RANDI HERMAWAN8D/16

RESUMECHAPTER 1 : AUDITING AND INTERNAL CONTROL

OVERVIEW AUDITAudit Eksternal (Audit Keuangan) Audit eksternal/audit keuangan adalah suatu atestasi independen yang dilakukan oleh seorang ahli (auditor) yang mengungkapkan suatu opini terkait dengan penyajian laporan keuangan. Tugas ini dinamakan jasa atestasi, yang dilakukan oleh Certified Public Accountant (CPA) yang bekerja untuk perusahaan akuntansi publik yang independen terhadap organisasi klien yang diaudit. Dalam melakukan auit keuangan, auditor eksternal harus mengikuti standar-standar yang telah ditetapkan oleh SEC, FASB, AICPA, dan Sarbanes-Oxley (SOX) Act 2002.

Audit Internal Menurut The Institute of Internal Auditors (IIA), Audit internal adalah fungsi penilaian independen yang dibentuk dalam suatu organisasi untuk memeriksa dan mengevaluasi aktivitas-aktivitasnya sebagai suatu layanan dalam organisasi. Auditor internal melakukan berbagai kegiatan untuk kepentingan organisasi, termasuk melakukan audit keuangan, memeriksa kepatuhan operasional terhadap kebijakan organisasi, mereviu kepatuhan organisasi terhadap kewajiban hukum, mengevaluasi efisiensi operasional, dan mendeteksi dan memburu kecurangan dalam perusahaan/organisasi. Audit internal umumnya dilakukan oleh auditor yang bekerja untuk organisasi, namun bisa juga dilakukan oleh orang luar yang dikontrak dari organisasi lain. Auditor internal memiliki sertifikasi sebagai Certified Internal Auditor (CIA) atau Certified Information System Auditors (CISA). Standar, panduan, dan sertifikasi audit internal dikelola oleh IIA dan Information System Audit and Control Association (ISACA).Audit Kecurangan (Fraud Audits) Tujuan dari fraud audit adalah untuk menginvestigasi penyimpangan dan mengumpulkan bukti kecurangan yang mungkin mengarah pada hukum pidana. Auditor fraud memperoleh sertifikat Certified Fraud Examiner (CFE), yang dikelola oleh Association of Certified Fraud Examiners (ACFE). KOMPONEN AUDIT KEUANGANStandar Audit Auditor memiliki tanggung jawab professional yang diatur oleh standar audit yang diterima umum (generally accepted auditing standards - GAAS). Tiga golongan Standar Audit, yaitu : Standar Kualifikasi Umum, Standar Kegiatan Lapangan dan Standar Pelaporan. Untuk memberikan petunjuk yang terperinci, American Institute of Certified Public Accountants (AICPA) menerbitkan pernyataan standar audit (Statements on Auditing Standards - SAS) sebagai interpretasi legal atas GAAS.Asersi Manajemen dan Tujuan Audit Laporan keuangan organisasi mencerminkan sekumpulan asersi manajemen tentang kesehatan keuangan entitas. Tugas auditor adalah untuk menentukan apakah laporan keuangan tersebut telah disajikan secara wajar atau tidak. Untuk mencapai tujuan ini, auditor harus membentuk tujuan audit, prosedur desain, dan mengumpulkan bukti yang menguatkan atau membantah asersi manajemen. Asersi manajemen ini dibagi menjadi lima kategori, yaitu:1. Keberadaan atau keterjadian (Existence and Occurrence)2. Kelengkapan (Completeness)3. Hak dan kewajiban (Rights and Obligation)4. Valuasi atau alokasi (Valuation or Allocation)5. Penyajian dan pengungkapan (Presentation and Disclosure) Dalam lingkungan IT, proses pengumpulan bukti meliputi pengumpulan bukti yang berkaitan dengan keandalan pengendalian komputer serta konten database yang telah diproses oleh program komputer. Auditor juga harus menentukan apakah terdapat kelemahan dalam pengendalian internal serta salah saji yang ditemukan dalam transaksi dan saldo akun adalah material. Menilai suatu materialitas dalam IT dapat dikatakan sulit karena teknologi dan struktur pengendalian internal yang canggih.RISIKO AUDITRisiko audit adalah kemungkinan bahwa auditor akan membuat pendapat wajar tanpa pengecualian (bersih) atas laporan keuangan yang, pada kenyataannya, salah saji material. Salah saji material dapat disebabkan oleh kesalahan atau penyimpangan atau keduanya.Komponen Risiko Audit Risiko yang Melekat (Inherent Risk), adalah risiko yang berhubungan dengan berbagai karakteristik unik dari bisnis atau industri klien. Auditor tidak dapat mengurangi tingkat risiko yang melekat. Bahkan dalam sistem yang dilindungi oleh kontrol yang sangat baik, data keuangan dan, akibatnya, laporan keuangan, dapat salah saji material. Risiko Pengendalian (Control Risk), adalah kemungkinan bahwa struktur pengendalian cacat karena kontrol tidak ada atau tidak memadai untuk mencegah atau mendeteksi kesalahan dalam akun. Risiko ini dapat dikurangi dengan melakukan berbagai pengujian pengendalian internal. Risiko Deteksi (Detection Risk), adalah risiko yang bersedia diambil auditor atas berbagai kesalahan yang tidak terdeteksi atau dicegah oleh struktur pengendalian yang juga tidak terdeteksi oleh auditor. Untuk mencegahnya auditor menetapkan risiko deteksi yang direncanakan yang berpengaruh terhadap tingkat uji subtantif yang akan dilakukan.AUDIT TEKNOLOGI INFORMASITahapan Audit TI Perencanaan Audit (Audit Planning)Sebagian besar dari fase audit ini adalah analisis risiko audit. Tujuan auditor adalah untuk memperoleh informasi yang memadai tentang perusahaan untuk merencanakan tahapan lain dari audit. Uji Pengendalian (Test of Control)Tujuan dari tahap ini adalah untuk menentukan apakah pengendalian internal yang memadai telah pada tempatnya dan berfungsi dengan baik. Untuk mencapai hal ini, auditor melakukan berbagai pengujian pengendalian. Teknik pengumpulan bukti yang digunakan dalam fase ini dapat mencakup kedua teknik manual dan teknik audit komputer khusus. Uji Substantif (Substantive Testing)Fase ini melibatkan penyelidikan rinci dari saldo rekening dan transaksi khusus melalui apa yang disebut pengujian substantif. Beberapa pengujian substantif adalah kegiatan fisik dan padat karya, seperti menghitung uang tunai, menghitung persediaan di gudang, dan memverifikasi keberadaan sertifikat saham di tempat yang aman. Dalam lingkungan TI, data yang diperlukan untuk melakukan pengujian substantif (seperti saldo akun, serta nama dan alamat pelanggan individu) yang terkandung dalam file data yang sering harus diekstrak menggunakan software Computer-Assisted Audit Tools and Techniques (CAATTs).PENGENDALIAN INTERNALSejarah UU Pengendalian Internal Undang-undang SEC Tahun 1933 dan 1934 Undang-undang Hak Cipta Tahun 1976 Komite Organisasi Pendukung Tahun 1992 Undang-undang Sarbanes-Oxley Tahun 2002TUJUAN, PRINSIP, DAN MODEL PENGENDALIAN INTERNAL Sistem pengendalian internal organisasi terdiri dari kebijakan, praktik, dan prosedur untuk mencapai empat tujuan utama:1. Untuk mengamankan aset perusahaan.2. Untuk menjamin keakuratan dan keandalan pencatatan dan informasi akuntansi.3. Untuk mendorong efisiensi dalam operasi perusahaan.4. Untuk mengukur kepatuhan terhadap kebijakan dan prosedur yang dianjurkan manajemen. Melekat dalam tujuan pengendalian ini, terdapat empat prinsip yang memandu desainer dan auditor dari sistem pengendalian intern, yaitu:1. Tanggung Jawab Manajemen2. Metode Pemrosesan Data3. Pembatasan4. Keyakinan yang Memadai.Model PDCPengendalian internal terbagi ke dalam 3 tingkat yang disebut model Pengendalian PDC, yaitu: Pengendalian Preventif.Pengendalian preventif adalah teknik pasif yang dirancang untuk mengurangi frekuensi terjadinya peristiwa yang tidak diinginkan. Pengendalian preventif memaksa kesesuaian dengan tindakan yang ditentukan atau diinginkan dan dengan demikian menyaring peristiwa yang menyimpang. Pengendalian Detektif.Pengendalian detektif adalah perangkat, teknik, dan prosedur yang dirancang untuk mengidentifikasi dan mengungkap kejadian yang tidak diinginkan yang menghindari pengendalian preventif. Pengendalian detektif mengungkapkan jenis kesalahan tertentu dengan membandingkan kejadian yang sebenarnya terhadap standar yang telah ditetapkan sebelumnya. Pengendalian Korektif.Tindakan korektif harus diambil untuk membalikkan efek dari kesalahan terdeteksi. Ada perbedaan penting antara pengendalian detektif dan pengendalian korektif. Pengendalian detektif mengidentifikasi kejadian yang tidak diinginkan dan menarik perhatian untuk masalah ini, sedangkan pengendalian korektif benar-benar memperbaiki masalah.COSO Internal Control Framework Pengendalian internal menurut COSO, ada 5 komponen, yaitu:1. Lingkungan Pengendalian untuk menetapkan arah perusahaan dan kesadaran manajemen dan karyawan atas pengendalian. SAS 78 mengharuskan auditor memiliki pengetahuan yang memadai untuk menilai sikap dan kesadaran pihak manajemen perusahaan, dewan komisaris dan para pemilik atas pengendalian internal.2. Penilaian Risiko untuk mengidentifikasi, menganalisis, dan mengelola risiko yang berkaitan dengan pelaporan keuangan. SAS 78 mengharuskan auditor mendapatkan pengetahuan yang cukup atas prosedur penilaian risiko perusahaan untuk memahami tata kelola perusahaan berkaitan dengan pelaporan keuangan.3. Informasi dan Komunikasi berkaitan dengan pengambilan keputusan dan membuat laporan keuangan yang andal. SAS 78 mengharuskan auditor untuk mendapatkan cukup pengetahuan yang cukup mengenai sistem informasi perusahaan untuk memahami berbagai aspek terkait penyusunan laporan keuangan.4. Pengawasan merupakan suatu proses penilaian kualitas dan operasi pengendalian internal. Dengan meringkas berbagai aktivitas, memperlihatkan berbagai tren, serta mengidentifikasi kinerja operasi, laporan manajemen yang didesain dengan baik dapat memberikan bukti atas berfungsinya atau kegagalan pengendalian internal.5. Aktivitas Pengendalian yaitu berbagai kebijakan dan prosedur yang digunakan untuk memastikan tindakan yang telah dilakukan untuk menangani berbagai risiko telah berjalan dengan baik dan sesuai dengan identifikasi perusahaan. Dalam TI, aktivitas pengendalian terbagi 2 (dua):1. Pengendalian umum berlaku untuk berbagai jenis risiko yang secara sistematis mengancam integritas semua aplikasi yang diproses dalam lingkungan TI.2. Pengendalian aplikasi berfokus pada berbagai risiko yang berhubungan dengan sistem tertentu. Dalam lingkungan TI, para auditor TI melakukan fungsi verifikasi independen dengan mengevaluasi pengendalian atas pengembangan sistem dan aktivitas pemeliharaan serta mengkaji logika internal program.

RESUMECHAPTER 3: AUDITING OPERATING SYSTEM AND NETWORKS

SISTEM OPERASI AUDIT Sistem Operasi adalah program pengendalian komputer yang memungkinkan pengguna dan aplikasi untuk berbagi dan mengakses sumber daya yang umum komputer, seperti prosesor, memori utama, database, dan printer.Tujuan Sistem Operasi Sistem operasi melakukan tiga tugas utama, yaitu:1. Menerjemahkan bahasa tingkat tinggi, seperti COBOL, C++, BASIC, dan SQL, ke dalam bahasa tingkat mesin yang dapat dieksekusi oleh komputer. Modul penerjemah bahasa dalam sistem operasi disebut compilers dan interpreters.2. Mengalokasikan sumber daya kepada pengguna, kelompok kerja (workgroups), dan aplikasi.3. Mengelola tugas pengelolaan kerja (job scheduling) dan multiprograming. Untuk melakukan tugas-tugas tersebut, sistem operasi harus mencapai lima tujuan penegnedalian fundamental:1. Sistem operasi harus melindungi dirinya sendiri dari pengguna.2. Sistem operasi harus melindungi pengguna dari pengguna lainnya.3. Sistem operasi harus melindungi pengguna dari pengguna itu sendiri.4. Sistem operasi harus dilindungi dari sistem operasi itu sendiri.5. Sistem operasi harus dilindungi dari lingkungannya sendiri.Keamanan Sistem Operasi Keamanan sistem operasi mencakup kebijakan, prosedur, dan pengendalian yang menentukan siapa yang dapat mengakses sistem operasi, di mana sumber daya (files, program, printers) dapat mereka gunakan, dan tindakan apa yang dapat mereka lakukan. Komponen keamanan sistem operasi yang ditemukan dalam sistem operasi yang aman, adalah prosedur log-on, access Token, Access Control List, dan Discretionary Access Privileges.Ancaman terhadap Sistem Operasi Ancaman terhadap sistem operasi dapat berasal dari tiga sumber, yaitu:1. Pegawai berwenang yang menyalahgunakan wewenangnya.2. Individu, baik internal maupun eksternal organisasi, yang menelusuri sistem operasi untuk mengidentifikasi dan mengeksploitasi celah-celah keamanannya.3. Individual yang secara sengaja maupun tidak sengaja memasukkan virus komputer atau program destruktif bentuk lainnya ke dalam sistem operasi.Pengendalian Sistem Operasi dan Pengujian AuditBerbagai teknik kontrol untuk menjaga integritas sistem operasi dan pengujian terkait yang dapat dilakukan oleh auditor, adalah sebagai berikut.1. Mengendalikan hak akses. Tujuan audit yang berkaitan dengan hak akses.Tujuan auditor adalah untuk memastikan bahwa hak akses yang diberikan dengan cara yang konsisten dengan kebutuhan untuk memisahkan fungsi yang tidak kompatibel dan sesuai dengan kebijakan organisasi. Prossedur audit yang berkaitan dengan hak akses.a) Meninjau kebijakan organisasi untuk memisahkan fungsi yang tidak kompatibel dan memastikan bahwa mereka mempromosikan keamanan yang wajar.b) Meninjau hak istimewa dari pilihan kelompok pengguna dan individu untuk menentukan apakah hak akses mereka sesuai dengan deskripsi pekerjaan dan posisi mereka.c) Meninjau catatan personil untuk menentukan apakah karyawan yang diberi kewenangan menjalani pemeriksaan izin keamanan secara intensif sesuai dengan kebijakan perusahaan.d) Meninjau catatan karyawan untuk menentukan apakah pengguna telah secara formal mengakui tanggung jawab mereka untuk menjaga kerahasiaan data perusahaan.e) Meninjau berapa kali log-on pengguna yang diizinkan. Izin harus sepadan dengan tugas yang dilakukan.2. Pengendalian Password Password adalah kode rahasia yang dimasukkan oleh user untuk dapat mengakses sistem, aplikasi, file data, atau server jaringan. Jenis password ada dua, yaitu: reusable passwords dan one-time passwords. Tujuan auditor terkait password adalah untuk memastikan bahwa organisasi memiliki kebijakan password memadai dan efektif untuk mengendalikan akses terhadap sistem operasi. Prosedur audit terkait password antara lain.a) Memverifikasi bahwa semua pengguna diharuskan untuk memiliki password.b) Memverifikasi bahwa pengguna baru diinstruksikan dalam penggunaan password dan pentingnya pengendalian password.c) Meninjau prosedur pengendalian password untuk memastikan bahwa password diubah secara teratur.d) Meninjau file password untuk menentukan bahwa password yang lemah diidentifikasi dan tidak diijinkan.e) Memverifikasi bahwa file password dienkripsi dan bahwa kunci enkripsi telah diamankan dengan baik.f) Menilai kecukupan standar password seperti panjangnya password dan jangka waktu kadaluwarsa password.g) Meninjau kebijakan dan prosedur penguncian (lockout).3. Pengendalian terhadap program yang berbahaya dan destruktif Tujuan audit terkait virus dan program destruktif lainnya adalah untuk memverifikasi kebijakan dan prosedur manajemen yang efektif telah ditempatkan untuk mencegah pemasukan dan penyebaran program-program destruktif, seperti virus, worms, back doors logic bombs, dan Trojan Horse.

Prosedur audit terkait dengan virus dan program destruktif lainnya, antara lain.a) Melalui interview, menentukan bahwa karyawan operasional telah dididik mengenai virus komputer dan sadar akan risiko penggunaan komputer yang dapat memasukkan dan menyebarkan virus dan program berbahaya lainnya.b) Memverifikasi bahwa software baru telah diuji pada workstation mandiri sebelum diimplementasikan pada host atau jaringan server.c) Memverifikasi bahwa versi terkini software antivirus telah diinstal pada server dan upgrade-nya diunduh secara teratur pada workstation.4. System Audit Trail Controls System audit trails adalah log yang merekam aktivitas di sistem, aplikasi, dan tingkat pengguna. Sistem operasi memungkinkan manajemen untuk memilih tingkat audit yang akan dicatat dalam log. Audit trails umumnya terdiri dari dua tipe log audit, yaitua) Keystroke Monitoring, mencakup perekaman keystroke pengguna dan respon sistem.b) Event Monitoring, merangkum kegiatan kunci yang terkait dengan sumber daya sistem Audit Trails dapat digunakan untuk mendukung tujuan keamanan dalam tiga cara:a) Mendeteksi akses yang tidak diotorisasi ke dalam sistemb) Memfasilitasi rekonstruksi kejadianc) Mendorong akuntabilitas personal. Tujuan audit terkait dengan System Audit Trails adalah untuk menjamin bahwa system audit trail telah mencukupi untuk mencegah dan mendeteksi pelanggaran, merekonstruksi kejadian kunci yang mengawali kegagalan sistem, dan merencanakan alokasi sumber daya. Prosedur audit terkait System Audit Trails, yaitu:a) Memverifikasi audit trail telah diaktivasi berdasarkan kebijakan organisasi.b) Banyak sistem operasi menyediakan penampil log audit yang memungkinkan auditor untuk memindai log untuk aktivitas yang tidak biasa. Ini dapat ditinjau pada layar atau dengan pengarsipan file untuk diperiksa berikutnya.c) Kelompok keamanan organisasi memiliki tanggung jawab untuk memantau dan melaporkan pelanggaran keamanan. Auditor harus memilih sampel kasus pelanggaran keamanan dan mengevaluasi disposisi mereka untuk menilai efektivitas dari kelompok keamanan.JARINGAN AUDITRisiko Intranet Intranet terdiri dari jaringan LAN kecil dan WAN besar yang mungkin terdiri dari ribuan node individu. Intranet digunakan untuk menghubungkan karyawan dalam suatu bangunan tunggal, antar bangunan dalam kampus fisik yang sama, dan antar lokasi yang tersebar secara geografis. Umumnya, aktivitas intranet meliputi routing e-mail, pemrosesan transaksi antar unit bisnis, dan menghubungkan dengan internet luar. Risiko intranet antara lain intersepsi jaringan pesan (sniffing), akses terhadap database perusahaan, dan karyawan-karyawan dengan hak istimewa.Risiko Internet IP Spoofing, yaitu bentuk penyamaran untuk mendapatkan akses tidak sah ke server Web dan/atau untuk mengabadikan perbuatan melawan hukum tanpa mengungkapkan identitas seseorang. Denial of Service Attack (Dos), yaitu serangan terhadap server web untuk mencegah melayani pengguna yang sah. Jenis-jenis Dos antara lain SYN flood, smurf, dan distributed denial of service (DDos). Risiko dari kegagalan peralatan, seperti jaringan komunikasi (kabel coaxial, microwaves, dan serat optik), komponen perangkat keras (modem, multiplexers, server, dan prosesor front-end), dan software.Mengendalikan Resiko dari Ancaman Subversif1. Firewalls Firewalls merupakan sebuah sistem yang memberlakukan kontrol akses antara dua jaringan. Hanya lalu lintas yang berwenang antara organisasi dan luar organisasi yang diperbolehkan untuk melewati firewall.

Jenis-jenis firewall:a) Network-level Firewall, menyaring router yang memeriksa alamat sumber dan tujuan.b) Application-level Firewall, menjalankan keamanan aplikasi yang disebut proxy.2. Mengendalikan DOS Attacks. Smurf AttacksOrganisasi dapat memprogram firewall untuk mengabaikan situs penyerang ketika terdeteksi. SYN Flood Attacksa) Menggunakan firewall pada host internet yang dapat memblokir alamat IP yang tidak valid.b) Menggunakan software pengaman yang dapat memindai koneksi yang setengah terbuka. Ddos AttacksBanyak organisasi menggunakan Intrusion Prevention Systems (IPS) yang melakukan inspeksi paket mendalam (deep packet inspection DPI)3. Enkripsi Enkripsi adalah konversi data ke dalam kode rahasia untuk penyimpanan dan transmisi. Algoritma enkripsi menggunakan kunci (keys), yang umumnya memiliki panjang 56 hingga 128 bit. Semakin banyak bit dalam kunci, semakin kuat metode enkripsinya. Pendekatan umum dalam enkripsi adalah enkripsi private key dan public key.a) Private key encryption Standar enkripsi lanjutan (Advance Encryption Standard AES), menggunakan kunci tunggal yang diketahui oleh pengirim dan penerima pesan. Triple Data Encryption Standard (DES), menggunakan tiga kunci. Dua bentuk enkripsi triple-DES adalah EEE3 danEDE3.

b) Public Key Encription Menggunakan dua kunci yang berbeda, satu untuk encoding pesan, dan yang lainnya untuk decoding pesan. Masing-masing penerima memiliki private key yang disimpan secara rahasia dan public key yang di-published.4. Tanda Tangan Digital Tanda tangan digital merupakan teknik otentikasi untuk memastikan bahwa pesan yang ditransmisikan berasal dari pengirim yang berwenang dan pesan tidak dirusak setelah tanda tangan dimasukkan.5. Sertifikat digital Sertifikat digital mirip seperti kartu identifikasi elektronik dengan sistem enkripsi public key. Berfungsi untuk memverifikasi kewenangan pengirim pesan.6. Penomoran urutan pesan, berfungsi untuk mendeteksi adanya pesan yang hilang.7. Log transaksi pesan, untuk mendaftar semua pesan masuk dan keluar untuk mendeteksi adanya upaya hacker.8. Teknik request-response, merupakan suatu pengendalian pesan dari pengirim dan respon dari penerima yang dikirimkan dalam interval periodik dan tersinkronisasi.9. Call-back devices, merupakan suatu alat di mana penerima memanggil kembali pengirim pada nomor telepon yang telah diotorisasi sebelumnya, sebelum transmisi diselesaikan.Tujuan Audit terkait Pengendalian dari Ancaman Subversif Tujuan audit terkait pengendalian dari ancaman subversif adalah untuk memverifikasi keamanan dan keutuhan transaksi keuangan dengan menentukan bahwa pengendalian jaringana) dapat mencegah dan mendeteksi akses ilegal dari internal perusahaan atau dari internet,b) akan menjadikan data tidak berguna dan pelaku berhasil ditangkap,c) cukup untuk menjaga keutuhan dan keamanan fisik dari data yang terhubung ke jaringan.

Prosedur Audit terkait Pengendalian dari Ancaman Subversif Meninjau kecukupan firewall dalam menyeimbangkan kontrol dan kenyamanan Fleksibilitas, firewall harus cukup fleksibel untuk mengakomodasi layanan baru. Layanan Proxy, aplikasi proxy yang memadai harus pada tempatnya untuk menyediakan otentikasi pengguna secara eksplisit terhadap layanan, aplikasi, dan data yang sensitif. Filtering, firewall harus membedakan layanan mana yang diizinkan untuk diakses oleh pengguna, mana yang tidak. Perangkat Audit, firewall harus menyediakan keseluruhan kumpulan audit dan me-log perangkat yang mengidentifikasi dan mencatat aktivitas mencurigakan. Pemeriksaan Kelemahan, memeriksa kelemahan firewall secara periodik yang dapat ditemukan oleh hacker. Memverifikasi bahwa sistem pencegahan intrusi (intrusion prevention system IPS) terdapat pada organisasi yang rentan terhadap serangan Ddos, seperti institusi keuangan. Meninjau prosedur keamanan yang mengelola administrasi kunci enkripsi data. Memverifikasi proses enkripsi denan mentransmisikan pesan pengujian dan memeriksa konten pada berbagai poin di sepanjang saluran antara lokasi pengiriman dan penerimaan. Meninjau log transaksi pesan untuk memverifikasi bahwa semua pesan diterima dalam urutan yang sesuai. Menguji operasi fitur call-back dengan menempatkan panggilan yang tidak terotorisasi dari luar instalasi.Mengendalikan Risiko Kegagalan Peralatan Permasalahan yang umum terjadi dalam komunikasi data adalah hilangnya data yang disebabkan oleh kesalahan jaringan. Pengendalian dalam kegagalan peralatan ini adalah:a) Echo Check, penerima pesan mengembalikan pesan kepada pengirimb) Parity Check, menambahkan bit tambahan (bit paritas) ke dalam struktur suatu string bit ketika dibuat atau ditransmisikan. Tujuan audit terkait pengendalian risiko kegagalan peralatan adalah untuk memverifikasi keutuhan transaksi dengan menentukan bahwa pengendalian telah dilakukan untuk mendeteksi dan mengkoreksi pesan yang hilang akibat kegagalan peralatan. Prosedur audit:a) Memilih sampel pesan dari log transaksi dan mengujinya untuk konten yang kacau yang disebabkan oleh gangguan jalur.b) Memverifikasi bahwa semua pesan yang korup telah ditransmisikan ulang dengan suksesPengendalian dan Risiko Sistem Komputer Kelemahan Sistem Operasi Minimalnya keamanan untuk file dan program data Data yang tersimpan dalam mikro komputer yang dibagikan oleh banyak pengguna terekspos ke akses yang tidak terotorisasi, manipulasi, dan perusakan. Kontrol akses yang lemah Prosedur log-on biasanya aktif hanya ketika komputer booting dari hard drive, bagaimana jika booting dari CD-ROM? Pemisahan tugas yang tidak memadai Komputer digunakan bersama oleh end user Operator juga bertindak sebagai developer Risiko pencurian PC dan Laptop mudah dicuri Kebijakan untuk mengelola data yang senstif Prosedur backup yang lemah Kegagalan disk, merupakan penyebab utama dari kehilangan data dalam lingkungan PC End user harus mem-backup PC mereka sendiri, namun kebanyakan mereka tidak berpengalaman. Risiko infeksi virus Memastikan bahwa software antivirus dipasang pada PC dan tetap terbaharui. Pengendalian password multilevel Ketika komputer digunakan bersama oleh karyawan, masing-masing karyawan diharuskan memasukkan password untuk mengakses aplikasi dan data mereka.Tujuan Audit terkait Kontrol dan Risiko Sistem Komputer Memverifikasi bahwa pengendalian telah dilakukan untuk melindungi data, program, dan komputer dari akses yang tidak terotorisasi, manipulasi, perusakan, dan pencurian. Memverifikasi bahwa pengawasan dan prosedur operasi yang memadai telah ada untuk mengimbangi kurangnya pemisahan tugas antara pengguna, programmer, dan operator. Memverifikasi bahwa prosedur backup telah dilakukan untuk mencegah hilangnya data dan program akibat kegagalan sistem, error, dan sebagainya, Memverifikasi bahwa prosedur pemilihan dan akuisisi sistem memproduksi aplikasi yang berkualitas tinggi, dan terlindungi dari perubahan yang tidak terotorisasi. Memverifikasi bahwa sistem bebas dari virus dan cukup terlindungi untuk meminimalkan risiko infeksi dari virus atau sejenisnya.Prosedur Audit terkait Kontrol dan Risiko Program Komputer Mengamati PC yang ada secara fisik untuk mengurangi kesempatan pencurian. Memverifikasi bagan organisasi, uraian tugas, dan pengamatan bahwa programmer sistem akuntansi tidak mengoperasikan sistem itu juga. Menentukan bahwa pengendalian password multilevel digunakan untuk membatasi akses terhadap data dan aplikasi serta bahwa otoritas akses yang diberikan konsisten dengan uraian tugas karyawan. Apabila removable atau external hard drive digunakan, auditor harus memverifikasi bahwa drive telah dilepas dan disimpan dalam lokasi yang aman ketika tidak digunakan. Memilih sampel PC dan memverifikasi bahwa paket software komersial dibeli dari vendor yang terpercaya dan resmi. Meninjau kebijakan organisasi mengenai penggunaan software antivirus.