OPERASI KOMPUTER

Disusun untuk memenuhi tugas mata kuliah Audit Pengolahan Data

Elektronik

Disusun oleh :

Istikhanah 7211414006
Regita Eka Wijaya 7211414028
Adistya Kuswoyo 7211414116
Dian Permana I 7211414210

FAKULTAS EKONOMI
UNIVERSITAS NEGERI SEMARANG
2017

DAFTAR ISI
1
HALAMAN SAMPUL .........................................................................i
DAFTAR ISI ......................................................................................ii
BAB I PENDAHULUAN.......................................................................1
1.1 Latar Belakang...................................................................1
1.2 Rumusan Masalah..............................................................1
1.3 Tujuan................................................................................2
BAB II PEMBAHASAN........................................................................3
1.1 Strukturisasi Fungsi Teknologi Informasi............................3
1.2 Pusat Komputer.................................................................15
1.3 Pengendalian Sistem Operasi dan Pengendalian Keseluruhan
Sistem.............................................................................................26
1.4 Pengendalian Keseluruhan Sistem.....................................27
1.5 Sistem Komputer Pribadi (PC)............................................35
BAB III PENUTUP..............................................................................41
1.1 Kesimpulan........................................................................41
DAFTAR PUSTAKA............................................................................42
BAB I
PENDAHULUAN

1 Latar Belakang
Pengaturan fungsi teknologi informasi memiliki berbagai
implikasi pada sifat pengendalian internal, yang selanjutnya akan
memiliki implikasi pada auditnya. Perkembangan penggunaan
komputer dalam bisnis akan mempengaruhi metode pelaksanaan
audit demikian pula dengan ilmu pengetahuan lainnya. Satuan
usaha (perusahaan) disebut menggunakan sistem komputer (PDE)
apabila dalam memproses data penyusunan laporan keuangan
menggunakan komputer dengan tipe dan jenis tertentu baik
dioperasikan oleh perusahaan sendiri atau pihak lain. Kebutuhan
terhadap auditing di sistem komputer semakin perlu untuk dipenuhi
agar tujuan auditing dapat dicapai secara efektif dan efisien
meskipun tujuan tetap auditing tidak berubah, tetapi proses audit

2
 mengalami perubahan yang signifikan baik dalam pengumpulan dan
evaluasi bukti maupun pengendaliannya. Hal ini disebabkan karena
adanya perubahan dalam pemrosesan data akuntansi. Demikian
juga dengan halnya pengendalian tujuan pengendalian pengolahan
data yang akurat dalam suatu lingkungan manual maupun
lingkungan terkomputerisasi adalah sama. Dalam suatu lingkungan
yang terkomputerisasi harus diterapkan pengendalian untuk
mengurangi risiko pengulangan kesalahan dan untuk memastikan
data benar akurat. Perubahan dalam metode pengendalian dan
pengolahan ini menimbulkan metode baru dalam auditing. Dengan
demikian auditor harus mempelajari keahlian baru untuk bekerja
secara efektif dalam suatu lingkungan bisnis yang berkomputerisasi
untuk mereviw teknologi informasi.
2 Rumusan Masalah
1 Bagaimana strukturisasi fungsi teknologi informasi?
2 Apakah yang dimaksud dengan pusat komputer?
3 Bagaimana pengendalian sistem operasi dan pengendalian
keseluruhan sistem?
4 Bagaimana pengendalian keseluruhan sistem dalam operasi
komputer?
5 Bagaimana sistem komputer pribadi?

3 Tujuan
1 Untuk mengetahui strukturisasi teknologi informasi
2 Untuk mengetahui yang dimaksud dengan pusat komputer
3 Untuk mengetahui pengendalian sistem operasi dan
pengendalian keseluruhan sistem
4 Untuk mengetahui pengendalian keseluruhan sitem dalam
operasi komputer
5 Untuk mengetahui apa sitem komputer pribadi

3
 BAB II
ISI

1.1. Strukturisasi Fungsi Teknologi Informasi

1.1.1. Pemrosesan Data Terpusat
Di bawah model pemrosesan data terpusat (centralized
data procesing), semua pemrosesan data dilakukan oleh satu
atau lebih komputer besar yang diletakkan di sebuah lokasi
terpusat yang melayani berbagai pengguna di seluruh
perusahaan. Figur 2-1 menggambarkan pendekatan ini, di mana
aktivitas layanan komputer dikonsolidasikan dan dikelola
sebagai sumber daya bersama perusahaan. Para pengguna
akhir bersaing untuk mendapat sumber daya ini berdasarkan
kebutuhannya. Fungsi layanan komputer biasanya diperlakukan
sebagai pusat biaya (cost center) yang biaya operasionalnya
akan dibebankan kembali ke para pengguna akhir. Figur 2-2
menggambarkan sebuah struktur layanan komputer terpusat
dan menunjukkan area-area layanan utamanya: administrasi
basis data, pemrosesan data, pengembangan sistem dan
pmeliharaannya. Penjelasan mengenai berbagai fungsi utama
tiap area ini adalah sebagai berikut.
A. Adiministrasi basis data
Perusahaan yang dikelola secara terpusat
memelihara sumber daya datanya dalam sebuah lokasi
terpusat yang digunakan bersama oleh semua pengguna
akhirnya. Dalam penataan data bersama ini, sebuah
bagian yang independen administrasi basis data
(database administration DBA) yang dikepalai oleh
administrator basis data bertanggung jawab atas
keamanan dan integritas basis data.
B. Pemrosesan data
Bagian ini terdiri atas fungsi organisasional berikut
ini: pengendalian data, konversi data, operasi komputer,
dan perpustakaan data.

4
Pengendalian data. Pengendalian data bertanggung jawab
atas penerimaan berbagai batch (kumpulan) dokumen
transaksi yntk pemrosesan dari pengguna akhir dan
kemudian pendistribusian output komputer kembali ke
para pengguna terkait.
Konversi data. Fungsi konversi data (data conversion)
mentranskipsikan data transaksi dari dokumen sumber
kertas ke dalam input komputer.
Figur 2-1
Pendekatan Pemrosesan Data Terpusat

Figur 2-2
Bagan Struktur Organsisasi dari Fungsi Layanan Komputer
Terpusat

Operasi komputer. File elektronik yang dihasilkan

kemudian diproses oleh komputer pusat, yang dikelola
oleh bagian operasi komputer (computer operation).

5
 Perpustakaan data. Perpustakaan data (data library)
adalah sebuah ruang yang beada di sebelah pusat
komputer yang memberikan tempat penyimpanan yang
aman untuk berbagi file data off-line. File itu dapat
berupa salinan cadangan atau file data terkini.
Contohnya, perpustakaan data dapat digunakan untuk
menyimpan salinan cadangan dalam bentuk DVD, CD-
ROOM, pita (tape), atau alat penyimpanan lainnya.
C. Pengembangan dan pemeliharaan sistem
Kebutuhan sistem informasi para pengguna
dipenuuhi melalui dua fungsi yang saling berhubungan:
pengembangan sistem dan pemeliharaan sistem. Bagian
yang pertama bertanggung jawab untuk menganalisis
berbagai kebutuhan penguuna dan mendesain sistem
baru yang dapat memnihi berbagai kebutuhan tersebut.
Para partisipan yang terlibat dalam aktivitas
pengembangan sistem meliputi para praktisi sistem,
pengguna akhir, dan pemegang kepentingan.
1.1.2. Pemesihan Pekerjaan yang Tidak Saling Bersesuaian
Tiga tujuan dasar pemisahan pekerjaan yang tidak saling
bersesuaian:
1. Pemisahan fungsi otorisasi transaksi dari pemrosesan
transaksi.
2. Pemisahan fungsi pencatatan dari pengaman aset.
3. Membagi fungsi pemrosesan transaksi ke beberapa orang
agar pelaku penipuan akan harus melakukan kolusi
dengan dua orang atau lebih,.
A. Memisahkan pengembangan sistem dari operasi komputer
Pemisahan pengembangan sistem (baik
pengembangan sistem baru maupun pemeliharaannya)
dari aktivitas operasi adalah hal yang paling penting.
Hubungan antara kedua bagian ini seharusnya sangat
formal, dan tanggung jawab mereka tidak dapat
dicampuradukkan. Para ahli pengembangan dan
pemeliharaan sistem seharusnya menciptakan (dan
memelihara) sistem bagi para pengguna, dan seharusnya

6
 tidak terlibat dalam proses memasukkan data, atau
menjalankan aplikasi (atau, operasi komputer). Staf
operasional seharusnya menjalankan sistem ini dan tidak
terlibat alam tahap desain sistem tersebut. Fungsi-fungsi
ini secara inheren tidak saling bersesuaian, dan
menhonsolidasikan kedua fungsi ini akan mengundang
timbulnya kesalahan dan penipuan. Dengan pengetahuan
terperinci mengenai logika dan parameter pengendalian
aplikasi serta akses ke sistem operasi komputer dan
perlengkapannya, seseorang yang memiliki hak istimewa
tersebut dapat melakukan perubahan secara tidak sah
atas aplikasi ketika dijalankan. Perubahan semacam itu
dapat bersifat sementara (untuk waktu singkat) dan akan
hilang tanpa jejak ketika aplikasi dinonaktifkan.
B. Memisahkan administrasi basis data dari fungsi lainnya
Pengendalian organisasional lainnya yang penting
adalah pemisahan pekerjaan administrasi basis data
(DBA) dari fungsi pusat komputer lainnya. Fungsi DBA
bertanggung jawab atas sejumlah pekerjaan penting yang
berkaitan dengan keamanan basis data, termasuk
pembuatan skema basis data dan tampilan pengguna,
pemberian otoritas akses ke basis data ke para pengguna,
pengawasan penggunaan basis data, dan perencanaan
untuk perluasan di masa depan.
C. Memisahkan fungsi pengembangan sistem dari
pemeliharaan sistem
Beberapa perusahaan mengatur fungsi
pengembangan sistem internalnya ke dalam dua bagian:
analis dan pemrograman sistem. Bagian analis sistem
bekerja dengan para pengguna untuk menghasilkan
desain terperinci sitem yang baru. Bagian pemrograman
akan mengodekan berbagai program sesuai dengan
spesifikasi desain ini. Walaupun pendekatan ini banyak
digunakan, pendekatan ini dihubungkan dengan dua jenis

7
 masalah pengendalian: dokumentasi yang tidak memadai
(inadequate documentation) dan potensi terjadinya
penipuan program (program fraud).
Memperbaiki dokumentasi. Dokumentasi sitem yang
buruk merupakan masalah kronis dalam banyak
perusahaan. Kondisi ini khususnya terjadi jika perusahaan
tidak menggunakan alat rekayasa peranti lunak
berbantuan komputer (computer-assisted software
engineering CASE) yang memiliki fitur dokumentasi
otomatis. Terdapat dua penjelasan untuk fenomena ini.
Pertama, mendokumentasikan sistem adalah pekerjaan
yang tidak semenarik desain, pengujian dan
implementasinya. Alasan kedua atas terjadinya
dokumentasi yang tidak memadai adalah jaminan
pekerjaan.
Mencegah penipuan. Penipuan dengan program
melibatkan perubahan yang tidak sah atas berbagai
modul program dengan tujuan melakukan tindakan ilegal.
Programer asli mungkin berhasil menutupi keberadaan
kode yang digunakan untuk penipuan di antara beberapa
ribu baris kode yang benar serta ratusan modul yang
membentuk suatu sistem. Akan tetapi, agar penipuan
tersebut dapat berjalan baik, programer tersebut harus
memiliki akses yang berkelanjutan dan tidak terbatas atas
program terkait. Untuk mengendalikan kondisi ini,
programer tersebut harus melindungi kode yang
digunakan untuk penipuan tadi dari deteksi oleh
programer lainnya atau oleh auditor.
D. Struktur alternatif pengembangan sistem
Figur 2-2 menyajikan sebuah struktur organisasional
tingkat atas di mana fungsi pengembangan sistem
dipisahkan ke dalam dua kelompok: pengembangan
sistem baru dan pemeliharaan sistem. Kelompok
pengembangan sistem baru bertanggung jawab untuk

8
 mendesain, memprogram, dan mengimplementasikan
berbagai proyek sistem baru. Setelah berhasil dalam
implementasinya, tanggung jawab pemeliharaan sistem
setelahnya akan jatuh pada kelompok pemeliharaan
sistem. Restrukturisasi ini memiliki berbagai implikasi
yang secara langsung dapat menjawab dua masalah
pengendalian. Pertama, standar dokumentasi akan lebih
baik karena kelompok pemeliharaan akan membutuhkan
adanya dokumentasi untuk melakukan pekerjaan
pemeliharaannya. Kedua, menolak akses programer
sistem untuk masa selanjutnya ke program akan
mencegah penipuan melalui program.
E. Memisahkan perpustakaan data dari operasional
Perpustakaan data biasanya berada dalam ruang
yang bersebelahan dengan pusat komputer dan berfungsi
sebagai tempat penyimpanan yang aman berbagai file
data off-line, seperti pita magnetis dan removable disk
dalam sistem tradisional. Pustakawan data (data
librarian) adalah orang yang bertanggung jawab atas
penerimaan, penyimpanan, penarikan dan pengamanan
berbagai file data dan harus mengendalikan akses ke
perpustakaan tersebut. Ketika program selesai dijalankan,
operator mengembalikan file ke pustakawan untuk
disimpan. Pemisahan fungsi pustakawan dari operasional
penting untuk keamanan fisik berbagi file data off-line.
Potensi eksposur dapat digambarkan melalui tiga skenario
berikut:
1. Pusat komputer kadang sangat sibuk.
2. Orang yang tidak berpengalaman melakukan fungsi
pustakawan dalam waktu sibuk mungkin
mengembalikan sebuah pita ke dalam lokasi
penyimpanan yang salah di perpustakaan.
3. Pustakawan secara langsung bertanggung jawab
atas implementasi kebijakan perusahaan tentang
pita yang akan didaur ulang

9
 F. Tujuan Audit
1. Melakukan penilaian risiko mengenai
pengembangan, pemeliharaan, dan operasi sistem.
2. Memverifikasi bahwa orang-orang dengan pekerjaan
yang tidak kompatibel telah dipisah sesuai dengan
tingkat potensi risikonya.
3. Memverifikasi bahwa pemisahan tersebut dilakukan
dalam cara yang dapat mendorong lingkungan kerja
di mana hubungan formal, bukan informal, ada
antarpekerjaan yang tidak saling bersesuaian
tersebut.
G. Prosedur Audit
1. Mendapat dan mengkaji kebijakan perusahaan atas
keamanan komputer.
2. Mengkaji dokumen yang terkait, termasuk struktur
organisasi saat ini, pernyataan misi, dan deskripsi
pekerjaan untuk berbagai fungsi penting, agar
dapat menentukan apakah ada orang atau
kelompok yang menjalankan fungsi-fungsi yang
tidak saling bersesuaian.
3. Mengkaji dokumentasi sistem dan catatan
pemeliharaan untuk mencari sampel aplikasi.
4. Melalui observasi, tentukan apakah kebijakan
pemisahan pekerjaan diikuti dalam praktiknya.
5. Mengkaji hak-hak dan keistimewaan para pengguna
untuk memverifikasi bahwa para programer
memiliki izin akses yang sesuai dengan deskripsi
pekerjaan mereka.
1.1.3. Model Terdistribusi
Alternatif dari konsep terpusat adalah konsep
pemrosesan data terdistribus (distributed data procesiing
DDP). Alternatif A sesungguhnya adalah varian dari model
terpusat; perbedaannya adalah terminal-terminalnya
didistribusikan ke para pengguna akhir untuk menangani input
dan output. Penataan ini meniadakan kebutuhan akan kellmpok
pengendalian data dan konversi data yang terpusat, karena
para pengguna kini akan melakukan berbagai pekerjaan

10
tersebut. Akan tetapi, pengembangan sistem, operasional
komputer, dan administrasi basis data masih terpusat. Alternatif
B adalah perubahan radikal dari model tersebut. Alternatif ini
mendistribusikan semua layanan komputer ke para pengguna
akhir, di mana mereka dapat beroperasi sebagai unit-unit yang
berdisi terpisah. Hasilnya adalah peniadaan fungsi layanan
komputer pusat dalam struktur organisasi perusahaan.
Figur 2-3
Dua Pendekatan Pemrosesan Data Terdistribusi

A. Risiko yang Berkaitan dengan DDP

Ketidakefisienan penggunaan sumber daya. Pertama,
ada risiko terjadinya kesalahan manajemen atas sumber
daya keseluruhan perusahaan, terutama oleh para
pengguna akhir. Kedua, ada risiko peranti keras dan lunak
tidak sesuai satu sama lain, terutama, sekali lagi, di
tingkat pengguna akhir. Ketiga, ada risiko terjadinya
pekerjaan yang redundan (rangkap) berkaitan dengan
aktivitas dan tanggung jawab pengguna akhir.
B. Kerusakan Jejak Audit
Penggunaan DDP dapat memengaruhi secara negatif
jejak audit. Karena jejak audit dalam sistem yang modern
cenderung bersifat elektronik, merupakan hal biasa jika
sebagian atau seluruh jejak audit berada dalam berbagai

11
 komputer pengguna akhir. Apabila pengguna akhir secara
tidak sengaja menghapus jejak audit, maka jejak audit
tersebut dapat hilang dan tidak dapat dipulihkan. Atau,
jika pengguna akhir secara tidak sengaja memasukkan
beberapa kesalahan yang lolos dari pengendalian ke
dalam daftar (log) audit, maka s=jejak audit dapat secara
efektif hancur.
C. Pemisahan Tugas yang Tidak Memadai
Distribusi layanan TI ke para pengguna dapat
menghasilkan terciptanya banyak unit kecil yang tidak
memungkinkan adanya pemisahan berbagai fungsi yang
teidak saling bersesuaian. Kondisi ini akan menjadi
pelanggaran pengendalian internal yang mendasar. Akan
tetapi, mewujudkan pemisahan tugas yang memadai
mungkif tidak dapat dilakukan dalam beberapa
lingkungan yang terdistribusi.
Mempekerjakan profesional yang berkualitas. Para
manajer yang juga pengguna akhir dapat saja kurang
memiliki pengetahuan dalam mengevaluasi kualifikasi dan
pengalaman terkait beberapa kandidat yang melamar
untuk posisi sebagai profesional komputer. Risiko
kesalahan pemrograman dan kegagalan sistem akan
meningkat secara langsung bersamaan dengan tingkat
inkompetensi karyawan. Masalah ini akan meluas masuk
ke dalam ranah akuntan dan auditor, yang membutuhkan
keahlian teknis yang secara khusus dibutuhkan untuk
mengaudit sistem informasi akuntansi yang melekat
dalam teknologi komputer dengan baik.
Kurangnya stadar. Karena adanya pendistribusian
tanggung jawab dalam lingkungan DDP, standar untuk
mengembangkan dan mendokumentasikan sistem,
pemilihan bahasa pemrograman, pengadaan peranti keras
dan lunak, serta evaluasi kinerja mungkin jarang
diaplikasikan atau bahkan tidak ada. Mereka yang

12
 menentang DDP berpendap bahwa risiko-risiko yang
berkaitan dengan desain dan operasi sistem pemrosesan
dapat dapat ditoleransi hanya jika standar-standar
semacam itu diaplikasikan secara konsisten. Kondisi ini
membutuhkan adanya standar yang ditentukan secara
terpusat.
D. Kelebihan DDP
1. Penurunan biaya. Mikrokomputer dan minikomputer
yang canggih dan murah dan yang dapat
melakukan fungsi-fungsi khusus telah mengubah
nilai ekonomis pemrosesan data secara dramatis.
Selain itu, biaya per unit untuk penyimpanan data,
yang dulu merupakan justifikasi untuk
mengonsolidasikan data ke dalam sebuah lokasi
terpusat, tidak lagi menjadi pertimbangan utama.
Pergeseran ke DDP dapat mengurangi biaya dalam
dua hal: (1) data dapat dimasukkan dan diedit di
area pengguna, hingga meniadakan pekerjaan
terpusat untuk pembuatan dan pengendalian data;
dan (2) kerumitan aplikasi dapat dikurangi, yang
akhirnya akan mengurangi biaya pengembangan
serta pemeliharaan.
2. Peningkatan tanggung jawab pengendalian biaya.
Para manajer yang juga pengguna akhir memiliki
tanggung jawab atas keberhasilan keuangan dari
berbagai operasi mereka. Tanggung jawab ini
mengharuskan para manajer diberdayakan secara
tepat dengan otoritas untuk membuat keputusan
mengenai sumber daya yang memngaruhi
keberhasilan mereka secara umum. Ketika para
manajer tidak dimasukkan dalam pengambilan
keputusan yang penting untuk mencapai tujuan
mereka, kinerja mereka dapat terpengaruh secara

13
 negatif. Akibatnya manajemen yang kurang agresif
dan kurang efektif akan berkembang.
3. Peningkatan kepuasan pengguna. Pendukung DDP
berpendapat bahwa memberikan dukungan yang
lebih khusus (yang hanya dapat dilakukan dalam
lingkungan yang terdistribusi) memberikan manfaat
langsung atas moral dan produktivitas pengguna.
4. Flesibilitas cadangan. Argumentasi terakhir untuk
mendukung DDP adalah kemampuannya untuk
membuat cadangan fasilitas komputer agar
terlindung dari potensi bencana seperti kebakaran,
banjir, sabotase, dan gempa bumi. Satu-satunya
cara bagi sebuah pusat komputer untuk mengatasi
berbagai bencana semacam itu adalah dengan
menyediakan fasilitas komputer kedua. Model yang
terdistribus menawarkan fleksibilitas organisasional
untuk menyediakan cadangan. Setiap unit TI yang
secara geografis terpisah dapat didesain untk
memiliki kelebihan kapasitas. Jika suatu bencana
menghancurkan sebuah lokasi, maka lokasi-lokasi
lainnya dapat menggunakan kelebihan kapasitas
tersebut untuk memproses berbagai transaksi yang
seharusnya dilakukan di lokasi yang hancur
tersebut.
1.1.4. Mengendalikan Lingkungan DDP
A. Kebutuhan akan Analisis yang Cermat
DDP membawa nilai prestise yang tinggi hingga
proses analisis pro dan kontranya akan dapat menutupi
berbagai pertimbangan penting dalam hal manfaat
ekonomi serta kelayakan operasionalnya. Beberapa
perusahaan telah bergeser ke DDP tanpa secara penuh
mempertimbangkan apakah struktur organisasional yang
terdistribusi tersebut akan dapat membuat mereka secara
lebih baik mencapai tujuan perusahaan atau tidak.
Banyak usaha yang berkaitan dengan DDP terbukti tidak

14
 efektif, dan bahkan menghalangi produktivitas, karena
para pengambil keputusan hanya melihat berbagai
kebaikan system ini yang lebih bersifat simbolis daripada
nyata. Sebelum membuat langkah yang tidak dapat
diulang lagi, para pengambil keputusan harus menilai
berbagai kebaikan nyata DDP bagi perusahaan mereka.
Auditor memiliki peluang dan kewajiban untuk
memainkan peran penting dalam analisis ini.
Model yang terpusat penuh dan model yang
terdistribusi penuh mewakili dua posisi ekstrem dalam
sebuah area alternatif struktur. Kebutuhan kebanyakan
perusahaan masuk di antara kedua titik ekstrem ini.
Dalam kebanyakan perusahaan, masalah pengendalian
yang telah dijelaskan sebelumnya dapat ditangani dengan
mengimplementasikan fungsi TI perusahaan.
B. Mengimplementasikan Fungsi TI Perusahaan.
Model yang terpusat penuh dan model yang
terdistribusi penu mewakili dua posisi ekstrim pada
sebuah area alternatif struktur. Kebutuhan sebagian besar
perusahaan masuk di antara kedua titik ekstrem ini.
Dalam kebanyakan perusahaan, masalah pengendalian
yang telah dijelaskan sebelumnya dapat ditangani dengan
pengimplementasian fungsi TI Perusahaan..
Fungsi ini banyak berkurang dari segi ukuran dan
statusmya daripada model yang dimilikinya dalam model
terpusat ditunjukkan dalam gambar 2-2. Corporate group
IT menyediakan pengembangan sistem dam manajemen
basis data untuk sistem keseluruhan perusahaan selain
dari saran serta keahlian teknis bagi komunitas yang
terdistribusi.
Beberapa layanan yang disediakan akan dijelaskan
sebagai berikut :
Pengujian terpusat atas peranti luunak komersial dan
peranti keras. Kelompok TI perusahaan dapat secara lebih
baik dalam mengevaluasi berbagai kebaikan beberapa

15
peranti lunak dank eras yang dijual dipasaran. Kelompok
yang terpusat dan secara teknis bagus dalam
memberikan penilaian, dapat mengevaluasi berbagai fitur
sistem, pengendalian, dan kesesuaiannya dengan
berbagai standar industri serta standar organisasi yang
paling (scara)efisien. Oleh karena itu, organisasi harus
memusatkan pengadaan, pengujian, dan implementasi
peranti lunak dan keras ke fungsi TI perusahaan.
Layanan pengguna. Sebuah fitur yang berharga dari
kelompok perusahaan adalah fungsi layanan
penggunanya. Aktivitas ini menyediakan bantuan bersifat
teknis bagi para pengguna selama instalasi perangkat
lunak baru serta dalam mengatasi berbagai masalah
peranti lunak dank eras. Pembuatan papan buletin
elektronik bagi para pengguna adala cara yang sempurna
untuk menyebarluaskan informasi mengenai berbagai
masalah yang sering muncul dan memungkinkan adanya
proses berbagai atas progam yang dikembangkan oleh
pengguna , ke satu sama lain dalam perusahaan.
Beberapa forum modern lainya dapat membrikan manfaat
yang sama contohnya : chat room, diskusi bersambung
,atau dukungan dalam bentuk FAQ serta intranet.
Lembaga pembuat standar. Lingkungan pengendalian
yang relative kurang baik akibat dari model DDP dapat
diperbaiki dengan membuat beberapa petunjuk terpusat.
Kelompok perusahaan dapat memberikan kontribusinya
untuk tujuan ini dengan membentuk serta
menyebarluaskan ke berbagai area pengguna standar
standar yang sesuai untuk pengembangan sistem,
pemrograman dan dokumentasi system.
Kajian personal (Personal Revies). Kelompok perusahaan
mungkin lebih baik persiapannya daripada para pengguna
dalam mengevaluasi secara teknis kualifikasi para calon
praktisi sistem. Walaupun para praktisi sistem

16
 sesungguhnya akan menjadi bagian dari kelompok
pengguna, keterlibatan kelompok perusahaan dalam
keputusan untuk mempekerjakan dapat memberikan
layanan yang berharga bagi perusahaan.
C. Tujuan Audit
1. Melakukan penilaian resiko atas fungsi TI DDP
2. Menverifikasi bahwa unit-unit IT yang terdistribusi
menggunakan berbagai standard kinerja
keseluruhan perusahaan yang mendorong
kesesuaian diantara hardware, software aplikasi
peranti lunak dan data.
D. Prosedur Audit
1. Memverifikasikan bahwa berbagai kebijakan dan
standar perusahaan untuk desain sistem,
dokumentasi, dan pengadaan hardware dan
software telah dikeluarkan dan disebarluaskan ke
berbagai unit TI.
2. Mereview struktur organisasi (organizational chart),
pernyataan misi, dan job descriptions terkini bagi
fungsi-fungsi utama untuk menetapkan apakah
karyawan atau kelompok sedang melakukan tugas-
tugas yang tidak sesuai (bertentangan).
3. Memverifikasi bahwa pengendalian pengganti
(compensating control) seperti supervisi dan
pengawasan manajemen dilakukan ketika
pemisahan pekerjaan yang tidak saling
berkesesuaian secara ekonomi tidak mungkin
dilakukan.
4. Mengkaji/review dokumentasi sistem untuk
memverifikasi bahwa berbagai aplikasi, prosedur,
dan database dirancang, dan berfungsi sesuai
dengan standar perusahaan.
5. Memverifikasi bahwa tiap karyawan diberikan izin
akses sistem ke berbagai program dan data sesuai
dengan deskripsi pekerjaannya.

17
1.2. Pusat Komputer
1.2.1. Pengendalian Pusat Komputer
Para akuntan mempelajari lingkungan fisik pusat komputer
sebagai bagian dari audit tahunan mereka. Eksposur di area ini
memiliki potensi dampak yang besar atas informasi catatan
akuntansi, pemrosesan transaksi , dan efektivitas berbagai
pengendalian lainnya yang lebih konvensional dan internal.
Berikut ini adalah beberapa fitur pengendalian yang secara
langsung dapat berkontribusi pada keamanan lingkungan pusat
computer.
A. Lokasi Fisik
Lokasi fisik pusat komputer secara langsung
mempengaruhi berbagai resiko bencana dan
ketidaktersediaan. Sebisa mungkin, pusat komputer harus
jauh dari berbagai bahaya yang ditimbulkan manusia dan
alam seperti pemrosesan pabrik, gas, dan pipa air,
bandara, wilayah yang tingkat kejahatannya tinggi,
daratan yang banjir, keretakan pada lapisan permukaan
bumi secara geologi. Lokasi tersebut harus sejauh
mungkin dari arus lalu lalang normal, seperti lantai
tertinggi dari sebuah bangunan, atau merupakan
bangunan yang terpisah dan mandiri. Menyadari bahwa
menempatkan lokasi pusat komputer dilantai bawah
sebuah gedung kantor dapat menciptakan eksposur
adanya risiko bencana seperti banjir.
B. Konstruksi
Idealnya, sebuah pusat komputer seharusnya
ditempatkan pada sebuah bangunan berlantai satu yang
konstruksinya kokoh dengan akses yang terkendali. Utility
(listrik dan telepon) dan saluran komunikasi seharusnya

18
 ditanam di bawah tanah (underground). Jendela bangunan
tidak boleh terbuka. System penyaringan udara harus ada
dan harus ditempatkan yang mana mampu menyaring
serbuk sari, debu, dan serangga. Jika pusat komputer
terpaksa berlokasi di gedung yang terdiri atas beberapa
lantai, maka seharusnya ditempatkan di lantai atas, jika
memungkinkan.
C. Akses.
Akses ke pusat komputer harus dibatasi hanya untuk
para operator dan karyawan lainnya yang bekerja
ditempat tersebut. Pengendalian fisik, seperti pintu yang
terkunci, seharusnya digunakan untuk membatasi akses
ke pusat tersebut. Pintu masuk utama ke pusat komputer
seharusnya melalui sebuah pintu yang terkunci. Untuk
mencapai tingkat keamanan yang tinggi, akses harus
dimonitor oleh sirkuit kamera local dan system rekaman
video. Pusat komputer juga seharusnya menggunakan
sign-in logs atau daftar masuk bagi para programmer dan
analis yang membutuhkan akses untuk memperbaiki
kesalahan program.
D. Pengatur Suhu Udara
Komputer akan berfungsi secara baik dalam
lingkungan yang memiliki pengatur suhu udara. Untuk
komputer mainframe, menyediakan pengatur suhu udara
yang seringkali merupakan sebuah persyaratan jaminan
vendor. Komputer beroperasi paling bagus dala suhu
berkisar dari 70 sampai 75 derajat Fahrenheit dan
kelembaban relatif 50 persen. Kesalahan logika dapat
terjadi dalam peranti keras computer jika suhu
menyimpang jauh dari kisaran optimalnya. Selain itu risiko
kerusakan sirkuit akibat gelombang listrik statis akan
meningkat ketika kelembaban turun. Sebaliknya,
kelembaban yg tinggi dapat menyebabkan jamur tumbuh,
kertas akan rusak serta perlengkapan akan menjadi

19
 macet. Bahkan, Sekelompok PC akan menghasilkan panas
yang tinggi, hingga ruangan yang dipenuhi dengan PC
membutuhkan pengaturan suhu udara yang khusus.
E. Pemadam Kebakaran
Sebagian besar bencana alami yang biasa
mengancam bagi peralatan komputer perusahaan adalah
kebakaran. Sebagian perusahaan yang menderita
kebakaran bangkrut karena kehilangan berbagai catatan
yang sangat penting, seperti piutang dagang.
Implementasi sistem pemadam kebakaran yang efektif
memerlukan konsultasi dengan spesialis khusus.
Beberapa fitur utama dari sistem pemadam kebakaran
meliputi hal-hal berikut:
1. Alarm otomatis dan manual harus ditempatkan
pada lokasi strategis disekitar instalasi
2. Harus ada sebuah sistem pemadaman kebakaran
otomatis yang dapat menghentikan kebakaran jenis
tertentu di lokasi terkait.
3. Alat pemdam kebakaran manual harus ditempatkan
diberbagai lokasi strategis.
4. Bangunan terkait harus bagus konstruksinya untuk
dapat menahan kerusakan akibat air yang
ditimbulkan dari perlengkapan pemadam kebakaran
5. Pintu keluar darurat harus ditandai dengan jelas
dan dapat bercahaya selama terjadi kebakaran.
F. Pasokan Listrik
Listrik yang di sediakan secara komersial
memberikan beberapa masalah yang dapat mengganggu
operasi pusat komputer, termasuk mati listrik,penurunan
daya listrik, fluktuasi daya, dan perbedaan daya.
Perlengkapan yang digunakan untuk mengendalikan
berbagai masalah ini meliputi regulator voltase (voltage
regulators), pelindung ubungan pendek (surge
protectors), generator, dan baterai. Luas dan konfigurasi
peralatan pengendalian yang diperlukan akan tergantung
pada kemampuan perusahaan untuk menanggung

20
 berbagai gangguan dan daya yang dicatat perusahaan
untuk menyediakan layanan yang dapat diandalkan
(reliable). Pasokan listrik yang tiba-tiba turun dan
penurunan daya listrik dapat dikendalikan dengan adanya
cadangan baterai. Keputusan mengenai pengendalian
listrik dapat menjadi salah satu keputusan yang mahal,
dan biasanya memerlukan saran dan analisis dari para
ahli.
G. Tujuan Audit
Tujuan umum yang berkaitan dengan pengendalian
pusat komputer adalah untuk mengevaluasi berbagai
pengendalian yang mengatur keamanan pusat komputer.
Secara khusus, auditor harus memverifikasi bahwa:
1. Keamanan pengendalian fisik secara ajar memadai
untuk melindungi perusahaan dari eksposur fisik.
2. Jaminan atas perlengkapan telah memadai untuk
dapat mengganti kerugian perusahaan jika terjadi
kehancuran atau kerusakan (bencana), terhadap
pusat computer terkait.
3. Dokumentasi operator memadai untuk dapat
menangani kegagalan system.

H. Prosedur Audit
Berikut ini merupakan pengejian fisik pengendalian
keamanan:
Pengujian Konstruksi Fisik (Test of Physical Construction).
Auditor harus menentukan apakah pusat komputer
dibangun secara kokoh dari bahan yang tahan api. Dalam
hal ini, harus ada drainase yang memadai dibawah lantai
yang ditinggikan untuk memungkinkan air mengalir keluar
jika terjadi banjir ketika terjadi kebakaran dilantai atasnya
atau dan sumber lainnya. Dan juga auditor harus
mengevaluasi lokasi fisik pusat komputer. Fasilitas harus
ditempatkan dalam sebuah area yang dapat

21
meminimalkan eksposur kebakaran, kerusuhan, dan
bahaya lainnya.
Pengujian system deteksi kebakaran (Tests of the Fire
Detection System). Auditor harus meyakini bahwa alat
pendeteksi dan perlengkapan pemadam kebakaran ada,
baik yang manual maupun yang otomatis,seta diuji secara
teratur. Sistem pendeteksi kebakaran harus mendeteksi
asap, panas, dan gas yang mudah terbakar.
Pengujian Pengendalian Akses (Tests of Access Control).
Auditor harus memastikan bahwa akses rutin ke pusat
komputer hanya terbatas untuk karyawan-karyawan yang
diberi otorisasi. Rincian mengenai akses para pengunjung
(melalui programmer dan yang lainnya) seperti waktu
kedatangan dan kepergian, tujuan dan frekuensi akses,
dapat diperolah dengan mengkaji daftar akses atau
access log. Untuk memastikan kelengkapan dokumen ini,
auditor dapat secara diam-diam mengamati proses
pemberian izin akses, atau mengkaji pita rekaman video
dari berbagai kamera di titik akses, jika digunakan.
Pengujian Pasokan Listrik Cadangan ( Tests of Backup
Power Supply). Pusat komputer harus melaksanakan
pengujian berkala terhadap pasokan listrik cadangannya
untuk memastikan bahwa tempat tersebut memiliki
kapasitas yang cukup untuk menjalankan komputer dan
pengaturan suhu udara. Ini merupakan pengujian yang
sangat penting dan hasilnya harus secara formal dicatat.
Pengujian Cakupan Asuransi (Tests for Insurance
Coverage). Auditor setiap tahun harus mengkaji cakupan
asuransi perusahaan atas hardware, software, dan
fasilitas fisik komputernya. Pengadaan baru harus
didaftarkan dalam polis asuransi dan perlengkapan serta
peranti lunak yang sudah usang dan software yang harus
disingkirkan.
Pengujian pengendalian dokumentasi operator( Tests of
Operator Documentation Controls). Auditor harus

22
 menverifikasi bahwa sistem dokumentasi, seperti bagan
alir, bagan alir logika progam dan daftar kode progam,
bukan merupakan bagian dari dokumentasi operasional.
Operatpr seharusnya tidak memiliki akses ke perincian
operasional logika internal system. Akan tetapi auditor
harus menentukan bahwa ada dokumentasi pengguna
yang memadai, atau ada fungsi help desk yang memadai,
untuk mengurangi jumlah kesalahan dalam system
Auditor harus menentukan bahwa dokumentasi pengguna
yang sesuai tersedia, atau sebuah fungsi help desk di
tempatkan, untuk mengurangi jumlah kesalahan dalam
system operasi. Dalam system lama para operator
computer menggunakan buku petunjuk pelaksaan untuk
melakukan fungsi tertentu. Auditor harus mengkaji buku
petunjuk pelaksanaan untuk melihat kelengkpan dan
akurasinya.
1.2.2. Perencanaan Pemulihan dari Becanda
Tiga tipe kejadian yang dapat menggangguatau
menghancurkan pusat komputer perusahaan dan system
informasinya, yakni bencana alam, bencana akibat manusia dan
kegagalan sistem. Bencana alam seperti: banjir, kebakaran
gempa bumi, biasanya dapat menghancurkan bagi pusat
komputer dan SI walaupun kemungkinannya kecil. Kadang-
kadang kejadian bencana alam tidak dapat dihindari. Dengan
perencanaan yang hati-hati , dampak penu dari suatu bencana
dapat dikurangi dan perusahaan masih dapat pulih kembali.
Bencana akibat manusia seperti sabotase dan error dapat sama
menghancurkannya. Kegagalan sistem seperti listrik padam
atau kegagalan hard-drive umumnya lebih terbatas lingkupnya
tapi merupakan peristiwa berkategori bencana yang sering
terjadi.
Kesemua bencana ini dapat membuat perusahaan
kehilangan fasilitas pemrosesan datanya, mengehntikan
berbagai fungsi bisnis yang dilakukan atau dibantu oleh

23
computer, dan menurunkan kemmapuan perusahaan untuk
menjalankan bisnis. bencana juga mengakibatkan kerugian
investasi dalam hal teknologi dan system. Bagi banyak
perusahaan seperti Amazon dan eBay.com, hilangnya bahkan
beberapa jam saja kemampuan pemrosesan computer dapat
mengakibatkan bencana. untuk dapat bertahan hidup dari
peristia semacam itu perusahaan mengembangkan prosedur
pemulihan dan merumuskannya dalam bentuk rencana
keberlanjutan perusahaan,rencana pemulihan dari bencana
atau rencana pemuliahn bisnis. Rencana pemulihan dari
bencana (Disaster Recovery Plan- DRP ) merupakan penyataan
yang komprehensif tentang semua tindakan yang akan harus
dilakukan sebelum, selama dan setelah adanya bencana jenis
apapun bersama dengan berbagai prosedur yang
didokumentasikan dan diuji yang akan memastikan
keberlanjutan operasi perusahaan.
Berikut beberapa pencegahan untuk mengantisipasi bencana:
1. Indetifying critical applications
2. Membuat tim pemulihan bencana
3. Menyediakan cadangan lokasi.

24
A. Mengidentifikasi Aplikasi yang Sangat Penting
Elemen mendasar pertama dalam sebuah DRP
adalah mengidentifikasi berbagai aplikasi yang sangat
penting dan yang berkaitan dengan berbagai file data.
Usaha pemulihan harus berkonsentrasi pada pemulihan
atas berbagai aplikasi yang sangat penting tersebut agar
perusahaan dapat bertahan hidup dalam jangka pendek.
Tentu saja, dalam jangka panjang semua aplikasi harus
diperbaiki ke tingkat yang sama sebelum terjadinya
bencana. Akan tetapi, DRP tidak boleh mencoba untuk
memulihkan keseluruhan fasilitas pemrosesan data
perusahaan ke kapasitas penuhnya. Sebagai gantinya
rencana tersebut harus focus untuk bertahan hidup dalam
jangka pendek.
Prioritas berbagai aplikasi dapat berubah dengan
seiring aktu, dan keputusan iniharus dinilai kembali secara
teratur. System secara kosntan harus direvisi dan

25
 diperluas untuk mencerminkan berbagai perubahan
dalam kebutuhan pengguna . begitu pula DRP yang harus
diperbarui untuk mencerminkan perkembangan baru dan
mengidentifikasi berbagai aplikasi yang sangat penting.
B. Membentuk Tim Pemulihan dari Bencana
Figure 2-7 menyajikan struktur organisasional yang
menggambarkan komposisi tim rencana pemulihan dan
bencana. Para anggota tim haruslah para ahli dalam
bidang masing-masing dan memiliki pekerjaan tertentu
yang ditugaskan kepadanya. Setelah terjadi bencana ,
anggota tim akan mendelegasikan berbagai subpekerjaan
ke bawhan mereka. Lingkungan yang terbentuk akibat
bencana mungkin mengharuskan dilakukannya
pelanggaran atas teknik pengendalian, seperti pemisahan
pekerjaan, pengendalian akses, dan pengawasan.
C. Menyediakan Cadangan Lokasi
Bahan yang paling penting dalam sebuah DRP
adalah rencana tersebut memungkinkan adanya fasilitas
pemrosesan data duplikat setelah adanya bencana. Di
antara berbagai pilihan yang tersedia adalah hot site cold
site, perjanjian bantuan saling mengeuntungkan ,
cadangan yang disediakan secara internal dan lain-
lainnya.
Hot Site/ pusat operasional pemulihan. Salah satu
pendekatan untuk mengontrak sebuah lokasi cadangan
adalah dengan Hot side atau recovery operation center
ROC yang memiliki peralatan lengkap. Karena investasi
yang besar, hot site biasanya digunakan dengan
beberapa perusahaan. Perusahaan-perusahaan ini dapat
membeli sebagian atau menjadi pelanggan hot site terkait
dengan membayar biaya bulanan atas hak
penggunaannya. Pendekatan ini memiliki resiko apabila
bencana alam yang luas akan mempengaruhi banyak
perusahaan dalam area geografis yang sama. Jika
beberapa perusahaan berbagi ROC yang sama, beberapa

26
perusahaan akan berakhir dengan mengantre dalam
barisan tunggu. Kelebihan hot site dibanding cold site
adalah waktu pemulihan yang jauh lebih singkat. Hot site
memiliki berbagai fasilitas, furniture, hardware dan
bahkan sistem operasi didalamnya. Apabila terjadi
gangguan besar, pelanggan(perusahaan) dapat
menempati lokasi tersebut, dan dalam beberapa jam
dapat saja dapat melanjutkan pemrosesan berbagai
aplikasi yang sangat penting.
Cold site/Ruang Kosong. Variasi dari pendekatan hhot site
adala pilihan cold site atau ruang kosong. Pendekatan ini
biasanya melibatkan dua lokasi computer, tetapi tanpa
adanya perlengkapan computer serta peripheral.
Contohnya , ruangan biasanya dilengkapi dengan lantai
yang ditinggikan dan pengatur suhu udara. Jika terjadi
suatu bencana, ruang tersebut tersedia dan siap untuk
menerima peranti keras apapaun yang dibutuhkan
pengguna sementaranya agar dapat menjalankan system
pemrosesan data yang sanagat penting. Walaupun
merupakan perbaikan dari perjanjian bantuan saling
menguntungkan, pendekatan ruang kosong ini memiliki
dua masalah besar. Pertama, pemuliha tergantung pada
ketersediaan peranti keras computer yang dibutuhkan
untuk memulihkan fungsi pemrosesan data secara tepat
waktu. Masalahh yang kedua dari pendekatan ini adalah
potensi adanya persaingan antara beberapa pengguna
atas sumber daya ruangan, sama seperti yang terjadi
pada hot site.
Perjanjian Bantuan Saling Menguntungkan. Perjanjian
yang saling menguntungkan adalah suatu kesepakatan
antara dua atau lebih (dengan fasilitas komputer yang
komaptibel) untuk saling membantu dalam hal
pemrosesan data yang mereka butuhkan jika terjadi
bencana. Ketika terjadi bencana, perusahaan host tuan

27
rumah harus menginterupsi jadwal pemrosesannya untuk
memproses berbagai aplikasi penting perusahaan yang
terkena bencana. Hal ini berdampak pada perusahaan
host harus memposisikan diri dalam mode daurat (dan
memotong pemrosesan aplikasi prioritas rendah) untuk
mengakomodasi peningkatan permintaan sumber daya IT
yang tiba-tiba. Perjanjian timbal balik seperti ini
merupakan pilihan yang popular dan banyak diminati.
Karena relatif cost-free (selama tidak terjadi bencana) dan
memberikan kenyamanan secara psikologis dalam tingkat
tertentu.
Cadangan yang Disediakan Secara Internal (Internally
Provided Backup). Perusahaan yang lebih besar dengan
beberapa pusat pemrosesan data lebih suka memilih
mengandalkan diri sendiri dengan syarat adanya
pembentukan kelebihan kapasitas internal. Pilihan ini
memungkinkan perusahaan untuk mengembangkan
susunan/konfigurasi hardware dan software yang dapat
memastikan kecocokan fungsional antarpusat
pemrosesan data dan meminimisasi masalah perpindahan
ketika terjadi bencana. Pada dasarnya, cadangan yang
disediakan secara internal hampir sama dengan perjanjian
bantuan yang saling menguntungkan antara berbagai
cabang dalam entitas yang sama.
Cadangan Peranti Keras. Jika menggunakan metode cold
site untuk menyediakan layanan cadangan, maka entitas
harus memastikan bahwa hardware komputer siap
tersedia ketika keadaan darurat.
Cadangan Peranti Lunak: Sistem Operasi. Jika perusahaan
menggunakan metode cold site atau metode lainnya yang
tidak menyertakan operating system (O/S) yang
kompatibel, maka DRP harus mencakup prosedur untuk
membuat salinan dari sistem operasi entitas terkait yang
siap di akses ketika terjadi bencana. Tujuan ini dapat

28
diwujudkan dengan menjaga adanya salinan O/S yang
valid dan terkini disuatu lokasi cadangan yang dekat.
Cadangan Peranti Lunak: Aplikasi. Berdasarkan tahapan
aplikasi yang sangat penting, DRP harus terdiri dari suatu
prosedur untuk menyediakan salinan atau cetakan dari
aplikasi peranti lunak yang penting. Sekali lagi prosedur
ini dapat dicapai dengan menyediakan salinan yang cukup
untuk berbagai aplikasi yang penting di lokasi cadangan
yang dekat.
File Data Cadangan. Basis data seharusnya disalin setiap
harinya ke media berkapasitas tinggi dan berkecepatan
tinggi, seperti CD/DVD dan lokasi aman yang berada
diluar perusahaan. Jika terjadi suatu bencana, rekonstruksi
dari basis data diwujudkan dengan memperbarui versi
cadangan yang terkini dengan data transaksi selanjutnya.
Demikian dengan file induk dan file transaksi harus
dilindungi.
Dokumentasi Cadangan. Dokumentasi system untuk
berbagai aplikasi yang paling penting seharusnya dibuat
cadangannya dan disimpan di luar perusahaan dengan
cara yang sama seperti menyimpan file data. Besarnya
volume bahan yang dilibatkan dan adanya revisi aplikasi
secara konstan akan membuat tugas menjadi rumit.
Proses tersebut dapat menjadi lebih efisien dengan
menggunakan alat dokumentasi CASE. DRP harus juga
memasukan penyediaan provisi untuk berbagai salinan
petunjuk bagi pengguna yang hharus siap untuk
digunakan.
Cadangan Dokumen Pasokan dan Dokumen Sumber.
Perusahaan harus menyediakan cadangan persedian
pasokan dan dokumen sumber yang digunakan dalam
aplikasi penting. Contoh dari pasokan yang penting
adalah kartu persediaan, faktur, order pembelian dan
formulir khusus yang tidak bisa diperoleh dengan cepat.

29
 DRP harus memerinci jenis dan kuantitas yang dibutuhkan
dokumen khusus ini.
Menguji DRP. Sebagaian besar aspek perencanaan
contigancy yang diabaikan adalah pengujian rencana.
Akan tetapi kemudian DRP penting dan harus
dilaksanaakan secara periodik. Pengujian mengukur
ksiapan personel dan mengidentifikasikan penghapusan
atau bottlenecks dalam rencana.
Tujuan Audit. Menverifikasi bahwa rencana pemulihan
bencana ( DRP ) organisasi sesuai untuk memenuhi
kebutuhan organisasi dan pengimplimasiannya
menguntungkan dan praktis.
Prosedur Adudit. Menverifikasi bahwa DRP manajemen
merupakan sebuah solusi yang realistis untuk perjanjian
terhadap bencana alam yang dapat menghalangi
organisasi dari sumberdaya komputernya. Fokus
pengujian berikut pada perhatian area-area yang paling
besar.
1.2.3. Pengendalian Toleransi Kegagalan
Toleransi kegagalan (fault tolerance) adalah kemampuan
sistem untuk melanjutkan operasinya ketika sebagian dari
sistem tersebut gagal karena adanya kegagalan peranti keras,
kesalahan dalam program aplikasi atau kesalahan operator.
Beberapa tingkat toleransi kegagalan dapat diwujudkan melalui
implementasi beberapa komponen sistem yang redundan:
1. Redundant array of inexpensive (independent) disks
(RAID). Terdapat beberapa jenis konfigurasi RAID. Pada
dasarnya tiap metode melibatkan penggunaan beberapa
disket paralel yang berisi beberapa elemen data dan
aplikasi yang redundan. Jika salahsatu disket gagal maka
data yang hilang secara otomatis akan di rekronstruksi
dari komponen redundan yang disimpan di disket lainnya.
2. Uninterruptable power supplies (UPS). Jika terjadi
pemadaman listrik maka sumber listrik cadangan dengan
tenaga baterai yang tersedia akan memungkinkan sistem

30
 untuk mematikan dirinya secara terkendali. Proses ini
akan mencegah hilangnya dan rusaknya data yang dapat
terjadi akibat dari kegagalan dari sistem yang tidak
terkendali.
3. Multipemrosesan, penggunaan yang simultan dua atau
lebih processor meningkatkan jumlah pemrosesan yang
dapat dijalankan dalam operasi normal. Jika terjadi
kegagalan processor berbagai prosessor sama lainnya
akan menyeimbangkan beban kerja dan memberikan
bantuan penuh.
Mengimplementasikan pengendalian toleransi kegagalan akan
memastikan bahwa tidak ada satupun titik potensi kegagalan
sistem. Kegagalan total hanya dapat terjadi jika timbul
kegagalan dalam beberapa komponen sekaligus.
A. Tujuan audit
Memastikan bahwa perusahaan menggunakan tingkat
toleransi kegagalan yang tepat.
B. Prosedur audit
1. Kebanyakan sistem yang menggunakan RAID
menyediakan pemetaan grafis diket penyimpanan
redundanya. Dari pemetaan ini auditor harus
menentukan apakah tingkat RAID yang ada
memadai bagi perusahaan.
2. Jika perusahaan tidak menggunakan RAID potensi
suati titik kegagalan sitem akan ada. Auditor harus
mengkaji bersama dengan administrator sistem
berbagai prosedur alternatif untuk pemulihan dari
kegagalan disket.
3. Menentukan bahwa berbagai salinan disket boot
telah dibuat untuk beberapa server di jaringan guna
berjaga jaga jika terjadi kegagalan sektor boot.
Karna disket boot dapat digunakan untuk memotong
proses boot yang normal, disket tersebut harus
diamankan dan akses ke disket tersebut harus
dibatasi hanya untuk administratornya saja.

31
1.3. Pengendalian Sistem Operasi dan Pengendalian Keseluruhan
Sistem
Sistem operasi (operating system) adalah program pengendali
dalam komputer.
Sistem ini memungkinkan para pengguna dan aplikasi didalamya
untuk berbagi dan mengakses sumber daya komputer bersama
seperti prosessor, memori utama, basis data dan printer.
Sistem operasi melakukan tiga pekerjaan utama. Pertama,
sistem ini menerjemahkan bahasa tingkat tinggi, seperti COBOL,
BASIC,bahasa c, dan SQL kedalam bahasa tingkat mesin yang dapat
dijalankan oleh komputer. Modul modul penerjemah bahasa dalam
sistem operasi disebut sebagai kompilator dan interpreter. Kedua,
sistem operasi mengalokasikan berbagai sumber daya komputer ke
para pengguna, kelompok kerja dan aplikasi. Ketiga, sistem operasi
mengelola berbagai pekerjaan penjadwalan pekerjaan dan multi
pemograman. Untuk melakukan pekerjaan secara konsisten dan
handal maka sistem operasi harus mencapai lima tujuan
pengendalian fundamental berikut
1. Sistem operasi harus melindungi dirinya dari para pengguna
2. Sistem operasi harus melindung para penggunanya dari satu
sama lain
3. Sistem operasi harus melindungi para pengguna dari diri
mereka sendiri
4. Sistem operasi harus dilindungi dari dirinya sendiri
5. Sistem operasi harus dilindungi dari lingkungan sekitarnya
1.3.1. Keamanan Sistem Operasi
Keamanan sitem operasi (operating system security)
melibatkan kebijakan, prosedur, dan pengendalian yang
menentukan siapa saja yang dapat mengakses sistem operasi,
sumber daya mana yang dapat diakses dan tindakan apa yang
dapat dilakukan.
A. Prosedur Logon adalah pertahanan garis depan sitem
operasi dari akses tidak sah. Saat pengguna memulai
proses tersebut akan disajikan dialog yang meminta id
dan kata sandinya.

32
 B. Acces Token, jika usaha logon berhasil sistem akan
membuat akses token yang berisi informasi utama
mengenai pengguna, selanjutnya informasi tersebut akan
digunakan untuk menyetujui semua tindakan yang
dilakukan oleh pengguna.
C. Daftar Pengendalian Akses, daftar ini berisi informasi yang
menetapkan hak akses atas semua pengguna valid atas
sumber daya terkait.
D. Pengendali Akses Mandiri, memungkinkan mereka
memberikan hak akses ke pengguna lainnya. Contoh ,
kontroler orang yang merupakan pemilik file buku besar
memberikan hak baca saja kepada seorang manajer
dibagian penganggaran. Akan tetapi manajer dibagian
utang usaha diberikan ijin untuk membaca dan menulis ke
buku besar tersebut.
1.3.2. Ancaman terhadap integritas sistem operasi
Tujuan pengendalian sistem operasi kadang tidak dapat
dicapai karena adanya berbagai kesalahan dalam sitem operasi
yang terjadi secara tidak sengaja atau sengaja. Ancaman yang
tidak disengaja meliputi kegagalan piranti keras yang
menyebabkan sistem operasi gagal (crash). Kegagalan sitem
operasi juga disebabkan oleh berbagai kesalahan dalam
program aplikasi pengguna yang tidak dapat dioterjemahkan
oleh sitem operasi. Kegagalan sitem yang tidak disengaja dapat
menyebabkan keseluruhan segmen masuk kedalam disket dan
printer, hingga mengakibatkan pengungkapan secara tidak
sengaja berbagai informasi rahasia. Ancaman yang dilakukan
secara sengaja terhadap sistem operasi biasanya berupa usaha
untuk mengakses data secara tidak sah atau melanggar privasi
pengguna untuk mendapatkan keuntungan finansial. Akan
tetapi bentuk ancaman yang sedang berkembang saat ini
berasal dari program penghancur yang tidak jelas
keuntungannya untuk apa. Beberapa eksposur ini berasal dari 3
sumber:

33
 1. Personel dengan hak tertentu yang menyalahgunakan
wewenangnya.
2. Orang-orang yang menjelajahi sitem operasi untuk
mengidentifikasi dan mengeksploitasi kelemahan
keamanan.
3. Orang yang menyelipkan virus komputer atau bentuk lain
program penghancur lainnya kedalam sitem operasi.
1.4. Pengendalian keseluruhan sistem
Keamanan keseluruhan sitem dipengaruhi oleh bagaimana
hak akses diberikan. Oleh karenanya, hak semacam ini harus
dikelola dengan hati-hati dan diawasi secara dekat agar sesuai
dengan kebijakan perusahaan dan prinsip pengendalian internal.
1.4.1. Mengendalikan Hak Akses
A. Tujuan audit
Menverifikasi bahwa hak akses diberikan dengan
cara konsisten dengan kebutuhan untuk memisahkan
berbagai fungsi yang tidak saling bersesuaian, dan sesuai
dengan kebijakan perusahaan.
B. Prosedur audit
1. Kaji kebijakan perusahaan atas berbagai fungsi yang
tidak saling bersesuaian dan pastikan bahwa
kebijakan tersebut mendorong adanya keamanan
yang wajar.
2. Kaji berbagai hak sekelompok pengguna dan orang
orang tertentu untuk menentukan apakah hak akses
mereka sesuai dengan deskripsi pekerjaan dan posisi
mereka.
3. Kaji catatan personalia untuk menentukan apakah
para karyawan yang diberikan hak tersebut
menjalani pemeriksaan keamanan intensif yang
cukup atau tidak, sesuai dengan kebijakan
perusahaan
4. .Kaji catatan karyawan untuk menentukan apakah
para pengguna secara formal mengetahui tanggung
jawab mereka untuk mempertahankan kerahasiaan
data perusahaan

34
 5. Kaji waktu logon yang diizinkan untuk para
pengguna. Izin tersebut harus sesuai dengan
pekerjaan yang dilakukan.
1.4.2. Pengendalian kata sandi
Kata sandi adalah kode rahasia yang dimasukkan para
pengguna agar dapat memasuki akses ke sistem. Walaupun
kata sandi dapat memberikan keamanan pada tingkat tertentu,
ketika diterapkan pada para pengguna yang tidak memiliki
konsep keamanan, prosedur kata sandi dapat mengakibatkan
perilaku pengguna yang dapat melemahkan keamanan. Bentuk
paling umum perilaku yang bertentangan dengan keamanan
meliputi:
1. Lupa kata sandi sehingga keluar dari sitem
2. Tidak sering mengubah kata sandi
3. Sindrom post-it
4. Kata sandi yang terlalu sederhana
A. Kata sandi yang dapat digunakan kembali
Metode yang paling umum pada pengendalian kata
sandi adalah melalui kata sandi yang dapat diguanakan
kembali. Kata sandi yang dapat digunakan kembali dan
berisi huruf serta angka acak adalah yang paling sulit
untuk ditelusuri, akan tetapi juga paling sulit diingat oleh
pengguna.
B. Kata sandi sekali pakai
Kata sandi sekali pakai didesain untuk mengatasi
berbagai masalah diatas. Dalam pendekatan ini kata sandi
jaringan milik pengguna akan secara konstan diubah.
C. Kebijakan kata sandi
1. Penyebaran yang tepat, dengan cara memberikan
pelatihan karyawan untuk meningkatkan kesadaran
dalam perusahaan
2. Panjang kata sandi yang sesuai, mencari kata sandi
yang tidak mudah ditebak dengn campuran huruf
dan angka
3. Kekuatan yang sesuai, kata sandi tidak boleh berisi
katakata sungguhan untuk isinya
4. Tingkat akses atau komplesitas yang sesuai

35
 5. Perubahan tepat waktu yang sesuai, adanya perintah
mengubah kata sandi dalam waktu bersamaan
6. Perlindungan yang sesuai
7. Penghapusan yang tepat
D. Tujuan audit
Pastikan bahwa perusahaan memiliki kebijakan kata
sandi yang memadai dan efektif untuk mengendalikann
akses ke sistem operasi.
E. Prosedur audit
1. Menverifikasi bahwa semua pengguna diharuskan
memiliki kata sandi
2. Menverifikasi bahwa semua pengguna diberikan
arahan dalam penggunaan kata sandi mereka dan
peran penting pengendalian kata sandi
3. Tentukan apakah telah ada prosedur untuk
mengidentifikasi berbagai kata sandi yang lemah
4. Nilai kecukupan kata sandi seperti dalam hal
panjangnya dan interval kadaluarsanya
5. Tinjau kembali kebijakan dan penguncian akun
1.4.3. Mengendalikan objek yang merusak dan risiko email
A. Mengendalikan risiko email
Surat elektonik adalah fungsi internet yang paling
terkenal dan jutaan pesan beredar diseluruh dunia setiap
hari. Email memiliki berbagai risiko inheren dalam
penggunaanya yang difikirkan oleh auditor salah satunya
adalah adanya infeksi virus dan worm yang sedang
berkembang luas.
B. Virus adalah sebuah program perusak yang melekatkan
dirinya pada program yang sah untuk memasuki sitem
operasi. Virus menghancurkan berbagai program
aplikasi,file data dan sitem operasi dalam beberapa cara.
Pemahaman akan bagaimana virus bekerja dan bagaimana
virus menyebar antar sistem adalah hal yang penting agar
dapat mengendalikannya secara efektif.
Program virus biasanya melekatkan dirinya ke berbagai file
berikut ini :
1. File program .EXE atau .COM
2. File program .OVL

36
 3. Bagian boot suatu disket
4. Program driver suatu peralatan
5. File sistem operasi
C. Worm adalah program peranti lunak yang
menyembunyikan dirinya kedalam memori komputer dan
mereplikasi dirinya ke berbagai area memori yang tidak
digunakan.
D. Bom logika adalah program perusak yang dipicu oleh
beberapa peristiwa yang telah ditentukan sebelumnya.
E. Pintu belakang (backdoor) adalah program piranti lunak
yang memungkinkan akses secara tidak sah kesistem
tanpa melalui proses logon yang normal. Tujuan dari
program ini untuk menyelipkan virus dan melakukan
penipuan ke dalam sistem.
F. Kuda troya (Trojan horses) adalah program yang tujuannya
menangkap ID dan kata sandi dari pengguna yang tidak
menaruh curiga. Program tersebut didesain menyerupai
sistem logon yang normal,ketika pengguna memasukkan ID
dan kata sandinya maka kuda troya akan menyimpan
salinanya dalam sebuah file tersembunyi.
Ancaman dari berbagai program yang merusak dapat
secara substansial dikurangi melalui penggabungan dua
teknologi dan prosedur administrasi. Berikut contoh yang
dapat digunakan dalam sitem operasi:
1. Beli produk asli dari vendornya.
2. Tetapkan kebijakan keseluruhan perusahaan terkait
dengan penggunaan piranti lunak tidak sah atas
peranti lunak yang memiliki hak cipta.
3. Selalu lakukan upgrade untuk mendeteksi virus.
4. Mengawasi semua peranti lunak domain publik akan
adanya infeksi virus sebelum digunakan.
5. Buat prosedur keseluruhan perusahaan untuk
perubahan dalam program produksi.
6. Buat program pendidikan untuk meningkatkan
kesadaran pengguna.
7. Menginstal aplikasi baru dan melakukan pengujian
keseluruhan sebelum mengimplementasikan di
mainframe atau jaringan LAN.

37
 8. Secara rutin buat salinan cadangan file penting.
9. Jika memungkinkan batasi hak pengguna untuk
membaca saja atau menjalankan saja.
10. Syaratkan adanya berbagai protokol yang secara
eksplisit mendukung prosedur logon sistem operasi
agar dapat memotong akses kuda troya.
11. Secara teratur pindai sistem.
G. Spoofing
Pemalsuan IP Address untuk menyerang sebuah server di internet, kegiatan
ini biasanya dilakukan oleh para hacker/cracker.
H. Spamming
Spamming adalah pengiriman mail yang mungkin tidak diinginkan/tidak
disukai penerima email. Posting yang sering mengakibatkan SPAMMING,
misalnya: berita warning virus, media buyer, multi level marketing, surat
berantai, surat yang tidak berarti (junk mail), bomb mail (mengirim email
sama berulang-ulang) dan hoax email (email bohong, dari sumber yang
tidak jelas). Tujuan dari Spamming merupakan kegiatan "nakal" lainnya di
Internet seperti hacking, cracking, carding.
I. Chain letters
Surat berantai, yaitu surat yang dikirimkan kepada seseorang untuk
dikirim lagi ke penerima yang lain. Surat berantai sebagian besar
berisi berita-berita yang tidak dapat dipertanggungjawabkan isinya.
Cara penyebarannya surat berantai dalam surat berantai biasanya
menawarkan ganjaran uang atau keberuntungan yang akan kita
terima jika kita meneruskan email tersebut kepada orang kita
kenal. Mereka menakuti kita dengan ancaman bad luck dan
konsekuensi yang akan kita terima kalau kita tidak meneruskan
surat tersebut.
J. Urban Legends
Contoh dari urban legends adalah percakapan antara kapten kapal
dengan kapal lain yang ia kira berada dalam jalur tabrakan.
Masing-masing meperdebatkan siapa yang harus keluar dari jalur.
Akhirnya orang kedua menginformasikan kepada kapten kapal
bahwa dia bukanlah kapten kapal melainkan penjaga
mercusuar.Pada umumnya cerita ini menarik, dan baris terakhir
pada pesan menganjurkan penerima untuk mengirim pesan tersebut
kepada teman-temannya.

38
 K. Hoax Virus Warning
Pada dasarnya hoax memiliki kesamaan dengan chain letters
perbedaannya dalam hoax tidak memberikan ganjaran uang atau
keberuntungan yang akan diterima bila mengirimkan pesan kepada
orang yang dikenalnya. Trik dari hoax virus warning adalah
memberikan peringatan tentang konsekuensi yang serius akibat
virus, dan pada akhir pesan membuat seruan untuk
memberitahukan semua teman sebelum mereka terinfeksi. Dengan
membuat pernyataan tersebut penulis mempunyai tujuan untuk
mengedarkan pesannya ke seluruh dunia.
L. Flamming
Kelakuan manusia dalam internet tidak dapat dibatasi untuk
melakukan interaksi. Karena itu, kebanyakan melakukan atau
menulis sesuatu yang tidak mereka lakukan di depan umum.
Flamming adalah pesan yang dibuat penulis untuk menyerang
partisipan lain dengan sangat kasar dan sering menyangkut
hubungan perorangan. Flamming juga memasukkan kata-kata yang
menghina orang lain atau suatu organisasi. Resiko dari flaming
lebih serius karena undang-undang federal mengatur mengenai
pokok persoalan seperti pelecehan seksual. Pengawasan akan
memasukkan pendidikan dan kebijakan melarang flaming dengan
konsekuensinya.
M. Tujuan Audit
Memeriksa efektifitas kebijakan manajemen dan prosedur untuk mencegah
pengenalan dan penyebaran tujuan untuk merusak.
N. Prosedur Audit
1. Melakukan tanya jawab dengan personil operasi, memastikan
mereka telah mengerti tentang virus komputer dan mengetahui
resiko menggunakan komputer serta penyebaran virus dan program
jahat lainnya.
2. Memeriksa prosedur operasi untuk memastikan jika CD yang rutin
digunakan untuk memindahkan data antar kelompok kerja tidak
berisi virus.
3. Membuktikan bahwa sistem pengelola rutin melakukan scan
workstation pada file server, email server dari serangan virus.
4. Membuktikan software yang baru telah diperiksa sesuai stand-
alone yang diimplementasikan pada host atau network server.

39
 5. Membuktikan bahwa software antivirus telah diperbaharui dengan
jarak yang teratur dan didownload untuk pusat kerja per-individu.
1.4.4. Pengendalian Jejak Audit Elektronik
Audit Trail adalah logs yang dapat dirancang untuk catatan aktivitas
pada sistem, aplikasi dan tingkat pengguna. Ketika diimplementasikan dengan
tepat, audit trail menyediakan pengendalian detektif untuk membantu mencapai
tujuan kebijakan keamanan. Audit trail terdiri dari dua jenis audit logs, yaitu: (1)
detailed logs of individual keystrokes, dan (2) event-oriented logs.
A. Pengawasan Ketikan
Keystroke Monitoring meliputi pencatatan keystrokes pengguna
dan respon system. Bentuk log ini dapat digunakan setelah bukti (fact)
untuk merekonstruksi rincian kejadian atau sebagai pengendalian real-time
untuk memonitor atau mencegah instruksi yang tidak diotorisasi.
B. Pengawasan Peristiwa
Event Monitoring meringkaskan aktivitas kunci berkaitan dengan
pengguna, aplikasi dan sumberdaya sistem. Event logs khususnya
mencatat ID semua pengguna yang mengakses sistem; wakti dan durasi
session pengguna; program yang dijalankan selama session; dan file-file,
database, printer dan sumberdaya yang diakses lainnya.
C. Tujuan Jejak Audit
Audit trail dapat digunakan untuk mendukung tujuan keamanan
dalam tiga cara:
1. Mendeteksi akses ke sistem yang tidak diotorisasi
2. Menfasilitasi rekonstruksi kejadian-kejadian
3. Mempromosikan akuntabilitas personal
D. Implementasi Jejak Audit
Informasi yang terkandung pada audit logs berguna bagi akuntan
dalam mengukur potensial bencana dan kerugian finansial yang
berhubungan dengan eror, penyalahgunaan wewenang, atau akses yang
tidak diotorisasi oleh pengganggu luar. Audit logs, bagaimanapun juga
dapat menghasilkan data pada overwhelming detail.
E. Tujuan Audit
Memastikan bahwa pengauditan pengguna dan kejadian memadai
untuk mengukur potensial bencana dan kerugian finansial yang
berhubungan dengan eror, penyalahgunaan wewenang, atau akses yang
tidak diotorisasi oleh pengganggu luar. Audit logs, bagaimanapun juga
dapat menghasilkan data pada overwhelming detail.
F. Prosedur Audit

40
 Sebagian besar sistem operasi menyediakan beberapa bentuk
fungsi-fungsi manajer audit untuk menentukan kejadian-kejadian yang
diaudit. Auditor harus memverifikasi bahwa kejadian audit trail telah
diaktifkan sesuai dengan tujuan organisasi.
1. Banyak sistem operasi yang menyediakan sebuah audit log viewer
yang membenarkan auditor untuk scan log untuk aktivitas yang
tidak biasa.
2. Security group organisasi memiliki, memonitor, dan melaporkan
pelanggaran-pelanggaran keamanan. Auditor harus memilih
sebuah contoh kasus pelanggaran keamanan dan mengevaluasi
disposition mereka untuk mengakses keefektifan security group.

1.5. Sistem Komputer Pribadi (PC)

Bagian dari chapter ini memeriksa resiko , pengendalian, dan pokok persoalan
audit yang berkaitan dangan personal computer enviroment. PC environment
memiliki fitur-fitur yang signifikan.
1.5.1. Sistem Operasi PC
Operating system diaktifkan (boot) dan berada pada memory utama
komputer selama OS dinyalakan. Operating system memiliki beberapa fungsi.
OS mengendalikan CPU, accesses, RAM, menjalankan program, menerima
input dari keyboard atau alat input lainnya, mendapatkan kembali dan
meyimpan data ke dan dari secondary storage devices, menampilkan data pada
monitor, mengendalikan printer, dan melaksanakan fungsi-fungsi lainnya yang
mengendalikan sistem hardware.
Operating system terdiri dari dua jenis instruksi. System-resident
commands aktif pada memory utama pada seluruh waktu untuk
mengkoordinasikan permintaan input/output dan melaksanakan program. Disk
resident commands berada pada sebuah secondary storage device sampai
permintaan dibuat untuk melaksanakan special purpose utility programs ini.
1.5.2. Risiko dan Pengendalian Sistem PC
Ada banyak resiko yang baru dan berbeda yang berhubungan dengan PC:
A. Penilaian Risiko
PC memperkenalkan banyak tambahan resiko atau resiko yang
berbeda. Oleh karena itu, auditor harus menganalisis semua aspek-aspek

41
 PC untuk memastikan resiko spesifik untuk organisasi sebagai subyek,
berhubungan dengan PC. Pada beberapa hal, resiko berhubungan dengan
lingkungan PC akan tersisa suatu pembukaan (exposure), karena tak satu
pun cost effective dapat dibuat mengenai resiko.
B. Kelemahan Inheren
PC hanya menyediakan keamanan minimal lebih dari (pada) file-
file data dan program. Kelemahan pengendalian ini merupakan bawaan
dibalik filosofi rancangan sistem operasi PC. Pada mulanya diperuntukkan
sebagai sistem pengguna tunggal, mereka dirancang untuk membuat
penggunaan komputer mudah dan untuk memudahkan akses, tidak
membatasinya. Filosofi ini sewaktu diperlukan untuk mempromosikan
end-user computing, kadang-kadang ke arah perbedaan dengan tujuan
pengendalian internal.
C. Pengendalian Akses yang Lemah
Keamanan software yang meyediakan prosedur logon tersedia
untuk PC. Sebagian besar program, bagaimanapun, menjadi aktif hanya
ketika komputer di boot dari hard drive. Kejahatan komputer berusaha
untuk menghindari (mengakali) prosedur logon yang dapat dilakukan
dengan memaksa komputer untuk boot dari A: drive, atai CD-ROM drive,
dengan jalan sebuah sistem operasi yang tidak dikendalikan dapat di load
kedalam memory komputer. Pemilikan jalan pintas sistem operasi
komputer yang tersimpan dan paket keamanan, kejahatan memiliki akses
yang tidak terbatas ke data dan program pada hard disk drive.
D. Pemisahan pekerjaan yang tidak memadai
Dalam lingkungan PC, terutama perusahaan-perusahaan kecil,
seorang karyawan dapat memiliki akses ke banyak aplikasi yang
memproses transaksi yang tidak sesuai. Sebagai contoh, satu orang
individu dapat dipercaya untuk mencatat semua data transaksi, termasuk
order penjualan, penerimaan kas, faktur-faktur, dan disbursements.
Khususnya, buku besar dan rekening pembantu diperbaharui secara
otomatis dari sumber-sumber input ini. Pembukaan (exposure) bertambah
ketika ketika operator juga dipercaya untuk pengembangan (programming)
aplikasi yang dia jalankan. Pada operasi perusahaan kecil, mungkin ada
sdikit yang bisa dilakukan untuk mengeliminasi konflik bawaan dari tugas-
tugas ini. Akan tetapi, pengendalian multilevel password bisa mengurangi
resiko tersebut.

42
E. Pengendalian Kata Sandi Multitingkat
Pengendalian multilevel password digunakan untuk membatasi
karyawan-karyawan yang berbagi komputer yang sama untuk direktori
khusus, program-program dan file data. Karyawan diharuskan untuk
menggunakan password yang lainnya pada tingkat sistem berbeda yang
sesuai untuk memperoleh akses. Teknik ini menggunakan tabel-tabel
otorisasi yang tersimpan untuk batasan lebih lanjut sebuah akses individu
untuk hanya membaca, data input, modifikasi data, kemampuan
pencoretan (deletion) data.
F. Risiko Kerugian Fisik
Karena ukurannya, PC merupakan obyek pencurian. Kemudahan
Laptop untuk dibawa menempatkannya pada resiko tertinggi. Prosedur-
prosedur harus ditempatkan untuk pegangan para pengguna yang
bertanggungjawab untuk pengembalian laptop.
G. Risiko Kehilangan Data
Terdapat resiko kehilangan data karena kegagalan sistem, sabotase,
hackers/crackers,dan lainlain. Perhatian penuh harus dialihkan untuk
melindungi data sebagai asset.
Risiko Penguna Akhir. Pengguna akhir terhubung sistem jaringan yang
memiliki peluang untuk dengan sengaja menghapus hard drives, korup
atau sabotase nilai-nilai data, mencuri data dan dengan cara lain
menyebabkan kejahatan serius terhadap data perusahaan pada lingkungan
PC. Perhatian harus dialihkan untuk membatasi resiko ini dengan
pengendalian seperti training dan menciptakan kebijakan efektif atas
penggunaan komputer, termasuk menyatakan hukuman untuk pencurian
atau penghilangan (penghancuran) data.
Risiko Prosedur Pembuatan Cadangan yang tidak Memadai. Untuk
melindungi (mempertahankan) integritas misi kritis data dan program,
organisasi membutuhkan prosedur backup formal. Tanggungjawab
penyediaan backup pada lingkungan PC jatuh pada pengguna. Seringkali,
karena kurangnya pengalaman dan training komputer, pengguna gagal
untuk menyadari pentingnya prosedur backup sampai prosedur itu
terlambat. Kegagalan komputer, biasanya kegagalan disk, terutama
disebabkan hilangnya data yang signifikan pada lingkungan PC. Prosedur
formal untuk pembuatan salinan-salinan backup filefile data kritis (dan

43
 program) dapat mengurangi ancaman ini. Ada sejumlah pilihan yang
tersedia berhubungan dengan masalah ini.
1. Local backups on appropriate media. Media yang dapat digunakan
untuk back up file-file data pada PC local termasuk floppy disk, CD-
R/CD-RW (compact disks), DVDs dan Zip Disks.
2. Dual internal hard drives. Microcomputers dapat dikonfigurasikan
dengan dua hard disks fisik internal. Satu disk dapat digunakan
untuk menyimpan data yang dihasilkan dan ketika penyimpanan
yang lainnya backup file-file.
3. External hard drive. Sebuah pilihan backup yang populer adalah
external hard drive dengan removable disk cartridge, yang dapat
menyimpan ber-gigabyte data per perantaraan (medium). Medium
devices termasuk CD, DVD, dan Zip disks.
H. Risiko yang berkaitan dengan infeksi virus.
Dukungan yang tegas terhadap kebijakan dan prosedur organisasi
yang terlindungi terhadap infeksi virus adalah kritis untuk pengendalian
virus yang efektif. Auditor harus menverifikasi bahwa kebijakan dan
prosedur yang ada dan bahwa kebijakan dan prosedur tersebut dipatuhi.
Organisasi harus menggunakan pengendalian teknis tambahan dalam
bentuk software anti virus. Auditor dapat dapat memperoleh kecukupan
bukti pendukung pengendalian virus dengan melaksanakan pengujian
berikut ini:
1. Auditor harus memverifikasi bahwa organisasi mematuhi kebijakan
pembelian software hanya dari vendor yang memiliki reputasi baik.
2. Auditor harus mereview kebijakan organisasi untuk penggunaan
software anti-virus.
3. Auditor harus memverifikasi bahwa hanya software yang diotorisasi
yang dipasang pada PC.
I. Risiko pengembangan sistem dan prosedur pemeliharaan yang tidak
memadai
Lingkungan microcomputer kekurangan fitur-fitur operating
system dan pemisahan tugas-tugas yang penting untuk menyediakan
pengendalian yang diperlukan. Management harus memberikan
kompensasi untuk pembukaan (exposures) bawaan tersebut terhadap yang
lainnya, pada teknikteknik pengendalian yang lebih konvensional.
Perusahaan kecil harus menggunakan prosedur pemilihan software secara
formal, yang mencakup langkah-langkah berikut ini :

44
 1. Menyalurkan sebuah analisis formal dari permasalahan dan
kebutuhan pengguna.
2. Meminta penawaran dari beberapa vendor.
3. Mengevaluasi produk-produk yang bersaing dengan syarat-syarat
kemampuan produk untuk memenuhi kebutuhan yang
diidentifikasi.
4. Menghubungi calon pengguna saat ini paket-paket komersial untuk
mendapatkan opini mereka tentang produk tersebut.
5. Membuat pilihan.
J. Tujuan Audit
1. Memverifikasi bahwa pengendalian disusun untuk melindungi
data, program, komputer dari akses yang tidak diotorisasi,
manipulasi, perusakan, dan pencurian.
2. Memverifikasi bahwa supervisi yang cukup dan prosedur-prosedur
operasi yang ada untuk memberikan kompensasi sebagai pengganti
lemahnya pemisahan anntara fungsi-fungsi (tugas) para pengguna,
programmer, dan operator.
3. Memverifikasi bahwa prosedur backup disusun untuk mencegah
hilangnya data dan program karena kegagalan sistem, eror, dan lain
sebagainya.
4. Memverifikasi bahwa prosedur pemilihan dan perolehan sistem
menghasilkan aplikasi-aplikasi yang berkualitas tinggi, dan
terlindungi dari perubahan yang tidak diotorisasi.
5. Memverifikasi bahwa sistem tersebut bebas dari virus-virus dan
cukup terlindungi untuk meminimalkan resiko menjadi terinfeksi
dengan virus atau objek yang sejenis.
K. Prosedur Audit
1. Auditor harus memverifikasi bahwa microcomputers dan file-file
mereka secara fisik terkendali
2. Auditor harus memverifikasi mulai dari bagan organisasi, job
descriptions, dan observasi bahwa aplikasi-aplikasi programmer
menjalankan fungsi-fungsi signifikan secara keuangan juga tidak
mengoperasikan sistem tersebut.
3. Auditor harus mengkonfirmasikan bahwa laporan-laporan
transaksi yang diproses, catatan-catatan rekening yang
diperbaharui, dan jumlah pengendalian yang disiapkan,
didistribusikan, dan mencocokkan dengan manajemen yang sesuai
pada interval yang teratur dan tepat waktu.

45
4. Auditor harus menentukan bahwa pengendalian multilevel
password digunakan untuk membatasi akses ke data dan aplikasi.
5. Jika removable hard drives digunakan, auditor harus
memverifikasi bahwa prosedur backup sedang ditelusuri. Dengan
membandingkan nilai nilai-nilai data dan tanggal-tanggal pada
backup disks untuk pembuatan file, auditor dapat menilai frekuensi
dan kecukupan prosedur-prosedur backup.
6. Auditor harus memverifikasi bahwa aplikasi kode sumber secara
fisik aman (seperti pada peti besi yang terkunci) dan hanya versi
yang tersusun disimpan pada microcomputer.
7. Dengan mereview pengendalian pemilihan dan perolehan sistem,
auditor harus memverifikasi bahwa paket software komersial
digunakan pada microcomputer yang dibeli dari vendor yang
bereputasi baik.
8. Auditor harus mereview teknik-teknik pengendalian virus.

46
 BAB III
PENUTUP

3.1. Kesimpulan
Pembahasan ini mengeksplorasi berbagai isu pengendalian
operasi dan audit yang berkaitan dengan struktur fungsi TI,
pengendalian operasi pusat komputer, sistem operasi komputer,
dan lingkungan komputer pribadi. Strukturisasi fungsi teknologi
informasi terdiri dari pemrosesan data terpusat, pemisahan
pekerjaan yang tidak saling bersesuaian, model terdistribusi dan
mengendalikan lingkungan DDP. Dalam pusat komputer telah
dibahas tentang pengendalian pusat komputer yang terdiri dari
beberapa fitur pengendalian yaitu lokasi fisik, konstruksi, akses,
pengatur suhu udara, pemadam kebakaran, pasokan listrik, tujuan
audit, dan prosedur audit.
Sistem operasi (operating system) adalah program pengendali
dalam komputer. Sistem ini memungkinkan para pengguna dan
aplikasi didalamya untuk berbagi dan mengakses sumber daya
komputer bersama seperti prosessor, memori utama, basis data
dan printer. Keamanan sitem operasi (operating system security)
melibatkan kebijakan, prosedur, dan pengendalian yang
menentukan siapa saja yang dapat mengakses sistem operasi,
sumber daya mana yang dapat diakses dan tindakan apa yang
dapat dilakukan.
Dalam Pengendalian keseluruhan sistem Keamanan
keseluruhan sitem dipengaruhi oleh bagaimana hak akses
diberikan. Oleh karenanya, hak semacam ini harus dikelola dengan
hati-hati dan diawasi secara dekat agar sesuai dengan kebijakan
perusahaan dan prinsip pengendalian internal.

47
 DAFTAR PUSTAKA

Hall, James A dan Singleton Tommie. 2007. Audit Teknologi Informasi dan
Assurance. Jakarta: Salemba Empat

48