BAB IV
PENGAMANAN DAN PENGENDALIAN SISTEM INFORMASI
Kerentanan dan Gangguan terhadap Sistem Informasi
Dari pengalaman berbagai organisasi dalam pemanfaatan sistem informasi, salah satu hal yang dibutuhkan adalah bagaimana setiap organisasi dapat memastikan bahwa sistem informasi yang ada memiliki sistem pengamanan dan pengendalian yang memadai. Penggunaan sistem informasi di organisasi bukannya tanpa risiko. Penggunaan atau akses yang tidak sah, perangkat lunak yang tidak berfungsi, kerusakan pada perangkat keras, gangguan dalam komunikasi, bencana alam, dan kesalahan yang dilakukan oleh petugas merupakan beberapa contoh betapa rentannya sistem informasi menghadapi berbagai risiko dan potensi risiko yang kemungkinan timbul dari penggunaan sistem informasi yang ada. Beberapa hal yang menjadi tantangan manajemen menghadapi berbagai risiko dalam penggunaan sistem informasi yaitu:
Bagaimana merancang sistem yang tidak mengakibatkan terjadinya pengendalian yang berlebih (overcontrolling) atau pengendalian yang terlalu lemah (undercontrolling).
Bagaimana pemenuhan standar jaminan kualitas (quality assurance) dalam aplikasi sistem informasi
Mengapa sistem informasi begitu rentan? Data yang disimpan dalam bentuk elektronis umumnya lebih mudah atau rawan sekali terhadap ancaman atau gangguan yang mungkin timbul, dibanding jika data tersebut disimpan secara manual. Beberapa ancaman dan gangguan yang mungkin terjadi dan berpengaruh terhadap sistem informasi, adalah sebagai berikut:
Kerusakan perangkat keras.
Perangkat lunak tidak berfungsi.
Tindakan-tindakan personal.
Penetrasi akses ke terminal.
Pencurian data atau peralatan.
Kebakaran.
Permasalahan listrik.
Kesalahan-kesalahan pengguna.
Program berubah.
Permasalahan-permasalahan telekomunikasi.
Kemajuan dalam telekomunikasi dan perangkat lunak dan keras komputer secara signifikan juga memberikan kontribusi atas meningkatnya kerentanan dan gangguan terhadap sistem informasi. Melalui jaringan telekomunikasi, informasi disebarkan atau dihubungkan ke berbagai lokasi. Kemungkinan adanya akses yang tidak sah, gangguan atau kecurangan dapat saja terjadi baik di satu atau beberapa lokasi yang terhubung. Semakin kompleksnya perangkat keras juga menciptakan kemungkinan terjadinya peluang untuk penetrasi dan manipulasi penggunaan sistem informasi.
Pertumbuhan dan penggunaan yang pesat internet dalam berbagai aktivitas juga mengundang timbulnya berbagai gangguan terhadap sistem informasi. Dua hal yang menjadi perhatian di sini adalah masalah hackers dan virus. Hacker adalah seseorang yang melakukan akses yang tidak sah ke jaringan komputer untuk tujuan mencari keuntungan, kriminal, atau hanya untuk sekedar kesenangannya. Sedangkan virus adalah program yang mengganggu dan merusak file yang ada dalam komputer, serta sulit untuk dideteksi. Virus ini dapat cepat sekali menyebar, menghancurkan file, dan mengganggu pemrosesan dan memory sistem informasi. Umumnya, untuk mencegah penyebaran virus yang menyerang, digunakan program khusus anti virus yang didesain untuk mengecek sistem komputer dan file yang ada dari kemungkinan terinfeksi oleh virus komputer. Seringkali, anti virus ini mampu untuk mengeliminasi virus dari area yang terinfeksi. Namun, program antivirus ini hanya dapat untuk mengeliminasi atas virus-virus komputer yang sudah ada. Oleh karenanya, para pengguna komputer disarankan untuk secara berkala memperbarui program anti virus mereka.
Semakin meningkatnya kerentanan dan gangguan terhadap teknologi informasi telah membuat para pengembang dan pengguna sistem informasi untuk menempatkan perhatian yang khusus, terutama terhadap permasalahan-permasalahan yang dapat menjadi kendala untuk penggunaan sistem informasi secara memadai. Paling tidak ada 3 hal yang menjadi perhatian khusus di sini, yaitu:
Bencana (disaster)
Perangkat keras komputer, program-program, file-file data, dan peralatan-peralatan komputer lain dapat dengan seketika hancur oleh karena adanya bencana, seperti: kebakaran, hubungan arus pendek (listrik), tsunami, dan bencana-bencana lainnya. Jika bencana ini menimpa, mungkin perlu waktu bertahun-tahun dan biaya yang cukup besar (jutaan dan bahkan mungkin milyaran rupiah) untuk merekonstruksi file data dan program komputer yang hancur. Oleh karenanya, untuk pencegahan atau meminimalkan dampak dari bencana, setiap organisasi yang aktivitasnya sudah memanfaatkan teknologi informasi biasanya sudah memiliki:
Rencana Kesinambungan Kegiatan (pada perusahaan dikenal dengan Bussiness Continuity Plan) yaitu suatu fasilitas atau prosedur yang dibangun untuk menjaga kesinambungan kegiatan/layanan apabila terjadi bencana
Rencana Pemulihan Dampak Bencana “disaster recovery plan”, yaitu fasilitas atau prosedur untuk memperbaiki dan/atau mengembalikan kerusakan/dampak suatu bencana ke kondisi semula. Disaster recovery plan ini juga meliputi kemampuan untuk prosedur organisasi dan “back up” pemrosesan, penyimpanan, dan basis data.
Sistem Pengamanan (security)
Merupakan kebijakan, prosedur, dan pengukuran teknis yang digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian, atau kerusakan fisik terhadap sistem informasi. Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan menggunakan teknik-teknik dan peralatan-peralatan untuk mengamankan perangkat keras dan lunak komputer, jaringan komunikasi, dan data.
Kesalahan (errors)
Komputer dapat juga menyebabkan timbulnya kesalahan yang sangat mengganggu dan menghancurkan catatan atau dokumen, serta aktivitas operasional organisasi. Kesalahan (error) dalam sistem yang terotomatisasi dapat terjadi di berbagai titik di dalam siklus prosesnya, misalnya: pada saat entri-data, kesalahan program, operasional komputer, dan perangkat keras.
Tujuan Keamanan Sistem Informasi
Keamanan sistem mengacu pada perlindungan terhadap semua sumberdaya informasi organisasi dari ancaman oleh pihak-pihak yang tidak berwenang. Institusi/organisasi menerapkan suatu program keamanan sistem yang efektif dengan mengidentifikasi berbagai kelemahan dan kemudian menerapkan perlawanan dan perlindungan yang diperlukan. Keamanan sistem dimaksudkan untuk mencapai tiga tujuan utama yaitu; kerahasiaan, ketersediaan dan integritas.
Kerahasian. Setiap organisasi berusaha melindungi data dan informasinya dari pengungkapan kepada pihak-pihak yang tidak berwenang. Sistem informasi yang perlu mendapatkan prioritas kerahasian yang tinggi mencakup; sistem informasi eksekutif, sistem informasi kepagawaian (SDM), sistem informasi keuangan, dan sistem informasi pemanfaatan sumberdaya alam.
Ketersediaan. Sistem dimaksudkan untuk selalu siap menyediakan data dan informasi bagi mereka yang berwenang untuk menggunakannya. Tujuan ini penting khususnya bagi sistem yang berorientasi informasi seperti SIM, DSS dan sistem pakar (ES).
Integritas. Semua sistem dan subsistem yang dibangun harus mampu memberikan gambaran yang lengkap dan akurat dari sistem fisik yang diwakilinya.
Membangun Pengendalian Sistem Informasi
Untuk meminimalkan kemungkinan terjadinya bencana (disaster), kesalahan (errors), interupsi pelayanan, kejahatan terhadap pemanfatan komputer, dan pelanggaran sistem pengamanan komputer, perlu dibangun kebijakan dan prosedur khusus ke dalam desain dan implementasi sistem informasi. Perlu dibangun pengendalian sistem informasi yang terdiri dari seluruh metode, kebijakan, dan prosedur organisasi yang dapat memastikan keamanan aset organisasi, keakuratan dan dapat diandalkannya catatan dan dokumen akuntansi, dan aktivitas operasional mengikuti standar yang ditetapkan manajemen. Pengendalian atas sistem informasi harus menjadi bagian yang terintegrasi sejak sistem informasi ini dirancang.
Menurut American Institute of Certified Public Accountant (AICPA), pengendalian sistem informasi dapat dibagi menurut pengendalian umum (general control) dan pengendalian aplikasi (application control). Di samping itu, terdapat pula organisasi profesi lain yang khusus di bidang audit dan pengendalian teknologi informasi, yaitu ISACA (Information Systems Audit and Control Association) yang membagi bentuk pengendalian dari perspektif yang berbeda. ISACA membagi pengendalian sistem informasi menjadi 2 jenis, yaitu: pengendalian luas (pervasive control) dan pengendalian terinci (detailed control). Untuk selanjutnya, pembahasan lebih dalam di modul ini menggunakan pembagian pengendalian sistem informasi mengikuti apa yang dirumuskan oleh AICPA, yaitu bahwa pengendalian sistem informasi terbagi atas pengendalian umum dan pengendalian aplikasi. Pengendalian umum diterapkan pada keseluruhan aktivitas dan aplikasi sistem informasi. Pengendalian umum ini dipasangkan atau melekat di dalam suatu sistem informasi dengan tujuan untuk mengendalikan rancangan, pengamanan, dan penggunaan program-program komputer, serta pengamanan atas file data di dalam infrastruktur teknologi informasi. Dengan kata lain, pengendalian umum dipasangkan di keseluruhan aplikasi yang terkomputerisasi dan terdiri dari: perangkat keras, perangkat lunak, dan prosedur manual yang mampu untuk menciptakan lingkungan pengendalian secara menyeluruh. Pengendalian aplikasi adalah pengendalian yang secara khusus dipasangkan pada aplikasi tertentu atau suatu subsistem tertentu, misalnya pengendalian aplikasi yang dipasangkan di aplikasi sistem penggajian, piutang, atau pemrosesan order untuk pengadaan barang dan jasa. Terdiri dari pengendalianpengendalian yang dipasangkan pada areal pengguna atas sistem tertentu dan dari prosedur-prosedur yang telah diprogram.
Pengendalian Umum (General Control)
Pengendalian umum sistem informasi berhubungan dengan risiko-risiko yang berkaitan di berbagai area kegiatan, seperti: sistem operasi, sumber daya data, pemeliharaan sistem, pusat komputer, komunikasi data, pertukaran data elektronik (electronic data interchange-EDI), komputer mikro, dan sebagainya. Pada gambar di bawah ini digambarkan area-area kegiatan di mana pengendalian umum ini diterapkan. Dari area-area kegiatan yang ada ini, pengendalian juga dapat dikelompokkan dalam pengendalian fisik dan pengendalian non fisik
Pengendalian Sistem Operasi :
Sistem operasi mengendalikan sistem komputer lainnya dan memberikan ijin aplikasi-aplikasi untuk menggunakan secara bersamasama sumberdaya dan peralatan komputer. Karena ketergantungannya, masalah yang timbul dalam sistem operasi ini dapat menimbulkan masalah-masalah lain pada seluruh pengguna dan aplikasinya.
Fungsi-fungsi sistem operasi adalah menerjemahkan bahasa tingkat tinggi ke bahasa mesin dengan menggunakan pengkompilasi (compiler) dan penerjemah (interpreter); mengalokasikan sumber daya komputer ke berbagai aplikasi melalui pembebanan memori dan pemberian akses ke peralatan dan arsip-arsip (file) data; serta mengelola tugastugas penjadualan dan program yang dijalankan bersamaan. Sehubungan dengan fungsi-fungsi tersebut, auditor biasanya ditugaskan untuk memastikan bahwa tujuan pengendalian atas sistem operasi tercapai dan prosedur-prosedur pengendaliannya ditaati
Tujuan pengendalian sistem operasi adalah sebagai berikut:
Mencegah akses oleh pengguna atau aplikasi yang dapat mengakibatkan penggunaan tak terkendali ataupun merugikan sistem operasi atau arsip data.
Mengendalikan pengguna yang satu dari pengguna lainnya agar seorang pengguna tidak dapat menghancurkan atau mengkorupsi program atau data pengguna lainnya.
Mencegah arsip-arsip atau program seorang pengguna dirusak oleh program lainnya yang digunakan oleh pengguna yang sama.
Mencegah sistem operasi dari bencana yang disebabkan oleh kejadian eksternal, seperti kerusakan pada pembangkit listrik. Juga agar sistem dapat memulihkannya kembali jika hal ini sampai terjadi.
Risiko-risiko yang mungkin dihadapi oleh sistem operasi dalam penggunaannya, antara lain adalah :
Penyalahgunaan oleh pengguna melalui akses ke sistem operasi, seperti layaknya manajer sistem.
Penyalahgunaan oleh pengguna yang mendapat keuntungan dari akses yang tidak sah.
Perusakan oleh pengguna-pengguna yang secara serius mencoba untuk merusak sistem atau fungsi-fungsi.
Prosedur-prosedur pengendalian terhadap sistem operasi yang biasanya dilakukan adalah sebagai berikut:
Pemberian atau pengendalian password.
Pengamanan pemberian akses ke pegawai
Pembuatan pernyataan dari pengguna tentang tanggung-jawab mereka untuk menggunakan sistem dengan tepat dan jaminan akan menjaga kerahasiaannya.
Pembentukan suatu kelompok keamanan (security group) untuk memonitor dan melaporkan pelanggaran.
Penetapan kebijakan formal untuk mengatasi para pelanggar.
Pengendalian Sumberdaya Data
Berkaitan dengan penggunaan sumberdaya data, risiko-risiko yang mungkin dapat terjadi di antaranya adalah karena adanya: bencana (kebakaran, banjir, dan sebagainya), kerugian yang terjadi dalam pemanfaatan sumberdaya data, kehilangan tidak sengaja, pencurian dan penyalahgunaan data, serta korupsi data.
Untuk memanfaatkan penggunaan sumberdaya data secara efektif, efisien, dan ekonomis, prosedur-prosedur yang harus dipasangkan untuk pengendalian sumberdaya data, antara lain meliputi:
Pembuatan backup arsip data.
Penyimpanan data di lokasi terpisah untuk arsip backup.
Penentuan akses terbatas atas arsip data berdasarkan otorisasi dan penggunaan password.
Penggunaan teknologi biometric (seperti suara, jari, atau cetak retina) untuk akses data yang risikonya tinggi.
Pembatasan kemampuan query agar data sensitif tidak dapat dibaca.
Pembuatan backup secara periodik seluruh basisdata.
Pembuatan prosedur pemulihan (recovery) untuk memulai suatu sistem dari arsip backup dan register transaksi.
Pengendalian Struktur Organisasi
Risiko-risiko yang mungkin terjadi dalam pengendalian struktur organisasi terdiri dari: Kecurangan, ketidakcukupan dokumentasi fungsi-fungsi sistem dan program, dan kehilangan arsip-arsip.
Untuk meminimalkan kemungkinan risiko dari pengendalian struktur organisasi, prosedur-prosedur pengendalian yang diperlukan adalah sebagai berikut:
Pemisahan administrator basisdata dari fungsi lainnya, terutama dari fungsi pengembangan sistem.
Pemisahan fungsi pengembangan sistem dari fungsi pengoperasian dan pemeliharaan. Pemisahan ini membantu untuk menjamin bahwa dokumentasi yang cukup telah diberikan oleh petugas pengembang dan mengurangi peluang kecurangan. Kecurangan dapat terjadi ketika seorang programmer memberikan kode (code) yang dapat memungkinkannya mengakses sistem dan membuat perubahanperubahan yang kemungkinan besar tidak terdeteksi di kemudian hari.
Pemisahan data library untuk arsip kumpulan kegiatan untuk mengamankan arsip tape guna meyakinkan bahwa tidak salah peletakannya atau pemusnahannya.
Pengendalian Pengembangan Sistem
Risiko-risiko dalam pengembangan sistem terdiri dari: pembuatan sistem yang tidak penting, tidak berguna, tidak ekonomis, atau tidak dapat diaudit.
Prosedur-prosedur pengendalian untuk pengembangan sistem adalah sebagai berikut:
pengotorisasian yang memadai atas sistem yang memberikan bukti justifikasi keekonomisan dan kelayakannya;
pelibatan pengguna dalam pengembangan sistem;
pendokumentasian yang memadai atas seluruh kegiatan pengembangan;
pelibatan auditor dalam kegiatan-kegiatan pengembangan sistem;
pengujian seluruh program secara komprehensif, terutama mengenai keakuratan (dengan membandingkan hasil pengujian program dengan hasil yang diharapkan) dan keterhandalannya.
Pengendalian Pemeliharaan Sistem
Risiko-risiko pemeliharaan sistem mencakup korupsi sistem melalui pengkorupsian program dan aktivitas-aktivitas sistem secara sengaja atau tidak sengaja serta akses ke sistem dan aplikasi secara tidak sah.
Prosedur-prosedur pengendalian untuk pemeliharaan sistem adalah seperti berikut ini:
pengotorisasian formal atas perubahan-perubahan program dan sistem;
pendokumentasian yang teliti atas aktivitas dan peningkatan (update) sistem;
pengujian sistem dan program secara berkelanjutan;
pengamanan kepustakaan program sumber (source program), yaitu tempat kode program aplikasi disimpan guna mencegah perubahanperubahan yang tidak sah;
penggunaan laporan modifikasi program untuk memonitor perubahanperubahan program;
pemberian nomor versi ke setiap program untuk melacak perubahan dan membandingkannya dengan laporan modifikasi.
Pengendalian Pusat Komputer
Risiko-risiko pusat komputer adalah kerusakan pada fungsi-fungsi komputer yang berasal dari gangguan alam dan kegagalan sumber tenaga listrik. Untuk meminimalkan gangguan terhadap pusat komputer, prosedur-prosedur pengendaliannya adalah sebagai berikut:
penempatan pusat komputer yang jauh dari area bahaya, seperti daerah banjir dan pabrik pengolahan;
pengamanan akses ke fasilitas-fasilitas komputer;
penggunaan sistem perangkat bawah tanah dan penyaluran air;
pembatasan akses kepada pegawai yang tidak berwenang dan pemberian tanda masuk bagi yang berwenang;
pengendalian temperatur dan kelembaban;
penggunaan alarm kebakaran dan sistem pemadaman otomatis;
penggunaan pengatur voltase listrik, pencegah goncangan, pembangkit, dan baterai;
pembuatan dan pengujian rencana pemulihan dari bencana (disaster recovery plan) yang mengidentifikasikan langkah-langkah yang harus diambil jika terjadi bencana, seperti site backup, aplikasi-aplikasi yang harus diperbaiki dari backup, prosedur penyimpanan off-site, dan pelatihan suatu tim atas pekerjaan pemulihan dari bencana.
Lokasi backup bisa bersama-sama dengan perusahaan lain atau suatu lokasi yang dioperasikan oleh perusahaan yang sama. Aplikasi-aplikasi yang biasanya penting untuk di-backup adalah penjualan, kewajiban legal, piutang dagang, produksi, pembelian, dan hubungan masyarakat. Basisdata, dokumentasi sistem, dokumen-dokumen sumber, dan perangkat-prangkat kritis (cek, faktur, dan order pembelian) juga harus di-back-up. Pengujian periodik atas rencana pemulihan adalah penting untuk melatih pegawai, memberi keyakinan bahwa rencana sesuai dengan kondisi terakhir, dan untuk meyakinkan rencana akan bekerja secara efektif nantinya.
Pengendalian Komunikasi
Pengendalian komunikasi biasanya berfokus pada sistem jaringan. Tipe utama risiko-risikonya biasanya berhubungan dengan hal-hal berikut:
ancaman subversif dari pengambilan pesan-pesan, penyerangan (hacking) komputer, dan penolakan pelayanan (denial-of-service);
kegagalan peralatan yang mengganggu, merusak, atau mengkorupsi transmisi data.
Untuk mengatasi permasalahan komunikasi, maka prosudur-prosedur pengendalian komunikasi adalah sebagai berikut:
penggunaan suatu firewall yang menghubungkan koneksi eksternal kepada gateway atau proxy server. Firewall mencegah akses langsung ke suatu sistem komputer, kecuali akses oleh pengguna yang sah dan mempunyai kewenangan akses yang telah ditentukan. Firewall juga bisa digunakan untuk membedakan suatu bagian jaringan internal (LAN) dari bagian lainnya. Suatu keamanan tingkat tinggi dapat juga diberikan oleh firewall guna pembatasan koneksi langsung ke internet;
penggunaan password sekali-pakai (one-time) yang dihasilkan oleh alat khusus (smart card) yang memberi pengguna suatu password baru setiap satu atau dua menit. Seseorang yang mencoba mengambil password akan tidak dapat menggunakannya karena password tersebut kadaluarsa begitu digunakan;
penggunaan perangkat lunak keamanan untuk mencegah serangan penolakan-pelayanand.
penggunaan enkripsi data untuk mencegah akses ke data oleh pihakpihak yang tidak berwenang; Enkripsi merupakan konversi data ke suatu bentuk kode. Konversi dibuat oleh suatu program enkripsi yang menghasilkan suatu password yang merupakan kunci enkripsi yang
penggunaan nomor-nomor urutan pesan untuk menjamin bahwa seluruh pesan yang dikirim telah diterima sehingga penyusup tidak dapat terlibat dalam suatu transmisi melalui penghapusan atau pengubahan bagian-bagian transmisi;
penggunaan suatu registrasi transaksi pesan untuk mencatat identitas (ID), lokasi, dan nomor telepon sehingga penyusup dapat diidentifikasikan;
penggunaan alat pemanggilan kembali (call-back) yang mempersyaratkan seorang pengguna untuk memasukkan suatu password yang dapat diidentifikasikan pada saat koneksi. Begitu diidentifikasikan, pemanggil diputuskan dan dipanggil kembali oleh sistem berdasarkan alamat yang berhubungan dengan password tersebut;
penggunaan pengecekan gema (echo check) untuk mencegah data dikorupsi oleh desisan (noise) selama transmisi. Suatu gema melakukan pengecekan dengan cara penerima mengembalikan pesan kembali ke pengirim agar pengirim membandingkannya dengan pesan asal yang dikirimkannya;
penggunaan parity bits yang mengecek “nomor-nomor 1” dalam suatu byte dan/atau suatu pesan pada saat dikirim. Nomor-nomor ini dibandingkan dengan “nomor-nomor 1” yang diterima untuk meyakinkan keduanya sama;
penggunaan sistem backup untuk jaringan yang dapat memulihkan fungsi-fungsi jaringan dan transmisi data jika server jaringan rusak
Pengendalian Pertukaran Data Elektronik
Risiko-risiko yang berhubungan dengan pertukaran data elektronik (electronic data interchange) menyangkut transaksi dan akses yang tidak sah ke berbagai arsip data serta kurangnya informasi transaksi yang cukup.
Prosedur-prosedur pengendaliannya adalah sebagai berikut:
pemvalidasian password dan kode identitas oleh sistem customer dan vendor; pengotorisasian tabel-tabel yang menentukan tingkat dan tipe akses arsip data perusahaan oleh rekanan bisnisnya;
penggunaan register pengendalian yang mencatat transaksi melalui setiap tahap pertukaran data elektronik.
Pengendalian Komputer Mikro
Risiko-risikonya mencakup akses yang tidak sah ke data dan program, pemisahan tugas yang tidak memadai, backup, serta prosedurprosedur pengembangan dan pemeliharaan sistem.
Prosedur-prosedur pengendaliannya paling tidak mencakup hal berikut:
penggunaan alat pengunci untuk mencegah akses ke komputer, khususnya melalui drive A yang dapat digunakan untuk memulai (booting) sistem menggunakan program yang dapat melewati perangkat pengamanan;
penggunaan password bertingkat untuk membatasi berbagai tingkatan pengguna terhadap suatu sistem guna pengaksesan arsip atau program tertentu; backup rutin ke floppy disk, hard drive, dan tape;
penggunaan prosedur-prosedur penyeleksian perangkat lunak komersial dan resmi.
Pengendalian Aplikasi
Pengendalian aplikasi berhubungan dengan aplikasi tertentu, suatu subsistem, atau program-program dalam sistem komputer. Pengendalian aplikasi ini digolongkan dalam tiga kategori, yaitu pengendalian masukan, pengendalian pemerosesan, dan pengendalian keluaran.
Pengendalian Masukan
Pengendalian masukan berusaha untuk menjamin bahwa transaksitransaksi yang dimasukkan ke dalam suatu sistem adalah sah, akurat, dan lengkap. Prosedur-prosedur pengendaliannya adalah sebagai berikut:
pengendalian atas akses ke dokumen asal;
penggunaan dokumen asal yang dipranomori;
penggunaan pengecekan digit (check digit) untuk mencegah kesalahan penerjemahan dan penempatan;
penggunaan total kumpulan (batch total) yang biasanya berhubungan dengan kumpulan-kumpulan transaksi;
pengendalian validasi (validation control) untuk mengecek data yang hilang, field yang kosong, atau ruang kosong di data, dan mengecek kesalahan-kesalahan dalam tipe-tipe data (karakter atau angka), guna menjamin bahwa penjumlahan adalah dalam suatu interval tertentu atau tidak melebihi batasan tertentu;
penggunaan prosedur-prosedur untuk menentukan agar penjumlahan atau record-record secara relatif adalah wajar bila dibandingkan dengan tipe-tipe data yang diharapkan, memiliki tanda yang benar (misalnya semua jumlah penjualan haruslah positif), dan dalam urutan yang benar
penggunaan label-label arsip internal (khususnya untuk tape) untuk menjamin bahwa arsip-arsip data yang benar telah diproses;
penggunaan prosedur koreksi kesalahan untuk memberitahu pengguna bahwa kesalahan telah terjadi, untuk menandakan kesalahan dalam arsip-arsip guna perbaikan sebelum diproses, atau mempersyaratkan pemasukan ulang data (dimulai dari awal dengan suatu kumpulan);
penataan kesalahan arsip-arsip dan laporan-laporan guna mendaftar kesalahan-kesalahan dan perbaikan-perbaikannya
Pengendalian Pemerosesan
Prosedur-prosedur pengendalian pemerosesan adalah sebagai berikut:
pengendalian data total (batch data control) harus dijalankan ulang pada setiap langkah dalam suatu pemerosesan untuk memperhitungkan kembali pengendalian total (control total);
penggunaan register transaksi untuk mengidentifikasikan setiap transaksi yang diproses oleh suatu sistem dan memisahkan transaksi yang berhasil dari yang tidak berhasil (ke dalam suatu arsip kesalahan). Register tersebut harus menguraikan transaksi-transaksi yang dihasilkan secara eksternal dan internal. Nomor-nomor transaksi harus secara unik mengidentifikasikan masing-masing transaksi sehingga suatu transaksi dapat dilacak melalui suatu sistem guna menyajikan suatu jejak audit.
Pengendalian Keluaran
Pengendalian keluaran melindungi keluaran dari kerugian, korupsi, dan akses yang tidak sah. Pengendalian ini meliputi:
pembatasan akses ke arsip-arsip keluaran (elektronik dan hardcopy) melalui perlindungan arsip-arsip dalam proses pentransmisian atau pencetakan, penataan jumlah tembusan, dan penggunaan kertas berangkap yang memungkinkan pencetakan tanpa memungkinkan isinya dibaca (seperti halnya rekening koran bank, nomor pin, slip gaji, atau laporan nilai);
penyeliaan pekerja-pekerja yang mencetak dan mengkopi data atau memberikan pelayanan pengiriman;
pembatasan akses penghancuran atau pengendalian sampah dokumen;
penelaahan keluaran atas keakuratannya;
penggunaan kotak surat yang terkunci;
persyaratan penerimaan untuk pengambilan dokumen dan pemberian tanda-terima;
penyimpanan dokumen-dokumen sensitif dalam lokasi yang aman.
No comments:
Post a Comment