Anda di halaman 1dari 7

TACKLING THE SYSTEMS SOFTWARE REVIEW-THE

MOST CHALENGGING OF ALL CH - 8


Kebanyakan instalasi pemrosesan data memiliki jumlah personel satu atau lebih
yang bertanggungjawab untuk mengelola:
1. Sistem operasi (operating system),
2. Software komunikasi,
3. Software non-aplikasi lainnya.
Departemen yg mempunyai tugas ini disebut sebagai:
1. Software sistem,
2. Pemrograman sistem,
3. Pendukung Teknis.
Tanggungjawab khusus departemen Software sistem sangat banyak mulai dari
instalasi hingga pemeliharaan dan hal ini juga bergantung pada ukuran
organisasi dan ragam produk software yg digunakan. Berbagai tugas tersebut
biasanya adalah sbb:
1. Instalasi dan pemeliharaan sistem operasi
2. Instalasi dan pemeliharaan software telekomunikasi
3. Instalasi dan pemeliharaan compiler dan utilitas
4. Tombol hardware dan sofwtare untuk kinerjanya
5. Instalasi dan pemeliharaan fasilitas interaktif pemrograman
6. Instalasi dan pemeliharaan software database manajemen
Tambahan, personel software sistem biasanya bekerja erat hubungannya
dengan administrator keamanan data dan memberikan dukungan instalasi dan
pemeliharaan keamanan data dalam paket software.
A. PERENCANAAN REVIEW
Agar tujuan audit dapat tercapai secara efisien dan tepat waktu maka
langkah-langkahnya adalah sbb;
a. Review dan update informasi permanen
Informasi permanen atau dokumen yang ekuivalen, harus dijaga bagi
departemen sistem software. Item yang harus dimasukkan dalam
informasi permanen al:
1. Bagan organisasi
2. Kebijakan dan prosedur
3. Informasi relativ yang terkait dengan sistem operasi dan fitur
yang dipilih saat instalasi:
a. Versi, jumlah dana yg dikeluarkan terkait dengan
tingkat pemeliharaan terhadap operating system
b. Informasi apa saja yang dicakup oleh sistem
c. Penggunaan user-provided supervisory calls (SVCs)
b. Review Laporan auditor internal utama dan kertas kerjanya

c.

d.

e.
f.

g.

Usahakan memperoleh kertas kerja sebagai hasil review wilayah


software sistem dan usahakan peroleh harapan audit berikutnya.
Usahakan memperoleh laporan audit sebagai hasil review
sebelumnya. Siapkan kertas kerja yg berisi temuan audit dan
observasi.
Review laporan Auditor eksternal utama dan regulasinya
Usahkan untuk memperoleh laporan utama auditor eksternal dan
regulasi.Review komentar yang ada. Jika perlu modifikasi program
audit.
Review seluruh materi referensial
Agar audit efektiv maka kita harus meng-update secara reguler
materi referensial termasuk teknis audit yang terkait dengan masalah
teknologi
Laksankan Pesiapan dan Set-up teknis
Anda harus menyiapkan utilitas yang memberikan kemampuan
otomatisasi bagi tugas anda agar lebih efisien.
Susun Ruang Lingkup Reviewnya
Mengembangkan lingkup yang berisi istilah dan area umum yg akan
direview. Lingkup memo ini digunakan untuk memberikan informasi
bagi pelaksanaan penugasan fungsi audit internal yang direview dan
untuk memperoleh persetujuan yg cukup sebelum program audit
dilaksanakan.
Finalisasi Program audit dan Penugasan
Alokasi tanggungjawab dan penugasan.

B. PEMBUKAAN AUDIT
Pembukaan audit merupakan bagian yang penting dari internal audit. Hak
ini akan menghasilkan kemungkinan pemimpin audit akan bertemu dengan
personel manajemen untuk mendiskusikan lingkup review dan untuk
menjawab setiap pertanyaan yang mungkin akan diajukan pada manajemen.
Selain itu pembukaan audit juga harus bertemu dengan berbagai level
manajemen untuk memastikan pemahaman yang benar terhadap apa yang
akan dikerjakan oleh auditor. Dalam Review Pengendalian umum,
pembukaan audit paling tidak harus ketemu dengan beberapa personil
berikut atau pusat tanggungjawab yang ekuivalen berikut:
1. Manager Prosesing data
2. Manager Pemrograman sistem
3. Manager Operasi Komputer
4. Manager Keamanan data
Point yang disampaikan:
a. Menjelaskan tujuan review sistem software
b. Menjelaskan jadwal review
c. Menjelaskan anggota pemeriksaan (tim Aduitor)
d. Menjelaskan pemrintaan dokumen yang diperlukan (daftar dokumen)
C. EVALUASI PROSEDUR UMUM DAN KEAMANAN FISIK

Pertama, yang paling mendasar, anda harus melakukan evaluasi prosedur


umum dan prosedur keamanan fisik antara lain meliput:
1. Standar dokumen
2. Akses ke dokumentasi software sistem
3. Prosedur persetujuan untuk perubahan software, instalasi produk
baru dst.
4. Pengujian prosedur
5. Prosedur back-up
6. Emergency restart dan prosedur koreksi-adanya masalah.
Agar lebih terarah reviewnya maka langkah-langkahnya adalah sbb:
a. Review prosedur administrasi
Prosedur administratisi harus ada dan didokumentasikan. Prosedur itu
harus direview untuk memastikan kecukupannya. Minimal meliputi:
i. Prosedur persetujuan
Harus ada definisi yg jelas yang mengarah pada proses
persetujuan untuk instalasi produk software baru atau
peningkatan terhadap produk yang ada.
ii. Dokumentasi standard
Dokumentasi standar harus secara jelas mendefinisikan
dokumentasi khusus yang diperlukan seperti:
1. Otorisasi untuk instalasi produk software yg baru atau
perubahan produk yg ada, termasuk vendor suplied
patches.
2. Penjelasan utilitas yg sensitiv
3. Tabel daftar pasword
4. Prosedur restart emergency.
iii. Prosedur pemanggilan emergensi
Harus dengan jelas menjelaskan siapa saja yang dapat
dikontak pada saat emergensi
b. Review Prosedur pengujian
Prosedur harus ada dan menunujukkan bahwa seluruh software dan
perubahan sudah diuji sebelum implementasi secara memadai.
c. Review prosedur bakcup dan restart
Sistem operasi, software telekomunikasi dan software non-aplikasi yg
didukung oleh Departemen Software sistem harus secara memadai di
back-up ke fasilitas rekonstruksi jika ada bencana alam atau
kegagalan lainnya. Review records yg ada untuk memastikan software
yang ada sudha secar cukup di back-up.
d. Review keamanan akses
Kebanykan dokumen sangat sensitiv. Oleh karena itu akses ke
dokumen yg sensitiv harus di batasi hanya untuk orang yg diotorisasi.
e. Dokumen pengecualian.
Simpulkan kecukupan prosedur umum dan keamanan fisiknya.(see fig
8.3 page 292)

D. MENEMUKAN/MENENTUKAN BERBAGAI INFORMASI UMUM YANG TERKAIT


DENGAN SISTEM OPERASI
Setelah mengevaluasi prosedur umum dan keamanan fisik dalam area
software sistem dan sebelum mulai melakukan pengujian secara rinci anda
harus sudah mengenal dengan baik sistem operasi dan setiap produks
software yang dijalankan oleh Departemen Software Sistem. Pastikan, dan
dokumentasikan dalam kertas kerja
meliputi, versi dan tingkat
pemeliharaanya yang meliputi:
1. Sistem operasinya
2. Pengendali jaringan
3. Pengawasan teleprocessing
4. Program keamanan
5. Program kerja akuntasi.
6. Sistem manajemen pustaka
7. Sistem pemrograman tambahan
8. Kompiler/assembler
E. AKSES DAN REVIEW FASILITAS MANAJEMEN SISTEM (SMF) RECORDS
System Management Facility (SMF) merupakan fitur yang memberikan
kemampuan untuk mengumpulkan dan mencatat berbagai sistem dan
pekerjaan yg berhubungan dengan data; juga memberikan dukungan untuk
pelaksanaan tambahan atau proses alternatif. Jika SMF digunakan secara
memadai maka SMF akan dapat memberikan Personel Software Sistem dan
Auditor internal informasi dan melaksankan tanggungjawab dengan baik.
a. Pastikan records SMF yg mana yang diakses
Langkah pertama adalah memastikan bahwa records yang dimaksud
tersedia. Kemudian recordsnya anda masukkan dalam instalasi anda
sehingga anda dapat memastikan records yg anda akan review.
b. Kembangkan dan gunakan software audit
Jika sudah yakin terhadap records yg anda pilih maka selanjutnya
adalah melaksanakan progran audit.
c. Review laporan Records SMF yang dipilih
Setelah anda melaksanakan dengan program audit maka anda dapat
menghasilkan laporan yang diinginkan dengan record yang dipilih
diatas.
d. Dokumen Pengecualian
Dokumentasikan jika terjadi kejanggalan atau pengecualian.
F. REVIEW MODIFIKASI UNTUK SISTEM OPERASI
a. Identifikasi prosedur yg ada
i. Jika dimulai dengan wawancara dengan personel Software
sistem dan manajemen untuk memperoleh pemahaman maka
tentukan:
1. Persetujuan manajemen perlu diminta untuk seluruh
modifikasi sistem operasi apakah asli dari vendor atau
tidak

2. Persetujuannya didokumentasikan dengan cukup atau


tidak
3. Sertifkasi independen dari Kode modifikasi dan review
dokumen pendukung apakah sudah lengkap atau belum
sebagai bagian prosedur yg normal
4. Penggunaan user exit dibatasi dan dikontrol
5. Pengujian sistem operasi dilaksanakan setelah seluruh
perubahan.
b. Lakukan uji kepatuhan
i. Jika anda sudah memahami dengan baik prosedur perubahan
sistem operasi maka anda seharusnya melakukan uji kepatuhan
untuk menentukan prosedur telah diarahkan dengan baik pada:
1. Pembandingan form otorisasi modifikasi pada fasilitas
file SMP/E-on line.
2. Review software sistem
3. Lakukan test pelaksanaannya
4. Lacak pengujiannya
5. Review media simpanan
c. Evaluasi prosedur yg ada
i. Setelah anda melakukan identifikasi, dokumentasi dan
pengujian prosedur yang ada maka seharusnya anda
mengevaluasi kecukupan prosedur. Anda juga harus
memperhatikan otorisasi dan prosedur keamanan seperti
halnya prosedur.
1. Pastikan apakah prosedur otorisasi yang diminta dalam
perubahan sudah sesuai dengan yang disetujui
2. Pastikan apakah prosedur otorisasi yang diminta dalam
perubahan sudah sesuai level manajemen
3. Pastikan apakah prosedur otorisasi yang diminta dalam
perubahan sudah didokumentasikan
d. Dokumen Pengecualian dan rekomendasi
i. Simpulkan seluruh kecukupan kontrol atas modifikasi pada
seluruh sistem operasi dan dokumen pengecualian atau temuan
serta rekomendasikan.
G. EVALUASI KONTROL AKSES UNTUK CRITICAL DATA SET ATAU PROGRAM
a. Identifikasi dan evaluasi prosedur yang ada
i. Pastikan pemisahan tugas yang ada sudah memadai
1. Personel software sistem yang menyusun pasword harus
mendapat otorisasi untuk melakukan sesuatu dari
seseorang pada level manajamen.
2. Hanya operator komputer yg diijinkan untuk menulis
ulang pasword dan kemudian harus mendapat ijin dari
manajemen.
ii. Pastikan jejak manajeman yang ada sudah memadai
1. Dokumentasikan dengan jelas data dan program yang
dilindungi oleh pasword

2. Otorisasi asli untuk melindungi data harus melalui


pasword
3. Otorisasi penulisan pasword ulang harus di file kan alam
area operasi untuk review manajemen
4. Penulisan ulang yag sesungguhnya harus dimonitor oleh
sistem dan laporan penulisan ulang harus dibuat untuk
direview manajemen.
iii. Simpulkan kecukupan kontrol terhadap prosedur yang ada.
b. Identifikasi data yang diproteksi
c. Lakukan Uji kepatuhan secara memadai
d. Dokumentasikan Kelemahan Kontrol
H. IDENTIFIKASI DAN EVALUASI SISTEM GENERATION OPTION YG DIGUNAKAN
a. Review bagian kontrol program
Usahakan memperoleh dokumen sistem dari manajer pemrograman
sistem. Review apakah sudah termasuk dalam bagian kontrol
program. Hal ini untuk menunjukkan apakah Fasillitas Program
Otorisasi sudah digunakan atau belum. Fasillitas Program Otorisasi
untuk membatasi wilayah yang dibatasi pengaksesannya atau
pengguannya.
b. Review Scheduler Specifications
Scheduler Specifications menyajikan alternatif hard-copi log untuk
recor operator command, system comand dan respons. Lakukan
review terhadap Scheduler Specifications untuk menunjukkan apakah
hardcopy logtelah digunakan dan seluruh command, respons dan
messages telah dicatat atau belum
c. Review TSO setup
TSO setup berisi alternatif apakah full TSO command system sudah
termasuk dakam sistem operasi, jumlah log-on yang diijinkan
sebelum di batalkan dan waktu tunggu antara terminal respon selama
log-on. Review untuk menunjukkan peruntukkannya.
d. Dokumentasi Pengecualian dan Rekomendasi.
I. IDENTIFIKASI DAN REVIEW CRITICAL TUNNING PARAMETERS
Parameter didefinisikan untuk mengoperasikan sistem dan untuk berbagai
pengunaan lainya.
J. REVIEW KONTROL AKSES TERHADAP OVER AUTHORIZED PROGRAM FACILITY
(APF)
Fasillitas Program Otorisasi untuk membatasi wilayah yang dibatasi
pengaksesannya atau pengguannya. Hal juga diperuntukkan bagi
perlindungan sistem.
K. REVIEW ENTRIES DALAM PROGRAM PROPERTY TABLE
The Program Property Table (PPT) dapat digunakan untu tugas khusus
pemrosesan untuk program tertentu. Progam ini punya kemampuan dan
spesifikasi:

1.
2.
3.
4.
5.
6.
7.

Tidak dapat dibatalkan jika sudah dijalankan


Dapat diusahakan dengan proteksi kunci yg unik
tidak dapat dibersihkan
Dapat membuat peruntukan istemewa
Tidak memerlukan waktu lama
Belum mendapat kontrol eksklusif terhadap data set integrity
Dapat menggunakan jalan pintas dgn pasword

L. REVIEW KONTROL CICS (Costumer Information Control System)


Merupakan produk IBM yang melayani berbagai tujuan program kontrol
teleprosesing yang digunakan untuk sistem yang beroperasi dibawah IBM
Operting system. Lakukan review dengan tahapan:
a. Review Prosedur administrasi
Yg harus direview meliputi yang berhubungan dengan instalasi
produk, alterasi atau perubahan sistem dasar, dan prosedur recovery.
b. Review Kontrol akses
Untuk memberikan perlindungan bagi user yang ditorisasi
c. Review Proteksi sumber
Berhubungan dengan akses kontrol
d. Review Fitur Jurnal
Digunakan untuk menggambarkan system log dan user junral.
M. REVIEW USER SUPERVISOR CALL (SVCs)
Bukan merupakan paket sistem dari IBM, dengan demikian perlu software
tambahan atau perlu tambahan fitur keamanan atau pekerjaan verifikasi
akuntansi.
N. REVIEW KONTROL TSO
Fasilitas interaktif yang digunakan untuk pengembangan program aplikasi,
sistem pemeliharaan software dan batch job submission. Review TSO konrol
meliputi:
a. Review Prosedur administrasi
b. Review Identifikasi pengguna dan validasi
c. Review Kontrol Akses
d. Review Akuntabilitas
O. DOKUMENTASI KELEMAHAN KONTROL
a. Identifikasi temuan audit dan observasi
b. Pilih format untuk peringkasan temuan audit
c. Tindak lanjut temuan audit
P. PENULISAN DAN PENYAJIAN LAPORAN
a. Pemilihan format
b. Susun Draf Laporan
c. Sirkulasi Draf laporan dan penutupan
d. Draf Isu
e. Susun Laporan final