap node perantara mengirimkan tanggapan gema untuk pesan ping, yang dikembalikan ke alamat IP korban, tidak dari komputer sumber.,
-
distributed denial of service (DDos): Pelaku serangan DDos dapat menggunakan virtual tentara disebut zombie atau bot (robot) komputer untuk meluncurkan serangan. Karena jumlah besar perantara tidak curiga diperlukan, serangan sering melibatkan satu atau lebih Internet menyampaikan chatting (IRC) jaringan sebagai sumber zombie
c. Resiko pengendaian dari ancaman tersembunyi Dengan dua risiko terhadap jaringan baik intranet maupun internet maka diperlukan pengendalian terhadap risiko dari ancaman subversif (hacker), beberapa hal yang dapat dilakukan adalah:
Penggunaan firewall
Melakukan proses enkripsi data
Penggunaan tandatangan digital
Penggunaan sertifikat digital
Pengendalian ini dilakukan dengan tujuan untuk memverifikasi bahwa pengendalian atas jaringan memberikan keamanan dan integritas transaksi keuangan. Proses jejak auditl yang dilakukan adalah sebagai berikut:
Meninjau ketersediaan firewall
11
Meninjau prosedur keamanan melalui data enkripsi
Meninjau message transaction logs
d. Resiko pengendalian dari kegagalan peralatan Salah satu contoh kegagalan peralatan misalnya kabel jaringan yang rusak. Bentuk pengendalian yang dilakukan adalah melakukan hal berikut:
Mengecek echo : termasuk penerima pesan mengirimkan pesan kembali ke pengirim.
Mengecek parity (keseimbangan): Cek paritas menggabungkan bit tambahan (bit paritas) ke dalam struktur string bit ketika dibuat atau dikirim. Paritas dapat bersifat vertikal dan horizontal (memanjang).
Tujuan melakukan pengendalian ini adalah menverifikasi integritas transaksi keuangan secara elektronik untuk mendeteksi dan mengkoreksi pesan yang hilang yang disebabkan kegagalan peralatan. Proses penelusuran audit dilakukan dengan memilih sampel pesan dari log transaksi dan mengujinya. 3. AUDIT ELECTRONIC DATA INTERCHANGE (EDI)
a. Standar EDI Untuk menkoordinasikan penjualan dan operasi produksi dan untuk memelihara aliran bahan baku yang tidak benar, banyak organisasi memasukkan dalam perjanjian perdagangannya dengan suplier dan customer mereka. Perjanjian adalah dasar untuk proses bisnis otomasi penuh yang disebut electronic data interchange (edi). Defenisi umum dari edi: Pertukaran informasi bisnis berproses komputer dalam perusahaan dengan format standar.
Beberapa standar EDI yang digunakan misalnya format American National Standards Institute (ANSI) X.12 dan EDIFACT (EDI for administration, commerce and transport). b. Manfaat EDI EDI telah diterapkan di banyak perusahaan karena memiliki banyak manfaat antara lain:
Minimalisasi data kunci
Mengurangi kesalahan
Mengurangi penggunaan kertas
Prosedur otomatis
Mengurangi penggunaan persediaan
Mengurangi biaya persuratan
c. Keuangan EDI Oleh karena berbagai manfaat EDI tadi, EDI mulai marak digunakan pada sistem keuangan. EDI digunakan secara bersama-sama dengan electronic fund transfer (EFT) untuk proses pembelian dan penjualan. d. Pengendalian EDI
12
Meskipun mengurangi adanya intervensi manusia berkat penggunaan EDI namun tetap diperlukan pengendalian yaitu menyakinkan bahwa transaksi telah diotorisasi dan valid, pencegahan akses yang tidak memiliki izin, dan m enjaga audit trail transaksi. e. Pengendalian akses Tujuan audit terhadap EDI antara lain adalah
Semua transaksi diotorisasi dan valid dan patuh terhadap kesepakatan
Tidak ada proses tak diotorisasi yang mengakses database
Rekan dagang yang resmi hanya memperoleh data -data yang diperlukan saja
Terwujudnya kontrol yang memadai untuk melengkapi audit trail transaksi EDI
Adapun prosedur audit yang dilakukan adalah dengan melakukan beberapa tes yaitu: tes pengendalian atas otorisasi dan validasi, tes terhadap akses pengendalian dan tes terhadap pengendalian audit trail 4. AUDIT SISTEM AKUNTANSI BERBASIS KOMPUTER
Aplikasi PC cenderung sistem dengan tujuan umum yang melayani berbagai kebutuhan. Strategi ini memungkinkan vendor perangkat lunak untuk memproduksi produk massal murah dan standar, bebas dari kesalahan. Tidak mengherankan, sistem akuntansi PC populer di perusahaanperusahaan kecil, yang menggunakan PC untuk mengotomatisasi
dan menggantikan sistem
manual dan dengan demikian menjadi lebih efisien dan kompetitif. Kebanyakan sistem PC memiliki desain modular. Desain modular mereka memberikan pengguna dengan beberapa derajat fleksibilitas dalam menyesuaikan sistem dengan kebutuhan spesifik mereka. Program kontrol pusat menyediakan antarmuka pengguna ke sistem. Dari titik kontrol ini, pengguna membuat pilihan menu untuk memanggil modul aplikasi yang diperlukan. Sistem komersial biasanya memiliki modul terintegrasi. Ini berarti bahwa transfer data antara modul terjadi secara otomatis. Resiko Dan Pengendalian Sistem PC Komputer
a. Kelemahan Sistem Operasi b. Kelemahan Pengendalian Akses c. Pembagian tugas yang tidak memadai d. Pengendalian pasword multilevel: Kontrol password Multilevel digunakan untuk membatasi karyawan yang berbagi komputer untuk direktori tertentu, program, dan file data. Dalam pendekatan ini, berbeda password yang digunakan untuk mengakses fungsi yang berbeda. Dengan demikian, setiap karyawan diwajibkan untuk memasukkan password untuk mengakses aplikasi dan data . e. Resiko Pencurian f.
Kelemahan Prosedur Back up : karena kurangnya pengalaman komputer dan pelatihan, pengguna gagal menghargai pentingnya prosedur backup sampai terlambat. Untungnya, sistem backup otomatis yng tidak mahal untuk PC yang tersedia. Untuk kenyamanan, backup dapat diarahkan ke hard drive eksternal di lokasi pengguna.
g. Resiko infeksi virus h. Tujuan audit terkait dengan keamanan PC 13
Tujuan Audit untuk menilai kontrol dalam lingkungan PC meliputi berikut ini: • Pastikan bahwa kontrol berada di tempat untuk melindungi data, program, dan komputer
dari yang Akses tidak sah , manipulasi, kehancuran, dan pencu rian. • Pastikan pengawasan yang memadai dan prosedur operasi ada untuk mengkompensasi
kurangnya pemisahan antara tugas pengguna, programmer, dan operator. • Pastikan bahwa prosedur backup berada di tempat untuk mencegah data dan kehilangan
Program akibat kegagalan sistem, kesalahan, dan sebagainya. • Pastikan bahwa sistem seleksi dan akuisisi prosedur menghasilkan aplikasi yang berkualitas
tinggi, dan dilindungi dari perubahan tidak sah. • Pastikan bahwa sistem ini bebas dari virus dan dilindungi secara memadai untuk
meminimalkan risiko terinfeksi virus atau benda serupa. i.
Prosedur Audit terkait dengan keamanan PC
Auditor harus amati bahwa PC secara fisik berlabuh untuk mengurangi kesempatan pencurian.
Auditor harus memverifikasi dari bagan organisasi, uraian tugas, dan observasi bahwa programmer sistem akuntansi tidak juga mengoperasikan sistem tersebut. dalam unit organisasi yang lebih kecil di mana pemisahan fungsional tidak praktis, auditor harus memverifikasi bahwa ada pengawasan yang memadai atas tugas-tugas ini.
Auditor harus mengkonfirmasi bahwa laporan transaksi yang diproses, daftar akun diperbarui, dan total kontrol disusun, didistribusikan, dan didamaikan oleh manajemen yang tepat secara berkala dan tepat waktu.
Apabila diperlukan, auditor harus menentukan bahwa kontrol password multilevel digunakan untuk membatasi akses ke data dan aplikasi dan bahwa otoritas akses yang diberikan konsisten dengan deskripsi pekerjaan karyawan.
Jika hard drive removable atau eksternal digunakan, auditor harus memverifikasi bahwa drive dihapus dan disimpan di lokasi yang aman j ika tidak digunakan.
Dengan memilih sampel file backup, auditor dapat memverifikasi bahwa prosedur backup ditaati. Dengan membandingkan nilai data dan tanggal pada disk cadangan untuk file produksi , auditor dapat menilai frekuensi dan kecukupan prosedur cadangan. Jika layanan backup online yang digunakan, auditor harus memverifikasi bahwa kontrak saat ini dan cukup untuk memenuhi kebutuhan organisasi.
Dengan memilih sampel PC, auditor harus memastikan paket perangkat lunak komersial dibeli dari vendor terkemuka dan memiliki salinan hukum. Auditor harus meninjau pilihan dan akuisisi prosedur untuk memastikan bahwa pengguna akhir kebutuhan sepenuhnya dipertimbangkan dan bahwa perangkat lunak yang dibeli memenuhi kebutuhan mereka.
Auditor harus meninjau kebijakan organisasi untuk menggunakan perangkat lunak antivirus. kebijakan ini dapat mencakup hal-hal berikut: -
software antivirus harus diinstal pada semua mikrokomputer dan dipanggil sebagai bagian dari prosedur startup ketika komputer dinyalakan. Ini akan memastikan bahwa semua sektor kunci dari hard disk diperiksa sebelum data ditransfer melalui jaringan.
-
Semua upgrade ke vendor perangkat lunak harus diperiksa untuk virus sebelum mereka diimplementasikan. 14
-
Semua perangkat lunak publik domain harus diperiksa untuk infeksi virus sebelum itu digunakan.
-
Versi ter kini software antivirus harus tersedia untuk semua pengguna. verifikasi bahwa file data virus saat ini sedang didownload secara teratur, dan bahwa Program antivirus ini memang berjalan di latar belakang PC terus menerus, dan sehingga mampu memindai semua dokumen yang masuk. Versi perusahaan umumnya meliputi "push" update di mana perangkat lunak secara otomatis memeriksa situs rumah web vendor antivirus untuk update baru setiap kali terhubung ke Internet dan PC di -boot.
==================================
========================================
15