- Kerentanan dan Gangguan terhadap Sistem Informasi
Dari pengalaman berbagai organisasi dalam pemanfaatan sistem
informasi, salah satu hal yang dibutuhkan adalah bagaimana setiap
organisasi dapat memastikan bahwa sistem informasi yang ada memiliki
sistem pengamanan dan pengendalian yang memadai. Penggunaan sistem
informasi di organisasi bukannya tanpa risiko. Penggunaan atau akses
yang tidak sah, perangkat lunak yang tidak berfungsi, kerusakan pada
perangkat keras, gangguan dalam komunikasi, bencana alam, dan
kesalahan yang dilakukan oleh petugas merupakan beberapa contoh
betapa rentannya sistem informasi menghadapi berbagai risiko dan
potensi risiko yang kemungkinan timbul dari penggunaan sistem informasi
yang ada. Beberapa hal yang menjadi tantangan manajemen menghadapi
berbagai risiko dalam penggunaan sistem informasi yaitu:
1. Bagaimana merancang sistem yang tidak mengakibatkan terjadinya
pengendalian yang berlebih (overcontrolling) atau pengendalian yang
terlalu lemah (undercontrolling).
2. Bagaimana pemenuhan standar jaminan kualitas (quality assurance)
dalam aplikasi sistem informasi.
Mengapa sistem informasi begitu rentan? Data yang disimpan dalam
bentuk elektronis umumnya lebih mudah atau rawan sekali terhadap
ancaman atau gangguan yang mungkin timbul, dibanding jika data
tersebut disimpan secara manual. Beberapa ancaman dan gangguan yang
mungkin terjadi dan berpengaruh terhadap sistem informasi, adalah
sebagai berikut:
1. Kerusakan perangkat keras.
2. Perangkat lunak tidak berfungsi.
3. Tindakan-tindakan personal.
4. Penetrasi akses ke terminal.
5. Pencurian data atau peralatan.
6. Kebakaran.
7. Permasalahan listrik.
8. Kesalahan-kesalahan pengguna.
9. Program berubah.
10. Permasalahan-permasalahan telekomunikasi.
Kemajuan dalam telekomunikasi dan perangkat lunak dan keras komputer
secara signifikan juga memberikan kontribusi atas meningkatnya
kerentanan dan gangguan terhadap sistem informasi. Melalui jaringan
telekomunikasi, informasi disebarkan atau dihubungkan ke berbagai
lokasi. Kemungkinan adanya akses yang tidak sah, gangguan atau
kecurangan dapat saja terjadi baik di satu atau beberapa lokasi yang
terhubung. Semakin kompleksnya perangkat keras juga menciptakan
kemungkinan terjadinya peluang untuk penetrasi dan manipulasi
penggunaan sistem informasi.
Pertumbuhan dan penggunaan yang pesat internet dalam berbagai
aktivitas juga mengundang timbulnya berbagai gangguan terhadap sistem
informasi. Dua hal yang menjadi perhatian di sini adalah masalah hackers
dan virus. Hacker adalah seseorang yang melakukan akses yang tidak sah
ke jaringan komputer untuk tujuan mencari keuntungan, kriminal, atau
hanya untuk sekedar kesenangannya. Sedangkan virus adalah program
yang mengganggu dan merusak file yang ada dalam komputer, serta sulit
untuk dideteksi. Virus ini dapat cepat sekali menyebar, menghancurkan
file, dan mengganggu pemrosesan dan memory sistem informasi.
Umumnya, untuk mencegah penyebaran virus yang menyerang, digunakan
program khusus anti virus yang didesain untuk mengecek sistem komputer
dan file yang ada dari kemungkinan terinfeksi oleh virus komputer.
Seringkali, anti virus ini mampu untuk mengeliminasi virus dari area yang
terinfeksi. Namun, program antivirus ini hanya dapat untuk mengeliminasi
atas virus-virus komputer yang sudah ada. Oleh karenanya, para pengguna
komputer disarankan untuk secara berkala memperbarui program anti
virus mereka.
Semakin meningkatnya kerentanan dan gangguan terhadap teknologi
informasi telah membuat para pengembang dan pengguna sistem
informasi untuk menempatkan perhatian yang khusus, terutama terhadap
permasalahan-permasalahan yang dapat menjadi kendala untuk
penggunaan sistem informasi secara memadai. Paling tidak ada 3 hal yang
menjadi perhatian khusus di sini, yaitu:
1. Bencana (disaster)
Perangkat keras komputer, program-program, file-file data, dan
peralatan-peralatan komputer lain dapat dengan seketika hancur oleh
karena adanya bencana, seperti: kebakaran, hubungan arus pendek
(listrik), tsunami, dan bencana-bencana lainnya. Jika bencana ini
menimpa, mungkin perlu waktu bertahun-tahun dan biaya yang cukup
besar (jutaan dan bahkan mungkin milyaran rupiah) untuk
merekonstruksi file data dan program komputer yang hancur. Oleh
karenanya, untuk pencegahan atau meminimalkan dampak dari
bencana, setiap organisasi yang aktivitasnya sudah memanfaatkan
teknologi informasi biasanya sudah memiliki:
a. Rencana Kesinambungan Kegiatan (pada perusahaan dikenal
dengan Bussiness Continuity Plan) yaitu suatu fasilitas atau
prosedur yang dibangun untuk menjaga kesinambungan
kegiatan/layanan apabila terjadi bencana
b. Rencana Pemulihan Dampak Bencana “disaster recovery plan”,
yaitu fasilitas atau prosedur untuk memperbaiki dan/atau
mengembalikan kerusakan/dampak suatu bencana ke kondisi
semula. Disaster recovery plan ini juga meliputi kemampuan untuk
prosedur organisasi dan “back up” pemrosesan, penyimpanan, dan
basis data.
2. Sistem Pengamanan (security)
Merupakan kebijakan, prosedur, dan pengukuran teknis yang
digunakan untuk mencegah akses yang tidak sah, perubahan program,
pencurian, atau kerusakan fisik terhadap sistem informasi. Sistem
pengamanan terhadap teknologi informasi dapat ditingkatkan dengan
menggunakan teknik-teknik dan peralatan-peralatan untuk
mengamankan perangkat keras dan lunak komputer, jaringan
komunikasi, dan data.
3. Kesalahan (errors)
Komputer dapat juga menyebabkan timbulnya kesalahan yang sangat
mengganggu dan menghancurkan catatan atau dokumen, serta
Sistem Informasi Manajemen
Pusdiklatwas BPKP- 2007 69
aktivitas operasional organisasi. Kesalahan (error) dalam sistem yang
terotomatisasi dapat terjadi di berbagai titik di dalam siklus
prosesnya, misalnya: pada saat entri-data, kesalahan program,
operasional komputer, dan perangkat keras.
- Tujuan Keamanan Sistem Informasi
Keamanan sistem mengacu pada perlindungan terhadap semua
sumberdaya informasi organisasi dari ancaman oleh pihak-pihak yang
tidak berwenang. Institusi/organisasi menerapkan suatu program
keamanan sistem yang efektif dengan mengidentifikasi berbagai
kelemahan dan kemudian menerapkan perlawanan dan perlindungan yang
diperlukan.
Keamanan sistem dimaksudkan untuk mencapai tiga tujuan utama yaitu;
kerahasiaan, ketersediaan dan integritas.
1. Kerahasian. Setiap organisasi berusaha melindungi data dan
informasinya dari pengungkapan kepada pihak-pihak yang tidak
berwenang. Sistem informasi yang perlu mendapatkan prioritas
kerahasian yang tinggi mencakup; sistem informasi eksekutif, sistem
informasi kepagawaian (SDM), sistem informasi keuangan, dan sistem
informasi pemanfaatan sumberdaya alam.
2. Ketersediaan. Sistem dimaksudkan untuk selalu siap menyediakan data
dan informasi bagi mereka yang berwenang untuk menggunakannya.
Tujuan ini penting khususnya bagi sistem yang berorientasi informasi
seperti SIM, DSS dan sistem pakar (ES).
3. Integritas. Semua sistem dan subsistem yang dibangun harus mampu
memberikan gambaran yang lengkap dan akurat dari sistem fisik yang
diwakilinya.
- Membangun Pengendalian Sistem Informasi.
Untuk meminimalkan kemungkinan terjadinya bencana (disaster),
kesalahan (errors), interupsi pelayanan, kejahatan terhadap pemanfatan
komputer, dan pelanggaran sistem pengamanan komputer, perlu
dibangun kebijakan dan prosedur khusus ke dalam desain dan
implementasi sistem informasi. Perlu dibangun pengendalian sistem
informasi yang terdiri dari seluruh metode, kebijakan, dan prosedur
organisasi yang dapat memastikan keamanan aset organisasi, keakuratan
dan dapat diandalkannya catatan dan dokumen akuntansi, dan aktivitas
operasional mengikuti standar yang ditetapkan manajemen. Pengendalian
atas sistem informasi harus menjadi bagian yang terintegrasi sejak sistem
informasi ini dirancang.
Menurut American Institute of Certified Public Accountant (AICPA),
pengendalian sistem informasi dapat dibagi menurut pengendalian umum
(general control) dan pengendalian aplikasi (application control). Di
samping itu, terdapat pula organisasi profesi lain yang khusus di bidang
audit dan pengendalian teknologi informasi, yaitu ISACA (Information
Systems Audit and Control Association) yang membagi bentuk
pengendalian dari perspektif yang berbeda. ISACA membagi pengendalian
sistem informasi menjadi 2 jenis, yaitu: pengendalian luas (pervasive
control) dan pengendalian terinci (detailed control). Untuk selanjutnya,
pembahasan lebih dalam di modul ini menggunakan pembagian
pengendalian sistem informasi mengikuti apa yang dirumuskan oleh
AICPA, yaitu bahwa pengendalian sistem informasi terbagi atas
pengendalian umum dan pengendalian aplikasi. Pengendalian umum
diterapkan pada keseluruhan aktivitas dan aplikasi sistem informasi.
Pengendalian umum ini dipasangkan atau melekat di dalam suatu sistem
informasi dengan tujuan untuk mengendalikan rancangan, pengamanan,
dan penggunaan program-program komputer, serta pengamanan atas file
data di dalam infrastruktur teknologi informasi. Dengan kata lain,
pengendalian umum dipasangkan di keseluruhan aplikasi yang
terkomputerisasi dan terdiri dari: perangkat keras, perangkat lunak, dan
prosedur manual yang mampu untuk menciptakan lingkungan
pengendalian secara menyeluruh. Pengendalian aplikasi adalah
pengendalian yang secara khusus dipasangkan pada aplikasi tertentu atau
suatu subsistem tertentu, misalnya pengendalian aplikasi yang
dipasangkan di aplikasi sistem penggajian, piutang, atau pemrosesan
order untuk pengadaan barang dan jasa. Terdiri dari pengendalianpengendalian
yang dipasangkan pada areal pengguna atas sistem tertentu
dan dari prosedur-prosedur yang telah diprogram.
- Pengendalian Umum (General Control)
Pengendalian umum sistem informasi berhubungan dengan risiko-risiko
yang berkaitan di berbagai area kegiatan, seperti: sistem operasi, sumber
daya data, pemeliharaan sistem, pusat komputer, komunikasi data,
pertukaran data elektronik (electronic data interchange-EDI), komputer
mikro, dan sebagainya. Di gambar 5-1 di bawah ini digambarkan areaarea
kegiatan di mana pengendalian umum ini diterapkan. Dari area-area
kegiatan yang ada ini, pengendalian juga dapat dikelompokkan dalam
pengendalian fisik dan pengendalian non fisik.
1. Pengendalian Sistem Operasi :
Sistem operasi mengendalikan sistem komputer lainnya dan
memberikan ijin aplikasi-aplikasi untuk menggunakan secara bersamasama
sumberdaya dan peralatan komputer. Karena
ketergantungannya, masalah yang timbul dalam sistem operasi ini
dapat menimbulkan masalah-masalah lain pada seluruh pengguna dan
aplikasinya.
Fungsi-fungsi sistem operasi adalah menerjemahkan bahasa tingkat
tinggi ke bahasa mesin dengan menggunakan pengkompilasi (compiler)
dan penerjemah (interpreter); mengalokasikan sumber daya komputer
ke berbagai aplikasi melalui pembebanan memori dan pemberian
akses ke peralatan dan arsip-arsip (file) data; serta mengelola tugastugas
penjadualan dan program yang dijalankan bersamaan.
Sehubungan dengan fungsi-fungsi tersebut, auditor biasanya
ditugaskan untuk memastikan bahwa tujuan pengendalian atas sistem
operasi tercapai dan prosedur-prosedur pengendaliannya ditaati.
Tujuan pengendalian sistem operasi adalah sebagai berikut:
a. Mencegah akses oleh pengguna atau aplikasi yang dapat
mengakibatkan penggunaan tak terkendali ataupun merugikan sistem
operasi atau arsip data.
b. Mengendalikan pengguna yang satu dari pengguna lainnya agar
seorang pengguna tidak dapat menghancurkan atau mengkorupsi
program atau data pengguna lainnya.
c. Mencegah arsip-arsip atau program seorang pengguna dirusak oleh
program lainnya yang digunakan oleh pengguna yang sama.
d. Mencegah sistem operasi dari bencana yang disebabkan oleh kejadian
eksternal, seperti kerusakan pada pembangkit listrik. Juga agar sistem
dapat memulihkannya kembali jika hal ini sampai terjadi.
Risiko-risiko yang mungkin dihadapi oleh sistem operasi dalam
penggunaannya, antara lain adalah :
a. Penyalahgunaan oleh pengguna melalui akses ke sistem operasi,
seperti layaknya manajer sistem.
b. Penyalahgunaan oleh pengguna yang mendapat keuntungan dari
akses yang tidak sah.
c. Perusakan oleh pengguna-pengguna yang secara serius mencoba
untuk merusak sistem atau fungsi-fungsi.
Prosedur-prosedur pengendalian terhadap sistem operasi yang
biasanya dilakukan adalah sebagai berikut:
a. Pemberian atau pengendalian password.
b. Pengamanan pemberian akses ke pegawai.
c. Pembuatan pernyataan dari pengguna tentang tanggung-jawab
mereka untuk menggunakan sistem dengan tepat dan jaminan akan
menjaga kerahasiaannya.
d. Pembentukan suatu kelompok keamanan (security group) untuk
memonitor dan melaporkan pelanggaran.
e. Penetapan kebijakan formal untuk mengatasi para pelanggar.
2. Pengendalian Sumberdaya Data
Berkaitan dengan penggunaan sumberdaya data, risiko-risiko yang
mungkin dapat terjadi di antaranya adalah karena adanya: bencana
(kebakaran, banjir, dan sebagainya), kerugian yang terjadi dalam
pemanfaatan sumberdaya data, kehilangan tidak sengaja, pencurian
dan penyalahgunaan data, serta korupsi data.
Untuk memanfaatkan penggunaan sumberdaya data secara efektif,
efisien, dan ekonomis, prosedur-prosedur yang harus dipasangkan
untuk pengendalian sumberdaya data, antara lain meliputi:
a. Pembuatan backup arsip data.
b. Penyimpanan data di lokasi terpisah untuk arsip backup.
c. Penentuan akses terbatas atas arsip data berdasarkan otorisasi dan
penggunaan password.
d. Penggunaan teknologi biometric (seperti suara, jari, atau cetak
retina) untuk akses data yang risikonya tinggi.
e. Pembatasan kemampuan query agar data sensitif tidak dapat dibaca.
f. Pembuatan backup secara periodik seluruh basisdata.
g. Pembuatan prosedur pemulihan (recovery) untuk memulai suatu
sistem dari arsip backup dan register transaksi.
3. Pengendalian Struktur Organisasi
Risiko-risiko yang mungkin terjadi dalam pengendalian struktur
organisasi terdiri dari: Kecurangan, ketidakcukupan dokumentasi
fungsi-fungsi sistem dan program, dan kehilangan arsip-arsip.
Untuk meminimalkan kemungkinan risiko dari pengendalian struktur
organisasi, prosedur-prosedur pengendalian yang diperlukan adalah
sebagai berikut:
a. Pemisahan administrator basisdata dari fungsi lainnya, terutama dari
fungsi pengembangan sistem.
b. Pemisahan fungsi pengembangan sistem dari fungsi pengoperasian dan
pemeliharaan. Pemisahan ini membantu untuk menjamin bahwa
dokumentasi yang cukup telah diberikan oleh petugas pengembang
dan mengurangi peluang kecurangan. Kecurangan dapat terjadi ketika
seorang programmer memberikan kode (code) yang dapat
memungkinkannya mengakses sistem dan membuat perubahanperubahan
yang kemungkinan besar tidak terdeteksi di kemudian hari.
c. Pemisahan data library untuk arsip kumpulan kegiatan untuk
mengamankan arsip tape guna meyakinkan bahwa tidak salah
peletakannya atau pemusnahannya.
4. Pengendalian Pengembangan Sistem
Risiko-risiko dalam pengembangan sistem terdiri dari: pembuatan
sistem yang tidak penting, tidak berguna, tidak ekonomis, atau tidak
dapat diaudit.
Prosedur-prosedur pengendalian untuk pengembangan sistem adalah
sebagai berikut:
a. pengotorisasian yang memadai atas sistem yang memberikan bukti
justifikasi keekonomisan dan kelayakannya;
b. pelibatan pengguna dalam pengembangan sistem;
c. pendokumentasian yang memadai atas seluruh kegiatan
pengembangan;
d. pelibatan auditor dalam kegiatan-kegiatan pengembangan sistem;
e. pengujian seluruh program secara komprehensif, terutama mengenai
keakuratan (dengan membandingkan hasil pengujian program dengan
hasil yang diharapkan) dan keterhandalannya.
5. Pengendalian Pemeliharaan Sistem
Risiko-risiko pemeliharaan sistem mencakup korupsi sistem melalui
pengkorupsian program dan aktivitas-aktivitas sistem secara sengaja
atau tidak sengaja serta akses ke sistem dan aplikasi secara tidak sah.
Prosedur-prosedur pengendalian untuk pemeliharaan sistem adalah
seperti berikut ini:
a. pengotorisasian formal atas perubahan-perubahan program dan
sistem;
b. pendokumentasian yang teliti atas aktivitas dan peningkatan (update)
sistem;
c. pengujian sistem dan program secara berkelanjutan;
d. pengamanan kepustakaan program sumber (source program), yaitu
tempat kode program aplikasi disimpan guna mencegah perubahanperubahan
yang tidak sah;
e. penggunaan laporan modifikasi program untuk memonitor perubahanperubahan
program;
f. pemberian nomor versi ke setiap program untuk melacak perubahan
dan membandingkannya dengan laporan modifikasi.
6. Pengendalian Pusat Komputer
Risiko-risiko pusat komputer adalah kerusakan pada fungsi-fungsi
komputer yang berasal dari gangguan alam dan kegagalan sumber
tenaga listrik. Untuk meminimalkan gangguan terhadap pusat
komputer, prosedur-prosedur pengendaliannya adalah sebagai berikut:
a. penempatan pusat komputer yang jauh dari area bahaya, seperti
daerah banjir dan pabrik pengolahan;
b. pengamanan akses ke fasilitas-fasilitas komputer;
c. penggunaan sistem perangkat bawah tanah dan penyaluran air;
d. pembatasan akses kepada pegawai yang tidak berwenang dan
pemberian tanda masuk bagi yang berwenang;
e. pengendalian temperatur dan kelembaban;
f. penggunaan alarm kebakaran dan sistem pemadaman otomatis;
g. penggunaan pengatur voltase listrik, pencegah goncangan,
pembangkit, dan baterai;
h. pembuatan dan pengujian rencana pemulihan dari bencana (disaster
recovery plan) yang mengidentifikasikan langkah-langkah yang harus
diambil jika terjadi bencana, seperti site backup, aplikasi-aplikasi
yang harus diperbaiki dari backup, prosedur penyimpanan off-site,
dan pelatihan suatu tim atas pekerjaan pemulihan dari bencana.
Lokasi backup bisa bersama-sama dengan perusahaan lain atau suatu
lokasi yang dioperasikan oleh perusahaan yang sama. Aplikasi-aplikasi
yang biasanya penting untuk di-backup adalah penjualan, kewajiban
legal, piutang dagang, produksi, pembelian, dan hubungan
masyarakat. Basisdata, dokumentasi sistem, dokumen-dokumen
sumber, dan perangkat-prangkat kritis (cek, faktur, dan order
pembelian) juga harus di-back-up. Pengujian periodik atas rencana
pemulihan adalah penting untuk melatih pegawai, memberi keyakinan
bahwa rencana sesuai dengan kondisi terakhir, dan untuk meyakinkan
rencana akan bekerja secara efektif nantinya.
7. Pengendalian Komunikasi
Pengendalian komunikasi biasanya berfokus pada sistem jaringan. Tipe
utama risiko-risikonya biasanya berhubungan dengan hal-hal berikut:
a. ancaman subversif dari pengambilan pesan-pesan, penyerangan
(hacking) komputer, dan penolakan pelayanan (denial-of-service);
b. kegagalan peralatan yang mengganggu, merusak, atau mengkorupsi
transmisi data.
Untuk mengatasi permasalahan komunikasi, maka prosudur-prosedur
pengendalian komunikasi adalah sebagai berikut:
a. penggunaan suatu firewall yang menghubungkan koneksi eksternal
kepada gateway atau proxy server. Firewall mencegah akses langsung
ke suatu sistem komputer, kecuali akses oleh pengguna yang sah dan
mempunyai kewenangan akses yang telah ditentukan. Firewall juga
bisa digunakan untuk membedakan suatu bagian jaringan internal
(LAN) dari bagian lainnya. Suatu keamanan tingkat tinggi dapat juga
diberikan oleh firewall guna pembatasan koneksi langsung ke
internet;
b. penggunaan password sekali-pakai (one-time) yang dihasilkan oleh
alat khusus (smart card) yang memberi pengguna suatu password baru
setiap satu atau dua menit. Seseorang yang mencoba mengambil
password akan tidak dapat menggunakannya karena password
tersebut kadaluarsa begitu digunakan;
c. penggunaan perangkat lunak keamanan untuk mencegah serangan
penolakan-pelayanan;
d. penggunaan enkripsi data untuk mencegah akses ke data oleh pihakpihak
yang tidak berwenang; Enkripsi merupakan konversi data ke
suatu bentuk kode. Konversi dibuat oleh suatu program enkripsi yang
menghasilkan suatu password yang merupakan kunci enkripsi yang
e. penggunaan nomor-nomor urutan pesan untuk menjamin bahwa
seluruh pesan yang dikirim telah diterima sehingga penyusup tidak
dapat terlibat dalam suatu transmisi melalui penghapusan atau
pengubahan bagian-bagian transmisi;
f. penggunaan suatu registrasi transaksi pesan untuk mencatat identitas
(ID), lokasi, dan nomor telepon sehingga penyusup dapat
diidentifikasikan;
g. penggunaan alat pemanggilan kembali (call-back) yang
mempersyaratkan seorang pengguna untuk memasukkan suatu
password yang dapat diidentifikasikan pada saat koneksi. Begitu
diidentifikasikan, pemanggil diputuskan dan dipanggil kembali oleh
sistem berdasarkan alamat yang berhubungan dengan password
tersebut;
h. penggunaan pengecekan gema (echo check) untuk mencegah data
dikorupsi oleh desisan (noise) selama transmisi. Suatu gema
melakukan pengecekan dengan cara penerima mengembalikan pesan
kembali ke pengirim agar pengirim membandingkannya dengan pesan
asal yang dikirimkannya;
i. penggunaan parity bits yang mengecek “nomor-nomor 1” dalam suatu
byte dan/atau suatu pesan pada saat dikirim. Nomor-nomor ini
dibandingkan dengan “nomor-nomor 1” yang diterima untuk
meyakinkan keduanya sama;
j. penggunaan sistem backup untuk jaringan yang dapat memulihkan
fungsi-fungsi jaringan dan transmisi data jika server jaringan rusak.
8. Pengendalian Pertukaran Data Elektronik
Risiko-risiko yang berhubungan dengan pertukaran data elektronik
(electronic data interchange) menyangkut transaksi dan akses yang
tidak sah ke berbagai arsip data serta kurangnya informasi transaksi
yang cukup.
Prosedur-prosedur pengendaliannya adalah sebagai berikut:
a. pemvalidasian password dan kode identitas oleh sistem customer dan
vendor; pengotorisasian tabel-tabel yang menentukan tingkat dan tipe
akses arsip data perusahaan oleh rekanan bisnisnya;
b. penggunaan register pengendalian yang mencatat transaksi melalui
setiap tahap pertukaran data elektronik.
9. Pengendalian Komputer Mikro
Risiko-risikonya mencakup akses yang tidak sah ke data dan program,
pemisahan tugas yang tidak memadai, backup, serta prosedurprosedur
pengembangan dan pemeliharaan sistem.
Prosedur-prosedur pengendaliannya paling tidak mencakup hal
berikut:
a. penggunaan alat pengunci untuk mencegah akses ke komputer,
khususnya melalui drive A yang dapat digunakan untuk memulai
(booting) sistem menggunakan program yang dapat melewati
perangkat pengamanan;
b. penggunaan password bertingkat untuk membatasi berbagai tingkatan
pengguna terhadap suatu sistem guna pengaksesan arsip atau program
tertentu; backup rutin ke floppy disk, hard drive, dan tape;
c. penggunaan prosedur-prosedur penyeleksian perangkat lunak
komersial dan resmi.
- Pengendalian Aplikasi
Pengendalian aplikasi berhubungan dengan aplikasi tertentu, suatu
subsistem, atau program-program dalam sistem komputer. Pengendalian
aplikasi ini digolongkan dalam tiga kategori, yaitu pengendalian masukan,
pengendalian pemerosesan, dan pengendalian keluaran.
1. Pengendalian Masukan
Pengendalian masukan berusaha untuk menjamin bahwa transaksitransaksi
yang dimasukkan ke dalam suatu sistem adalah sah, akurat,
dan lengkap.
Prosedur-prosedur pengendaliannya adalah sebagai berikut:
a. pengendalian atas akses ke dokumen asal;
b. penggunaan dokumen asal yang dipranomori;
c. penggunaan pengecekan digit (check digit) untuk mencegah kesalahan
penerjemahan dan penempatan;
d. penggunaan total kumpulan (batch total) yang biasanya berhubungan
dengan kumpulan-kumpulan transaksi;
e. pengendalian validasi (validation control) untuk mengecek data yang
hilang, field yang kosong, atau ruang kosong di data, dan mengecek
kesalahan-kesalahan dalam tipe-tipe data (karakter atau angka), guna
menjamin bahwa penjumlahan adalah dalam suatu interval tertentu
atau tidak melebihi batasan tertentu;
f. penggunaan prosedur-prosedur untuk menentukan agar penjumlahan
atau record-record secara relatif adalah wajar bila dibandingkan
dengan tipe-tipe data yang diharapkan, memiliki tanda yang benar
(misalnya semua jumlah penjualan haruslah positif), dan dalam urutan
yang benar;
g. penggunaan label-label arsip internal (khususnya untuk tape) untuk
menjamin bahwa arsip-arsip data yang benar telah diproses;
h. penggunaan prosedur koreksi kesalahan untuk memberitahu pengguna
bahwa kesalahan telah terjadi, untuk menandakan kesalahan dalam
arsip-arsip guna perbaikan sebelum diproses, atau mempersyaratkan
pemasukan ulang data (dimulai dari awal dengan suatu kumpulan);
i. penataan kesalahan arsip-arsip dan laporan-laporan guna mendaftar
kesalahan-kesalahan dan perbaikan-perbaikannya.
2. Pengendalian Pemerosesan
Prosedur-prosedur pengendalian pemerosesan adalah sebagai berikut:
a. pengendalian data total (batch data control) harus dijalankan ulang
pada setiap langkah dalam suatu pemerosesan untuk
memperhitungkan kembali pengendalian total (control total);
b. penggunaan register transaksi untuk mengidentifikasikan setiap
transaksi yang diproses oleh suatu sistem dan memisahkan transaksi
yang berhasil dari yang tidak berhasil (ke dalam suatu arsip
kesalahan). Register tersebut harus menguraikan transaksi-transaksi
yang dihasilkan secara eksternal dan internal. Nomor-nomor transaksi
harus secara unik mengidentifikasikan masing-masing transaksi
sehingga suatu transaksi dapat dilacak melalui suatu sistem guna
menyajikan suatu jejak audit.
3. Pengendalian Keluaran
Pengendalian keluaran melindungi keluaran dari kerugian, korupsi,
dan akses yang tidak sah. Pengendalian ini meliputi:
a. pembatasan akses ke arsip-arsip keluaran (elektronik dan hardcopy)
melalui perlindungan arsip-arsip dalam proses pentransmisian atau
pencetakan, penataan jumlah tembusan, dan penggunaan kertas
berangkap yang memungkinkan pencetakan tanpa memungkinkan
isinya dibaca (seperti halnya rekening koran bank, nomor pin, slip
gaji, atau laporan nilai);
b. penyeliaan pekerja-pekerja yang mencetak dan mengkopi data atau
memberikan pelayanan pengiriman;
c. pembatasan akses penghancuran atau pengendalian sampah dokumen;
d. penelaahan keluaran atas keakuratannya;
e. penggunaan kotak surat yang terkunci;
f. persyaratan penerimaan untuk pengambilan dokumen dan pemberian
tanda-terima;
g. penyimpanan dokumen-dokumen sensitif dalam lokasi yang aman.
Tidak ada komentar:
Posting Komentar