Académique Documents
Professionnel Documents
Culture Documents
OPERASI KOMPUTER
STRUKTURISASI FUNGSI TEKHNOLOGI INFORMASI
Pengaturan fungsi tekhnologi informasi memiliki berbagai implikasi pada sifat pengandalian
internal, yaitu selanjutnya akan memiliki implikasi pada auditnya.
PEMROSESAN DATA TERPUSAT
Dibawah model pemrosesan data terpusat (Centralized Data Procesing) semua pemrosesan
data dilakukan oleh satu atau lebih komputer besar yang diletak di sebuah lokasi terpusat
yang melayani berbagai pengguna di seluruh perusahaan.
1. Administrasi Basis Data
Perusahaan yang dikelola secara terpusat memelihara sumber daya datanya dalam
sebuah lokasi terpusat yang digunakan bersama oleh semua pengguna akhirnya. Dalam
penataan data bersama ini, sebuah bagian yang independen-Administrasi Basis Data
(Database Administrasion-DBA)-yang dikepalai oleh administrator basis data bertanggung
jawab atas keamanan dan integritas basis data.
2. Pemrosesan Data
Bagian pemrosesan data mengelola sumber daya komputer, yang digunakan untuk
melakukan pemrosesan harian berbagai transaksi. Bagian ini terdiri atas fungsi organisasional
berikut ini : pengendalian data, konversi data, operasi komputer dan perpustakaan data.
Pengendalian data
Banya perusahaan yang memiliki bagian pengendalian data (data control) sebagai
penghubung antara pengguna akhir dengan pemrosesan data, dan sebagai fungsi pengendali
untuk operasi yang terkomputerisasi.
Konversi data
Fungsi konversi data (data conversion) mentranskripkan data transaksi dari dokumen sumber
kertas ke unput komputer.
Operasi Komputer
File elektronik yang dihasilkan kemudia diproses oleh komputer pusat, yang dikelola oleh
bagian operasi komputer (computer operation).
Perpustakaan Data
Perpustakaan data (data library) adalah sebuah ruang yang berada disebelah pusat komputer
yang memberikan tempat penyimpanan yang aman untuk berbagai file data off-line. File itu
dapat berupa salinan cadangan atau file data terkini.
c. Membagi fungsi pemrosesan transaksi ke beberapa orang agar pelaku penipuan akan harus
melakukan kolusi dengan dua orang atau lebih.
Memisahkan Pengembangan Sistem dari Operasi Komputer
Pemisahan
pengembangan
sistem
(baik
pengembangan
sistem
baru
maupun
pemeliharaannya) dari aktivitas operasi adalah hal yang paling penting. Hubungan dari ke
dua bagian ini seharusnya sangat frontal, dan tanggung jawab mereka tidak dapat
dicampuradukkan.
Memisahkan Administrasi Basis Data dari Fungsi Lainnya
Pengendalian organisasional lainnya yang penting adalah pemisahan pekerjaan administrasi
basis data (DBA) dari fungsi pusat komputer lainnya. Fungsi DBA bertanggung jawab atas
sejumlah pekerjaan penting yang berkaitan dengan keamanan basis data, termasuk pembuatan
skema basis data dan tampilan pengguna, pemberian otoritas akses ke basis data ke para
pengguna, pengawasan penggunaan basis data, perencanaan uantuk perluasan di masa depan.
Memisahkan Fungsi Pengembangan Sistem dari Pemeliharaan Sistem
Beberapa perusahaan mengatur fungsi pengembangan sistem internalnya kedalam dua bagian
: analisis dan pemrograman sistem. Bagian analisis sistem bekerja dengan para pengguna
untuk menghasilkan desain terperinci sistem yang baru. Bagian pemrograman akan
mengodekan berbagai program sesuai dengan spesifikasi desain ini.
Memperbaiki Dokumentasi
Dokumen sistem yang buruk merupakan masalah kronis dalam banyak perusahaan. Kondisi
ini khususnya terjadi jika perusahaan tidak menggunakan alat rekayasa peranti lunak
berbantuan komputer (Computer-assisted software engineering-CASE) yang memiliki fitur
dokumentasi otomatis. Terdapat dua penjelasan untuk fenomena ini :
Pertama, mendokumentasikan sistem adalah pekerjaan yang tidak semenarik desain,
pengujian dan implementasinya. Alasan kedua atas terjadinya dokumentasi yang tidak
memadai adalah jaminan pekerjaan. Ketika suatu sistem didokumentasikan secara kurag baik
maka sistem trsebut akan sulitntu di interpretasikan, di uji dan di debug.
Mencegah penipuan
Jika programmer asli juga memiliki tanggung jawab untuk melakukan pemeliharaan, potensi
terjadinya penipuan akan meningkat. Penipuan dengan program melibatkan perubahan yang
tidak sah atas berbagai modul program denga tujuan melakukan tindakan illegal.
Struktur Alternatif Pengembangan Sistem
Fungsi pengambangan sistem dibagi dua kelompok:
mengimplementasikan
berbagai
proyek
sistem
baru. Setelah
berhasil
dalam
implementasinya tanggung jawab pemeliharaan sistem setelahnya akan jatuh pada kelompok
pemeliharaan sistem.
Hal ini memiliki nilai positif sebagai berikut :
Standar dokumentasi akan lebih baik karena kelompok pemeliharaan akan membutuhkan
adanya dokumentasi untuk melakukan pekerjaan pemeliharaannya.
Menolak akses programmer sistem untuk masa selanjutnya ke program akan mencegah
penipuan melalui program. Kode yang digunakan untuk penipuan, yang yang dulu
disembunyikan dalam sistem, tidak berada dalam kendali programmer, dan mungkin nantinya
dapat terungkap sebagai kondisi yang meningkatkan resiko penipuan dengan program.
Memisahkan Perpusatakaan Data dari Operasional
Perpustakaan data biasanya berada dalam ruang yang bersebelahan dengan pusat
komputer dan berfungsi sebagai tempat penyimpanan yang aman berbgai file dan data offline, seperti pita megnetis dan removable disk dalam sistem tradisional. Pustakawan data
(data librarian) adalah orang yang bertanggung jawab atas penerimaan, penyimpanan,
penarikan dan pengamanan berbagai file data dan harus mengendalikan akses ke
perpustakaan tersebut.
Ada beerapa peran pustakawan data lainnya yang dapat berfungsi dalam sistem yang
modern. Peran-peran tersebut meliputi penyimpanan cadangan data dilokasi kantor dan
pengamanan piranti lunak komersial beserta berbagai lisensinya. Para operator yang
ditugaskan fungsi pustakawan harus memahami peran penting pengandalian dalam tanggung
jawab yang besar ini.
Potensi eksposure dapat digambarkan dalam tiga scenario berikut ini :
Memverifikasi bahwa pemisahan tersebut dilakukan dalam cara yang dapat mendorong
lingkungan kerja dimana hubungan formal, bukan informal, ada antar pekerjaan yang tidak
saling berkesesuaian tersebut.
Prosedur Audit
Mendapat dan mengkaji kebijakan perusahaan atau keamanan komputer.
Mengkaji dokumentasi yang terkait, termasuk struktur organisasi saat ini, pernyataan misi
dan deskripsi pekerjaan utuk berbagai fungsi penting.
Mengkaji dokumentasi sistem dan catatan pemeliharaan untuk mencari sampel aplikasi.
Melalui observasi, tentukan apakah kebijakan pemisahan pekerjaan diikuti dalam praktiknya.
Mengkaji hak hak dan keistimewaan para pengguna untuk memverifikasi bahwa para
programer memiliki izin akses yang sesuai dengan deskripsi pekerjaan mereka.
Model Terdistribusi
Alternatif A
Sesungguhnya adalah varian dari model terpusat, perbedaannya adalah terminal
terminalnya (mikrokomputer) didestribusikan ke para pengguna khir untuk menangani input
dan output. Penataan ini meniadakan kebutuhan akan kelompok pengendalian data dan
konversi data yang terpusat karena para pengguna kini akan melakukan berbagai pekerjaan
tersebut.
Alternatif B
Adalah perubahan radikal dari model terpusat. Alternatif ini mendistribusikan semua layanan
komputer ke para pengguna akhir, dimana mereka dapat beroperasi sebagai unit unit yang
berdiri terpisah. Hasilnya adalah peniadaaan fungsi layanan komputer pusat dalam struktur
organisasi perusahaan.
Risiko yang berkaitan dengan DDP
Ketidakefisienan Penggunaan Sumber Daya
Risiko terjadinya kesalahan manajemen atas sumber daya keseluruhan perusahaan terutama
oleh pengguna akhir.
Risiko peranti keras dan lunak tidak sesuai satu sama lain terutama di tingkat pengguna akhir
Risiko terjadinya pekerjaan yang rangkap berkaitan dengan aktivitas dan taggung jawab
pengguna terakhir.
Kerusakan Jejak Audit
Penggunaan DDP dapat mempengaruhi secara negatif jejak audit. Karena jejak audit dalam
sistem modern cienderung bersifat elektronik, merupakan hal biasa jika sebagian atau seluruh
jejak audit berada dalam berbagai komputer pengguna terakhir.
Pemisahaan Tugas yang Tidak Memadai
Distribusi layanan TI ke para pengguna dapat menghasilkan terciptanya banyak unit kecil
yang tidak memungkinkan adanya pemisahan berbagai fungsi yang tidak saling
berkesesuaian. Contohnya dalam satu unit yang sama dapat menulis program aplikasi,
melakukan pemeliharaan program, memasukkan data transaksi ke dalam komputer kondisi
ini akan menjadikan pelanggaran pengendalian internal.
Memperkerjakan Profesional yang Berkualitas
Manajer yang juga pengguna akir dapat saja kurang memiliki pengetahuandalam
mengevaluasi kualifikasi dan pengalaman terkait beberapa kandidat yang melamar untuk
posisi sebagai profesional komputer.
Kurangnya Standar
Karena adanya pendistribusian tanggung jaab dalam lingkungan DDP, standar untuk
mengembangkan dan mendokumensaikan sistem, pemilihan bahasa programan, pengadaan
piranti keras dan lunak, serta evaluasi kinerja mungkin jarang diaplikasikan atau mungkin
tidak ada.
Kelebihan DDP
Penurunan Biaya
Pergeseran ke DDP dapat mengurangi biaya dalam dua hal :
Data dapat dimasukkan dan di edit diarea pengguna, hingga meniadakan pekerjaan terpusat
untuk pembuatan dan pengendalian data.
Kerumitan aplikasi dapat dikurangi, yang akhirnya akan mengurangi biaya pengembangan
serta pemeliharaa.
Peningkatan Tanggung Jawab Pengendalian Biaya
Manajer yang jiga pengguna akhir memiliki tanggung jawab atas kenerhasilan keungan dari
berbagai operasi mereka. Tanggung jawab ini mengharuskan para manajer diberdayakan
secara tepat dengan otoritas untuk membuat keputusan mengenai sumber daya yang
mempengaruhi keberhasilan mereka secara umum.
Peningkatan Kepuasan Pelanggan
Kepusaan pengguna berasal dari tiga area kebutuhan yang sering kali tidak terpenuhi dalam
pendekatan terpusat :
Para pengguna ingin mengendalikan sumber daya yang mempengaruhi profitabilitas mereka.
Para pengguna menginginkan profesional sistem (analis, programer dan operator)
yangresponsif terhadap situasi khusu mereka.
Para pengguna akan lebih secara aktif dilibatkan dala pengembangan dan implementsai sistem
mereka sendiri
Fleksibilitas Cadangan
Kemampuan untuk membuat cadangan fasilitas komputer agar terlindung dari potensi
bencana seperti kebakaran, banjir, sabotase dan gempa bumi. Satu satunya cara bagi sebuah
pusat komputer untuk mengatasi berbagai bencan semacam itu adalah dengan menyediakan
fasilitas komputer ke dua.
Mengendalikan Lingkungan DDP
Kebutuhan akan Analisis yang Cermat
DDP membawa nilai prstise yang tingi hingga proses analisis pro dan kontra nya akan dapat
menutupi berbagai pertimbangan penting dalam hal manfaat ekonomi serta kelayakan
operasionalnya. Dimana beberapa perusahaan telah bergeser ke DDP tanpa secara penuh
mempertimbangkan apakah struktur organiasional yang terdistribusi tersebut akan dapat
membuat mereka secara lebih baik mencapai tujuan perusahaan atau tidak.
Mengimplementasikan Fungsi TI Perusahaan
Model terpusat penuh dan model terdistribusi penuh mewakili dua posisi ekstrim dalam
sebuah area alternatif struktur. Kebutuhan kebanyakan perusahaan masuk diantara ke dua titik
ekstrim ini. Dalam kebanyakan perusahaan, masalah pengendalian dapat ditangani dengan
mengimplementsaikan fungsi TI perusahaan.
Pengujian Terpusat atas Peranti Lunak Komersial dan Peranti Keras
Kelompok TI perusahaan dapat secara lebih baik mengevaluasi berbagai kebaian beberapa
peranti lunak dan keras yang di jual di pasaran. Kelompok yang terpusat dan secara teknis
bagus dalam memberikan penilaian, dapat mngevaluasi berbagai fitur sistem, pengendalian
dan kesesuaian dengan berbagai standar industri serta organisasional dengan sngat efisien
Layanan Pengguna
Fitur yang berharga dari kelompok perusahaan adalah fungsi layanan penggunanya. Aktivitas
ini menyediakan bantuan teknis bagi para pengguna selama instalasi peranti lunak baru serta
dalam mngatasi berbagai masalah peranti keras dan lunak.
Lembaga Pembuat Standar
Lingkungan pengendalian yang relatif kurang baik akubat dari model DDP dapat diperbaiki
dengan membuat beberapa petunjuk terpusat. Kelompok perusahaan dapat memberikan
kontribusinya untuk tujuan ini dengan membentuk serta menyebarluaskan ke berbagai area
pengguna standar standar yang tepat untuk pengembangan sistem, pemrograman dan
dokumentasi sistem.
Kajian Personel
kelompok perusahaan mungki lebih baik persiapannya dai pada para pengguna dalam
mengevaluasi secara teknis kualifikasi para calon praktisi sistem. Walaupun para praktisi
sistem sesungguhnya akan menjadi bagian dari kelompok pengguna, keterlibatan kelompok
perusahaan dalam keputusan untuk mempekerjakan dapat memberikan layanan yang berharga
bagi perusahaan.
Tujuan Audit
Melakukan penilaian resiko atas fungsi TI DDP
Memverifikasi bahwa unit unit TI yang terdistribusi menggunakan berbagai standar kinerja
keseluruhan perusahaan yang mendorong kesesuaian antara peranti keras, aplikasi perati
lunak dan data
Prosedur Audit
Memverifikasi bahwa berbagai kebijakan dan standar perusahaan untuk desain sistem,
dokumentasi dan pengadaan peranti keras dan lunak telah dikeluarkan dan disebarluaskan ke
berbagai unit TI.
Mengkaji struktur organisasional, misi dan deskripsi pekerjaan terkini berbagai fungsi yang
utama, untuk menentukan apakah ada karyawan atau kelompok yang melakukan pekerjaan
yang tidak saling berkesesuaian.
Memverifikasi bahwa ada pengendalian pengganti seperti supervisi dan pengawasan
manajemen dilakukan etika pemisahaan pekerjaan yang tidak saling berkeseuaian secara
ekonomi tidak mungkin dilakukan.
Mengkaji dokumentsai sistem untuk memverifikasi bahwa berbagai aplikasi, prosedru dan
basisi data di desain dan berfungsi sesuai dengan standar perusahaann.
Memverifikasi bahwa tiap karyawan diberikan izin akses sistem ke berbagai program dan
data sesuai dengan deskripsi pekerjaannya
PUSAT KOMPUTER
Tujuan : Menyajikan pengendalian pusat komputer yang dapat menciptakan lingkungan yang
aman
Pengendalian pusat komputer
Beberapa fitur pengendalian yang berkontribusi langsung pada keamanan lingkungan pusat
komputer:
1. Lokasi Fisik : sebisa mungkin lokasi fisik jauh dari berbagai bahaya yang ditimbulkan
manusia dan alam serta jauh dari arus lalu lalang normal
2. Konstruksi : idealnya di gedung berlantai satu dengan konstruksi solid dan dengan akses
yang terkendali
3. Akses : dibatasi hanya untuk operator dan karyawan yang benar benar bekerja di situ. Sebisa
mungkin terdapat pintu terkunci dengan akses masuk tertentu dan dilengkapi CCTV
4. Pengatu Suhu Udara : agar kinerja pusat komputer dapat maksimal suhu di udara di ruang
tersebut berkisar 700 - 75 0 Fahrenheit dengan kelembapan 50 %
5. Pemadam Kebakaran : harus disediakan alat pemadam kebakaran karena kejadian kebakaran
adalah kejadian yang paling sering terjadi pada pusat komputer
6. Pasokan Listrik : Ketersediaan listrik dengan regulator voltase dan cadangan baterai sangat
penting untuk menunjang operasional pusat computer
Tujuan Audit Pusat Komputer :
Secara Umum : mengevaluasi berbagai pengendalian yang mengatur keamanan pusat
komputer
Secara khusus :
1) Memverifikasi Pengendalian keamanan fisik untuk melindungi perusahaan dari eksposur
fisik
2) Memverifikasi Jaminan perlengkapan untuk member kompensasi apabila terjadi kerusakan
atau kehancuran pusat komputer
3) Memverifikasi Dokumentasi operator yang memadai dalam menangani kegagalan sistem
Prosedur Audit : Pengujian Pengendalian keamanan Fisik
1) Pengujian Konstruksi Fisik : auditor memastikan pusat komputer dibangun secara kuat, tahan
api , dengan drainase yang baik serta berlokasi di area yang meminimalkan eksposur
kebakaran, kerusuhan dan bahaya lainnya
2) Pengujian sistem deteksi kebakaran : auditor harus meyakinin alat deteksi kebakaran telah
ada dan berfungsi normal baik manual maupun otomatis dengan mengkaji catatan dari
departemen pemadam kebakaran
3) Pengujian pengendalian akses : auditor memastikan akses ke pusat komputer terbatas untuk
karyawan yang berhak dan mengamati proses pemberian izin akses secara diam diam
4) Pengujian pasokan listrik cadangan : dilakukan pengujian pasokan listrik cadangan secara
berkala
5) Pengujian cakupan asuransi : setiap tahunnya auditor mengkaji cakupan asuransi perusahaan
atas hardware, software dan fasilitas fisiknya. Pengadaan perlatan baru harus didaftarkan
dalam polis asuransi
6) Pengujian pengendalian dokumentasi operator : audit harus memverivikasi bahwa
dokumentasi system seperti bagan alir, bagan alir logika program dan daftar kode program
bukan bagian dari dokumentasi operasional
Perencanaan Pemulihan dari bencana ( Disaster Recovery Plan )
Tiga jenis peristiwa yang dapat mengganggu atau merusak pusat komputer dan system
informasi nya antara lain
1) Bencana Alam meliputi Kebakaran, Banjir, Angin topan, gempa Bumi
2) Bencana yang disebabkan oleh manusia seperti kesalahan dan sabotase
3) Kegagalan system yang meliputi listrik padam, kegagalan drive, sitem operasi gagal terkunci
Suatu rencana pemulihan dari bencana yang baik harus memiliki tiga fitur yaitu :
1) Mengidentifikasi aplikasi yang sangat penting
Usaha pemulihan harus terkonsentrasi pada fitur yang sangat penting agar perusahaan dapat
bertahan dalam waktu pendek. Sebagai contoh adalah fungsi yang menghasilkan aliran kas
masukyang memadai untuk memenuhi kewajiban jangka pendek.
2) Membentuk Tim Pemulihan dari bencana
Hal ini penting dilakukan agar tidak terjadi pekerjaan yang terlewat atau duplikasi pekerjaaan
selama implementasi rencana kontijensi, Tanggung jawab pekerjaan harus secara jelas
ditetapkan dan dikomunikasikan ke berbagai personel yang dilibatkan
6.
1.
2.
3.
1.
2.
3.
1.
2.
3.
4.
5.
1.
2. Access Token
Jika usa logon berhasil, sistem operasi akan membuat access token yang berisi informasi
utama mengenai pengguna, termasuk ID, kata sandi, kelompok pengguna, dan hak-hak yang
diberikan pada pengguna tersebut.
Bom Logika
Bom Logika adalah program perusak seperti virus yang dipicu oleh beberapa peristiwa yang
telah ditentukan sebelumnya. Bom logika juga dapat dipicu oleh berbagai peringatan
peristiwa yang tidak terlalu umum.
Pintu Belakang
Pintu Belakang adalah program piranti lunak yang memungkinkan akses secara tidak sah ke
sistem tanpa melalui prosedur logon yang normal (pintu depan atau front door). Tujuan dari
pintu belakang adalah menyediakan akses yang mudah dalam melakukan pemeliharaan
program, atau dapat untuk melakukan penipuan atau menyelipkan sebuah virus ke dalam
sistem.
Kuda Troya (Trojan Horse)
Kuda troya adalah program yang tujuannya menangkap ID dan kata sandi dari pengguna
yang tidak menaruh curiga. Program tersebut didesain untuk menyerupai prosedur logon yang
normal dalam sistem operasi terkait.
Spoofing
Spoofing melibatkan penipuan yang membuat sebuah pesan tampak berasal dari seseorang
atau perusahaan yang memiliki otorisasi. Tujuannya adalah untuk membodohi penerima agar
melakukan tindakan tertentu yang diyakininya sebagai permintaan yang sah dari nama yang
berada di akhir pesan.
Spamming
Spamming adalah e-mail yang tidak diharapkan dan dapat menyumbat sistem dengan
berbagai file tidak penting.
Surat Berantai
Surat berantai merupakan jenis pesan yang tidak berguna. Tujuan penulisan pesan ini adalah
untuk melihat seberapa banyak salinan dari pesan tersebut beredar di seluruh dunia, atau
seberapa lama pesan tersebut kembali ke pengirim aslinya.
Cerita Legenda
Cerita semacam ini umumnya menghibur dan baris terakhir dalam pesan tersebut akan
mendorong penerima untuk meneruskan atau mengirim ulang pesan tersebut ke orang lain
Peringatan Tipuan Akan Virus
Bentuk penipuan lainnya adalah mengirim tipuan akan virus. Peringatan semacam ini
menjelaskan adanya berbagai konsekuensi serius beberapa virusyang bahkan tidak ada.
Pencacimakian
Pencacimakian adalah sebuah pesan dimana penulisnya menyerang penerimanya dengan
berbagai istilah yang terlalu kasar. Pesan semacam ini bersifat menghina mengenai pihak lain.
Tujuan Audit
Memverifikasi bahwa ada kebijakan dan prosedur manajemen yang efektif untuk mencegah
masuknya dan menyebarnya objek yang merusak
Prosedur Audit
Melalui wawancara dengan personel operasional, tentukan apakah mereka pernah dididik
mengenai virus komputer dan menyadari praktik penggunaan komputer yang beresiko yang
dapat memasukkan serta menyebarkan virus dan berbagai program perusak lainnya.
Mengkaji berbagai prosedur operasional untuk menentukan apakah disket atau CD yang
dapat berisi virus secara rutin dapat digunakan untuk mentransfer data antar kelompok kerja
Memverifikasi bahwa para administrator sistem secara rutin memindai terminal kerja, server
file, dan server e-mail untuk mendeteksi virus
Memverifikasi bahwa piranti lunak baru di uji diterminal kerja yang terpisah sebelum
diimplementasikan di server host atau jaringan.
Memverifikasi bahwa piranti lunak antivirus diperbaharui secara teratur dan di download ke
tiap terminal kerja
MENGENDALIKAN JEJAK AUDIT ELEKTRONIK
Jejak audit adalah daftar yang dapat didesain untuk mencatat berbagai aktivitas dalam tingkat
sistem, aplikasi dan pengguna. Jejak audit terdiri dari 2 jenis data, yaitu : daftar terperinci
mengenai ketikan dan daftar yang berorientasi pada peristiwa
Pengawasan Ketikan
Daftar semacam ini dapat digunakan sebagai bukti setelah kejadian untuk merekonstruksi
perincian suatu peristiwa atau sebagai pengendali real-time untuk memonitor atau mencegah
pelanggaran tidak sah.
Pengawasan Peristiwa
Pengawasan peristiwa meringkas berbagai aktivitas utama yang berkaitan dengan pengguna,
aplikasi dan sumber daya sistem.