Definisi

Proses tata-kelola adalah proses-proses yang ditujukan untuk memastikan bahwa tujuan-tujuan
utama tata-kelola dapat tercapai, terkait dengan pencapaian tujuan organisasi, pengelolaan
sumber daya, dan manajemen risiko.
"IT Governance merupakan bagian integral dari tata kelola organisasi yang terdiri dari
kepemimpinan dan struktur organisasi serta proses-proses, yang menjamin IT dari organisasi
dapat bertahan dan membantu mencapai tujuan dari organisasi" (menurut ITGI)
Wikipedia : Tata kelola teknologi informasi (Bahasa Inggris: IT governance) adalah suatu cabang
dari tata kelola perusahaan yang terfokus pada sistem teknologi informasi (TI) serta manajemen
kinerja dan risikonya
Komponen IT Governance (COBIT)
Keselarasan strategi, IT selaras dengan kondisi dan jenis bisnis
Pencapaian nilai, IT mendukung organisasi dan memaksimalkan keuntungan
Pengelolaan sumber daya, Sumber daya IT digunakan secara bertanggungjawab
Manajemen risiko, Risiko IT dikelola dengan baik
Pengukuran kinerja, transparansi IT dicapai melalui pengukuran kinerja

1
2
3
4
5

Lingkup Proses IT Governance

1
1
2
3
4
5
2
1
2
3
4
5
6
7
8
9
3
1
2
3

Perencanaan Sistem
Arsitektur informasi
Arsitektur aplikasi
Arsitektur infrastruktur teknologi
Organisasi dan manajemen
Pendekatan dan roadmap implementasi
Manajemen belanja/investasi
Umur ekonomis sistem
Ketersediaan anggaran
Tingkat kecepatan keusangan sistem
Nilai strategis TIK
Karakteristik proyek (skala, risiko)
Urgensi
Ketersediaan pemasok
Ketersediaan sumber daya
Capital budgeting
Realisasi Sistem, yaitu proses yang menangani pemilihan, penetapan,
pengembangan/akuisisi, sistem TIK, serta manajemen proyek TIK
Identifikasi dan pemilihan alternatif sistem
Realisasi software aplikasi
Realisasi infrastruktur teknologi

4
4
1
2
3
4
5
6
5
1
2
3
4
5

Pengelolaan data
Pengoperasian Sistem, yaitu proses yang memberikan jaminan tingkat layanan dan
keamanan operasi sistem IT
Manajemen tingkat layanan
Keamanan dan keberlangsungan sistem
Manajemen software aplikasi
Manajemen infrastruktur teknologi
Manajemen data
Manajemen layanan olh pihak ketiga
Pemeliharaan Sistem
Pemeliharaan software aplikasi
Pemeliharaan infrastruktur teknologi
Pemeliharaan data
Siklus hidup dan likuidasi sumber
Daya infrastruktur teknologi

Mekanisme Proses IT Governance

1
2

Kebijakan Umum, merupakan pernyataan yang akan menjadi arahan dan batasan bagi
setiap proses tata kelola
Monitoring dan Evaluasi, untuk memastikan adanya perbaikan berkesinambungan,
mekanisme monev akan memberi feedback atas seluruh proses tata kelola

Jenis-jenis IT Governance Framework

1
2
3

Control Objectives for Information and related Technology (COBIT)

IT Infrastructure Library (ITIL)
ISO 27002 2013

COBIT/ the IT Governance Institute (ITGI)

COBIT adalah framework untuk informasi manajemen Risiko IT, atau merupakan "kerangka kerja
dan tool set pendukung yang memungkinkan manajer untuk menjembatani kesenjangan antara
kebutuhan pengendalian permasalahan teknis dan risiko bisnis, pertama dirilis 1996 oleh
Information System Audit and Control Association(ISACA). Versi terbarunya adalah COBIT 5.
Tujuan utama COBIT adalah menyediakan kebijakan yang jelas dan best practice untuk IT
governance, membantu manajemen senior dalam memahami dan mengelola risiko yang
berhubungan dengan IT
Karakteristik Utama COBIT Framework
1
2

business-focused,
process-oriented,

3
4

controls-based, and
measurement-driven.

Empat Domain utama COBIT 4.1 (+COBIT 5)

1
1
2
3
4
5
6
7
8
9
10
2
1
2
3
4
5
6
7
3
1
2
3
4
5
6
7
8
9
10
11
12
13
4
1
2
3

Perencanaan dan organisasi (plan and organize + align)

PO1 Define a strategic IT plan.
PO2 Define the information architecture.
PO3 Determine technological direction.
PO4 Define the IT processes, org and relationship
PO5 Manage the IT investment.
PO6 Communicate mgt aims and direction
PO7 Manage IT human resources.
PO8 Manage quality.
PO9 Assess and manage IT risks.
PO10 Manage projects.
Pengadaan dan implementasi (acquire and implement + build)
AI1 Identify automated solutions.
AI2 Acquire and maintain application software.
AI3 Acquire and maintain tech infrastr.
AI4 Enable operation and use.
AI5 Procure IT resources.
AI6 Manage changes.
AI7 Install and accredit solutions and changes.
Pengantaran dan dukungan (deliver and support + service)
DS1 Define and manage service levels.
DS2 Manage third-party services.
DS3 Manage performance and capacity.
DS4 Ensure continuous service.
DS5 Ensure systems security.
DS6 Identify and allocate costs.
DS7 Educate and train users.
DS8 Manage service desk and incidents.
DS9 Manage the configuration.
DS10 Manage problems.
DS11 Manage data.
DS12 Manage the physical environment.
DS13 Manage operations.
Monitoring dan evaluasi (+assess)
ME1 Monitor and evaluate IT performance.
ME2 Monitor and evaluate internal control.
ME3 Ensure compliance w/ external requirements.

ME4 Provide IT governance.

Prinsip COBIT
1

2
3

Memenuhi kebutuhan stakeholder, Menciptakan nilai bagi para stakeholdernya dengan

menjaga keseimbangan antara realisasi keuntungan dan optimasi risiko dan penggunaan
sumber daya.
Melingkupi seluruh perusahaan, mengintegrasikan tata kelola TI perusahaan kedalam tata
kelola perusahaan
Menerapkan satu kerangka tunggal yang terintegrasi, prinsip ini menyatukan semua
pengetahuan yang sebelumnya tersebar dalam berbagai framework ISACA (COBIT, VAL IT,
Risk IT, BMIS, ITAF, dll)
Menggunakan sebuah pendekatan menyeluruh(holistic approach), memandang bahwa
setiap enabler saling memperngaruhi satu sama lain dan menentukan apakah penerapan
COBIT 5 akan berhasil.
Pemisahan tata kelola dari manajemen, membuat perbedaan yang cukup jelas antara tata
kelola dan manajemen. Kedua hal tersebut mencakup brbagai kegiatan yang berbeda,
memerlukan struktur organisasi yang berbeda, dan melayani untuk tujuan yang berbeda
pula.

COBIT enabler
1
2
3
4
5
6
7

Principles, policies and framework

Processes
Organisational structure
Culture, ethic and behavior
Information
Services, infrastructure and application
People, skill and competencies

Kelebihan COBIT
1
2
3
4
5
6
7
8

Efektif dan Efisien

Berhubungan dengan informasi yang relevan dan berkenaan dengan proses bisnis, dan
sebaik mungkin informasi dikirim tepat waktu, benar, konsisten, dan berguna.
Rahasia
Proteksi terhadap informasi yang sensitif dari akses yang tidak bertanggung jawab.
Integritas
Berhubungan dengan ketepatan dan kelengkapan dari sebuah informasi.
Ketersediaan
Berhubungan dengan tersedianya informasi ketika dibutuhkan oleh proses bisnis sekarang
dan masa depan.

9
10

Kepatuhan Nyata
Berhubungan dengan penyediaan informasi yang sesuai untuk manajemen.

Kelemahan COBIT
1

2
3
4

COBIT hanya memberikan panduan kendali dan tidak memberikan panduan implementasi
operasional. Dalam memenuhi kebutuhan COBIT dalam lingkungan operasional, maka perlu
diadopsi berbagai framework tata kelola operasional seperti ITIL (The Information
Technology Infrastructure Library) yang merupakan sebuah kerangka pengelolaan layanan TI
yang terbagi ke dalam proses dan fungsi.
Kerumitan penerapan. Apakah semua control objective dan detailed control objective harus
diadopsi, ataukah hanya sebagian saja? Bagaimana memilihnya?
COBIT hanya berfokus pada kendali dan pengukuran.
COBIT kurang dalam memberikan panduan keamanan namun memberikan wawasan umum
atas proses TI pada organisasi daripada ITIL misalnya.

IT Infrastructure Library (ITIL)

ITIL bukan merupakan standar dalam audit TI. ITIL lebih merupakan framework/best
practice bagi IT service management untuk menciptakan layanan teknologi informasi yang
bermutu tinggi. Dikembangkan oleh The Office of Government Commerce (OGC)suatu badan
dibawah pemerintah Inggris, dengan bekerja sama dengan TheIT Service Management Forum
(itSMF) suatu organisasi independen mengenai manajemen pelayanan TI dan British
Standard Institute (BSI) suatu badan penetapan standar pemerintah Inggris.
ITIL terdiri dari :
1
2
3
4
5
6
7
8

Service delivery
Service support
Planning to impelement service management
ICT Infrastructure management
Software asset management
The business perspective
Security managemen
Application management

ISO 17799
ISO 17799 adalah 'kode praktek', yang berarti bahwa ISO ini berisi daftar sejumlah besar kontrol
keamanan khusus yang mungkin dapat diterapkan ke lingkungan IT. Seleksi dari kontrol ini
biasanya dilakukan melalui penilaian risiko. Dikembangkan oleh The International Organization for
Standardization (ISO) dan The International Electrotechnical Commission (IEC) dengan titel
"Information Technology - Code of Practice for Information Security Management". ISO/IEC 17799
dirilis pertama kali pada bulan desember 2000.

ISO 17799 terdiri dari :

1
2
3
4
5
6
7
8
9
10
11
12

Security policy
Organizational security
Asset calssification
Human resources
Physical and environmental
Communcation and operations
Access control
System development
Business continuity
Compliance
Risk asessment
Information System acquisition

Proses ISO 17799

1
2
3
4
5
6
7
8

Obtain upper management support

Define security perimeter
Create information security policy
Create information security management system
Perform risk asessment
Select and implement controls
Document in statement of accountability
audit

Perbandingan antar Framework

Area

COBIT

ITIL

ISO 17799

Function

Mapping IT
process

Mapping IT service
level management

Information security
framework

Area

4 domain, 34
process

9 process

10 domain

Issuer

ISACA

OGC

ISO BOARD

Implementation

Information
System Audit

Mengatur service level

Memenuhi aspek-aspek
security standard

Consultant

Accounting firm,
IT firm

IT Consulting firm

IT Consulting firm, security

firm, network consultant

General Control
General Control/ IT General Control(ITGC) adalah kebijakan dan prosedur yang berhubungan
dengan aplikasi sistem informasi dan mendukung fungsi dari application control dengan cara
membantu menjamin keberlangsungan sistem informasi yang ada.
Tujuannya untuk menjamin pengembangan dan implementasi aplikasi secara tepat, serta
menjamin integritas dari program, data files dan operasi komputer.
Bentuk ITGC yang sering digunakan :
1.
IT Organization Structure
2.
Logical access controls over system, applications, and data.
3.
System development life cycle controls.
4.
Program change management controls.
5.
Data center physical security controls.
6.
System and data backup and recovery controls.
7.
Computer operation controls.
Struktur Organisasi IT
CIO bertanggungjawab atas IT dan merancang serta memelihara IT, IT resource, IT metric dan
menetukan IT mana yang akan dikejar. Berikut struktur yang dibawahi oleh CIO
1.
Operation unit : Help desk, tellecomunication network admin web operation, change
controller, librarian, data entry personnel, end user
2.
Technical support unit : data center, information center, network/LAN admin, Web
admin, user training
3.
Data unit : database admin (DBAs), Data admin
4.
System and app development unit : System aanalyst, programmer, tester
Data storage and security
Keamanan data harus dijaga ketika data ada di tempatnya, saat sedang dikirim, dan saat
disimpan. Bentuk pengamanan data antara lain :
1.
Pelatihan penggunaan email dan internet
2.
Larangan pemasangan aplikasi selain yang telah ada di komputer
3.
Aplikasi dijaga dalam program libraries
4.
Penggunaan software yang menghapus file tertentu secara otomatis (misal antivirus)
5.
Back up data, backup diletakkan di fasilitas yang jauh dari tempat operasional
6.
Electronic vaulting, backup dikirim secara elektronik sehingga tidak memerlukan
pengiriman secara fisik
System development and maintenance
Yang berperan dalam system development :

1.
2.
3.

Systems proffesional : system analyst, database designer dan programmer yang

merancang dan membangun sistem
End user : manajer dan personil operasional
Stakeholder

Pemeliharaan sistem dilakukan dengan membuat perubahan pada logika program untuk
mengakomodasi perubahan kebutuhan user seiring berjalannya waktu.
Yang melakukan pengembangan sistem dan pemeliharaan sistem perlu dipisahkan untuk
menghindari :
1.
Dokumentasi yang kurang cukup
2.
Program fraud, yaitu mengubah program module untuk tujuan perbuatan ilegal

1.
2.

Segregation of incompatible IT functions

Untuk mendukung pengendalian IT, perlu ada pemisahan wewenang yang berhubungan dengan
IT dalam struktur organisasi. Pemisahan ini antara lain :
Pemisahan pengembangan sistem dengan aktivitas operasi
Pemisahan administrasi database dari fungsi lainnya
Logical access control over system, application and data
Logical access control digunakan untuk menjamin bahwa akses ke OS, data dan program/aplikasi
dibatasi hanya kepada pengguna yang berwenang. Bentuk logical access control dapat berupa :
1.
User id dan password
2.
Access control list
3.
Token device
Logical access control biasa dibutuhkan untuk melakukan remote access control baik dari pihak
internal maupun eksterna. Remote acceass control dapat berupa
1.
Dedicated Lines
2.
Automatic dial-back.
3.
Secure sockets layer (SSL):
4.
Multifactor authentication:
5.
Virtual private networks (VPN)
Application development
Pengendalian umum dalam pengembangan sistem :
1.
Dokumentasi syarat pengguna sistem dan pengukuran atas pencapaian dari syaratsyarat tersebut
2.
Penggunaan proses formal dalam menjamin bahwa syarat dari pengguna tercermin
dalam rancangan dan pengembangan dari sistem.
3.
Pengujian atas aplikasi dan antarmuka oleh pengguna
4.
Merencanakan pemeliharan aplikasi.
5.
Peengendalian atas proses perubahan atas aplikasi,.

6.

Untuk pengembangan menggunakan outsource, harus ada penilaian atas

kelangsungan usaha vendor.

System development life cycle

1.
System planning, set IT policy, approve plan monitor and oversight, and asess impact of
IT
2.
System analysis; menunjukkan kekurangan sistem lama, mengajukan permintaan
rancangan sistem baru, melakukan feasibility studies
3.
Testing, menguji kualitas dari sistem
Testing terdiri atas kegiatan : (a) merencang rencana pengujian, (b) mengumpulkan atau
membuat skenario pengujian, (c) melaksanakan pengujian (d) mengumpulkan dan
mengevaluasi feedback dan (e) melaporkan hasil
Pengujian dapat dilakukan melalui dua phase, unit/performance testing dan system testing.
Unit performance dilakukan untuk menemukan bug dalam aplikasi, system testing
dilakukan untuk menemukan bug yang muncul saat aplikasi berkomunikasi dengan
program lain dalam sistem.
4.
Conversion, proses penutupan sistem lama dan migrasi data ke sistem baru. Untuk
mengurang error saat migrasi dapat menggunakan : hash total, record count, visual
inspection.
5.
Implementation, memulai sistem baru, pendekatan dalam implementasi :
1.
Bigbang/cutover, langsung pindah ke sistem baru, sistem lama tidak dipakai
lagi
2.
Phased, di implementasikan bertahap dalam beberapa fase
3.
Pilot, melakukan implementasi menggunakan versi pengujian dan dijalankan
sampai dilakukan implementasi penuh.
4.
Parallel, sistem lama dan baru dijalankan bersamaan dalam periode tertentu
6.
Documentation, mencatat spesifikasi, fitur keamanan, proses backup dan pencegahan
fraud
Review auditor internal tehadap aktivitas SDLC, auditor haruslah memeriksa pengendalian yang
berhubungan dengan :
1.
User approval, but the efficient one.
2.
Authorization procedures for program changes and new code development.
3.
Pengujian software dan quality control.
4.
Kemampuan staf proyek
Refinement/change management
Refinement terhadap aplikasi dapat dilakukan menggunakan patch. Patch adalah software yang
dirancang untuk memperbaiki permasalahan dalam program atau untuk memperbaru program
atau data pendukungnya. Perubahan atas aplikasi haruslah disetujui ioleh manajemen, sesuai
standar pengembangan dan di tes di lingkungan "sandbox".
Dalam melakukan refinement perusahaan perlu mempertimbangkan untuk mengevaluasi
investasinya pada IT, antara lain :

1.
2.
3.

Cost and benefit dari investasi IT baik berwujud maupun tidak

Melakukan feasibility studi yg terdiri dari : scheduling, operational, technical dan
economic
Mempetimbangkan melakukan outsource

Data Center Physical Security Control

Dalam melakukan pengamanan data center hal-hal yang perlu diperhatikan :
1.
Lokasi , mempengaruhi kemungkinan rusaknya bangunan dan adanya bencana alam
2.
Konstruksi bangunan
3.
Physical access, seperti adanya batasan akses atas ruangan menggunakan security
code, fingerprint atau keycard
4.
Air conditioning, mencegah rusaknya HW dalam kondisi suhu yang terlalu tinggi, atau
risiko kerusakan karena listrik statis saat kelembaban turun.
5.
Fire suppression, adanya alarm kebakaran di tempat tertentu, pemadam api (fire
extingusher)di lokasi.
6.
Fault tolerance, dapat menggunakan redundant arrays of indepent disk (RAID yaitu
menyimpan data yang sama di beebrapa tempat penyimpanan di lokasi yang sama) dan
UPS.
Metode dalam pemrosesan data dapat berupa :
1.
Centralized, semua data diakses dari satu server di pusat organisasi
2.
Decentralized
3.
Distributed, data didistribusi di beberapa server yang saling berhubungan dalam
jaringan
Prosedur audit terhadap physical security control:
1.
Menguji konstruksi fisik
2.
Menguji sistem deteksi kebakaran
3.
Menguji access control
4.
Menguji RAID
System and Data Backup and Recovery control
Perlu adanya Disaster Recovery Plan (DRP), DRP memiliki 4 fitur :
1.
Identifikasi aplikasi penting
2.
Menciptakan tim DRP
3.
Menyediakan tempat backup
4.
Specify backup and off-site storage procedures
Jenis-jenis off-site facility :
1.
Hot site, fully stocked with HW needed, but not have org.'s data.
2.
Cold site, empty space with no computer but is set up and ready for data center.
3.
Warm site, a site partway between hot site and cold site

4.
Reciprocal aggrement, persetujuan antar beberapa organisasi membagi sumber daya
saat terjadi kegagalan sistem
Operating System Control
Ruang Lingkup Pengendalian OS antara lain :
1.
Controlling access privilege, pengendalian berupa privilege/hak khusus yang
menentukan directories, file, aplikasi dll yang dapat diakses oleh seseorang, tergantung dari
jabatannya.
2.
Password control, pengendalian berupa password untuk akses, password yan baik
haruslah diubah secara rutin, panjang dan menggunakan kombinasi huruf dan angka
3.
Virus Control, pengendalian terhadap malware seperti virus, worm, logic bomb, back
door dan trojan horse, dapat menggunakan software antivirus, pembatasan akses internet
dan pemasangan aplikasi tambahan.
4.
System Audit Trail Control,
audit trail adalah jejak-jeka transaksi yang berhubungan dengan bukti audit, systemaudit
trail adalah catatan/log yang merekam aktifitas signifikan dalam tingkatan sistem, aplikasi
maupun pengguna. Terdapat dua jenis pengawasan audit log : (1) log of individual
keystroke dan (2) event oriented logs . pengendaliannya dapat berupa : pengawsan aktifitas
user, waktu log-on dan log off, upaya log on yg gagal, akses terhadap file atau aplikasi
tertentu.
Internal auditing and vulnerability management
Terdapat 6 indikator lemahnya manajemen terhadap kerentanan sistem
1.
Tingginya jumlah insiden keamanan
2.
Ketidakmampuan mengidentifikasi kerentanan IT secara sistematis
3.
Ketidakmampuan untuk menilai risiko yang berhubungan dengan kerentanan sistem
dan memprioritaskan mitigasi risiko ersebut
4.
Hubungan antara manajemen IT dan pengamanan IT yang kurang harmonis
5.
Kurangnya manajemen atas aset
6.
Kurangnya konfigurasi proses manajemen terintegrasi dengan upaya mitigasi atas risiko
keamanan.
Cara meningkatkan manajemen kerentanan sistem
1.
Meminta dukungan manajemen senior
2.
Inventarisir seluruh aset IT dan kerentanan yang ada pada aset tersebut
3.
Memprioritaskan mitigasi atas risiko
4.
Mengurangi kerentanan sistem dengan menyajikan proyek yang direncanakan kepada
manajemen IT
5.
Secara terus menerus memutakhirkan penemuan aset, uji atas kerentanan dan proses
remediasi
6.
Menggunakan manajemen patch secara otomatis dan alat penemu kerentanan sistem.

Malicious software (malware), adalah software yang dirancang untuk mendapatkan akses ke
komputer pengguna dengan tujuan mengendalikan atau merusak sistem atau mencuri data.
Dapat berupa :
1.
2.

3.

Virus, kode yang menempelkan dirinya ke media penyimpanan, dokumen atau

executable files dan menyebar ketika file tersebut dibagikan ke orang lain
Worms, dapat mereplikasi dirinya sendiri dan mengganggu jaringan/komputer; tidak
menempel kepada program/kode yang telah ada menyebar melalu mengirimkan self copies
(kage bunshin?) ke komputer lain melalui jaringan. Worms digunakan untuk membuka
lubang di keamanan jaringan dan melakukan DdoS yang dapat menganggu bandwith
jaringan.
Trojan horses, menyembunyikan dirinya menggunakan social engineering, seakan-akan
program berguna (contohnya di web tertentu ada tombol download palsu, atau lewat email
yg menipu), sekali terpasang di komputer dapat memasang software berbahaya lain yang
berguna bagi penulis program seperti :
1.
banker programs; mencuri data rekening
2.
backdoor/trapdoor; bypass otentikasi normal untuk remote access, dapat juga
berupa worm
3.
root kits : alat yang terpadang pada "root" / level admin/superuser
4.
trojan proxies : menggunakan komputer yang terinfeksi sebagai perantara
untuk mengirim spam
5.
piggyback; membolehkan user yang tidak berwenang untuk memasuki
jaringan
6.
logic bomb : malware yang dormant, baru aktif apabila ada variabel
khusus( aksi, tanggal, ukuran) untuk menghancurkan data, misalnya apabila klik save
maka semua data hilang/tanggal tertentu semua data dihapus.

Other malware
1.
box nets: program chat untuk mengirim perintah secara bersamaan kepada semua
sistem atau mengupload malware
2.
spamtools : mengumpulkan alamat email untuk mengirim spam
3.
keylogger : menyimpan "keystroke" untuk mencuri password saat user sedang
mengetikkan passwordnya
4.
dialer : perangkat lunak yang mampu menghubungkan sebuah komputer ke Internet
guna mengirimkan informasi yang didapat oleh keylogger, spyware atau malware lain ke
seseorang sehingga menguntungkan penyedia jasa internet karena biaya internet menjadi
besar.
other external threats
1.
hacker, orang yang berusaha mengakses sistem tanpa otorisasi, kalau ada maksud
kriminal disebut cracker (biskuit)
2.
Phishing/spoofing, website yang terlihat identik dengan yg resmi

3.
4.
5.
6.

Pharming, melakukan redirect url ke situs hacker

Evil twin, saudara kembar yg jahat, jaringan wifi dioperasikan palsu seakan-akan
jaringan legitimate.
Identity theft, judul film , berpura-pura menggunakan data identitas seseorang secara
ilegal.
Warddriving software, berkeliling ke berbagai ke tempat untuk mencari, mengekplorasi,
bahkan mungkin juga mengekplotasi jaringan wireless yang ditemukan.

Internal threat
1.
Asynchronous attack; melemahkan sistem dengan mengubah parameter yang
melemahkan keamanan saat shutdown komputer
2.
Data diddling; secara sengaja memanipulasi data
3.
Data hiding; menyembunyikan data dengan manipulasi nama file/ekstensi
4.
Backdoor/trapdoor
5.
Rounding down and salami technique

1.

Server/mainframe malware
Serangan hacker, banyak dilakukan pada server yang tersedia untuk umum
2.
Network sniffer, orang yang mengendus mendeteksi nomer kartu kredit melalui paket
data yang dikirim pada jaringan.
Protecting system from malware and computer crime
1.
Menggunakan sandbox, ya semacam virtual OS, OS inside an OS, VMWare dkk, yang
terpisah dari sistem asli sehingga aktifitas pada sandbox tidak mempengaruhi sistem.
2.
Menggunakan antivirus dan memutakhirkan software antivirus
3.
Hanya membolehkan mengunduh dari lokasi yang terpercaya
4.
Informasi sensitif hanya bisa diakses secara offline
5.
Menggunakan id dan password
Application Control
Aplication control adalah sistem pengendalian intern komputer yang berkaitan dengan pekerjaan
atau kegiatan tertentu yang telah ditentukan.
Tujuan pengendalian aplikasi :
1.
Input data akurat, lengkap, terotorisasi dan benar
2.
Data diproses sebagaimana mestinya dalam periode waktu yang tepat
3.
Data disimpan secara tepat dan lengkap
4.
Output yang dihasilkan akurat dan lengkap
5.
Adanya catatan mengenai pemrosesan data dari input sampai menjadi output
Jenis-jenis pengendalian aplikasi :
1.
Input Control
2.
Processing Control

3.
4.
5.

Output Control
Integrity Control
Management Trail

Input Control
Pengendalian input didesain untuk menjamin bahwa transaksi valid, akurat dan lengkap.
Classes of input control :

Source document control

Menggunakan dokumen sumber yang prenumbered dan berurutan serta secara periodik
melakukan audit atas dokumen sumber

Data coding control

mengecek integritas kode data(nomor rek pelanggan, kode persediaan dan bagan akun
standar) yang digunakan dalam pemrosesan.
o
Batch control, rekonsiliasi output yang dihasilkan dengan input yang
dimasukkan dalam sistem
o
Hash total, penjumlahan dari record data nonfinansial untuk menguji adanya
perubahan atas data.

Validation control
digunakan untuk mendeteksi kesalahan dalam data transaksi sebelum diproses. Terdapat
tiga level dalam input validation control :
o
Field interrogation; memeriksa karakteristik data dalam field

Missing data checks

Numeric-alphabetic data check

Zero value checks

Limit checks

Range checks

Validity checks

Check digit
o
Record interrogation; validasi seluruh record dengan memeriksa hubungan
antar nilai field

Reasonableness checks; cek nilai field apakah wajar

Sign checks; cek jumlah record apakah positif atau negatif

Sequence checks; cek apakah recordnya sudah sequntial/urut, tidak acak

o
File interrogation; memastika file yang diproses dalam sistem benar

Internal label checks; verifikasi apkah file yang akan diproses sesuai dengan program

Version checks; verifikasi versi dari file yang akan diproses sudah sesuai

An expiration date check; mencegah penghapusan file sebelum daluwarsa

Input error correction

ketika error terdeteksi dalam batch, harus segera dikoreksi dan record disubmit ulang untuk
diproses ulang. Ada 3 teknik mengatasi error:
o
Correct immediately; sistem menghentikan prosedur entri data sampai user
melakukan koreksi atas kesalahan

Create an error file; saat error ditemukan, error diberi tanda untuk mencega
pemrosesan dan dipisahkan dari batch
o
Reject the batch; kesalahan yang menyebabkan batch secara total menjadi
keliru, maka seluruh batch harus ditolak sampai dikoreksi dan disubmit ulang
Generalized data input systems
teknik yang secara sentralisasi dilakukan untuk mengelola data yang diinput di seluruh
sistem pemrosesan dalam organisasi. Terdiri dari 5 komponen utama :
o
Generalized validation module (GVM)
o
Validated data file
o
Error file
o
Error report
o
Transaction log
o

Bentuk Input Control

Manual input control

Electronic input control

o
Field check; melakukan cek atas kelengkapan pengisian field
o
Format check; cek format pengisian field apakah sesuai
o
Drop down menus; menus drop down untuk menyeragamkan pengisian data
o
Edit check; uji data dalam field secara otomatis

Control total: pengendalian atas terjadinya perubahan dari jumlah hash total

Range test: hanya membolehkan entri data dalam range tertentu

Numerical test: mencegah adanya entri alfabet dalam field

Limit check; entri data diatas batasan tertentu dicegah atau membutuhkan
persetujuan

Check digit; mengecek kebenaran penjumlahan dengan menambah angka tertentu

dalam nilai field

Record count; menghitung jumlah record

Historical comparison; mengukur selisih dengan record lama

Overflow checking; membatasi panjang field untuk mencegah angka melebihi dari
maksimum yang diperbolehkan
o
Inquiry log; mengawasi akses ke record
o
Automated inputs; otomatisasi dapat mengurangi error dan meningkatkan
kecepatan input, termasuk :

Optical character recognition

Scanner

RFID

Barcode

Magnetic ink character

Processing Control
Dibagi menjadi 3 kategori:

1.
2.
3.

Run-to-run control; pengendalian atas batch yang diproses yang melalui beberapa
program untuk memastikan bahwa seluruh batch diproses secara lengkap dan benar.
Operator intervention control; pengendalian atas intervensi program yang secara
manual dilakukan oleh operator karena ada potensi human error didalamnya
Audit trail control, contoh audit trail:
1.
Transaction logs
2.
Log of automatic transaction
3.
Listing of automatic transaction
4.
Unique transaction identifieers
5.
Error listing

Output Control
Output control adalah pengendalian yang memastikan bahwa output dari sistem tidak hilang,
salah arah, rusak dan privasi tidak dilanggar.
Dapat berupa:
1. Error listing; saat terjadi kesalahan maka ada laporannya
2. Reference documents; saat sistem mengalami gangguan, ada log mengenai memory
saat terjadi gangguan
3. Spooling control; spool adalah alokasi memory sementara untuk output
4. Working document; bukti asli (cek, invoice dsb) terjaga dengan baik, untuk
membandingkan antara input dengan output
5. Report control; laporan yang dihasilkan akurat, sederhana, tepat waktu dan berarti serta
data yang didistribusikan aman
6. Exception reporting; menyoroti data yang tidak biasa, agar dapat mengetahui sumber
error yg terjadi
Pengujian atas Application Control
1.
Black box approach(around the computer).
Auditor tidak menguji logika internal dari aplikasi, pemahaman atas aplikasi dilakukan
dengan analisis flowchart dan wawancara dengan personel.
Hanya menguji input yang dimasukkan dan melakukan verifikasi atas output yang
dihasilkan.
2.
White box approach (through the computer)
Auditor menguji logika internal dari aplikasi, beberapa teknik uji pengendaliannya antara
lain :
1.
Authenticity test, verifikasi apakah sesorang/program yang berusaha
mengakses sistem,otentik atau tidak
2.
Accuracy test, memastikan bahwa sistem hanya memroses data yang
memenuhi kriteria tertentu (misal range test, field test, limit test)
3.
Completeness test, identifikasi adanya data yang hilang dalam batch
4.
Redundancy test, memastikan bahwa aplikasi hanya memroses tiap record
sekali

5.
6.
7.

Access test, memastrtikan bahwa aplikasi dapat mencegah pengguna untuk

mengakses data yang tidak sesuai kewenangannya
Audit trail test, memastikan aplikasi menciptakan audit trail yang cukup
Rounding error test/salami test, verifikasi kebenaran pembulatan yang
dilakukan program

Computer Assisted Audit Techniques (CAAT)Tools untuk menguji pengendalian

Test Data method, digunakan untuk menguji integritas aplikasi dengan memproses
input data yang disiapkan khusus untuk menguji aplikasi yang sedang direview, hasil dari
tes dibandingkan dengan ekspektasi output yang diharapkan untuk mendapat evaluasi
yang objektif atas logika aplikasi dan keefektifan pengendalian. Tahapannya
1.
Creating test data, auditor menyiapkan data transaksi yang valid maupun
tidak untuk menguji input error, logical process dan irregularity.
2.
Base Case System Evaluation (BCSE), dilakukan dengan memproses
seluruh jenis transaksi secara berulang sampai didapatkan hasil; yang konsisten dan
valid.
3.
Tracing, teknik menguji aplikasi dengan mengikuti alur logika aplikasi.
Keunggulan : (1) menyediakan auditor bukti eksplisit mengenai fungsi aplikasi (2) tidak
mengganggu operasi perusahaan (3) tidak banyak membutuhkan keahlian komputer yang
tinggi dari pihak auditor
Kelemahan : (1) auditor mendapatkan aplikasi untuk diuji dari personel perusahaan,
sehingga ada kemungkinan diberikan versi yang berbeda dari yang digunakan (2) hanya
menyediakan informasi integritas aplikasi di satu waktu tersebut (3) biaya tinggi.
2.
The Integrated Test Facility, teknik otomasi untuk menguji logika aplikasi dan
pengendalian saat operasi normal sedang berjalan
Keuntungan : (1) mendukung dilakukannya waskat atas pengendalian; (2) dapat menguji
aplikasi secara ekonomis tanpa mengganggu operasional.
Kelemahan : ada potensi merusak data perusahaan.
3.
Parallel simulation, dilakukan dengan menulis program yang mensimulasikan fitur kunci
atau proses aplikasi yang sedang direview. Tahapannya :
1.
Auditor harus memahami aplikasi yang akan dir eview
2.
Auditor mengidentifikasi proses dan pengendalian dalam aplikasi yang
penting untuk disimulasi
3.
Auditor membuat simulasi menggunakan 4GL atau GAS
4.
Auditor menjalankan program simulasi menggunakan data-data yang telah
dipilih untuk menghasilkan output
5.
Auditor mengevaluasi dan merekonsiliasi hasil simulasi dengan hasil apabila
menggunakan aplikasi aslinya.
1.