Audit Sistem Informasi - Operasi Komputer

OPERASI KOMPUTER
STRUKTURISASI FUNGSI TEKHNOLOGI INFORMASI
Pengaturan fungsi tekhnologi informasi memiliki berbagai implikasi pada sifat pengandalian
internal, yaitu selanjutnya akan memiliki implikasi pada auditnya.
PEMROSESAN DATA TERPUSAT
Dibawah model pemrosesan data terpusat (Centralized Data Procesing) semua pemrosesan
data dilakukan oleh satu atau lebih komputer besar yang diletak di sebuah lokasi terpusat
yang melayani berbagai pengguna di seluruh perusahaan.
1. Administrasi Basis Data
Perusahaan yang dikelola secara terpusat memelihara sumber daya datanya dalam
sebuah lokasi terpusat yang digunakan bersama oleh semua pengguna akhirnya. Dalam
penataan data bersama ini, sebuah bagian yang independen-Administrasi Basis Data
(Database Administrasion-DBA)-yang dikepalai oleh administrator basis data bertanggung
jawab atas keamanan dan integritas basis data.
2. Pemrosesan Data
Bagian pemrosesan data mengelola sumber daya komputer, yang digunakan untuk
melakukan pemrosesan harian berbagai transaksi. Bagian ini terdiri atas fungsi organisasional
berikut ini : pengendalian data, konversi data, operasi komputer dan perpustakaan data.
Pengendalian data
Banya perusahaan yang memiliki bagian pengendalian data (data control) sebagai
penghubung antara pengguna akhir dengan pemrosesan data, dan sebagai fungsi pengendali
untuk operasi yang terkomputerisasi.
Konversi data
Fungsi konversi data (data conversion) mentranskripkan data transaksi dari dokumen sumber
kertas ke unput komputer.
Operasi Komputer
File elektronik yang dihasilkan kemudia diproses oleh komputer pusat, yang dikelola oleh
bagian operasi komputer (computer operation).
Perpustakaan Data

Perpustakaan data (data library) adalah sebuah ruang yang berada disebelah pusat komputer
yang memberikan tempat penyimpanan yang aman untuk berbagai file data off-line. File itu
dapat berupa salinan cadangan atau file data terkini.

3. Pengembangan dan Pemeliharaan Sistem

Kebutuhan sistem informasi para pengguna dipenuhi melalui dua fungsi yang saling
berhubungan: pengembangan sistem dan pemeliharaan sistem. Bagian yang pertama
bertanggung jawab untuk menganalisis berbagai kebutuhan pengguna dan mendesain sistem
baru yang dapat memenuhi berbagai kebutuhan tersebut.Para partisipan yang terlibat meliputi
para praktisi sistem, pengguna akhir, dan pemegang kepentingan.
Professional Sistem
Meliputi analisis sistem, desainer basis data, dan programmer yang mendesain dan
membangun sistem. Para professional sistem mengumpulkan berbagai fakta mengenai
masalah pengguna, menganalisis fakta-fakta tersebut, dan merumuskan sebuah solusi.
Pengguna Akhir
Adalah pihak-pihak untuk siapa sistem tersebut dibangun. Mereka adalah para
manajer yang menerima laporan dari sistem tersebut, dan personel operasional yang bekerja
secara langsung dengan sistem tersebut, dan personel operasional yang bekerja secara
langsung dengan sistem tersebut sebagai bagian dari pekerjaan harian mereka.
Pemegang Kepentingan
Adalah individu-individu yang berada didalam atau diluar perusahaan dan memiliki
kepentingan atas sistem tersebut, tetapi bukan pengguna akhirnya. Mereka meliputi para
akuntan, auditor internal, auditor eksternal, dan mereka yang mengawasi pengembangan
sistem.
PEMISAHAN PEKERJAAN YANG TIDAK SALING BERSESUAIAN
Pemisahan pekerjaan yang tidak saling bersesuaian (tidak kompatibel) tetap merupakan hal
penting dalam lingkungan TI seperti dalam lingkungan manual. Walau pekerjaannya berbeda,
teori dasarnya tetap sama. Berikut adalah 3 tujuan dasar pemisahan pekerjaan yang tidak
saling berkesuaian :
a. Pemisahan fungsi otorisasi dari pemrosesan transaksi
b. Pemisahan fungsi pencatatan dari pengamanan asset.

c. Membagi fungsi pemrosesan transaksi ke beberapa orang agar pelaku penipuan akan harus
melakukan kolusi dengan dua orang atau lebih.
Memisahkan Pengembangan Sistem dari Operasi Komputer
Pemisahan

pengembangan

sistem

(baik

pengembangan

sistem

baru

maupun

pemeliharaannya) dari aktivitas operasi adalah hal yang paling penting. Hubungan dari ke
dua bagian ini seharusnya sangat frontal, dan tanggung jawab mereka tidak dapat
dicampuradukkan.
Memisahkan Administrasi Basis Data dari Fungsi Lainnya
Pengendalian organisasional lainnya yang penting adalah pemisahan pekerjaan administrasi
basis data (DBA) dari fungsi pusat komputer lainnya. Fungsi DBA bertanggung jawab atas
sejumlah pekerjaan penting yang berkaitan dengan keamanan basis data, termasuk pembuatan
skema basis data dan tampilan pengguna, pemberian otoritas akses ke basis data ke para
pengguna, pengawasan penggunaan basis data, perencanaan uantuk perluasan di masa depan.
Memisahkan Fungsi Pengembangan Sistem dari Pemeliharaan Sistem
Beberapa perusahaan mengatur fungsi pengembangan sistem internalnya kedalam dua bagian
: analisis dan pemrograman sistem. Bagian analisis sistem bekerja dengan para pengguna
untuk menghasilkan desain terperinci sistem yang baru. Bagian pemrograman akan
mengodekan berbagai program sesuai dengan spesifikasi desain ini.
Memperbaiki Dokumentasi
Dokumen sistem yang buruk merupakan masalah kronis dalam banyak perusahaan. Kondisi
ini khususnya terjadi jika perusahaan tidak menggunakan alat rekayasa peranti lunak
berbantuan komputer (Computer-assisted software engineering-CASE) yang memiliki fitur
dokumentasi otomatis. Terdapat dua penjelasan untuk fenomena ini :
Pertama, mendokumentasikan sistem adalah pekerjaan yang tidak semenarik desain,
pengujian dan implementasinya. Alasan kedua atas terjadinya dokumentasi yang tidak
memadai adalah jaminan pekerjaan. Ketika suatu sistem didokumentasikan secara kurag baik
maka sistem trsebut akan sulitntu di interpretasikan, di uji dan di debug.

Mencegah penipuan
Jika programmer asli juga memiliki tanggung jawab untuk melakukan pemeliharaan, potensi
terjadinya penipuan akan meningkat. Penipuan dengan program melibatkan perubahan yang
tidak sah atas berbagai modul program denga tujuan melakukan tindakan illegal.
Struktur Alternatif Pengembangan Sistem
Fungsi pengambangan sistem dibagi dua kelompok:

a. Pengembangan Sistem Baru

b. Pemeliharaan Sistem
Kelompok pengembangan sistem baru bertanggung jawab untuk mendesain, memprogram
dan

mengimplementasikan

berbagai

proyek

sistem

baru. Setelah

berhasil

dalam

implementasinya tanggung jawab pemeliharaan sistem setelahnya akan jatuh pada kelompok
pemeliharaan sistem.
Hal ini memiliki nilai positif sebagai berikut :

Standar dokumentasi akan lebih baik karena kelompok pemeliharaan akan membutuhkan
adanya dokumentasi untuk melakukan pekerjaan pemeliharaannya.

Menolak akses programmer sistem untuk masa selanjutnya ke program akan mencegah
penipuan melalui program. Kode yang digunakan untuk penipuan, yang yang dulu
disembunyikan dalam sistem, tidak berada dalam kendali programmer, dan mungkin nantinya
dapat terungkap sebagai kondisi yang meningkatkan resiko penipuan dengan program.
Memisahkan Perpusatakaan Data dari Operasional
Perpustakaan data biasanya berada dalam ruang yang bersebelahan dengan pusat
komputer dan berfungsi sebagai tempat penyimpanan yang aman berbgai file dan data offline, seperti pita megnetis dan removable disk dalam sistem tradisional. Pustakawan data
(data librarian) adalah orang yang bertanggung jawab atas penerimaan, penyimpanan,
penarikan dan pengamanan berbagai file data dan harus mengendalikan akses ke
perpustakaan tersebut.
Ada beerapa peran pustakawan data lainnya yang dapat berfungsi dalam sistem yang
modern. Peran-peran tersebut meliputi penyimpanan cadangan data dilokasi kantor dan
pengamanan piranti lunak komersial beserta berbagai lisensinya. Para operator yang
ditugaskan fungsi pustakawan harus memahami peran penting pengandalian dalam tanggung
jawab yang besar ini.
Potensi eksposure dapat digambarkan dalam tiga scenario berikut ini :

a) Pusat komputer kadang sangat sibuk.

b) Orang yang tidak berpengalaman melakukan fungsi pustakawan dalam waktu sibuk mungkin
mengembalikan sebuah pita ke dalam lokasi penyimpanan yang salah di perpustakaan.
c) Pustakawan secara langsung bertanggung jawab atas implementasi kebijakan perusahaan

tentang pita yang akan didaur ulang.

Tujuan Audit
Melakukan penilaian resiko mengenai pengembangan, pemeliharaan dan operasi system.
Memverifikasi bahwa orang - orang dengan pekerjaan yang tidak kompatibel telah dipisah
sesuai dengan tingkat potensi resikonya.

Memverifikasi bahwa pemisahan tersebut dilakukan dalam cara yang dapat mendorong
lingkungan kerja dimana hubungan formal, bukan informal, ada antar pekerjaan yang tidak
saling berkesesuaian tersebut.
Prosedur Audit
Mendapat dan mengkaji kebijakan perusahaan atau keamanan komputer.
Mengkaji dokumentasi yang terkait, termasuk struktur organisasi saat ini, pernyataan misi
dan deskripsi pekerjaan utuk berbagai fungsi penting.
Mengkaji dokumentasi sistem dan catatan pemeliharaan untuk mencari sampel aplikasi.
Melalui observasi, tentukan apakah kebijakan pemisahan pekerjaan diikuti dalam praktiknya.
Mengkaji hak hak dan keistimewaan para pengguna untuk memverifikasi bahwa para
programer memiliki izin akses yang sesuai dengan deskripsi pekerjaan mereka.
Model Terdistribusi
Alternatif A
Sesungguhnya adalah varian dari model terpusat, perbedaannya adalah terminal
terminalnya (mikrokomputer) didestribusikan ke para pengguna khir untuk menangani input
dan output. Penataan ini meniadakan kebutuhan akan kelompok pengendalian data dan
konversi data yang terpusat karena para pengguna kini akan melakukan berbagai pekerjaan
tersebut.
Alternatif B
Adalah perubahan radikal dari model terpusat. Alternatif ini mendistribusikan semua layanan
komputer ke para pengguna akhir, dimana mereka dapat beroperasi sebagai unit unit yang
berdiri terpisah. Hasilnya adalah peniadaaan fungsi layanan komputer pusat dalam struktur
organisasi perusahaan.
Risiko yang berkaitan dengan DDP
Ketidakefisienan Penggunaan Sumber Daya
Risiko terjadinya kesalahan manajemen atas sumber daya keseluruhan perusahaan terutama
oleh pengguna akhir.
Risiko peranti keras dan lunak tidak sesuai satu sama lain terutama di tingkat pengguna akhir
Risiko terjadinya pekerjaan yang rangkap berkaitan dengan aktivitas dan taggung jawab
pengguna terakhir.
Kerusakan Jejak Audit
Penggunaan DDP dapat mempengaruhi secara negatif jejak audit. Karena jejak audit dalam
sistem modern cienderung bersifat elektronik, merupakan hal biasa jika sebagian atau seluruh
jejak audit berada dalam berbagai komputer pengguna terakhir.
Pemisahaan Tugas yang Tidak Memadai
Distribusi layanan TI ke para pengguna dapat menghasilkan terciptanya banyak unit kecil
yang tidak memungkinkan adanya pemisahan berbagai fungsi yang tidak saling
berkesesuaian. Contohnya dalam satu unit yang sama dapat menulis program aplikasi,
melakukan pemeliharaan program, memasukkan data transaksi ke dalam komputer kondisi
ini akan menjadikan pelanggaran pengendalian internal.
Memperkerjakan Profesional yang Berkualitas
Manajer yang juga pengguna akir dapat saja kurang memiliki pengetahuandalam
mengevaluasi kualifikasi dan pengalaman terkait beberapa kandidat yang melamar untuk
posisi sebagai profesional komputer.
Kurangnya Standar

Karena adanya pendistribusian tanggung jaab dalam lingkungan DDP, standar untuk
mengembangkan dan mendokumensaikan sistem, pemilihan bahasa programan, pengadaan
piranti keras dan lunak, serta evaluasi kinerja mungkin jarang diaplikasikan atau mungkin
tidak ada.
Kelebihan DDP
Penurunan Biaya
Pergeseran ke DDP dapat mengurangi biaya dalam dua hal :
Data dapat dimasukkan dan di edit diarea pengguna, hingga meniadakan pekerjaan terpusat
untuk pembuatan dan pengendalian data.
Kerumitan aplikasi dapat dikurangi, yang akhirnya akan mengurangi biaya pengembangan
serta pemeliharaa.
Peningkatan Tanggung Jawab Pengendalian Biaya
Manajer yang jiga pengguna akhir memiliki tanggung jawab atas kenerhasilan keungan dari
berbagai operasi mereka. Tanggung jawab ini mengharuskan para manajer diberdayakan
secara tepat dengan otoritas untuk membuat keputusan mengenai sumber daya yang
mempengaruhi keberhasilan mereka secara umum.
Peningkatan Kepuasan Pelanggan
Kepusaan pengguna berasal dari tiga area kebutuhan yang sering kali tidak terpenuhi dalam
pendekatan terpusat :
Para pengguna ingin mengendalikan sumber daya yang mempengaruhi profitabilitas mereka.
Para pengguna menginginkan profesional sistem (analis, programer dan operator)
yangresponsif terhadap situasi khusu mereka.
Para pengguna akan lebih secara aktif dilibatkan dala pengembangan dan implementsai sistem
mereka sendiri
Fleksibilitas Cadangan
Kemampuan untuk membuat cadangan fasilitas komputer agar terlindung dari potensi
bencana seperti kebakaran, banjir, sabotase dan gempa bumi. Satu satunya cara bagi sebuah
pusat komputer untuk mengatasi berbagai bencan semacam itu adalah dengan menyediakan
fasilitas komputer ke dua.
Mengendalikan Lingkungan DDP
Kebutuhan akan Analisis yang Cermat
DDP membawa nilai prstise yang tingi hingga proses analisis pro dan kontra nya akan dapat
menutupi berbagai pertimbangan penting dalam hal manfaat ekonomi serta kelayakan
operasionalnya. Dimana beberapa perusahaan telah bergeser ke DDP tanpa secara penuh
mempertimbangkan apakah struktur organiasional yang terdistribusi tersebut akan dapat
membuat mereka secara lebih baik mencapai tujuan perusahaan atau tidak.
Mengimplementasikan Fungsi TI Perusahaan
Model terpusat penuh dan model terdistribusi penuh mewakili dua posisi ekstrim dalam
sebuah area alternatif struktur. Kebutuhan kebanyakan perusahaan masuk diantara ke dua titik
ekstrim ini. Dalam kebanyakan perusahaan, masalah pengendalian dapat ditangani dengan
mengimplementsaikan fungsi TI perusahaan.
Pengujian Terpusat atas Peranti Lunak Komersial dan Peranti Keras
Kelompok TI perusahaan dapat secara lebih baik mengevaluasi berbagai kebaian beberapa
peranti lunak dan keras yang di jual di pasaran. Kelompok yang terpusat dan secara teknis
bagus dalam memberikan penilaian, dapat mngevaluasi berbagai fitur sistem, pengendalian
dan kesesuaian dengan berbagai standar industri serta organisasional dengan sngat efisien
Layanan Pengguna

Fitur yang berharga dari kelompok perusahaan adalah fungsi layanan penggunanya. Aktivitas
ini menyediakan bantuan teknis bagi para pengguna selama instalasi peranti lunak baru serta
dalam mngatasi berbagai masalah peranti keras dan lunak.
Lembaga Pembuat Standar
Lingkungan pengendalian yang relatif kurang baik akubat dari model DDP dapat diperbaiki
dengan membuat beberapa petunjuk terpusat. Kelompok perusahaan dapat memberikan
kontribusinya untuk tujuan ini dengan membentuk serta menyebarluaskan ke berbagai area
pengguna standar standar yang tepat untuk pengembangan sistem, pemrograman dan
dokumentasi sistem.
Kajian Personel
kelompok perusahaan mungki lebih baik persiapannya dai pada para pengguna dalam
mengevaluasi secara teknis kualifikasi para calon praktisi sistem. Walaupun para praktisi
sistem sesungguhnya akan menjadi bagian dari kelompok pengguna, keterlibatan kelompok
perusahaan dalam keputusan untuk mempekerjakan dapat memberikan layanan yang berharga
bagi perusahaan.
Tujuan Audit
Melakukan penilaian resiko atas fungsi TI DDP
Memverifikasi bahwa unit unit TI yang terdistribusi menggunakan berbagai standar kinerja
keseluruhan perusahaan yang mendorong kesesuaian antara peranti keras, aplikasi perati
lunak dan data
Prosedur Audit
Memverifikasi bahwa berbagai kebijakan dan standar perusahaan untuk desain sistem,
dokumentasi dan pengadaan peranti keras dan lunak telah dikeluarkan dan disebarluaskan ke
berbagai unit TI.
Mengkaji struktur organisasional, misi dan deskripsi pekerjaan terkini berbagai fungsi yang
utama, untuk menentukan apakah ada karyawan atau kelompok yang melakukan pekerjaan
yang tidak saling berkesesuaian.
Memverifikasi bahwa ada pengendalian pengganti seperti supervisi dan pengawasan
manajemen dilakukan etika pemisahaan pekerjaan yang tidak saling berkeseuaian secara
ekonomi tidak mungkin dilakukan.
Mengkaji dokumentsai sistem untuk memverifikasi bahwa berbagai aplikasi, prosedru dan
basisi data di desain dan berfungsi sesuai dengan standar perusahaann.
Memverifikasi bahwa tiap karyawan diberikan izin akses sistem ke berbagai program dan
data sesuai dengan deskripsi pekerjaannya
PUSAT KOMPUTER
Tujuan : Menyajikan pengendalian pusat komputer yang dapat menciptakan lingkungan yang
aman
Pengendalian pusat komputer
Beberapa fitur pengendalian yang berkontribusi langsung pada keamanan lingkungan pusat
komputer:
1. Lokasi Fisik : sebisa mungkin lokasi fisik jauh dari berbagai bahaya yang ditimbulkan
manusia dan alam serta jauh dari arus lalu lalang normal
2. Konstruksi : idealnya di gedung berlantai satu dengan konstruksi solid dan dengan akses
yang terkendali
3. Akses : dibatasi hanya untuk operator dan karyawan yang benar benar bekerja di situ. Sebisa
mungkin terdapat pintu terkunci dengan akses masuk tertentu dan dilengkapi CCTV

4. Pengatu Suhu Udara : agar kinerja pusat komputer dapat maksimal suhu di udara di ruang
tersebut berkisar 700 - 75 0 Fahrenheit dengan kelembapan 50 %
5. Pemadam Kebakaran : harus disediakan alat pemadam kebakaran karena kejadian kebakaran
adalah kejadian yang paling sering terjadi pada pusat komputer
6. Pasokan Listrik : Ketersediaan listrik dengan regulator voltase dan cadangan baterai sangat
penting untuk menunjang operasional pusat computer
Tujuan Audit Pusat Komputer :
Secara Umum : mengevaluasi berbagai pengendalian yang mengatur keamanan pusat
komputer
Secara khusus :
1) Memverifikasi Pengendalian keamanan fisik untuk melindungi perusahaan dari eksposur
fisik
2) Memverifikasi Jaminan perlengkapan untuk member kompensasi apabila terjadi kerusakan
atau kehancuran pusat komputer
3) Memverifikasi Dokumentasi operator yang memadai dalam menangani kegagalan sistem
Prosedur Audit : Pengujian Pengendalian keamanan Fisik
1) Pengujian Konstruksi Fisik : auditor memastikan pusat komputer dibangun secara kuat, tahan
api , dengan drainase yang baik serta berlokasi di area yang meminimalkan eksposur
kebakaran, kerusuhan dan bahaya lainnya
2) Pengujian sistem deteksi kebakaran : auditor harus meyakinin alat deteksi kebakaran telah
ada dan berfungsi normal baik manual maupun otomatis dengan mengkaji catatan dari
departemen pemadam kebakaran
3) Pengujian pengendalian akses : auditor memastikan akses ke pusat komputer terbatas untuk
karyawan yang berhak dan mengamati proses pemberian izin akses secara diam diam
4) Pengujian pasokan listrik cadangan : dilakukan pengujian pasokan listrik cadangan secara
berkala
5) Pengujian cakupan asuransi : setiap tahunnya auditor mengkaji cakupan asuransi perusahaan
atas hardware, software dan fasilitas fisiknya. Pengadaan perlatan baru harus didaftarkan
dalam polis asuransi
6) Pengujian pengendalian dokumentasi operator : audit harus memverivikasi bahwa
dokumentasi system seperti bagan alir, bagan alir logika program dan daftar kode program
bukan bagian dari dokumentasi operasional
Perencanaan Pemulihan dari bencana ( Disaster Recovery Plan )
Tiga jenis peristiwa yang dapat mengganggu atau merusak pusat komputer dan system
informasi nya antara lain
1) Bencana Alam meliputi Kebakaran, Banjir, Angin topan, gempa Bumi
2) Bencana yang disebabkan oleh manusia seperti kesalahan dan sabotase
3) Kegagalan system yang meliputi listrik padam, kegagalan drive, sitem operasi gagal terkunci
Suatu rencana pemulihan dari bencana yang baik harus memiliki tiga fitur yaitu :
1) Mengidentifikasi aplikasi yang sangat penting
Usaha pemulihan harus terkonsentrasi pada fitur yang sangat penting agar perusahaan dapat
bertahan dalam waktu pendek. Sebagai contoh adalah fungsi yang menghasilkan aliran kas
masukyang memadai untuk memenuhi kewajiban jangka pendek.
2) Membentuk Tim Pemulihan dari bencana
Hal ini penting dilakukan agar tidak terjadi pekerjaan yang terlewat atau duplikasi pekerjaaan
selama implementasi rencana kontijensi, Tanggung jawab pekerjaan harus secara jelas
ditetapkan dan dikomunikasikan ke berbagai personel yang dilibatkan

3) Menyediakan Lokasi Cadangan :

Bahan yang penting dalam DRP adalah rencana tersebut memungkinkan adanya fasilitas
pemrosesan data duplikat setelah terjadi suatu bencana.
Membentuk Tim Pemulihan dari Bencana
Pemulihan bencana tergantung pada tindakan perbaiakn yang tepat waktuya. Dalam
tim pemulihan bencana, dari masing kelompok yang terbagi memiliki tujuan masing-masing,
yaitu:
1. Kelompok fasilitas lokasi kedua bertujuan untuk mempersiapkan lokasi cadangan untuk
operasional dan mendapatkan piranti keras pada para vendor.
2. Kelompok cadangan data dan program, untuk menyediakan versi terbaru semua aplikasi, file
data dan dokumentasi yang sangat penting.
3. Kelompok konversi data dan pengendalian data, untuk menetapkan kembali fungsi konversi
data dan pengendalian data yang penting untuk memproses berbagai aplikasi yang sangat
penting.
Menyediakan Lokasi Cadangan
Dalam hal ini ada beerapa pilihan yang tersedia
1. Hot Site/pusat Operasional Pemulihan
salah satu pendekatan untuk mengontrak sebuah lokasi cadangan denganhot site yang
memiliki peralatan lengkap. hot site biasanya digunkan bersama dengan beberapa
perusahaan. Hot site dapaty dibuat sesuai dengan kebutuhan untuk melayani berbagai
kebutuhan para anggotanya atau dapat pula didesain untuk mengakomodasi sejumlah besar
sistem komputer.
2. Cold Site/Ruang kosong
3. Perjanjian Bantuan Saling Menguntungkan
Adalah suatu kesepakatan antara dua atau lebih perusahaan untuk saling membantu dalam hal
kebutuhan pemrosesan data jika terjadi suatu bencana.
4. Cadangan yang Disediakan
5. Cadangan Peranti Keras
6. Cadanagn Peranti Lunak
7. File Data Cadangan
8. Dokumentasi Cadangan
9. Cadangan Dokumen Pasokan dan Dokumen Sumber
10. Menguji DRP
Tujuan Audit
Untuk memverifikasi bahwa rencana pemulihan bencana perusahaan cukup untuk
memenuhi kebutuhan perusahaan dan bahwa implementasinya dapat dilakukan serta praktis
Prosedur Audit
Untuk memverifikasi bahwa DRP pihak manajemen adalah solusi yang realistis untuk
menangani suatu bencana yang dpat meniadakan sumber daya komputer perusahaan.
Terdapat beberapa pengujian untuk memfokuskan diri pada berbagai area yang paling banyak
dikhawatirkan
1. Cadangan Lokasi
2. Daftar Aplikasi Penting
3. Cadangan Peranti Lunak
4. Cadangan Data
5. Cadangan Perlengkapan, Dokumen dan Dokumentasi

6.

1.
2.
3.

1.
2.
3.

1.
2.
3.
4.
5.

1.

Tim Pemulihan dari bencana

PENGENDALIAN TOLERANSI KEGAGALAN
Toleransi kegagalan adalah kemampuan sistem untuk melanjutkan operasinya ketika
sebagaian dari sistem tersebut gagal karena adanya kegagalan peranti keras, kesalahan dalam
program aplikasi, atau kesalahan operator. Berbagai tingkat toleransi kegagalan dapat
diwujudkan melalui implementasi beberapa komponen sistem yang redundan :
Redundant array of inexpensive (independent) disk (RAID)
Uninterruptable power supplies (UPS)
Multipemrosesan
Tujuan Audit
Untuk memastikan bahwa perusahaan menggunkan tingkat toleransi kegagalan yang tepat
Prosedur Audit
Kebanyakan sistem yang menggunakan RAID menyediakan pemetaan grafis penyimpanan
redundannya.
Jika perusahaan tidak menggunakan RAID, potensi suatu titik kegagalan sistem akan ada.
Menentukan bahwa berbagai salinan disket boot telah dibuat untuk bebrapa server di jaringan
guna berjaga-jaga jika terjadi kegagalan sektor boot.
PENGENDALIAN SISTEM OPERASI DAN PENGENDALIAN KESELURUHAN
SISTEM
Sistem operasi adalah program pengendali dalam komputer. Sistem ini
memungkinkan para pengguna dan aplikasi didalamnya untuk berbagi dan mengakses sumber
daya computer bersama, seperti prosesor, memori utama, basis data, dan printer. Sistem
operasi melakukan tiga pekerjaan utama.
Pertama sistem ini menerjemahkan bahasa tingakat tinggi, seperti COBOL, BASIC,
bahasa C, dan SQL ke dalam bahasa tingkat mesin yang dapat dijalankan oleh computer.
Modul-modul penerjemah bahasa dalam sistem operasi disebut sebagai kompilator dan
interpreter
Kedua, sistem operasi mengalokasikan berbagai sumber daya computer ke para
pengguna, kelompok kerja, dan aplikasi.
Ketiga, sistem operasi mengelola berbagai pekerjaan penjadwalan pekerjaan dan
multipemrograman.
Tujuan dari pengendalian fundamental:
Sistem operasi melindungi dirinya dan para pengguna
Sistem operasi harus melindungi penggunanya dari satu sama lain.
Sistem operasi harus melindungi para pengguna dari diri mereka sendiri.
Sistem operasi harus dilindungi dari dirinya sendiri
Sistem operasi harus dilindungi dari lingkungan sekitar.
Keamanan Sistem Operasi
Keamanan sistem operasi melibatkan kebijakan, prosedur, dan pengendalian yang
menentukan siapa saja yang dapat mengakses sistem operasi, sumber daya mana yang dapat
diakses, dan tindakan apa yang dapat dilakukan. Beberapa komponen keamanan berikut ini
dapat ditemukan dalam sistem operasi yang aman:
Prosedur Logon
Prosedur logon yang formal adalah pertahanan garis depan sistem operasi dari akses tidak
sah.

2. Access Token
Jika usa logon berhasil, sistem operasi akan membuat access token yang berisi informasi
utama mengenai pengguna, termasuk ID, kata sandi, kelompok pengguna, dan hak-hak yang
diberikan pada pengguna tersebut.

3. Daftar Pengendalian Akses

Akses ke berbagai sumber daya sistem seperti dirktori, file, program, dan printer
dikendalikan oleh daftar pengendalian akses yang dibuat untuk setiap sumber daya. Daftar ini
berisi informasi yang menetapkan hak akses semua pengguna valid atas sumber daya terkait.
4. Pengendalian Akses Mandiri
Administrator sistem pusat biasanya menetapkan siapa yang diberikan akses ke sumber daya
tertentu dan memelihara daftar pengendalian akses. Akan tetapi dalam sistem terdistribusi,
sumber daya dapat dikendalikan oleh pengguna terakhir. Para pemilik sumber daya dalam
kondisi ini dapat diberikan pengendalian akases mandiri yang memungkinkan mereka
memberikan hak akses ke pengguna lainnya.
Ancaman Terhadap Integritas Sistem Operasi
Bentuk ancaman yang sedang berkembang saat ini berasal dari program penghancur yang
tidak jelas keuntungannya untuk apa. Berbagai eksposur ini berasal dari tiga sumber:
1. Personel dengan hak tertentu yang menyalahgunakan wewenangnya.
2. Orang-orang yang menjelajahi sistem operasi untuk mengidentifikasi dan mengeksploitasi
kelemahan keamanan.
3. Orang yang menyelipkan virus computer atau bentuk lain program penghancur lainnya
kedalam operasi.

PENGENDALIAN KESELURUHAN SISTEM

Mengendalikan Hak akses
Hak akses para pengguna diberikan ke beberapa orang dan ke seluruh kelompok kerja
yang diotorisasi untuk menggunakan sistem. Hak tersebut menentukan direktori, file,
aplikasi, dan sumber daya lainnya yang dapat diakses oleh seseorang atau kelompok. Hak
tersebut juga menentukan jenis berbagai tindakan yang dapat dilakukan.
Tujuan audit
Memverifikasi bahwa hak akses diberikan dalam cara yang konsisten dengan
kebutuhan untuk memisahkan berbagai fungsi yang tidak saling bersesuaian, dan sesuai
dengan kebijakan perusahaan.
Prosedur audit
Kaji kebijakan perusahaan atas berbagai fungsi yang tidak saling bersesuaian dan pastikan
bahwa kebijakan tersebut mendorong adanya keamanan yang wajar.
Kaji berbagai hak sekelompok pengguna dan orang-orang tertentu untuk menentukan apakah
hak dan akses mereka sesuai dengan deskripsi pekerjaan dan posisi mereka.
Kaji catatan personalia untuk menentukan apakah para karyawan yang diberikan hak
tersebut menjalani pemeriksaan keamanan intensif yang cukup atau tidak, sesuai dengan
kebijakan perusahaan.
Kaji catatan karyawan untuk menentukan apakah para pengguna telah secara formal
mengetahui tanggung jawab mereka untuk mempertahankan kerahasiaan data perusahaan.
Kaji waktu logon yang diizinkan untuk para pengguna

Pengendalian Kata Sandi

Kata sandi adalah kode rahasia yang dimasukkan oleh pengguna untuk mendapatkan
akses ke sistem, aplikasi, file data, atau server jaringan. Bentuk paling umum perilaku yang
bertentangan dengan keamanan meliputi:
Lupa kata sandi dan akhirnya dikeluarkan dari sistem.
Tidak sering mengubah kata sandi.
Sindrom post-it, di mana kata sandi ditulis di kertas kecil dan dipajang hingga dapat dilihat
orang lain.
Kata sandi yang terlalu sederhana hingga mudah ditebak oleh pelaku kejahatan komputer.
Kata Sandi yang Dapat Digunakan Kembali
Metode yang paling umum pada pengendalian kata sandi adalah melalui kata sandi
yang dapat digunakan kembali. Pengguna menentukan kata sandi di sistem satu kali
kemudian menggunakannya berulang kali untuk akses selanjutnya.
Kata Sandi Sekali Pakai
Dalam pendekatan ini, kata sandi jaringan milik pengguna akan secara konstan
diubah. Untuk mengakses jaringan, pengguna harus memberikan nomor identifikasi pribadi
yang dapat digunakan berulang kali dan kata sandi sekali pakai saat ini untuk waktu tersebut
Kebijakan Kata Sandi
Pihak manajemen eksekutif dan manajemen SI harus membentuk kebijakan kata sandi
yang dapat mengatasi berbagai resiko dan menyediakan potensi pengendalian.
Tujuan Audit
Pastikan bahwa perusahaan memiliki kebijakan kata sandi yang memadai dan efektif
untuk mengendalikan akses ke sistem operasi.
Prosedur Audit
Memverifikasi bahwa semua pengguna diharuskan memiliki kata sandi
Memverifiaksi bahwa semua pengguna diberikan arahan dalam penggunaan kata sandi
mereka dan peran penting pengendalian kata sandi.
Tentukan apakah telah ada prosedur untuk mengidentifikasi berbagai kata sandi yang
gampang lemah.
Nilai kecukupan standar kata sandi seperti dalam hal panjangnya interval kadaluwarsanya.
Tinjau kembali kebijakan dan prosedur penguncian.

MENGENDALIKAN OBJEK YANG MERUSAK DAN RISIKO E-MAIL

Mengendalikan Risiko E-Mail
Email adalah fungsi internet yang paling terkenal, dan jutaan pesan beredar di seluruh dunia
setiap hari. E-mail memiliki berbagai resiko inheren dalam penggunaannya, yang harus
dipikirkan auditor. Salah satu risiko yang signifikan bagi sistem perusahaan adalah infeksi
dari sebuah virus atau worm yang sedang berkembang luas.
Virus
Virus adalah sebuah program (biasanya merusak) yang melekatkan dirinya ke sebuah
program yang sah untuk memasuki sistem operasi. Virus menghancurkan berbagai program
aplikasi, file data, dan sistem operasi dalam beberapa cara. Salah satu teknik yang umum
adalah virus meriplikasi dirinya terus menerus dalam memori utama, hingga menghancurkan
data atau program apapun yang menempati memori tersebut.
Program komputer biasanya melekatkan dirinya ke berbagai file berikut ini :
1. File program .EXE atau .COM
2. File program .OVL (overlay)

3. Bagian boot (boot sector) suatu disket

4. Program driver suatu peralatan
5. Sistem file operasi
Worm
Worm adalah program piranti lunak yang menyembunyikan diri ke dalam memori komputer
dan mereplikasi dirinya ke berbagai area memori yang tidak digunakan, sehingga memori
akan penuh dan sistem gagal.

Bom Logika
Bom Logika adalah program perusak seperti virus yang dipicu oleh beberapa peristiwa yang
telah ditentukan sebelumnya. Bom logika juga dapat dipicu oleh berbagai peringatan
peristiwa yang tidak terlalu umum.
Pintu Belakang
Pintu Belakang adalah program piranti lunak yang memungkinkan akses secara tidak sah ke
sistem tanpa melalui prosedur logon yang normal (pintu depan atau front door). Tujuan dari
pintu belakang adalah menyediakan akses yang mudah dalam melakukan pemeliharaan
program, atau dapat untuk melakukan penipuan atau menyelipkan sebuah virus ke dalam
sistem.
Kuda Troya (Trojan Horse)
Kuda troya adalah program yang tujuannya menangkap ID dan kata sandi dari pengguna
yang tidak menaruh curiga. Program tersebut didesain untuk menyerupai prosedur logon yang
normal dalam sistem operasi terkait.
Spoofing
Spoofing melibatkan penipuan yang membuat sebuah pesan tampak berasal dari seseorang
atau perusahaan yang memiliki otorisasi. Tujuannya adalah untuk membodohi penerima agar
melakukan tindakan tertentu yang diyakininya sebagai permintaan yang sah dari nama yang
berada di akhir pesan.
Spamming
Spamming adalah e-mail yang tidak diharapkan dan dapat menyumbat sistem dengan
berbagai file tidak penting.
Surat Berantai
Surat berantai merupakan jenis pesan yang tidak berguna. Tujuan penulisan pesan ini adalah
untuk melihat seberapa banyak salinan dari pesan tersebut beredar di seluruh dunia, atau
seberapa lama pesan tersebut kembali ke pengirim aslinya.
Cerita Legenda
Cerita semacam ini umumnya menghibur dan baris terakhir dalam pesan tersebut akan
mendorong penerima untuk meneruskan atau mengirim ulang pesan tersebut ke orang lain
Peringatan Tipuan Akan Virus
Bentuk penipuan lainnya adalah mengirim tipuan akan virus. Peringatan semacam ini
menjelaskan adanya berbagai konsekuensi serius beberapa virusyang bahkan tidak ada.

Pencacimakian
Pencacimakian adalah sebuah pesan dimana penulisnya menyerang penerimanya dengan
berbagai istilah yang terlalu kasar. Pesan semacam ini bersifat menghina mengenai pihak lain.
Tujuan Audit

Memverifikasi bahwa ada kebijakan dan prosedur manajemen yang efektif untuk mencegah
masuknya dan menyebarnya objek yang merusak
Prosedur Audit
Melalui wawancara dengan personel operasional, tentukan apakah mereka pernah dididik
mengenai virus komputer dan menyadari praktik penggunaan komputer yang beresiko yang
dapat memasukkan serta menyebarkan virus dan berbagai program perusak lainnya.
Mengkaji berbagai prosedur operasional untuk menentukan apakah disket atau CD yang
dapat berisi virus secara rutin dapat digunakan untuk mentransfer data antar kelompok kerja
Memverifikasi bahwa para administrator sistem secara rutin memindai terminal kerja, server
file, dan server e-mail untuk mendeteksi virus
Memverifikasi bahwa piranti lunak baru di uji diterminal kerja yang terpisah sebelum
diimplementasikan di server host atau jaringan.
Memverifikasi bahwa piranti lunak antivirus diperbaharui secara teratur dan di download ke
tiap terminal kerja
MENGENDALIKAN JEJAK AUDIT ELEKTRONIK
Jejak audit adalah daftar yang dapat didesain untuk mencatat berbagai aktivitas dalam tingkat
sistem, aplikasi dan pengguna. Jejak audit terdiri dari 2 jenis data, yaitu : daftar terperinci
mengenai ketikan dan daftar yang berorientasi pada peristiwa
Pengawasan Ketikan
Daftar semacam ini dapat digunakan sebagai bukti setelah kejadian untuk merekonstruksi
perincian suatu peristiwa atau sebagai pengendali real-time untuk memonitor atau mencegah
pelanggaran tidak sah.
Pengawasan Peristiwa
Pengawasan peristiwa meringkas berbagai aktivitas utama yang berkaitan dengan pengguna,
aplikasi dan sumber daya sistem.

Tujuan Jejak Audit

Jejak audit dapat digunakan untuk mendukung tujuan keamanan melalui tiga cara :
1. Mendeteksi akses tidak sah ke sistem
2. Rekonstruksi peristiwa
3. Meningkatkan Akuntabilitas Personal
Mengimplementasikan Jejak Audit
Informasi dalam daftar audit berguna bagi para akuntan dalam mengukur potensi kerusakan
dan kerugian finansial yang berhubungan dengan kesalahan aplikasi, penyalahgunaan
wewenang, akses tidak sah oleh pelanggar tidak sah dari luar serta menyediakan bukti yang
berharga untuk menilai kecukupan pengendalian yang ada dan kebutuhan pengendalian
tambahan.
Tujuan Audit
Memastikan bahwa audit para pengguna dan peristiwa cukup untuk mencegah dan
mendeteksi berbagai penyalahgunaan, rekonstruksi berbagai peristiwa penting yang
mengawali kegagalan sistem, dan untuk merencanakan alokasi sumber daya.
Prosedur Audit
Sistem Operasi menyediakan tampilan daftar audit yang memungkinkan para auditor
memindai daftar untuk mencari aktivitas yang tidak biasa. Daftar tersebut dapat dikaji atau
melalui arsip file untuk kajian selanjutnya.

Kelompok keamanan perusahaan memiliki tanggung jawab untuk mengawasi dan

melaporkan adanya pelanggaran keamanan. Auditor harus memiliki sebuah sampel kasus
pelanggaran keamanan dan mengevaluasi jenisnya untuk menilai efektivitas kelompok
keamanan