Anda di halaman 1dari 70

KELOMPOK I

NAMA: 1. ANDRE LYADI


2.APRILIA SUDARSIH
3. DEWI KURNIAWATI

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER


Pada bulan kelimanya bekerja dinorthwerst industries,jason scot digunakan untuk
mengaudit seatle paper product(spp),sebuah cabang northwerst.tugas pertama jason adalah
meninjau 50 transaksi utang usaha yang dipilih secara acak,menelusuri seluruh dokumen
pendukungnya,dan memverifikasi bahwa seluruh transaksi di otorisasi dan di proses dengan
benar.dalam waktu singkat,jason menggumpulkan faktur penjualan dari pemasok dan voucer
pengeluaran(disbursement voucher) untuk kelima puluh transaksi tersebut,dan dia menemukan
pesanan pembelian serta laporan penerimaan untuk empat puluh lima transaksi dari lima puluh
transaksi tersebut.setelah meninjau dokumen-dokumen tersebut jason puas bahwa empat puluh
lima transaksi tersebut valid dan akurat.
Kelima transaksi lainnya melibatkan pembelian jasa,yang diproses berdasarkan faktur dari
pemasok yang telah disetujui pihak manajemen.salah satu faktur dari pemasok yaitu dari pacific
electric services,mencantumkan pekerjaan perbaikan dan pemeliharaan sebesar $ 450,tetapi tidak
tercantum tanda tangan pengesahannya.jason menemukan lima faktur lagi dari pemasuk pacific
electric, yang kesemuanya untuk pelayanan perbaikan dan pemeliharaan dalam jumlah antara $300
hingga $500.kelima faktur tersebut mencantumkan paraJLC yaitu kepanjangan dari jack
carlton,supervisor umum dipabrik tersebut.hal yang mengejutkan bagi jason adalah carlton
menyangkal pernah memaraf faktur-faktur tersebut,dan menyatakan bahwa dia tidak pernah
mendengar tentang pacific electric.hason menemukan bahwa nama perusahaan tersebut tidak
tercantum di buku telepon.
Jason tidak dapat mempercayai bahwa dia menemukan masalah tersembunyi
lainnya.setelah merenungkan ketidak beruntungannya tersebut,dia mulai memikirkan pertanyaan-
pertanyaan berikut ini:
1. Apakah carlton mengatakan hal yang sebenarnya? apabila demikian , dari mana datangnya
faktur pacific electic services?
2. Apakah carlton tidak mengatakan yang sesungguhnya , apa tujuannya?
3. Apabila pacific electric services adalah perusahaan fiktif , bagaimana sistem cara pengendalian
spp mengizinkan faktur untuk diproses dan disetujui pembayarannya?
PEDAHULUAN
Didunia saat ini ,makin banyak perusahaan yang bergantung pada teknologi informasi (TI)
untuk memproses informasi bisnisnya , produksinya , dan melaksanakan pelayanannya.perusahaan
tidak dapat lagi membangun penghalang disekeliling sistem informasinya serta mengunci semua
orang diluar. Sebaliknya , mereka seharusnya berbagi informasi dan menggunakan TI untuk
menghubungkan sistem informasinya. Dengan pihak-pihak yang sering berinteraksi dengan mereka ,
yaitu: pelanggan , vendor , pegawai ,mitra bisnis ,pemegang saham , dan lembaga
pemerintah.peningkatan hubungan ini membuat sistem informasi lebih rentan terhadap masalah.
Mencapai keamanan dan pengendalian yang memadai atas sumber daya informasi
organisasi , harus menjadi prioritas pihak manajemen puncak walaupun tujuan pengendalian
internal tetaplah sama bagaimana pun bisnis dijalankan atau sejauh apapun TI digunakan , cara
mencapai keamanan dan pengendalian atas informasi telah berubah secara signifikan dalam tahun-
tahun belakangan ini. Berdasarkan perkiraan perkembangan dalam e-commerce dan TI , tampak nya
perubahaan tersebut akan terus berlanjut.
Oleh karena sistem informasi berkembang , begitu pula dengan sistem pengendalian
internal. Ketika bisnis bergeser dari sistem manual kesistem komputer utama , pengendalian baru
harus dikembangkan untuk menurunkan atau mengendalikan resiko yang dibawa oleh sistem
informasi berdasarkan komputer yang baru ini. Oleh sebab itu , ketika bisnis bergeser dari sistem
berdasarkan komputer utama yang tersentralilasasi seperti model yang terdistribusi , seperti sistem
klien/sever , pengendalian baru harus dikembangkan. Saat ini , oleh karena adanya pergeseran
kelingkungan e-commerce berdasarkan internet , pengendalian baru perlu dikembangkan untuk
mengendalikan munculnya resiko baru. Untungnya , perkembangan dalam sistem informasi dan TI
juga memberikan kesempatan bagi organisasi untuk meningkatkan pengendalian internalnya.
Didalam ekomoni global yang saling berhubungan saat ini ,sistem inforemasi yang tidak
andal dapat membahayakan tidak hanya perusahaan dan pegawai yang menggunakannya, tetapi
juga rantai pasokan perusahaan. Menyadari kebutuhan atas jaminan sistem informasi , AICPA
bersama canadian institute of carteretaccountants(CICA) memperkenalkan pelayanan evaluasi baru ,
yang disebut dengan systrust, yang secara independenpent menguji dan memferivikasi keandalan
sistem. Pelayanan ini memberikan jaminan pada pihak mamajemen, pelanggan,vendor dan mitra
bisnis, bahwa suatu sistem informasi benar-benar andal.

Apa yang terdapat dalam sistem andal?


Systrust menggunakan empat prinsip berikut ini untuk menetapkan apakah suatu sistem andal atau
tidak :
1. Ketersediaan(avaibility). Sistem tersebut tersedia untuk di operasikan dan digunakan untuk
mencantumkannya pada pernyataan atau perjanjian tingkat pelayanan.
2. Keamanan (security). Sistem dilindungi dari akses fisik maupun logis yang tidak memiliki
otorisasi.hal ini akan membantu mencegah (a)penggunaan yang tidak sesuai, pemutar
balikkan, dan penghancuran atau pengungkapan informasi dan software, serta (b)
pencuriann sumber daya sistem.
3. Dapat dipelihara (maintainability).sistem dapat di ubah apabila diperlukan tanpa
mempengaruhi ketersediaan, keamanan dan integritas sistem. Hanya perubahan dokumen
yang memiliki otorisasi dan teruji sajalah yang termasuk dalam sistem dan data terkait. Bagi
seluruh perubahan yang telah direncanakan dan dilaksanakan,harus tersedia sumberdaya
untuk mengelola, menjadwalkan, mendokumentasikan, dan mengkomunikasikan kepihak
manajemen dan para pemakai yang memilki otorisasi.
4. Intregritas (integriti). Memprosesan sistem bersifat lengkap , akurtan dan tepat waktu dan di
otorisasi. Sebuah sistem dikatakan mempunyai integritas apabila dapat melaksakan fungsi
yang diperuntukan bagi sistem tersebut secara keseluhunan dan bebas dari manipulasi
sistem,baik yang tidak diotorisasi maupun yang tidak disengaja.

Bagi setiap prinsip keandalan diatas, tiga kriteria yang harus dikembangkan untuk mengevaluasi
mencapaian prinsip-prinsip tersebut :
1. Entitas memiliki tujuan kinerja(performance objective), kebijakan , dan standar yang telah
ditetapkan, didokumentasikan dan dikomunikasikan,dan telah memenuhi tiap prinsip
keandalan.systrust mendefinisikan tujuan kinerja sebagai tujuan umum yang ingin dicapai
entitas;kebijakan adalah peraturan-peraturan yang memberikan arah formal untuk
mencapai tujuan, dan mendorong kinerja; serta standar sebagai prosedur yang dibutuhkan
dalam implementasi, agar sesuai dengan kebijakan.
2. Entitas menggunakan prosedur, sumber daya manusia, software, data, dan infrastruktur
untuk mencapai setiap prinsip keandalan, dengan berdasarkan pada kebijakan dan standar
yang telah ditetapkan.
3. Entitas mengawasi sistem dan mengambil tindakan untuk mencapai kesesuaian dengan
tujuan, kebijakan, dan standar , untuk setiap prinsip keandalan.

Pengendalian yang digunakan untuk mencapai prinsip-prinsip keandalan akan didiskusikan


kemudian. Hal-hal yang berkaitan langsung dengan sebagian besar atau dengan seluruh prinsip-
prinsip keandalan tersebut, akan di diskusikan terlebih dahulu, baru kemudian diikuti dengan
pengendalian yang berhubungan dengan setiap prinsip.
PENGENDALIAN YANG BERHUBUNGAN DENGAN BEBERAPA PRINSIP KEANDALAN
Pengendalian berikut sesuai untuk beberapa prinsip keandalan, yaitu : perencanaan strategis
dan penganggaran,mengembangkan rencana keandalan sistem, dan melaksanakan
dokumentasi. Tabel 8-1 meringkas pengendalian-pengendalian utama dalam bagian ini.

Perencanaan strategis dan penganggaran


Seperti disajikan dalam bab 1, sistem informasi sebuah organisasi harus searah dengan
strategi bisnisnya. Demi mencapai tujuan ini, organisasi membutuhan rencana strategis berlapis
(sering kali untuk jangka waktu 3 hingga 5 tahun), yang berfungsi sebagai peta jalan teknologi
dan menggambarkan garis besar proyek yang harus diselesaikan perusahaan untuk mencapai
tujuan jangka panjangnya. Dalam rangka menggumpulkan informasi untuk rencana tersebut,
perusahaan membutuhkan sebuah tim penilitian dan penggembangan yang bertanggung jawab
untuk menilai dampak teknologi baru atas bisnis dan jalannya perusahaan. Rencana tersebut
harus membahas tentang kebutuhan hardware,software,personil, dan kebutuhan infrastruktur
perusahaan. Setiap tahun, dewan komisaris dan pihak manajemen puncak harus mempersiapkan
dan menyetujui rencana beserta anggaran pendukungnya tersebut.
Rencana strategis harus dievaluasi beberapa kali dalam setahun untuk memastikan bahwa
organisasi dapat menggembangkan atau memperoleh komponen penting dari sistem yang baru
tersebut, dan memelihara yang telah ada. Sebagai bagian dari evaluasi ini, manajer sistem
informasi harus menilai fungsionalitas, stabilitas, kompleksitas, biaya, tingkat otomasi bisnis, dan
kekuatan serta kelemahan sistem yang telah ada, untuk menetapkan kecukupan kemampuan
sistem dalam mendukung kebutuhan bisnis perusahaan. Sebagai tambahan, para pemakai harus
ditanya apakah sistem tersebut sesuai dengan kebutuhan bisnis saat ini dan di masa mendatang,
serta bagaimana teknologi yang baru tersebut dapat digunakan untuk meningkatkan sistem
mereka.
Suatu organisasi tidak dapat mengikuti rencana strategisnya, kecuali terdapat dana dalam
anggaran untuk perkiraan perubahan. Anggaran harus disusun untuk keadaan darurat ataupun
kebutuhan pemeliharaan yang diluar perkiraan. Harus terdapat hubungan antara alokasi
anggaran sebelum dan sesudahnya,lihatlah bab 2 untuk diskusi yang lebih mendalam mengenai
anggaran.
Tabel 8-1
Ringkasan pengendalian umum utama keandalan
Kategori pengendalian ancaman/resiko pengendalian

Perencanaan strategis SI tidak mendukung strategi rencana strategis berlapis yang


Dan penganggaran bisnis,kurangnya penggunaan secara periodik dievaluasi,tim
Sumberdaya,kebutuhan penelitian dan pengembangan
Informasi tidak dipenuhi untuk menilai dampak teknologi
Atau tidak dapat ditanggung baru atas jalannya bisnis anggaran
untuk mendukung rencana
strategis.
Mengembangkan ren ketidak mampuan untuk mem memberikan tanggung jawab pere
Cana keandalan sistem astikan keandalan sistem ncanaan kepihak manajemen pun
Cak;secara terus menerus menin
Jau dan memperbaharui rencana
;mengidentifikasi,mendokumenta
Sikan,dan menguji kebutuhan,tu
Juan,kebijakan,dan standar kean
Dalan pemakai;mengidentifikasi
Dan meninjau seluruh persyara
Tan hukum yang baru maupun ya
Ng telah di ubah;mencatat permin
Taan pemakai atas perubahan;me
Ndokumentasikan,menganalisis,
Dan melaporkan masalah dalam
Hal keandalan sistem;menetap
Kan tanggung jawab kepemilikan
Penyimpanan,akses,dan pemeliha
Raan atas sumber daya informasi
Meminta pegawai baru untuk me
Nandatangani perjanjian keaman

an;melaksanakan penilaian resiko


atas seluruh perubahan dalam
Lingkungan sistem
Dokumentasi desain,operasi,tinjauan dokumentasi administrasi(standar
Audit,dan perubahan dan prosedur untuk memproses,
Sistem yang tidak efektif menganalisis,mendesain,mempro
gram,menangani file dan menyim
pan data),dokumentasi sistem
(input aplikasi,tahap pemrosesan,
Output,kesalahan penanganan),
Dokumentasi operasi(konfigurasi
Perlengkapan,program,file,susuna
n dan pelaksanaan prosedur,tinda
kan korektif.

Mengembangkan rencana keandalan sistem


Pada penelitian baru-baru ini, 66 persen dari perusahaan yang dilaporkan adanya masalah
dengan sistem mereka, berkata bahwa salah satu alasannya adalah pengawasan yang tidak
memadai atas pengendalian dan keamanan. Sedangkan 44 persen menyatakan bahwa
pemahaman yang tidak memadai atas konsep dan desain pengendalian merupakan faktor
penyebabnya. Kondisi ini mengangkat masalah yang signifikan dalam baqnyak perusahaan-
kurangnya rencana yang efektif untuk memastikan keandalan sistem informasi
mereka.mengembangkan dan memperbaharui terus menerus rencana keandalan yang
komprehensif, adalah salah satu pengendalian penting yang dapat diimplementasikan oleh
perusahaan.
Manajer tingkat puncak harus diberikan tanggung jawab dan akuntabilitas formal untuk
menggembangkan,mensupervisi, dan menyelenggaran rencana tersebut.rencana kenandalan
sistem harus dikomunikasikan tepat waktu,keseluruh pemakai sistem yang memiliki otorisasi
dan personil yang bertanggung jawab atas implementasi dan pengawasan atas rencana
tersebuit. Cara yang paling umum untuk melaksanakan hal ini adalah melalui memo, pertemuan,
buku pedoman standar dan kebijakan,serta interaksi dengan kantor informasi milik organisasi.
Rencana tersebut harus secara terus menerus ditinjau dan di perbaharui.
Menurut systrust, cara yang baik untuk mulai mengembangkan rencana keandalan sistem
adalah dengan mengidentifikasi dan mendokumentasikan (1) kebutuhan ketersediaan,
keamanan, dapat terpelihara, dan integritas dari para pemakai yang memilki otorisasi, dan (2)
tujuan kinerja, kebijakan, dan standar untuk ke empat prinsip keandalan. Kebutuhan pemakai
biasanya di dokumentasikan dalam perjanjian tingkat pelayanan atau dokumen perusahaan
lainnya. Perusahaan harus memiliki sebuah proses formal untuk mengidentifikasi dan meninjau
seluruh perubahan hukum, peraturan,kontrak,atau perjanjian tingkat pelayanan lainnya yang
dapat mempengaruhi kebutuhan pemakai atau tujuan kinerja, kebijakan,ataupun standar
sistem. Selanjutnya, seluruh permintaan atas perubahan dari para pemakai harus dicatat dan di
tijau.
Prosedur harus ada untuk memastikan bahwa ketersediaan, keamanan, dapat terpelihara,
dan integritas sistem yang sebenarnya, bisa diuji secara teratur dan hasilnya diperbandingkan
dengan tujuan kinerja, kebijakan, dan standar. Hasil dari uji serta perbandingan tersebut,
bersama dengan seluruh masalah keandalan sistem,harus didokumentasikan dan dan dilaporkan
kepihak manajemen, agar seluruh masalah dapat dipecahkan. Catatan mengenai masalah dan
penyimpangan harus di analisis secara periodik untuk mengidentifikasi kecendrungan yang dapat
berdampak pada keandalan sistem serta pada perubahan yang dilaksanakan.
Organisasi harus mengidentifikasi seluruh sumberdaya informasi yang signifikan, seperti
hardware,program,data,dan transaksi. Organisasi kemudian haruus memutuskan siapa yang
memiliki sumberdaya,siapa yang menyimpannya,siapa yang dapat mengakses secara fisik dan
logis, dan siapa yang bertanggung jawab untuk membangun dan memelihara keamanan serta
keandalannya.
Sebagain bagian dari rencana keandalan sistem, program kesadaran atas keamanan dapat
membantu pegawai untuk memahami pentingnya keamanan dan keandalan sistem. Program ini
harus dikomunikasikan keseluruh pegawai yang ada. Pegawai baru harus diminta untuk
menandatangani perjanjian bahwa mereka akan menaati kebijakan keamanan ketika mereka
mulai bekerja.
Seluruh sistem mengalami perubahan dan penilaian resiko harus dilaksanakan dan di
evaluasi ketika terjadi perubahan didalam maupun diluar lingkungan fisik sistem.perubahan apa
pun dalam komponen sistem harus di evaluasi berdasarkan dampaknya atas tujuan kinerja
sistem, kebijakan, dan standar.

Dokumentasi
Pengendalian penting lainnya yanng mempengaruhi empat prinsip keandalan adalah
implementasi prosedur dan standar dokumentasi, untuk memastikan dokumentasi yang jelas
dan ringkas. Dokumentasi yang berkualitas memfasilitasi komunikasi dan peninjauan kemajuan
secara teratur selama pengembangan sistem, dan dapat digunakan sebagai referensi serta alat
pelatihan bagi pegawai sistem baru. Dokumentasi dapat diklasifikasikan menjadi tiga kategori
dasar, yaitu:
1. Dokumentasi administratif(administrative documentation) mendeskripsikan standar dan
prosedur untuk pemrosesan data, termasuk pembenaran dan otorisasi sistem yang baru dan
yang di ubah; standar untuk analisis, desain, dan pemrograman sistem; serta prosedur untuk
penanganan dan penyimpanan file.
2. Dokumentasi sistem(system dokumentation) mendeskripsikan setiap sistem aolikasi dan
fungsi utama pemrosesannya. Termasuk didalamnya adalah bahan naratif, bagan alir, daftar
program. Dokumentasiini menunjukan input; pemrosesan, output, dan prosedur
penanganan kesalahan atas sistem.
3. Dokumentasi operasional(operating documentation) mendeskripsikan hal apa yang
dibutuhkan untuk menjalankan sebuah program, termasuk konfigurasi perkelengkapan,
program dan file data, prosedur untuk mengatur dan melaksanakan pekerjaan, kondisi yang
mungkin dapat mengganggu pelaksanaan program,serta tindakan korektif atas gangguan
pada program.

KETERSEDIAAN
Beberapa alasan mengapa sistam dapat tidak tersedia bagi para pemakai adalah adanya
kegagalan pada hardware dan software, bencana alam, serta tindakan sabotase yang disengaja.
Salah satu cara sabotase yang paling populer, yang secara signifikan sering kali membatasi
kegiatan e-busibess suatu organisasi, disebut sebagai serangan peningkaran pelayanan (denial-
of-service attack). Serangan peningkatan pelayanan ini didiskusikan secara secara lebih luas di
bab 9.
Demi memastikan ketersediaan sistem informasi, organisasi perlu meminimalkan waktu
kegagalan sistem (system downtime) dan menggembangkan rencana pemulihan

Tabel 8-2
Ringakasan pengendalian utama atas ketersediaan
Kategori ancaman/resiko pengendalian
Pengendalian
Meminimalkan hilangnya tenaga listrik kebijakan dan prosedur untuk
Waktu kegaga atau kegagalan sistem menangani kehilangan tenaga
Lan sistem yang mengganggu listrik,kesalahan,kehilangan
Operasi bisnis yang atau kerusakan data;jaminan atas
Penting,kehilangan bencana dan gangguan bisnis;
Atau kerusakan data pemeliharaan untuk pencegahan
Secara teratur atas komponen
Utama;sistem tenaga listrik yang stabil;
Batas toleransi kesalahan
Rencana perpanjangan gangguan tanggung jawab koordinator adalah
Pemulihan atas pemrosesan data mengimplementasikan rencana,menetapka
Dari bencana serta operasi bisnis pemulihan,menugaskan tanggung
Kebakaran,bencana alam, jawab untuk kegiatan pemulihan,mendoku
Sabotase atau vandalisme mentasikan dan menguji rencana;penyim
Panan jarak jauh data dan file,jaminan asura
Ransi ,komputer cadangan serta fasilitas
Komunikasi(perjanjian resiprokal,ruang
Cadangan dengan dan tanpa fasilitas kompu
Ter/hot and cold sites,duplikat hardware,
Software serta peralatan penyimpanan data

Meminimalkan waktu kegagalan sistem


Kerugian keuangan yang besar dapat terjadi apabila kegagalan pemakaian fungdsi hardware
atau software menyebabkan kegagalan sistem informasi. Beberapa metode untuk meminimalkan
waktu kegagalan sistem adalah melalui kebijakan dan prosedur,jaminan yang
memadai,pemeliharaan rutin(preventive maintenance), sistem tenaga listrik yang stabil, serta batas
tolenransi kesalahan.
Organisasi harus mengembangka dan mengimplementasikan kebijakan serta prosedur untuk
mengatasi kehilangan tenaga listrik,kesalahan(pada sistem,program,dan data),apabila sebuah sistem
gagal,jaminan atas bencana dan gangguan bisnis yang memadai dapat mempercepat kemampuan
organisasi untuk mengembalikan ketersediaan sistem, serta untuk memulihkan diri dari kerugian
yang dialami.
Pemeliharaan rutnin mencakup kegiatan menguji komponen sistem secara teratur dan
mengganti komponen-komponen yang tidak baik kondisinya. Sistem pemasok tenaga listrik yang
stabil (uninterruptible power supply-UPS) adalah pasokan listik bantuan yang mengatur arus tenaga
listrik ke komputer, untuk mencegah kehilangan data karena naik turunnya tenaga listrik.batas
toleransi kesalahan mendeskripsikan kemampuan sistem untuk tetap beroperasi ketika komponen
sistem(seperti PC,terminal,jalur pengiriman data,serta disk drive) mengalami kegagalan. Hal ini
dicapai dengan menggunakan komponen duplikat,yang akan mengambil alih sistem ketika terjadi
kegagalan.
Di dalam dunia e-business saat ini yang saling berhubungan, keamanan sistem organisasi
sering kali bergantung pada keamanan internet secara keseluruhan. Oleh sebab itu, organisasi harus
mempertimbangkan bagaimana perluasan jaringan atau gangguan sistem yang akan mempengaruhi
organisasi, dan kemudian membuat rencana kontinjensi yang memadai dan dapat dilaksanakan.
Contohnya, suatu organisasi lainnya untuk dapat menanggulangi dengan memadai serangan
peningkaran pelayanan.
Rencana pemulihan dari bencana
Suatu organisasi harus memiliki rencana pemulihan dari bencana agar kemampuan
pemrosesan data dapat dipulihkan sebaik dan secepat mungkin apabila terjadi bencana besar. Tidak
adanya informasi dapat merugikan perusahaan; beberapa perusahaan melaporkan kerugian sebesar
$500.000 per jam dalam waktu kegagalan. John alden life insurance memperkirakan bahwa, tanpa
rencana pemulihan dari bencana mereka, angin topan andrew dapat membuat perusahaan berhenti
beroperasi selama tiga hari. Kebanyakan dari 350 perusahaan yang hancur sitemnya pada peristiwa
pengeboman world trade center di tahun 1993 tidak memiliki rencana pemulihan dari bencana yang
baik, termasuk memiliki cadangan data, bisa berharap untuk bertahan hidup dengan runtuhnya
gedung tersebut.
Survei atas 200 perusahaan besar di amerika serikat menunjukan bahwa hanya sepertiga
perusahaan tersebut yang memilki rencana pemulihan dari bencana, dengan penyimpanan data
diluar perusahaan(off-site data storage) untuk aplikasi klien/server mereka.
Tujuan dari rencana pemulihan adalah untuk (1) meminimalkan gangguan, kerusakan, dan
kerugian; (2) memberikan cara alternatif memproses informasi untuk sementara waktu; (3)
meneruskan jalannya operasi normal sesegera mungkin; (4) rencana pemulihan dari bencana serta
reencana kontinjensi lainnya harus di uji secara teratur dan diperbaharui sejalan dengan perubahan
situasi atau kebutuhan. Rencana pemulihan dari bencana yang baik harus berisi elemen-elemen
dibawah ini.

Prioritas proses pemulihan


Rencana pemulihan dari bencana harus mengidentifikasi aplikasi yang dibutuhkan untuk
menjaga jalannya kegiatan perusahaan, hardware dan software yang dibutuhkan untuk
mempertahankan aplikasi,serta urutan dan waktu kegiatan pemulihan.

Jaminan
Rencana pemulihan dari bencana harus memasukkan jaminan asuransi untuk
menangguhkan biaya pergantian perlengkapan, kegiatan pemulihan, serta gangguan bisnis.

Data dan file program cadangan


Harus terdapat prosedur untuk memulihkan file yang hilang atau rusak. Seluruh program
dan file data harus dibuat cadangannya secara teratur dan sesering mungkin,serta disimpan dalam
lokasi yang aman,jauh dari komputer utama.
File cadangan dapat dikirim secara fisik ke lokasi yang jauh; atau dapat di kirim secara
elektronik kefasilitas cadangan melaui pengaman elektronis.Apabila data hilang atau perrlu di
akses,hubungan internet memberikan akses cepat secara on-line ke data yang dibuat cadangannya.
Demi melindungi privasi data,seluruh data dienkripsi sebelum dikirimkan.
File yang di proses secara batch akan dibuat cadangannya dengan menggunakan konsep
rekonstruksi bertingkat(grandfather-father-son concept).didalam pemprosesan secara batch, ketika
file utama dalam pita diperbaharui dengan adanya serangkaian transaksi, file utama baru akan
dibuat dalam file berbentuk pita yang baru. Apabila utama hancur, maka file utama tersebut dapat
dibuat kembali dengann menggunakan mastewr utama sebelumnya dan file transaksi yang
terkait.contohnya,anggaplah bahwa

Fokus 8-1
Model untuk perencanaan pemulihan dari bencana

Nilai atas rencana pemulihan dari bencana ditekankan dengan adanya berbagai sejarah kasus yang
timbul. Meluluh lantahkan komputer utamanya.
Kasus yang mungkin paling di ingat adalah cerita men walaupun fasilitas di bank tersebut tampak
Genai kebakaran terburuk dalam sejarah,dan bagai di lindungi dengan baik oleh sistem penyem
Mana cara bank tersebut pulih dari bencana dengan protan air(spinkler)dan sistem pemadam
Mengikuti sebuah rencana,yang sejak saat itu api halon,kebaran terjadi sampai melalui
Menjadi model perencanaan pemulihan. Atap gedung,yang kemudian runtuh,melu
Pada hari thanksgiving,kebakaran besar menyapu mat sistem penyemprotan air.pusat databa
Kantor-kantor di northwest national bank,minneapolis se milik bank beserta catatan yang terkait
Akan tetapi, pada hari senin berikutnya,para pegawai termasuk catatan personal dan pinjaman
Bank kembali bekerja dimarkas baru-menangani hipotek,serta cek yang belum diproses,
Penyimpanan,penarikan,investasi,pinjaman hancur.
Dan transaksi rutin bank lainnya.kebakaran setelah menerapkan rencana pemu
Tersebut dapat saja mengancam krberadaan bank lihan dari bencana yang didasarkan atas pen
Untuk tetap beroperasi di bisnisnya.hal ini disebabkan galaman northwest national bank setebal
Adanya rencana pemulihan dari bencana terinci. 150 halaman,para pejabat bank sierra deng
Bank hanya kehilangan,kalaupun ada yang hilang an cepat mengidentifikasi anggota tim,tugas
Sedikit data penting.setelah hari terjadinya kebakaran yang penting,peralatan yang dibutuhkan,ser
Trsebut,komputer dikantor pelayanan setempat beke ta mulai usaha satu malam untuk memulih
Ja keras untuk membuat kopi baru atas catatan yang kan pelayanan bank.dalam rangka mempro
Hancur. Ses transaksi harian bank yang mencapai
Sebagai contoh lainnya, sewaktu subuh krbakaran 25.000 hingga 40.000 transaksi,pemrosesan
Melanda bank sierra di porterville,california,dan data di lokasi cadangan dengan fasilitas kom
Puter(hot site)yang disediakan didekat san
Ramon ,digunakan.file yang telah diperbaha
Rui didownload dari lokasi tersebut kekom
Puter utama,yang disediakan oleh perusaha
An denver yang kemudian akanmengirimkan
Kembali hasil cetakan setiap hari keportervi
Lle.dalam waktu 6 hari setelah kebakaran,
Bank tersebut telah membereskan simpan
Antransaksinya,dan rekening pelanggan
Diperbaharui.

Pada hari rabu malam, file utama hancur. File utama ini dapat dibuat kembali dengan menggunakan
file utama hari selasa(father file) bersama dengan file transaksi hari selasa. Apabila file hari selasa
juga hancur, maka dapat dibuat kembali dengan menggunakan file utama hari senin(grandfather file)
bersama dengan file transaksi hari

Fokus 8-2
Bagaimana nasdaq pulih dari 11 september
Baru-baru ini, nilai dari rencana pemulihan dari mampu dengan cepat mengidentifikasi situasi dan
bencana ditekankan dengan adanya peningkatan para pemegang saham yang akan membutuhkan
kegiatan teroris akhir-akhir ini.contoh yang paling bantuan tambahan,sebelum nasdaq dapat dibuka
jelas adalah peristiwa 11 september 2001,yaitu pasar kembali,dengan cara membuat prioritas dan
serangan menara world trade center.kerusakan telekonferensi.
Yang disebabkan oleh dua pesawat terbang tsb sistem nasdaq yang sangat berlapis dan ter
berhasil membuat beberapa perusahaan bang sebar juga membantu perusahaan dengan cepat
bangkrut. Membuka kembali pasar.setiap pedagang saham
kantor pusat nasdaq berlokasi dilantai 49 dan terhubung dengan dua pusat hubungan nasdaq.
50 dalam one liberty plaza,yang bersebrangan pusat-pusat hubungan tersebut dihubungkan ke
letaknya dengan world trade center.pada saat setiap server mereka dengan menggunakan dua
pesawat pertama menghantam gedung tersebut vendor yangberbeda.walaupunlistrik dilower
para penjaga keamanan nasdaq segera mengeva manhattan,sistem nasdaq secara relatif tidak
luasi personil dari gedung tersebut.walaupun pa berpengaruh.
Ra pegawai dievakluasi dari kantor pusat ditimes ketika personil nasdaq tidak dapat lagi tidak
square sementara kehilangan saluran telepon dapat lagi menempati kantor di manhattan dan
nasdaq mampu merelokasi kegiatannya kepusat saluran telepon mati dikantor times square,nas
cadangan di marriott marquis.pada saat mereka daq masih memiliki kantor di maryland dan conn
berada disana,para eksekutif nasdaq langsung necticut,yangmemungkinkannya mengawasi pros
mempelajari daftar prioritas mereka;pertama ses pengaturan.walaupun banyak orang yang hila
para personil mereka;kedua,keadaan para peme ng di liberty plaza,perusahaan tersebut akan mas
gang saham mereka;ketiga,kerusakan fisik;dan ih memiliki jajaran manajemen senior dilokasi
terakhir,situasi industri perdagangan saham. Lain.
Komunikasi yang efektif menjadi penting dalam nasdaq juga mengambil tindakan pencegahan
menetapkan kondisi prioritas di atas.nasdaq dengan meminta para eksekutifnya membawa le
mendapatkan kesuksesannya dalam komunikasi bih dari satu telepon genggam,untuk bergaja-ja
dan koordinasi dengan rekan kerja lainnya di indu ga apabila salah satu penyedia pelayanan telepo
stri tersebut dari latihan simulasi untuk 2YK.sewa n mengalami kegagalan,dan berinvestasi dalam
ktu mempersiapkan perubahan untuk 2YK, nasdaq asuransi gangugan untuk membantu menanggu
telah mengatur telekonferensi bersekala internasi hkan biaya menutup pasar.perencanaan dan
onal dengan seluruh bursa efek.hal ini membantu perkiraan mengenai masa depan telah menyela
mereka mengatur konferensi serupa setelah sera matkan nasdaq dari kerugian yang dapat dikata
ngan tersebut.nasdaq telah memiliki rencanauntuk kan sebesar puluhan juta dolar.
Satu potensi krisis,dan hal ini terbukti membantu
dalam pemulihan dari krisis yang diluarperkiraan
tersebut.

Senin.file utama hari rabu,seoerti telah dijelaskan sebelumnya,kemudian dapat direkontruksi dengan
menggunakan file utama hari sekasa yang baru,bersama dengan file transaksi hari selasa.
Prosedur yang serupa digunakan untuk memastikan bahwa database on-line dan file utama
dapat dibentuk kembali.pemeriksaan ditempat dibuat secara periodik selama pemrosesan;sistem
membuat kopi database atau file utama pada waktu tersebut,besertadengan informasi yang
dibutuhkanb untuk memulai kembali sistem.file pemeriksaan ditempat disimpan dalam disk terpisah
atau pita file.apabila ter4jadi masalah,sistem dapat dimulai kembali dengan menentukan
pemeriksaan ditempar terakhir, dan kemudian memproses kembali seluruh transaksi berikutnya.
Di dalam prosedur yang disebut pengulangan(rollback),kopi yang belum diperbaharui dari
setiap catatan dibuat sebelum transaksi di proses. Apabila terjadi kegagalan hardware,catatan akan
di ulang hingga kenilai yang belum diperbaharui,kemudian transaksi akan diproses ulang dari awal.
Hard drive PC sering kali dibuat cadangannya ke CD, disket,dan pita file;akan tetapi,apabila
kopi cadangan disimpan berdekatan dengan PC, maka cadangan tersebut juga bisa dihancurkan oleh
bencana yang menghancurkan PC.first interstate ini berulang kali mengingatkan pegawai mereka
untuk membuat cadangan file dan membawanya kerumah mereka setiap hari setelah bekerja.
Salamon,sebuah firma pialang,memiliki sistem yang membuat kopi cadangan per minggu atas
seluruh file, didalam 300 tempat kerjanya diseluruh dunia. Mereka juga memiliki kopi seluruh
program aplikasi di dalam duplikat sistem komputer.
Sangatlah penting untuk mendokumentasikan prosedur pembuatan cadangan dan secara
periodik berlatih menyimpan kembali sistem dari data cadangan. Melalui cara ini, pegawai tahu
bagaimana caranya untuk secara tepat memulai kembali sistem, ketika terjadi kegagalan.

Penugasan khusus
Rencana pemulihan dari bencana membutuhkan seorang koordinator yang bertanggung
jawab untuk mengimplementasikan seluruh tahap rencan tersebut. Orang tersebut kemudian akan
menugaskan tanggung jawab mengenai aktivitas pemulihan ke orang-orang dan tim-tim
tertentu.aktivitas ini harus mencakup pengaturan aktivitas baru,pengoperasian komputer, proses
instal software,pembangunan fasilitas komunikasi data,pemulihan atas catatan-catatan
penting,serta pengaturan formulir dan pasokan.

Fasilitas cadangan komputer dan telekomunikasi


Fasilitas cadangan dapat diatur dalam beberapa cara.salah satunya adalah membangun
perjanjian resiprokal dengan sebuah organisasi dengan fasilitas yang sesuai agar setiap pihak dapat
menggunakan untuk sementara waktu fasilitas pemrosesan data milik salah satu pihak apabila
terjadi keadaan darurat. Contohnya,empat bank yang komputer dan datanya rusak atau hancur
dalam peristiwa pengeboman world trade center tahun 1993,dapat menggunakan fasilitas cadangan
milik new york clearing house, untuk menyelesaikan transaksi senilai $90 miliar pada hari
pengeboman tersebut.
Cara kedua adalah membuat kontrak dengan sebuah vendor untuk menyediakan lokasi
kontinjen dalam situasi darurat.lokasi cadangan dengan fasilitas komputer(hot site) adalah fasilitas
yang di bentuk untuk memenuhi permintaan pemakai. Lokasi cadangan tanpa fasilitas
komputer(cold site) menyediakan segala hal yang dibutuhkan untuk secara cepat menginstal
perlengkapan komputer,tetapi belum ada komputer yang di instal.contohnyya,beberapa organisasi
dapat menyalurkan operasi sistem informasinya kefasilitas pemulihan dari bencana kebagian lain
dari negara tempat mereka beroperasi,setelah peristiwa bencana 11 september di 2001 world trade
center.
Didalam organisasi yang memiliki beberapa lokasi, pemakai dapt mendistribusikan kapasitas
pemrosesan agar fasilitas lainnya dapat mengambil alih apabila terjadi kerusakan atau kehancuran
pada suatu lokasi.sistem juga dapat menjadi begitu penting hingga perusahaan melakukan investasi
untuk memiliki duplikat hardware,software atau peralatan penyimpanan data.contohnya,sistem di
caesars palace,las vegas,memiliki peran begitu penting,sehingga duplikat yang persis sama ats
seluruh sistem,termasuk kopi terakhir database,dipertahankan pada jarak 500 kaki dari sistem
utamanya.

Uji dan revisi periodik


Rencana pemulihan tidak lengkap hingga rencan tersebut di uji secara lengkap dengan
menggunakan simulasi bencana,dan membuat setiap tim pemulihan dari bencana melaksanakan
aktivitas yang ditugaskan kepadanya.bahkan rencana yang telah di uji sekali pun jarang dapayt
mengantisipasi atau mengatasi masalah yang muncul ketika terjadi bencana.lagi pula,rencana
pemulihan harus secara terus menerus ditinjau dan direvisi untuk memastikan bahwa rencana
tersebut mencerminkan aplikasi komputer,perlengkapan konfigurasi sistem,dan penugasan personil
yang terbaru.

Dokumentasi yang lengkap


Rencana pemulihan dari bencana harus didokumentasikan secara keseluruhan,dengan kopi
rencananya disimpan secara aman di beberapa lookasi.

PENGAMANAN
Beberapa klasifikasi pengendalian yang membantu untuk memastikan pengamanan sistem
yang akan didiskusikan dalam bagian ini adalah: pemisahan tugas dalam fungsi sitem,pengendalian
akses secara fisik dan logis,perlindungan atas PC dan jaringan klien/server,serta pengendalian atas
internet dan e-commerce.tabel 8-3 meringkas pengendalian pengamanan utama yang didiskusikan
dalam bagian ini.
Pemisahan tugas dalam fungsi sistem
Didalam sistem informasi yang sangat terintegrasi,prosedur yang dahulu dilakukan oleh
beberapa orang,kini digabungkan.dalam rangka memerangi ancaman ini,organisasi harus
mengimplementasikan prosedur pengendalian yang sesuai,seperti pemisahan tugas yang efektif
dalam fungsi sistem informasi.otoritas dan tanggung jawab harus dengan jelas dibagi diantara
fungsi-fungsi berikut ini :
1. Administrasi sistem(system administration). Administrasi sistem bertanggung jawab untuk
memastikan bahwa berbagai bagian dari sistem informasi beroperasi dengan lancar dan
efisien.
2. Manajemen jaringan(network management). Para manajer jaringan memastikan bahwa
peralatan yang dapat diaplikasikan telah dihubungkan ke jaringan internal dan eksternal
organisasi,serta jaringan tersebut beroperasi secara terus menerus dan sesuai dengan
fungsinya.
3. Manjemen pengamanan(security management). Manajemen pengamanan bertanggung
jawab untuk memastikan bahwa seluruh aspek sistem telah aman dan dilindungi dari
ancaman internal serta eksternal.
4. Manajemen perubahan(change management). Para personil ini mengelola seluruh
perubahan atas sistem informasi organisasi,untuk memastikan bahwa mereka dibuat dengan
mudah dan efisien,serta untuk mencegah kesalahan dan penipuan.
5. Pemakai (user). Departemen-departemen pemakai sistem mencatat,transaksi,mengotorisasi
data yang akan dipproses,serta menggunakan output sistem.
6. Analisis sistem (system analysis). Analisis sistem membantu pemakai untuk menetapkan
kebutuhan informasi mereka dan kemudian mendesain sebuah sistem informasi untuk
memenuhi kebutuhan tersebut.
7. Pemograman (programming). Para progamer menggunakan desain yang disediakan oleh
analis sistem dan membuat sebuah sistem informasi dengan cara menulis program
komputer.
8. Operasi komputer (computer operation). Para operator komputer menjalankan software
dikomputer milik perusahaan. Mereka memastikan bahwa data telah dimasukkan dengan
tepat, diproses dengan benar,serta output yang dibutuhkan dapat dihasilkan.
9. Perpustakaan sistem informasi (information system library). Pengelola perpustakaan sistem
mempertahankan penyimpanan database,filee,dan program perusahaan dalam tempat
terpisah,yang disebut sebagai perpustakaan sistem informasi.
10. Pengendalian data (data control). Kelompok pengendalian data memastikan bahwa data
sumber telah disetujui dengan benar,mengawasi arus kerja melalui komputer,merekonsiliasi
input dan output,mempertahankan catatan tentang kesalahan input
Tabel 8-3
Ringkasan pengendalian pengamanan utama
Kategori ancaman/resiko pengendalian
pengendalian
Pemisahan tugas penipuan komputer bagi dengan jelas otoritas dan tanggung jawab di
dalam fungsi antara administrasi sistem,manajemen jaringan,
sistem manajemen pengamanan,manajemen perubahan
pemakai,analisis sistem,programer,operator kom
puter,pengelola perpustakaan sistem informasi,
serta kelompok pengendalian data.
Pengendalian kerusakan komputer letakkan komputer dalam ruang terkunci;batasi
atas akses dan file;akses yang akses ke personil yang memiliki otorisasi saja;buat
secara fisik tidak memiliki jalan masuk yang terkunci dengan aman;meminta
otorisasi kedata ID pegawai;meminta pengunjung untuk menanda
rahasia tangani daftar tamu ketika mereka masuk dan me
ninggalkan lokasi;batasi akses kesaluran telepon
pribadi yang tidak terdeteksi,keterminal dan PC
yang memiliki otorisasi;batasi akses keprogram
off-line,data serta perlengkapannya;simpan kom
ponen sistem yang penting jauh dari bahan berba
haya;pasang detektor asap dan api serta pemada
m api.
Pengendalian akses yang tidak klasifikasi pengamanan data(tidak ada batasan,ha
atas akses memiliki otorisasi ke nya untuk pegawai,hanya untuk pemilik dan man
secara logis software sistem, ajemen puncak,dan lain-lain),tetapkan hak akses
program aplikasi, pegawai dan pihak luar,menghapus,dan mengu
serta sumber daya bah data.kenali pemakai melalui hal-hal yang me
sistem lainnya reka ketahui(password,PIN,jawaban atas pertanya
an pribadi),atau yang mereka miliki(kartu identita
s,kartu pegawai aktif),atau melalui karakteristik
Untuk memastikan kesalahan tersebut diperbaiki dan dimasukan kembali,serta mendistribusikan
output sistem.
Merupakan hal yang penting untuk diketahui bahwa orang-orang yang melakukan fungsi-fungsi ini
haruslah orang-orang yang berbeda.mengizinkan seseorang untuk melakukan dua atau lebih
pekerjaan,akan menghadapkan perusahaan pada kemungkinan terjadinya penipuan.
Contohnya,apabila seorang programer untuk sebuah lembaga pemberi kredit di izinkan untuk
menggunkan data asli dalam menguji program yang dibuatnya, maka dia dapat menghapus saldo
kredit mobilnya ketika melaksanakan uji tersebut.seperti juga halnya apabila seorang operator
komputer memiliki akses ke logika program dan

Tabel 8-3
Ringkasan pengendalian pengamanan utama (lanjutan)
Kategori ancaman/resiko pengendalian
pengendalian
Personal mereka(sidik jari,pola suara,pemindai retina,be
ntuk wajah,tanda tangan,dan sistem sandi tekan),peme
riksaan kesesuaian,matriks pengendalian akses.
Perlindungan atas kerusakan file lakukan inventori atas PC dan pemakainya,sesuaikan sis
PC dan jaringan komputer dan tem pengamanan dengan ancaman dan resikonya,la
klien/server perlengkapannya tih pemakai tentang pengendalian PC,kunci disk drive
akses yang tidak beri label yang tidak dapat dilepas,simpan data yang sen
memiliki otorisasi ke sitif dalam tempat yang aman,secara otomatis mematik
data rahasia;pemakai an jaringan PC yang tidak digunakan,buat cadangan
yang tidak dikenali hard drive secara teratur,eksrinsip file atau beri file pass
sistem pengamanan word,hapus bersih disk dengan menggunakan program
utility,buat dinding pelindung disekitar operasi,boot PC
dalam sistem pengamanan,gunakan pengendalian pass
word bertingkat,pekerjakan spesialis atau program peng
amanan untuk mendeteksi kelemahan dijaringan,audit
dan catat pelanggaran pengamanan.
Pengendalian kerusakan file data password,enkripsi,verifikasi routing,software pendeteksi
internet dan dan perlengkapan; virus,firewall,pembuatan jalur khusus,penggunaan amp
e-commerce akses yang tidak lop elektonis,tolak akses pegawai ke internet,dan server
memiliki otorisasi ke internet tidak terhubung dengan komputer lainnya di
data rahasia perusahaan.

Dokumentasinya,dia bisa saja,ketika memproses program penggajian perusahaan,mengubah


program untuk menaikkan gajinya.
Sebagai tambahan atas pemisahan tugas yang memadai,organisasi harus memastikan bahwa
orang mendesain,mengembangkan ,mengimplementasikan,dan mengoperasikan sistem informasi
milik perusahaan,berkualitas serta terlatih baik.hal ini sesuai dengan yang dijelaskan di bab 7.kondisi
yang sama juga harus di berlakukan bagi orang-orang yang bertanggung jawab atas pengamanan
sistem.
Pengendalian atas akses secara fisik
Kemampuan secara fisik untuk menggunakan perlengkapan komputer,disebut sebagai akses secara
fisik,sedangkan kemampuan untuk mendapatkan akses kedata perusahaan,disebut sebagai akses
secara logis.kedua akses ini harus dibatasi.pengamanan akses secara fisik dapat dicapai dengan
menggunakan pengendalian-pengendalian berikut ini :
Tempatkan perlengkapan komputer di ruang terkunci dan batasi akses hanya untuk personil
yang memiliki otorisa saja.
Memiliki hanya satu atau dua jalan masuk keruang komputer.jalan masuk tersebut harus di
kunci dengan aman serta di awasi dengan baik oleh penjaga keamanan dan sistem cctv
(closed-circuit television)
Meminta ID pegawai yang sesuai,seperti kartu pengamanan,untuk melewati titik akses.teknik
ID yang mutakhir bahkan dapat secara otomatis mencatat setiap pegawai yang keluar dan
masuk,kedalam sebuah daftar yang di pertahankan dikomputer dan secara periodik di tinjau
oleh supervisor.
Meminta pengunjung untuk menandatangani sebuah daftar tamu ketika mereka memasuki
dan meninggalkan lokasi.beritahukan mereka kebijakan pengamanan perusahaan,berikan
kartu pengunjung,dan kawal pengunjung ketempat tujuannya.
Gunakan sistem alarm untuk mendeteksi akses yang tidak memiliki otorisasi sewaktu diluar
jam kerja.
Batasi akses atas saluran telepon pribadi dan tidak terdeteksi,atau atas terminal dan PC yan g
memiliki otorisasi.
Pasang kunci ke PC dan peralatan komputer lainnya.
Batasi akses program,data dan perlengkapan off-line.
Tempatka hardware dan komponen penting sistem lainnya jauh dari bahan yang berbahaya
atau mudah terbakar.
Pasang detektor asap dan api serta pemadam kebakaran,yang tidak merusak perlengkapan
komputer.
Pengendalian atas akses logis
Para pemakai harus di izinkan untuk hanya mengakses data yang di otorisasikan pada mereka,dan
mereka hanya melaksanakan fungsi tertentu yang di otorisasikan pada mereka.merupakkan hal yang
penting juga untuk melindungi data dari pihak luar organisasi.sebagai contoh,sebuah pesaing
perusahaan manufaktur menjebol masuk kedalam sistem perusahaan dan melihat-lihat data
perusahaan hingga menemukan data tawaran suatu proyek bernilai miliaran dolar.gangguan ini
akhirnya ditemukan oleh suatu sisem audit,tetapi ukan sebelum hilangnya kesempatan tawaran
kontrak.
Dalam rangka membatasi akses logis,sistem haruus membedakan antara para pemakai yang
memiliki otorisasi dengan yang tidak,menggunkan hal-hal yang diketahui atau dimiliki oleh
pemakai,tempat pemakai mengakses sistem,atau karakteristik pribadi lainnya.mungkin pendekatan
yang paling umum adalah menggunakan hal-hal yang diketahui para pemakai.contohnya,komputer
dapat menanyakan pada oara pemakai pertanyaan yang bersifat pribadi,serta nama gadis ibu
mereka.para pemakai juga dapat di minta untuk memasukkan nomor identifikasi personal (personal
identification number-PIN).
Nomor identifikasi (ID) pemakai dan password
Pengidentifikasi pengetahuan yang paling sering digunakan adalah nomor identifikasi pemakai dan
sistem pembuktian ke aslian (authentication system). Ketika mencoba masuk kedalam sistem,para
pemakai mengidentifikasi dirinya dengan memasukkan ID pemakai yang unik,seperti nomor
pegawaian atau nomor akun.
Pemakai kemudian memasukkan pasword,yaitu serangkaian karakter yang hanya diketahui
oleh pemakai dan sistem.kelemahan dari penggunaan password adalah password dapat
ditebak,hilang,disalin,atau diberikan,sehingga menimbulkan potensi adanya orang yang tidak
memiliki otorisasi atau yang berbahaya,mendapatkan akses ke sistem.contohnya,narapidana
pemerkosa anak yang sedang bekerja di rumah sakit boston,menggunakan password pegawai yang
sudah mengundurkan diri untuk mendapatkan akses ke file rahasia pasien.dia kemudian
mendapatkan nomor telepon keluarga yang memiliki anak-anak kecil.para pemakai harus tetap
bertanggung jawab atas tindakan apapun yang dilaksanakan oleh oorang lain yang masuk atau
menggunkan kedua pengidentifikasi tersebut.
Mengikuti rekomendasi dalam fokus 8-3 dapat meminimalkan resiko yang terkait dengan
password.
Identifikasi melalui kepemilikan fisik
Orang juga dapat diidentifikasi melaui identifikasi kepemilikan fisik (hal-hal yang mereka miliki
secara fisik)seperti kartu tanda pengenal(ID card) yang berisi nama orang tersebut,nomor
identifikasi,foto serta informasi lainnya yang berhubungan.keamanan dapat di tingkatkan secara
signifikan apabila pemakai diminta untuk memiliki baik kartu tanda pengenal maupun password
sebelum mendapat akses ke sistem.akan tetapi,sistem ini pun dapat
dikompromikan.contohnya,seorang hacker menjebol masuk ke sistem motorola dengan menelepon
bagian pemberi bantuan informasi,dengan mengatakan bahwa dirinyaa adalah pegawai yang bekerja
dari rumah dan melupakan kartu tanda pengenalnya (kartu tersebut membuat password acak yang
berubah setiap beberapa detik ). Bagian pemberi bantuan informasi mempercayai dirinya dan
membiarkannya masuk ke jaringan perusahaan.untungnya,dia tidak secara permanen merusak
sistem perusahaan.
Fokus 8-4 mendeskripsikan ID kepemilikan fisik lainnya,yaitu kartu aktif yang mengeluarkan
transmisi sinyal radio,yang kemudian diitangkap oleh penerima khusus.
Identifikasi biometris
Peralatan identifikasi biometris mengidentifikasi karakteristik unik seperti sidik jari,pola suara,pola
retina,pola dan tampilan muka,bau badan,dinamika tanda tangan,serta pola pengetikan(cara
pemakai mengetik beberapa karakter).ketika seseorang ingin mengakses sistem,identifikasi
biometrisnya akan dicocokkan dengan data yang disimpan dalam komputer.

Fokus 8-3
Memastikan integritas password
1.Mintalah pemakai untuk menjaga kerahasian telah membuat passwordnya tidak valid,te
nomor identifikasi dan password.sistem seharusnya tapi karena password tidak diubah seca
tidak menampilkannya ketika pemakai memasukannya ra teratur,maka password yang di curi sebe
pemakai harus jangan pernah menggunkan password lum dia pergi,memungkinkannya mengaks
di pacific bell,beberapa hacker remaja berlagak seperti es ke sistem.
Pegawai perusahaan dan membujuk pemakai sistem 4.berikanlah nomor identifikasi elektronik
untuk memberikan password yang mereka butuhkan ke setiap peralatan yang memiliki otorisasi
untuk mengakses sistem. Contohnya,akses kecatatan penggajian da
2.secara acak berikanlah password ke pemakai,karena pat dibatasi ke komputer dan terminal di
password yang dipilih sendiri oleh pemakai sering kali bagian penggajian serta pihak manajemen
dapat ditebak dengan mudah puncak yang terkait.
3.ubahlah password sesering mungkin untuk memper 5.putuskan hubungan dan nonaktifkan iden
tahankan kerahasiaan.beberapa bulan setelah dipecat tifikasi bagi siapa pun yang tidak dapat me
seorang pegawai wanita dicalifornia masuk dalam kom mberikan nomor identifikasi atau password
puter milik bekas perusahaanya,untuk mengkopi dan yan valid,dalam tiga percobaan.hal ini men
merusak file.polisi menggerebek rumahnya dan menyi cegah hacker memrogram komputer dalam
ta jutaan dolar software perusahaan.perusahaan rangka mencoba berbagai kombinasi nomo
untuk mengimplementasikan pengendalian ini,tetapi r identifikasi dan password pemakai.
Memutuskan bahwa pengendalian ini menggunakan 9.batasi dengan segera akses seorang pega
terlalu banyak sumber daya sistem. Waiketika dia dipindahkan kebagian lain
6.selidikilah dengan segera peralatan yang digunakan contohnya,seseorang dipindah dari bagian
untuk melakukan percobaan akses kesistem dengan penggajian harus tidak boleh memiliki akse
menggunakan nomor identifikasi atau password yang s lagi ke data penggajian.
Tidak valid. 10.nonaktifkan dengan segera nomor identi
7.mintalah pegawai untuk mematikan komputer mere fikasi dan password pegawai yang diberhen
ka ketika tidak digunakan.merupakan hal yang sangat tikan.
Penting untuk tidak meninggalkan komputer tanpa 11.gunakanlah program pemindai passwo
penjagaan selama interaksi on-line dengan database rd untuk mendeteksi password yang lemah
perusahaan yang rahasia. Atau yang mudah ditebak.
8.batasi pemakai atau transaksi terminal untuk waktu 12.mintalah kartu pintar(smart card) yang
tertentu,seperti dalam jam kerja normal. menghasilkan password baru dan unik setiap
menit.sistem akan menggunakan algoritma ya
ng sama dengan kartu tersebut dan,karena wa
ktunya telah disamakan,akan menghasilkan pa
ssword yang sama.

Biro imigrasi dan naturalisasi amerika serikat telah mulai menggunakan pembaca tangan elektronik
untuk memverifikasi seseorang.sidik tangan pemohon paspor ditangkap dan disimpan dalam kartu
seukuran dompet.ketika pemegang kartu pembaca khusus yang mencocokkan keduanya.dibandar
udara yang di lengkapi dengan pembaca tangan,paspor tidak perlu diperlihatkan ketika seseorang
pemmegang kartu datang kembali ke negara tersebut.tujuan akhirnya adalah memasukkan data sisik
tangan berkode dalam paspor yang dapat dibaca mesin.
Alat biometris yang ideal dapat beradaptasi dengan perubahan sekecil apapun,tetapi akan
menolak pemakai yang tidak memiliki otoritasasi.sayangnya,masih terdapat masalah.contohnya,alat
pengenal suara dapat menolak seseotrang yang mengalami pilek atau suaranya tidak jelas karena
berbicara lewat jalur telepon,sementara pemindai retina dapat menolak seseorang yang mengalami
mata merah.kelemahan lainnya adalah,kecuali untuk pemindai suara,pemakai harus memiliki alat
identifikasi biometris jarak jauh atau secara fisik hadir untuk menggunakan sistem.
Fokus 8-4
Kartu Aktif secara diam-diam mendeteksi keberadaan pegawai

George Orwel dari Big Brother mengamati pegawai.


dengan lebih tajam dari pada sebelumnya Mamfaat praktis kartu aktif, seperti
Laboratorium Penelitian Olivetti dan Laboratorium tidak adanya telepon yang terlewat, telah
Komputer Cambridge University di Cambridge, mengubah pihak yang meragukan kartu ini
Inggris. Para pegawai disana menggunakan menjadi pemakai yang sangat percaya dan
peralatan lacak infla merah yang disebut dengan sukarela. Salah satu potensi penghalang adalah
kartu aktif, yang memungkinkan jaringan sistem yang akan merespons kartu, bukan orang
komputer secara diam-diam mendeteksi yang memakainya. Siapa pun pemakai kartu
keberadaan pegawai. Sebagai tambahan dari yang memiliki kode unik tersebut, akan memiliki
pengamanan fisik dalam gedung perusahaan, identitas dari pemilik asli nya. Memacahkan
sistem pelacak otomatis ini dapat digunakan masalah pembuktian keaslian dalam target
untuk melacak objek dibandar udara, dari tas proyek penelitian yang berkenaan dengan kartu
koper hingga anak yang hilang. tersebut.
Kartu kecil yang dijepitkan dikantong baju Pengenalan teknologi ini menimbulkan
atau tergantung di sabuk, di lengkapi dengan alat beberapa isu hukum dan etika. Kritik
transmisi yang memencarkan sinyal kode unik menyatakan bahwa teknologi baru tersebut
setiap beberapa detik. Sinyal tersebut akan mengorbankan privasi pribadi demi kemudahan
ditangkap oleh sensor infla merah yang terletak dan efisiensi. Bebberapa pegawai yang
disetiap ruang, serta mengirimnya ketempat kerja memakai kartu aktif dapat merasa seperti
atau PC yang berfungsi sebagai node dalam tahanan rumah yang gelangnya akan
jaringan komputer yang terdistribusi. Ketika ada menyalakan alarm ketika mereka keluar rumah.
panggilan telepon masuk ke perusahaan, Beberapa orang merasa bahwa teknologi yang
resepsionis yang membuka sistem, melacak sangat bagus di tangan yang tepat, tetapi
pegawai yang bersangkutan, dan memindahkan manajer yang buruk akan membuat hidup
panggilan telepon ke telepon terdekat dengan pegawai menjadi sengsara.

dampak hilangnya keamanan atau kerahasiaa atas bisnis perusahaan. Beberapa data tidak
memerlukan pembatasan akses, seperti data yang dimasukkan kedalam Website yang dapat diakses
umum. Beberapa data dibatasi hanya untuk pegawai. Data lainnya bersifat rahasia dan akses
dibatasi hanya untuk pemilik dan pihak manajemen puncak. Dalam sebagian besar perusahaan,
bebrapa tingkat pengamanan (atau kerahasiaan0 akan ditetapkan digunakan. Ketika data dan
program telah diklasifikasi, pemilik dan pihak manajemen puncak dapat menetapkan hak akses
pegawai dan pihak luar. Dalam membuat penetapan ini, pemisahan tugas yang memadai harus tetap
dipertahankan. Integritas data dan pengemanan data juga penting sehingga tidak ada seorang pun
dalam organisasi yang memiliki otoritas untuk membaca, menambah, menghapus, dan mengubah
data tanpa ada orang lainnya yang meninjau aktivitas tersebut.
Ketika seseorang mencoba mengakses data atau program atau mengoperasikan sistem, uji
kesesuaian (compatibility test) harus dilaksanakan untuk menetapkan apakah pemakai memiliki
otorisasi untuk melaksanakan tindakan yang akan dilakukan. Contohnya, pegawai pabrik tidak akan
diberikan otorisasi untuk memasukkan data mengenai utang

Gambar 8-1
Matriks Pengendalian Akses

IDENTIFIKASI PEMAKAI FILE PROGRAM

Nomor kede Password A B C 1 2 3 4

12345 ABC 0 0 1 0 0 0 0

12346 DEF 0 2 0 0 0 0 0

12354 KLM 1 1 1 0 0 0 0

12359 NOP 3 0 0 0 0 0 0

12389 RST 0 1 0 0 3 0 0

12567 XYZ 1 1 1 1 1 1 1

Kode untuk jenis akses:


0 = Tidak memiliki akses
1 = Hanya untuk membaca dan menampilkan
2 = Membaca, menampilkan, dan memperbarui
3 = Membaca, menampilkan, memperbarui, memuat dan menghapus.

usaha, dan staf pembelian tidak akan diizinkan untuk memasukkan pesanan penjualan. Prosedur ini
penting untuk mencegah baik kesalahan yang tidak di sengaja maupun yang disengaja, dalam
manipulasi sistem.
Uji kesesuaian menggunakan matriks pengendalian akses (access control matrix), yang
berupa daftar nomor identifikasi dan password para pemakai yang memiliki otorisasi; daftar seluruh
file, data, program; dan akses setiap pemakai atas mereka. Gamabar 8-1 memperlihatkan matriks
pengendalian akses dengan kode untuk empat jenis akses. Pemakai 12345-ABC hanya diizinkan
untuk membaca dan menampilkan file C, serta di batasi dari berbagai akses ke file atau program
lainnya. Pemakai 12389-RST, yaitu seorang programer, memiliki otorisasi untuk membuat perubahan
jenis apapun atas program 2, dan dapat membaca serta menampilakan catatan dari file B. Pemakai
12567-XYZ, mungkin seorang supervisor, memiliki otoritas untuk membaca dan menampilkan isi
seluruh file dan program.

Perlindungan PC dan Jaringan Klien/Server


Dalam desakan untuk berpindah dari sistem komputer pusat ke jaringan klien/server, banyak
perusahaan yang gagal mengembangkan sistem yang memadai untuk pengendalian internal untuk
jaringan klien/server mereka. Mereka kini terpaksa mengubah desai aplikasi tersebut dengan fitur
pengamanan yang sesuai. Perusahaan lain telah membangun aplikasi klien/server yang kritis dengan
misi, yang tidak dapat digunakan karena tidak ada fitur pengamanan yang mamadai. PC dan jaringan
PC lebih rentan terhadap resiko pengamanan dari pada komputer utama, dalam beberapa hal beikut
ini:
1. PC terdapat dimana-mana, berarti akses secara fisik sulit dikendalikan. Setiap jaringan PC
menjadi alat yang harus dikendalikan. Makin banyak pemakaiannya, makin besar risiko
serangan pada jaringan. Contohnya, Chevron Texaco mendistribusikan informasi ke puluhan
ribu pegawai dengan menggunakan lebih dari 40.000 PC.
2. Para pemakai PC secara umum kurang menyadari pentingnya pengamanan dan pengendalian.
3. Banyak orang yang mengetahui dengan baik operasi dan penggunaan PC.
4. Pemisahan tugas yang memadai sulit dilaksanakan karena PC terletak di departemen-
departemen pemakai, dan seseorang dapat bertanggung jawab baik untuk pengembangan
maupun operasi.
5. Jaringan diakses dari lokasi jarak jauh dengan menggunakan modem, internet, EDI, serta
sistem komunikasi lainnya. Banyaknya jumlah dan keanekaragaman titik akses ini secara
signifikan meningkatkan risiko yang dihadapi oleh jaringan.
6. PC mudah dibawa dan sistem pengamanan yang paling baik di dunia juga tidak dapat
melindungi data yang berada di dalam PC, apabila PC tersebut hilang, dicuri, atau salah letak.

Banyak kebijakan dan prosedur untuk pengendalian komputer utama dapat diaplikasikan untuk
jaringan PC. Pengendalian berikut ini juga merupakan pengendalian yang penting:
Latihlah pemakai mengenai pengendalian yang berkaitan dengan PC serta arti pentingnya.
Penanganan harus merupakan bagian pentin dari proses pengembangan aplikasi. Pemakai
yang mengembangakn program aplikasi ,ereka sendiri harus diajarkan cara untuk menguji dan
mendokumentasikannya.
Batasi akses dengan menggunakan kunci di PC dan apabila mungkin, atas disk driver.
Perlengkapan harus dengan jelas diberi label dengan menggunakan atiket yang tidak dapat
dipindahkan.
Buatlah kebijakan dan prosedur untuk (1) mengendalikan data yang dapat disimpan atau di
download ke PC, (2) meminimalkan potensi pencurian atas PC yang dipindahkan dari tempat
perusahaan, (3) melarang pemakai menggunakan softwere pribadi ke dalam PC, mengkopi
software perusahaan untuk penggunaan pribadi, atau menggunakan sistem tanpa memiliki
otoritas. Ketidakberadaan pengendalian dalam hal-hal inilah (atau kegagalan dalam
menerapkannya) yang membuat seorang pegawai perusahaan sekuritas besar di San Franciso
menggunakan sistem komputer perusahaan untuk membeli dan menjual kokain.
PC yang mudah dibawa tidak boleh disimpan di dalam mobil dan harus dibawa masuk ke kabin
pesawat bukan di bagasi. PC yang berisi data rahasia harus dikunci sewaktu malam dan
diamankan ketika tidak sedang digunakan. Di Kementrian Pertahanan Inggris, sebuah Laptop
dicuri, sementara laptop tersebut berisi seluruh rencana perang Operasi Badai Gurun
(Operation Desert Storm).
Simpanlah data yang sensitif dalam lingkungan yang seaman mungkin, seperti menyimpannya
dalam server atau komputer pusat, sebagai ganti PC. Alternatifnya, data yang sensitif dapat
disimpan dalam disket atau disk drive yang dapat dipindahkan dan disimpan di lemar besi.
Seseorang menggunakan obeng di kantor pusat Levi Strauss untuk mengambil hard drive dari
sebuah PC. Drive tersebut berisi data pribadi (nama, nomor jaminan sosial, tanggal lahir, dan
nomor rekening bank) 20.000 pegawainya. Data ini dapat digunakan untuk mengajukan
aplikasi kartu kredit secara curang dan untuk menarik uang tunai dari rekening bank terkait.
Instal software yang secara otomatis akan mematikan terminal atau komputer yang termasuk
dalam jaringan setelah tidak digunakan dalam waktu yang telah di tentukan.
Buatlah cadangan hard drive secara teratur.
Enkripsi atau lindungi file dengan password agar data yang dicuri tidak berguna.
Gunakanlah program penghapusan tuntas yang benar-benar membersihkan data dalam disk
ketika yang rahasia dihapus. Perintah hapus ini dalam sebagian bear PC hanya menghapus
indeks data, bukan data itu sendiri. Banyak program utilitas yang dapat memulihkan kembali
data yang dihapus (bukan yang benar-benar dihapus)
Buatlah dinding pelindung disekitar sistem operasi untuk mencegah pemakai mengubah file
sistem yang penting.
Oleh karena PC paling rentan ketika baru dinyalakan, PC harus di boot dalam sistem
pengamanan. Pemakai tidak boleh dapat menggunakan bagian manapun sistem sehingga
pemakai memberikan otorisasi yang sesuai. Usaha apapun untuk memindahkan software
sistem dari sistem tersebut, harus membuat keyboard menjadi tidak dapat di operasikan.
Apabila pemisahan tugas secara fisik tidak mungkin dilakukan, gunakan pengendalian
password berlapis untuk membatasi akses pegawai kedata yang tidak sesuai serta
menciptakan pemisahan tugas yang efektif.
Gunakanlah spesialis atau program pengamanan untuk mengatasi kelemahan dalam jaringan.
Program pengsmsnsn sksn meniru penyelundup dan memberikan informasi berharga tentang
seberapa aman aktivitas jaringa serta dimana saja perbaikan harus dilakukan. Paerhatian
harus diberikan agar program ini tidak digunakan untuk kepentingan lain yang menyimpang.
Contohnya, SATAN (System Administrator Tool for Analyzing Nerwork), sebuat program
pengamanan gratis yang ditawarkan di internet, dapat membantu membuka jaringan ke pihak
luar dalam situasi tertentu.
Audit dan catatlah hal-hal yang dilakukan para pemakai dan waktu mereka melakukannya,
agar pelanggaran pengamanan dapat dilacak dan diperbaiki.
Didiklah para pemakai mengenai risiko virus komputer dan cara meminimalkannya (lihat Bab
9)

Disebagian besar organisasi, PC secara elektronik dihubungkan dengan menggunakan jaringan


lokal dan WAN. Salah satu keuntungan bagi PC adalah peningkatan prosedur pengamanan dan
pengendalian serta penerapannya melalui pengendali jaringan pusat. Pengendalian password akan
dibutuhkan, penggunaan PC akan di awasi secara tepusat, prosedur perlindungan dari virus dapat
ditetapkan, dan prosedur pembuatan cadangan dapat dilaksanakan secara otomatis.
Mengembangkan strategi pengendalian internal untuk PC dimulai dengan menginventarisir
seluruh PC dan mengidentifikasi penggunaannya. Kemudian, setiap PC harus diklasifikasikan sesuai
dengan risiko dan pajanan yang terkait dengan aplikasinya. Contohnya, sebuah PC digunakan untuk
mempertahankan catatan akun utang dan membuat pengeluaran tunai (cash disbursement) yang
menghadapi risiko dan pajanan lebih banyak dari pada PC yang digunakan untuk mengetik dokumen
(work processing). Selanjutnya, program pengamanan harus dibuat untuk setiap PC sesuai dengan
tingkat risiko dan pajanannya, serta sesuai dengan sifat aplikasi sistem. Mungkin aplikasi PC yang
paling sensitif adalah sistem akuntansi yang berada dalam pengendalian satu orang, yang
mencerminkan pemisahan tugas uang tidak memadai. Dalam kasus semacam ini, praktik
sumberdaya manusia yang baik harus diikuti, seperti pemeriksaan latar belakang sebelum
memperkejakan, jaminan keloyalan, liburan wajib, serta rotasi tugas secara periodik.

Pengendalian Internet dan E-commerce


Berikut ini adalah alasan-alasan mengapa perhatian harus diberikan ketika menjalankan bisnis
melalui internet:
Ukuran dan kompleksitas Internrt sangat besar, sama luasnya dengan masyarakat global yang
bergantung pada Web. Jumlah pemakaian internet meningkat sangat besar.
Internet menawarkan variabilitas yang sangat besar dalam hal kualitas, kompatibilitas,
kelengkapan, dan stabilitas produk dan pelayanan jaringan.
Sebelum pesan Internet tiba di tujuannya, pesan tersebut dapat dengan mudah melewati 6
sampai 10 komputer. Setiap orang yang berada di salah satu komputer tersebut dapat
membacanya ata mengkopi pesan tersebut. Bahkan orang lain dapat membaca pesan-pesan
yang dikirim melalui Internet (Internet internal) perusahaan, seperti yang baru-baru ini
diketahui oleh perusahaan besar ketika mengadakan audit internal. Audit tersebut
menyingkap bahwa pesan-pesan e-mail yang bersifat rahasia di kirim antar-eksekutif di kantor
pusat ternyata dapat dibaca oleh administrator jaringan yang bekerja di gedung lain yang
jaraknya 30 mil dari kantor pusan tersebut.
Banyak website yang pengamanannya salah. Suatu studi pada 2.200 site menemukan bahwa
antara 70 dan 80 persennya memiliki kesalahan pengamanan yang serius. Site dengan profil
tinggi cenderung lebih sering mengalami kesalhan yang serius dari pada site yang kurang
populer.
Hacker tertarik pada internet. Sebagai contoh: enam anak muda di Denmark ditangkap karena
menggunakan Internet untuk menembus komputer Peramalan Cuaca Nasional. Untungnya
para hacker tersebut tidak sampai merusak sistem tersebut yang dapat mengakibatkan
jatuhnya pesawat penerbangan yang bergantung pada peramalan cuaca. Para hacker di
temukan ketika password pegawai yang sudah lama mulai muncul lagi di dalam sistem. Dalam
kasus yang lain, seorang hacker berusia 16 tahun menggunakan komputer dirumahnya dan
internet untuk menembus lebih dari seratus jaringan internasional. Meskipun mereka tidak
memiliki bukti, beberapa peneliti kuatir bahwa hacker mampu mencuru data nuklir yang
bersifat rahasia.
Beberapa pengendalian efektif dapat digunakan untuk mengamankan kegiatan Internet.
Beberapa pangendalian yang penting sudah dibahasa, seperti password, teknologi enkripsi (lihat Bab
3), dan prosedur verifikasi routing. Yang lainnya, seperti detektif virus, dibahas di Bab 9.
Organisasi dapat menggunakan firewall untuk mengendalikan akses yang tidak memiliki
otorisasi, baik oleh orang luar maupun oleh pegawai yang berusaha mengakses bagian sistem yang
tidak boleh mereka akses. Seperti yang ditunjukkan dalam Gambar 8-2, firewall adalah hardware dan
software yang mengendalikan komunikasi antara jeringan internal perusahaan, yang kadang-kadang
disebut sebagai jaringan yang dipercaya, dan jaringan luar, atau jaringan yang tidak di percaya,
seperti internet atau jaringan penambah nilai(value-added network). Firewall adalah pembatas
antar-jaringan yang menghalangi keluar masuknya informasi yang tidak diinginkan dalam jaringan
yang dipercaya. Jatingan yang kompleks kadang-kadang dibagi kedalam beberapa sub-jaringan yang
masing-masing memiliki firewall sendiri. Organisasi sering menggunakan firewall untuk memisahkan
jaringan internal, sehingga data sensitif terlindung dari penggunaan internal yang tidak memiliki
otorisasi. Firewall harus mampu menindungi dari serangan, kerusakan, dan modifikasi yang tidak
diotorisasi. Firewall sering menggunakan hardware,software, dan teknologi lain yang berlebihan
(redundant) untuk mengurangi gangguan dan kerusakan.
Gambar 8-2
Peran Firewall

Firewall

Individual
SIA Perusahaan A Internet

Jaringan Penambahan Nilai (VAN)


Firewall dapat dan seharusnya diimplementasikan dalam dua tingkat. Pada tingkat pertama, router
harus menghalangi semua paket data yang keluar dan masuk, menguji sumber atau tujuan
informasi, dan memutuskan apakah paket tersebut dapat dapat diteruskan atau tidak. Paket yang
lolos dari uji tersebut kemudian diarahkan ke pintu gerbang (gateway) aplikasi yang sesuai, yang
menyediakan pengamanan tingkat kedua. Pintu gerbang aplikasi yang dapat diprogram untuk
mrnguji isi paket yang masuk atau keluar dan menentukan apakah paket tersebut dapat diteruskan
lebih jauh atau tidak.
Firewall, sama seperti kunci lainnya, dapat ditembus. Oleh sebab itu, perusahaan juga
menerapkan sistem deteksi gangguan untuk menyediakan peringatan tepat waktu ketika terjadi
akses yang tidak memiliki otorisasi. Selain itu,firewall dapat dilewati oleh hubungan komunikasi
nirkabel antara sistem internal dan pihak luar. Jadi, para propesional pengamanan kompute dan
audit internal perlu mengawasi dan meninjau secara berkelanjutan semua hubungan dalam jaringan
komunikasi organisasi mereka.
Usaha pengendalian saat ini memfokuskan pada kontruksi firewall yang tidak dapat
ditembus untuk menghindari akses sistem yang tidak memiliki otorisasi. Lebih mudah memiliki
pengendalian akses yang kuat pada titik entri tunggal dari pada berusaha mengendalikan berbagai
titik entri. Digital Equipment Corp. Menginstal firewall yang disebut Screening External Access Link
(SEAL), antara jaringan korporat internal dan internet. SEAL telah berhasil menghalangi penyusup
selama 11 tahun. Akan tetapi, perusahaan yang lain tidak terlalu beruntung. Pada suatu hari
Thanksgiving, hacker berhasil menerobos firewall General Electric dan mengakses informasi
kepemilikan. GE harus menutup akses internetnya selama 72 jam untuk menilai kerusakan dan
mengoreksi masalah tersebut.
Pengalaman internet dapat juga dicapai dengan menggunakan pendekatan yang di sebut
tunneling. Dalam tunneling, jaringan dihubungkan melalui internet-firewall ke firewall-dan dat
adibagi ,emjadi segmen-segmen keci yang disebut paket internet protocol (IP), dienkripsi, dicampur
dengan jutaan paket dari ribuan komputer yang lain, dan dikirim melalui internet. Pada bagian
penerima, di dekripsi dan dirakit ulang menjadi pesan awalnya. Hal ini membuat perusahaan dapat
menggunakan internet untuk menciptakan jaringan pribadi virtual dan menghindari biaya
penyewaan jalur pribadi untuk menghubungkan jaringan. Tunneling dapat juga digunakan untuk
melindungi jaringan individual di dalam organisasi.
Amplop elektronik dapat melindungi pesan e-mail. Amplop tersebut dibuat menggunakan
teknik enkripsi kunci pribadi atau publik seperti yang di bahas di Bab 3. Jika kerahasiaan kunci
terjaga, maka keaslian dan integritas email yang dienkripsi dapat dijamin. Orang yang menerima
email membuka amploop denga menggunakan kunci untuk mendekripsikan pesan.
Beberapa perusahaan, seperti Philip Morris, sangat berhati-hati terhadap hacker, virus, dan
aspek-aspek lain yang tidak diinginkan dari penggunaan internet, sehingga melarang pegawainya
untuk mengakses internet dan e-mail dari luar. Perusahaan yang lain hanya memiliki hubungan
internet keluar, satu arah, sehingga pegawai dapat menggunakan internet untuk melakukan
penelitian. Tidak ada akses dari luar kedalam sistem. Akan tetapi, hal ini membatasi keefektifan
internet karena para pegawai tidak dapat menerima e-mail.

Tabel 8-4
Ringkasan Pengendalian Keterpeliharaan Utama
Kategori Ancaman/ Risiko Pengendalian
Pengendalian
Pengembangan Proyek Rencana utama strategis jangka panjang, jadwal pemprosesan data,
proyek dan pengembangan penugasan setiap proyek ke manajer atau tim, rencana
pengendalian sistem pengembangan proyek, kejadian penting dari proyek, evaluasi
akuisisi mengkonsumsi kinerja, pengukuran kinerja sistem (pemasukan data, penggunaan,
sumber daya yang waktu respons), dan peninjausn pascaimplementasi.
sangat banyak.

Perubahan Proyek Perubahan kebijakan dan prosedur pengendalian menajemen,


pengendalian pengembangan peninjauan berkala semua sistem untuk membutuhkan
manajemen sistem perubahan,format baku untuk perubahan, pencatatan dan
mengonsumsi peninjauan permintaan perubahan, penilaian dampak perubahan
sumber daya yang terhadap sistem keandalan, pengkategorian dan penyusunan semua
sangat banyak,perubahan, prosedur untuk mengatasi hal-hal yang mendadak,
perubahan sistem pengkomunikasian perubahan ke manajemen dan pemakai,
yang tidakpersetujuan manajemen terhadap perubahan, penugasan tanggung
diotorisasi jawab khusus ketika mempertahankan sejumlah tugas, pengontolan
hak akses sistem, pemastian bahwa perubahan melewati semua
langkah yang sesuai, pengujian semua perubahan, pengembangan
rencana untuk melindungi perubahan sistem yang kritis,
implementasi fungsi,kepastian kualitas, dan pembaruan
dokumentasi dan prosedur.
Perusahaan yang lain menggunakan pendekatan yang terbalik. Mereka membuat server
internet yang tidak dihubungkan dengan sistem komputer mereka. Data yang disimpan dalam server
hanya data yang ingin disediakan oleh perusahaan bagi pemakai internet san merupakan data yang
tidak perlu dikhawatirkan jika hilang. Jika hacker berhasil merusak sistem, perusahaan cukup
menjalankan kembali (restart) sistem tersebut dan memasukkan lagi (reload) data yang disimpan
dalam sistem tersebut.
Pengaman internet masih perlu melewati jalan yang panjang untuk dapat dianggap aman.
Pada saat perusahaan memperkenalkan program pengamanan yan baru, amak hacker sering
menemukan cara untuk menembusnya. Sebagai contoh, kunci pengamanan browser Web Netscape
ditembus dua kali dalam beberapa bulan setelah softwarenya diluncurkan. Guna memotivikasi
hacker untuk menginformasikan ke perusahaan mengenai masalah pengamanan dimasa depan,
Netscape mulai menawarkan hadiah bagi siapa saja yang menemukan jalan untuk menerobos
softwarenya.

KETERPELIHARAAN
Dua kategori pengendalian yang membantu memastikan keterpeliharaan sistem adalah: (1)
pengembangan proyek dan pengendalian akuisisi dan (2) perubahan pengendalian manajemen.
Pengendalian ini dibahas dibawah ini dan diringkas dalam Tabel 8-4.

Pengembangan Proyek dan Pengendalian Akuisisi


Metode yang formal,sesuai, dan terbukti diperlukan untuk mengatur pengembangan, akuisisi,
implementasi, dan pemeliharaan sistem informasi dan teknologi yang terkait. Merodologi tersebut
harus berisikan pengendalian yang sesuai untuk penijauan dan

Fokus 8-5
Memasang Sistem Pelarian (Runaway)

Westpac Banking Corporation ndi Sydney, menyimpulkan bahwa CS90 tidak dapat
Australia menyelidiki proyek pengembangan dikendalikan. Meskipun proyek itu telah
sistem lima tahun untuk mendefenisikan menghabiskan dana hampir $150 juta, namun
ulang peran teknologi informasi. Proyek yang tidak ada hasil berguna yang diperoleh. Selain
menggunakan Coe System 90 (CS90) itu, pejabat bank menyatakan bahwa jadwal
dianggarkan sebesar $85 juta. Tujuannya penyelesaian proyek tidak dapat dipenuhi.
adalah untuk desentralisasi sistem informasi Oleh karena masalah serius yang dihadapinya
Westpac Dengan menyediakan alat computer- dengan portofolio utang dan program
aided seftware engineering (CASE) dan sistem manajemn aset, Westpac memutuskan
ahli ke para manajer cabang. Desentralisasi uuntuk tidak mengeluarkan dana lagi untuk
akan membuat westpac mampu memberikan CS90. Jadi, bank memecat IBM, yang menjadi
respon yang lebih cepat terhadap kebutuhan integrator sistem* dan pengembangan
palanggan sambil mengurangi ukuran software utama, dan menyewa Andersen
departemen SIA internal. Consulting (yang sekarang bernama
Sekitar 3 tahun setelah proyek Accenture) untuk meninjau proyek itu dan
dimulai,Westpac mengambil stok CS90 dang
mengembangkan rekomendasi untuk seoerti ini, menurut para ahli yang
menyelamatkannya. menyelamatkan sistem pelarian, CIO dan
Penguncuran dana yang sia-sia untuk proyek eksekutuf SIA yang lain sama salahnya dengan
CS-90 Westpack hanya merupakan satu cerita integrator sistem.
yang sudah sering didengar: proyek komputer Para ahli tersebut menyarankan bahwa
yang melebihi anggaran dan tidak selesai prowek integresi sitem jarus diawasi oleh
tepat waktu, yang sering disebabkan oleh komite sponsor, yang dibentuk oleh CIO, dan
integrator sistem yang tidak mampi diketuai oleh pemenang internal proyek.
memenuhi janji-janjinya yang terlalu tinggi. Manajer departemen untuk semua unit yang
Para ahli industri menyebut proyek tersebut akan menggunakan sistem itu unyuk masuk
sebagai pelarian (runaway). Selama beberapa dalam komite ini. Peran komite ini adalah
tahun, KPMG mengambil ahli sekitar 50 untuk menetapkan prosedur formal untuk
proyek komputer pelarian (runaway), dan mengukur dan melaporkan status proyek.
memperkirakan bahwa, sekitar dua pertiga Pendekatan yang tebaik adlah dengan
dari kasus-kasus ini, masalah timbul dari membagi proyek menjadi tugas-tugas yang
kesalahan manajemen integrator sistem. dapat dikelola, menugaskan tanggung jawab
Sistem komputer yang dibangun oleh pihak untuk setia tugas, dan melakukan pertemuan
ketiga yang mengeluarkan banyak biaya dan berkalai (minimal setiap bulan) untuk
tidak dapat memenuhi tanggal waktu, sama meninjau kemajuan dan menilai kualitas.
halnya drngan sistem yang dikembangkan Sama pentinnya adalah langkah-langkah yang
secara internal. Oleh sebab itu, peraturan harus diambil diluar proyek. Sebelum pihak
dasar manajemen dan pengendalian proyek ketiga dipanggil untuk mengajukan
wajib digunakan, termasuk pengawasan penawaran atas proyek, spesifikasi yang jelas
melekat terhadap kemajuan sistem selama harus dikembangkan, termasuk deskripsi yang
pengembangan. Sayangnya, banyak jelas dan definisi sistem, tenggak waktu yang
perusahaan yang tidak melakukan hal ini. jelas, dan kriteria penerimaan yang tepat
Sebaliknya mereka bergantung pada untuk setiap tahap proyek. Meskipun
kepastian integrator bahwa proyek akan pengembangan spesifikasi mungkin terlihat
diselaikan tepat waktu. Sering kali, integrator mahal, namun dalam jangka panjang akan
tidak memenuhi tenggat waktu tetapi tidak menghemat uang. Sebagai contoh:
memberitahukan kepada klien, karena Pemerintah Daerah Suffolk, New York, baru-
memperkirakan bahwa proyek masih dapat baru ini menghabiskan waktu 12 bulan dan
diselsaikan tepat waktu jika didorong dengan uang sebesar $500.000 untuk menyiapkan
keras pada menit terakhir. Dalam kasus spesifikasi yang rinci untuk sistem informasi
penegakan hukum yang baru sebesar $16 juta mengajukan penawaran untuk proyek
sebelum menerima penawaran. Pemerintah tersebut. Hal ini harus dipandang sebagai
daerah tersebut kemudian menyewa Unisys anugrah, bukan masalah. Para integrator yang
Corporation and Grumma Data System untuk tidak menghargai usaha perusahaan untuk
mengembangkan sistem tersebut. Pejabat mengendalikan secara ketat biaya dan
pemerintah daerah yakin bahwa usaha awal kualitas proyek sistemnya, adalah integrator
yang mereka lakukan membantu memastikan yang biasanya bertanggung jawab atas
kesuksesan sistem yang baru yang berbagai sistem pelarian (runaway).
menghemat biaya hardware sebesar $3 juta.
Beberapa integrator sistem mungkin menolak *Integrator sistem adalah pemasok yang bertanggung
jawab untuk mengelola usaha pengembangan sistem
spesifikasi yang rinci dan metode
kerja sama yang melibatkan personil pengembangannya,
pengendalian proyek yang ketat. Sebagai
pembelinya, dan mungkin juga personil pengembangan
contoh: setelah meninjau spesifikasi sisitem dari salah satu atau beberapa pemasok yang
pemerintah Daerah Suffolk, hanya 6 dari 22 lain, yang sedapat mungkin menggunakan standar

integrator yang menyatakan tertarik untuk umum.

persetujuan manajemen, keterlibatan pemakai, analisis, desain, pengujian, implementasi, dan


konversi. Metodologi tersebut juga harus memungkinkan manajemen untuk melacak masukan
informasi dari sumber mereka ke penempatan akhirnya atau dari penempatan akhir kembali ke
sumber awalnya (jejak audit). Metodelogi yang digunakan untuk mengembangkan dan memperoleh
sistem dibahas secara lebih rinci dalam Bab 16 sampai 18.
Ada banyak contoh proyek pengembangan atau akuisisi yang dikelola secara buruk yang
menghabiskan banyak uang karena prinsip-prinsip dasar pengendalian manajemen diabaikan.
Contohnya Oklahoma State Insurance Fund yang menghentikan kontak pengembangan dengan
Policy Management Systems untuk sistem software yang akan mengeluarkan kebijakan dan
memproses serta melacak klaim dan premium. Kontrak tersebut dibatalkan ketika proyrk terlambat
beberapa bulan dari jadwalnya dan menghabiskan $1juta lebih banyak dari yang dianggarkan. Sama
halnya dengan yang dijelaskan dalam Fokus 8-5 Westpac Banking Corporation menghentikan proyek
integrasi sistem skala besar setelah menghabiskan lebih dari $150juta.
Untuk meminimalisasi kegagalan, prinsip-prinsip dasar akuntansi pertanggungjawaban perlu
diterapkan pada pengembangan atau akuisisi sitem informasi. Ketaatan pada prinsip ini akan sangat
mengurangi kemungkinan pembengkakan biaya dan kegagalan proyek, bahkan akan sangat
memperbaiki efisien dan efektivitas sistem informasi. Pengembangan proyek dan pengendalian
akuisisi mencakup elemen-elemen utama berikut ini:
1. Rencana utama strategis. Perlunya rencana utama strategis telah dibahas dibagian awal bab
ini.
2. Pengendalian proyek. Rencana pengembangan proyek menunjukkan bagaimana proyek akan
diselesaikan, termasuk modul atau tugas yang akan dilaksanankan, siapa yang akan
melaksanakannya, tanggal penyelesaiannya, dan biayanya. Rencana tersebut harus
menyebutkan kejadian penting dari proyek-atau poin-poin utama ketika kemajuan ditinjau
dan waktu penyelesaian yang aktual dan yang diperkirakan dibandingkan. Setiap proyek harus
diberikan ke seorang manajer atau tim yang menjadi penanggung jawab atas kesuksesan atau
kegagalan proyek. Evaluasi kinerja anggota tim proyrk haru dilakukan pada saat setiap rencana
terselesaikan.
3. Jadwal pemprosesan data. Untuk memaksimalkan penggunaan sumber daya komputer yang
langka, semua tugas pemprosesan data harus diatur menerut jadwal pemprosesan data.
4. Pengukuran kinerja sisitem. Agar sistem dapat dievaluasi dengan tepat, sistem itu harus dinilai
dengan menggunakan pengukuran kinerja sistem. Pengukuran yang umum mencakup
pemasukan data (kuluaran per unit waktu), penggunaan (persentase waktu ketika sistem
digunakan secara produktif), dan waktu respons (berapa waktu yang dibutuhkan oleh sistem
untuk merespons.
5. Peninjau pascaimplementasi. Setelah proyek pengembangan diselesaikan, peninjauan
pascaimplementasi perlu dilakukan unruk menentukan apakan keuntungan yang diantispasi
dapat tercapai atau tidak. Peninjauan membantu mengendalikan kegiatan pengembangan
proyek dan mendorong perkiraan biaya dan keuntungan awal yang objektif dan akurat.

Perubahan Pengendalian Manajemen


Untuk mengendalikan perubahan sistem informasi, perusahaan memerlukan kebijakan dan produser
pengendalian menajemen peruabahan secara formal. Pengendalian ini harus mencakup hal-hal
berikut:
Peninjauan secara berkala terhadap semua sistem untuk mengetahui perubahan yang
dibutuhkan.
Semua permintaan diserahkan dalam format waktu yang baku.
Pencatatan dan peninjauan permintaan perubahan dan penambahan sistem dari pemakai
yang diotorisasi.
Penilaian dampak perubahan yang diinginkan terhadap tujuan, kebijakan, dan standar
keandalan sistem.
Pengkategorian dan penyusunan semua perubahan dengan menggunakan prioritas yang
ditetapkan.
Implementasi prosedur khusus untuk mengatasi hal-hal yang mendadak, seperti pencatatan
semua perubahan darurat yang menyimpang dari prosedur standar dan meminta manajemen
meninjau dan menyetujuinya setelah fakta tersebut. Pastikan adanya jejak audit untuk semua
hal-hal yang mendadak.
Pengkomunikasian semua perubahan ke manajemen dan sampaikan ke peminta perubahan
mengenai status perubahan yang mereka inginkan.
Permintaan peninjauan, pengawasan, dan persetujuan dari manajemen TI terhadap semua
perubahan hardware, software dan tanggung jawab pribadi.
Penugasan tanggung jawab khusus bagi semua yang terlibat dalam perubahan dan awasi kerja
mereka.
Pengontrolan hak akses sistem untuk menghindari akses data dan sistem yang tidak memiliki
otorisasi.
Pemastian bahwa semua perubahan melewati semua langkah yang sesuai (pengembangan,
pengujian, dan implementasi).
Pengujian semua perubahan hardware, inflastruktur, dan software secara ekstensif dalam
lingkungan non-produksi yang terpisah sebelum menempatkannya ke dalam mode produksi
yang sebenarnya.
Pemastian adanya rencana untuk melindungi semua perubahan sistem yang kritis, untuk
menjaga kemungkinan adanya sistem yang tidak bekerja atau tidak berjalan dengan sesuai.
Implementasi fungsi kepastian kualitas untuk memastikan bahwa semua standar dan prosedur
diikuti dan untuk menilai apakah kegiatan yang berubah mencapai tujuannya atau tidak.
Temuan ini harus disampaikan ke departemen pemakai, manajemen sistem informasi, dan
manajemen atas.
Pembaruan semua dokumentasi dan prosedur ketika perubahan diimplementasikan.

INTEGRITAS
Tujuan utama dari pengendalian aplikasi adalah untuk melindungi, mendeteksi, dan mengoreksi
kesalahan dalam transaksi ketika mengalir melalui berbagai tahap dalam program pemprosesan
data. Dengan kata lain, pengendalian memastikan integritas masukan aplikasi tertentu, data yang
disimpan, program, transmisi data, dan ouput.
Dalam kasus pembukaan, Jason Scott menemukan beberapa faktur fiktif di SPP yang mungkin telah
diproses oleh sistem piutang dan pembayaran kas. Jika demikian, hal ini menunjukkan kegagalan
pengendalian integritas aplikan. Akan tetapi, pengendalian umum yang tidak memadai, yang
memastikan bahwa lingkungan pengendalian berdasarkan komputer dari organisasi stabil dan
dikelola dengan baik, juga dapat menyebabkan kerusakan pengendalian. Pengendalian umum dan
pengendalian aplikasi penting dan perlu, karena pengendalian aplikasi akan lebih efektif dengan
adanya pengendalian umum yang kuat.
Jika pengendalian aplikasi lemah, output sistem informasi cenderung berisi kesalahan. Data yang
salah dapat mengarah ke pengambilan keputusan manajemen yang buruk dan dapat secara negatif
mempengaruhi hubungan perusahaan dengan pelanggan, pemasok, dan pihak eksternal lainnya.
Sebagai contoh: beberapa negara bagian menuntut Eksperian (dulunya TRW), biro besar untuk
pelaporan kredit, karena melaporkan informasi kredit yang tidak akurat dan melanggar privasi
pelanggan. Tuntutan hukum tersebut dipicu oleh ribuan komplain pelanggan mengenai informasi
yang tidak akurat dan negatif pada laporan kredit mereka.
Bagian ini akan membahas enam kategori pengendalian integritas, yaitu: pengendalian sumber daya,
rutinitas validasi input, pengendalian entri data on-line, pengendalian pemprosesan dan
penyimpanan data, pengendalian output, dan pengendalian transmisi data. Total batch,
pengendalian integritas yang lain, dibahas di Bab 7. Pengendalian-pengendalian integritas ini
diringkas dalam Tabel 8-5.

Pengendalian Sumber Data


Perusahaan harus membentuk prosedur pengendalian untuk memastikan bahwa semua dokumen
sumber memiliki otorisasi, akurat, lengkap jelas, dan masuk ke dalam sistem atau dikirim ke
tujuannya dengan tepat waktu. Pengendalian data sumber berikut ini mengatur integritas input:
Desain formulir. Dokumen sumber dan formulir yang lain harus didesain untuk memastikan
bahwa kesalahan dan kehilangan dikurangi. Untuk pengendalian yang lebih baik, formulir
biasanya diberi nomor. Desain formulir didiskusikan lebih rinci dalam Bab 18.
Pengujian urutan nomor formulir. Jika formulir yang diberi nomor secara berurutan digunakan,
sistem harus diprogram untuk mengidentifikasi dan melaporkan nomor formulir yang hilang
atau ganda.
Dokumen berputar. Dokumen berputar adalah catatan data perusahaan yang dikirim kepihak
luar dan kemudian dikembalikan oleh pihak luar ke sistem sebagai input. Dokumen berputar
disiapkan dalam bentuk formulir yang dapat dibaca oeleh mesin untuk memfasilitasi
pemprosesan selanjutnya sebagai catatan input. Contohnya bon utilitas yang dibaca oleh alat
pemindai khusus ketika bon dikembalikan dengan pembayaran. Oleh karena dokumen
berputar adalah output sistem yang kembali sebagai catatan input yang dapat dibaca oleh
mesin, maka dokumen tersebut lebih akurat dari pada catatan input yang dapat dibaca oleh
mesin, maka dokumen tersebut lebih akurat dari pada catatan input yang disajikan secara
manual.
Pembatalan dan penyimpanan dokumen. Dokumen yang telah dimasukkan ke dalam sistem
harus dibatalkan agar tidak dapat dimasukkan kembali kedalam sistem baik secara sengaja
maupun secara tidak sengaja. Dokumen kertas dapat dibatalakan, misalkan dengan
memberinya stempel telah dibayar. Jika dokumen disimpan secara elektronik, suatu tanda
dapat ditetapkan di database untuk menunjukkan bahwa dokumen itu telah dibatalkan.
Dokumen sumber yang asli harus dipertahankan sepanjang dibutuhkan untuk memenuhi
persyaratan hukum.
Otorisasi dan kumpulan tugas. Dokumen sumber harus disiapkan hanya oleh personil yang
memiliki otorisasi dan bertindak sesui otorisasinya. Kumpulan tugas yang memadai harus
dipertahankan dalam menentukan siapa yang memiliki otorisasi untuk melengkapi dokumen
sumber.
Vusual Scanning. Dokumen sumber harus dipindai untuk memastikan kelogisan dan
kepemilikan sebelum dimasukkan ke dalam sistem.
Verifikasi digit pemeriksaan. Nomor identifikasi (ID) yang diotorisasi (seperti nomor pegawai)
dapat berisi digit pemeriksaan yang dikomputasi dari digit yang lain. Sebagai contoh: SIA dapat
mengambil nomor jaminan sosial, seperti 123-45-6789, dan menghitung digit kesepuluh dari
sembilan yang lain dan menambahkannya ke nomor jaminan sosial untuk membentuk nomor
ID dimasukkan. Jika ada kesalahan dalam memasukkan kesepuluh digit tersebut, perhitungan
yang dibuat untuk 9 digit yang pertama tidak akan sesuai dengan yang kesepuluh, atau digit
pemeriksaan.
Verifikasi kunci. Verifikasi kunci mahal dan hanya digunakan untuk input yang sangat penting
seperti nomor pelanggan, jumlah harga, dan jumlah barang yang dipesan. Verifikasi kunci ini
terdiri dari data yang dimasukkan oleh pegawai ke dalam komputer, yang membandingkan
dua kelompok kunci dan menekankan kekurangannya sehingga dapat dikoreksi.

Jason Scott menemukan bahwa formulir yang diberi nomor tidak digunakan di SPP. Akan tetapi,
voucher yang diberi nomor secara berurutan seharusnya dapat digunakan, dengan voucher terpisah
yang direkatkan pada setiap faktur pemasok dan dokumen pendukungnya. Selain itu, nomor
pemasok tidak dikendalikan dengan menggunakan pemasok (piutang). Jika faktur pemasok disetujui
untuk pembayaran, maka pemasok tersebut menjadi kreditor yang disetujui. Jason memperhatikan
dalam laporannya bahwa penggunaannya yang sesuai dari voucher yang diberi nomor secara
berurutan atau virifikasi digit pemeriksaan nomor pelanggan seharusnya dapat membantu SPP untuk
tidak membayar faktur fiktif.

Rutinitas Validasi Input


Rutinitas validasi input adalah program yang memriksa integritas data input pada saat data
dimasukkan ke dalam sistem. Program ini disebut program edit, dan pemeriksaan integritas yang
dilakukannya disebut pemeriksaan edit (edit checks). Dalam pemprosesan on-line, pemeriksaan edit
dilakukan selama proses entri data sumber, seperti yang ditampilkan dalam Gambar 8-3, program
terpisah melakukan validasi input dalam pemprosesan batch sebelum pemrosesan reguler. Dapam
pemrosesan on-line, sistem tidak boleh menerima data yang salah sebelum data tersebut dikoreksi.
Pemeriksaan edit berikut ini digunakan dalam rutinitas validasi input:
Tabel 8-5
Ringkasan Pengendalian Integritas Utama
Kategori Ancaman/Risiko Pengendalian
Pengendalian
Pengendalian Input data yang tidak Desain formulir, formulir yang diberi nomor secara
sumber data valid, tidak lengkap, berurutan, dokumen berputar, pembatalan dan
atau tidak akurat. penyimpanan dokumen, peninjauan otorisasi yang
sesuai, kumpulan tugas, pemindai visual, verifikasi digit
pemeriksaan, dan verifikasi kunci.

Rutinitas Data yang tidak valid Pada saat file transaksi diproses, program edit
validasi input atau tidak akurat dalam memeriksa field data utama yang menggunakan
file transaksi yang pemeriksaan edit tersebut: ukuran, field, tanda,
diproses oleh komputer validasi, batas, jangkauan, kelogisan, data yang
berlebihan, dan pemeriksaan kapasitas. Mesukkan
pengecualian ke dalam catatan kesalahan; selidiki,
koreksi, dan masukan kembali secara tepat waktu; edit
kembali; dan siapkan ringkasan laporan kesalahan.

Pengendalian Input transaksi yang Pemeriksaan field, batasan, jangkauan, kelogisan,


entri data on- tidak valid atau tidak tanda, validitas, dan data yang redundan; ID pemakai
line akurat yang dimsukkan dan password; pengujian kompatabilitas; sistem entri
melalui terminal on-line data secara otomatis; pemberitahuan keoperator
selama entri data; prapemformatan; pengujian
kelengkapan; verifikasi close-loop; catatan transaksi
yang dipertahankan oleh sistem; pesan kesalahan yang
jelas; dan penyimpanan data yang cukup untuk
memenuhi persyaratan legal.

Pengendalian Data yang tidak akurat Kebijakan dan prosedur (menentukan aktivitas
pemprosesan atau tidak lengkap dan pemprosesan data dan personil bagian
dan file utama yang diproses penyimpanannya; pengamanan dan kerahasiaan data;
penyimpanan oleh komputer jejak audit; serta kesepakatan kerahasiaan);
data mengawasi dan mempercepat entri data oleh personil
pengendalian data; rekonsiliasi pembaruan sistem
dengan akun pengendali atau laporan; rekonsiliasi
jumlah total dalam database dengan jum;ah total yang
dibuat secara

Pemeriksaan urutan menguji apakah batch data input sesuai dengan urutan numerik atau
alfabetis yang tepat atau tidak.
Pemeriksaan field menentukan apakah karakter di dalam field memiliki tanda aritmatik yang
sesuai atau tidak. Sebagai contoh, pemeriksaan pada field numerik akan menunjukkan
kesalahan jika berisi karakter kosong atau alfabetis.
Pemeriksaan tanda menentukan apakah data di dalam field memiliki tanda aritmatik yang
sesuai atau tidak. Sebagai contoh, data dalam field jumlah persediaan tidak boleh memiliki
tanda negatif.

Tabel 8-5
Ringkasan Pengendalian Integritas Utama (lanjutan)
Kategori Ancaman/Risiko Pengendalian
Pengendalian
terpisah; pelaporan penyimpangan, pemeriksaan
sirkulasi data, nilai default, pencocokan data;
pengamanan data; pengaman data (perpustakaan
data dan perpustakawan, kopi cadangan file data
yang disimpan di lokasi luar dan aman,
perlindungan dari kondisi yang dapat merusak data
yang disimpan); penggunaan label nama file serta
mekanisme perlindungan penulisan; mekanisme
perlindungan database (administrator database,
kamus data, dan pengendalian pembaruan
simultan); serta pengendalian konversi data.

Pengendalian Output komputer yang Prosedur untuk memastikan bahwa output sistem
output tidak akurat dan tidak sesuai dengan tujuan integritas, kebijakan, dan
lengkap standar organisasi; peninjauan visual output
komputer; rekonsiliasi jumlah total batch; distribusi
output secara tepat; output rahasia yang dikirim
telah dilindungi dari akses dan modifikasi yang tidak
memiliki otorisasi, serta kesalahan pengiriman;
output rahasia atau bersifat sensitif disimpan dalam
area yang aman; pemakai meninjau kelengkapan
dan akurasi output komputer; menyobek output
rahasia yang tidak lagi dibbutuhkan; laporan
kesalahan dan penyimpangan.

Pengendalian Akses yang tisak Awasi jaringan untuk mendeteksi poin-poin yang
transmisi data memiliki otorisasi lemah, back-up komponen, desain jaringan untuk
terhadap data yang mengatasi pemprosesan puncak, multijalur
ditransmisi atau ke komunikasi antara komponen jaringan,
sistem itu sendiri; pemeliharaan pencegahan, enkripsi data, verifikasi
kegagalan sistem; routing (label judul, skema pembuktisn keaslian
kesalahan dalam bersama, sistem penagihan kembali), pemeriksaan
transmisi data keamanan, dan prosedur pengenalan pesan
(pemeriksaan bergema, label percobaan, batch
bernomor).
pemeriksaan validitas membandingkan nomor ID atau kode transaksi dengan yang telah
diotorisasi. Sebagai contoh, jika penjualan ke pelanggan 65432 dalam database pelanggan
untuk mengkonfirmasikan bahwa penjualan memang dibuat untuk pelanggan yang valid.
Pemeriksaan batasan menguji jumlah numerik untuk memastikan bahwa jumlah tersebut
tidak melebihi batas atas dan batas bahwa yang ditentukan sebelumnya. Sebagai contoh, field
jam kerja dalam input penggajian mingguan dapat dibandingkan dengan jumlah maksimum,
misalnya 60 jam.
Pemeriksaan jangkauan mirip dengan pemeriksaan batasan kecuali dalam hal batas atas dan
batas bawah. Pemeriksaan jangkauan digunakan pada field tanggal transaksi, karena tanggal
harus berada beberapa hari dari tanggal sekarang.
Pengujian kelogisan menentukan ketepatan logis dari data yang dimasukkan dan disimpan.
Sebagai contoh, kenaikan gaji bulanan sebesar $1.000 adalah logis untuk eksekutif yang
sekarang mendapat gaji $15.000 per bulan tetapi tidak untuk personil entri data yang hanya
mendapat gaji $1.500 per bulan.
Pemeriksaan data yang redundan menggunakan dua pengidentifikasi dalam setiap catatan
transaksi untuk mengkonfirmasikan bahwa catatan database yang benar telah diperbarui.
Sebagai contoh, nomor akun pelanggan dan lima huruf pertama dari nama pelanggan dapat
digunakan untuk menelusuri catatan utama pelanggan yang benar dari file piutang.
Pemeriksaan kapasitas memastikan bahwa data akan cocok dengan field-nya. Sebagai contoh,
458.976.253 tidak akan cocok dalam field delapan digit.

Prosedur harus ditetapkan untuk mendeteksi, mengoreksi, dan melaporkan semua kesalahan dan
memastikan bahwa prosedur tersebut diikuti. Informasi mengenai input data atau kesalahan
pemrosesan data (tanggal terjadinya, penyebab kesalahan, tanggal koreksi, dan pemasukan kembali)
harus dimasukkan ke dalam catatan kesalahan (error log). Kesalahan harus diselidiki, dikoreksi, dan
dimasukkan kembali secara tepat waktu (biasanya dengan batch transaksi berikutnya) dan diedit
ulang dengan menggunakan rutinitas validasi input yang sama. Secara periodik, catatan kesalahan
harus ditinjau ulang untuk memastikan bahwa semua kesalahan telah dikoreksi dan kemudian
digunakan untuk menyiapkan laporan kesalahan yang merangkum kesalahan menurut jenis catatan,
jenis kesalahan, penyebab, dan peraturannya.
Pengendalian Entri Data On-Line
Sasaran dari pengendalian entri on-line adalah untuk memastikan integritas data transaksi yang
dimasukkan dari terminal on-line dan PC dengan mengurangi kesalahan dan penghilangan.
Pengendalian entri data on-line mencakup:
Pemeriksaan field, batasan, jangkauan, kelogisan, tanda, validitas, dan data yang redundan,
seperti yang dideskripsikan dalam bagian sebelumnya, adalah pengendalian yang berguna.
Nomor ID pemakai dan password membatasi entri data hanya untuk personil yang memiliki
otorisasi.
Pengujian kompatibilitas memastikan bahwa pegawai yang memasukkan atau mengakses data
memiliki otorisasi untuk melakukan entri atau untuk melihat data.
Jika memungkinkan, sistem harus memasukkan data transaksi secara otomatis untuk
menghemat waktu pengetikan dan mengurangi kesalahan. Sebagai contoh, sistem dapat
menentukan nomor dokumen selanjutnya yang tersedia dan memasukkannya ke dalam
catatan transaksi. Sitem juga dapat menghasilkan
Gambar 8-3
Program Edit

Transaksi

Program Edit
Transaksi

Laporan Transaksi
Kesalahan yang Ditolak

Transaksi
yang valid
Mem-file Prosedur
Pemeliharaan Koreksi

Program Koreksi
Entri Kembali
Kesalahan

Transaksi yang
Sudah Dikoreksi

Penggabungan dengan
Batch Transaksi
Berikutnya

nomor ID baru yang memenuhi algoritma digit pemeriksaan dan tidak mengulangi nomor yang
ada dan kemudian memasukkannya kedalam catatan input.
Pemberitahuan (prompting), yaitu sistem meminta setiap data input dan menunggu respons
yang dapat diterima.
Prapemformatan, yaitu sistem menampilkan dokumen dengan menunjukkan spasi kosong
dan menunggu data untuk dimasukkan.
Pengujian kelengkapan pada setiap catatan input menentukan apakah semua data yang
dibutuhkan telah dimasukkan atau tidak.
Verifikasi closed-loop digunakan untuk memeriksa keakuratan data input. Sebagai contoh,
jika personil memasukkan nomor akun, sistem dapat menelusuri dan menampilkan nama akun
agar personil tersebut dapat menentukan apakah nomor akun yang dimasukkan sudah benar
atau tidak.
Catatan transaksi (transaction log) yang mencakup perincian catatan seluruh data transaksi,
pengidentifikasi transaksi tertentu; tanggal dan waktu entri; terminal, jalun transmisi, dan
identifikasi operator; dan urutan masuknya transaksi. Jika file on-line rusak, catatan tersebut
dapat digunakan untuk merekonstruksinya. Jika kesalahan fungsi menutup sistem secara
temporer, catatan tersebut dapat digunakan untuk memastikan bahwa transaksi tidak hilang
atau dimasukkan dua kali.
Pesan kesalahan yang jelas menunjukkan kapan kesalahan terjadi, bagian mana yang salah,
dan apa yang harus dilakukan oleh operator untuk mengoreksinya.
Data yang dibutuhkan untuk mereproduksi dokumen entri data on-line harus disimpan
seperlunya untuk memenuhi persyaratan legal.

Pengendalian Pemprosesan dan Penyimpanan Data


Pada umumnya, informasilah yang membuat perusahaan kompetitif dan dapat bertahan. Oleh
karena informasi merupakan sumber daya yang sangat berharga, maka informasi harus dilindungi
dari penyingkapan yang tidak diotorisasi dan pengrusakan. Contohnya, teknisi yang bekerja lembur
untuk memperbaiki mesin cetak di Webco Press di Lapper, Michigan, dipercayai untuk
menyelesaikan tugasnya tanpa pengawasan. Teknisi tersebut mendapat akses ke komputer utama
Webco dan mencetak daftar pelanggan tersebut ke pesaing Webco seharga $5.000 tetapi dia
berhasil ditangkap. Dalam contoh lain, Mattel Corp, kehilangan infrmasi kompetitif yang penting
ketika laptop milik beberapa eksekutifnya dicuri.
Pengendalian-pengendalian umum yang membantu mempertahankan integritas pemprosesan data
dan penyimpanan data adalah sebagai berikut:
Kebijakan dan prosedur. Hal ini harus ditetapkan untuk aspek-aspek pemprosesan dan
penyimpangan data berikut: operator komputer, personil penyimpangan data, penjadwalan
kerja (untuk menghindari jadwal kerja yang tidak diotorisasi),pengamanan dan kerahasiaan
data (untuk mengidentifikasi jenis data yang dipertahankan dan tingkat perlindungan yang
dibutuhkan, serta untuk mempertahankan catatan dokumen, catatan, dan file rahasia); dan
jejak audit (untuk melacak jejak yang mengakses data rahasia). Pegawai harus
menandatangani kontrak yang mewajibkannya untuk mempertahankan kerahasiaan data
perusahaan.
Fungsi pengendalian data. Aplikasi memasukkan banyak formulir kertas ke dalam sistem harus
memiliki fungsi pengendalian data. Pengendalian data mencatat data ketika diterima,
memeriksa otorisasi pemakai, mengawasi pemprosesan, merekonsiliasi total pengendalian
setelah setiap langkah pemprosesan, membritahukan ke pemakai mengenai input yang tidak
tepat, dan memasukkan kembali semua koreksi kesalahan.
Prosedur rekonsiliasi. Setiap hari pada akhir jam kerja, atau secara periodik jika ada
pemprosesan yang berkelanjutan, semua transaksi dan pembaruan sistem harus direkonsiliasi
untuk mengendalikan laporan, laporan pembaruan / status file, atau mekanisme pengendalian
yang lain. Selain itu, akun buku besar harus direkonsiliasi ke total akun buku pembantu secara
berkala. Contohny, saldo akun pengendalian persediaan di buku besar harus sama dengan
jumlah saldo dalam database persediaan. Sama halnya dengan akun pengendalian piutang,
atet modal, dan utang.
Rekonsiliasi data eksternal. Total database harus direkonsiliasi secara berkala dengan data
yang dipertahankan di luar sistem. Contohnya, jumlah catatan pegawai di file penggajian
dapat dibandingkan dengan total dari sumber daya manusia untuk mendeteksi niat untuk
menambahkan pegawai fiktif ke database penggajian.
Pelaporan penyimpangan. Ketika file dipindai atau diproses, semua kondisi yang tidak wajar
harus didaftarkan. Contohnya, pemeriksaan tanda dapat mendeteksi saldo akun pelanggan
atau persediaan yang negatif.
Pemeriksaan sirkulasi data. Data yang disimpan menjadi usang ketika pemasok atau
pelanggan pindah atau keluar dari bisnis dan pegawai pensiun atau berhenti. Untuk
mengidentifikasi kondisi tersebut, field tanggal transaksi terakhir dapat dipindai secara
priodik secara periodik untuk mengidentifikasi catatan yang usianya lebih dari setahun.
Nilai default; dalam hal-hal tertentu, field dibiarkan kosong jika nilai default digunakan.
Contohnya, jika field jsm kerja dalam input penggajian dikosongkan, maka pegawai tersebut
akan dibayar selama 40jam.
Pencocokan datat. Dalam kasus-kasus tertentu, dua atau lebih jenis data harus dicocokkan
sebelum tindakan diambil. Contohnys, sistem dapat memverifikasi kecocokan informasi pda
faktur pemasok dengan pesanan pembelian dan laporan penerimaan sebelum membayar
pemasok tersebut.
Label file. Label ini dapat melindungi file data dari penyalahgunaan secara ceroboh. Label
eksternal, label kertas yang dilekatkan ke alat penyimpan (misalnya: disket), berisikan nama
file, isi, dan tanggal pemprosesan. Label internal ditulis di formulir yang dapat dibaca oleh
mesin pada media pencatatan data. Ada tiga jenis label internal. Label volume
mengidentifikasi keseluruhan isi dari setiap medium pencatatan data, seperti hard-disk,
disket, atau rol pita. Label judul, yang terletak pada awal file, berisikan nama file, tanggal
jatuh tempo, dan data identifikasi yang lain. Label trailer, ysng terletak pada akhir file,
berisikan total pengendalian file, yang diperiksa berdasarkan akumulasi selama pemprosesan.
Mekanisme perlindungan penulisan. Mekanisme ini melindungi terhadap penulisan atau
penghapusan file data secara tidak disengaja. Cincin perlindungan file pita adalah cincin plastik
yang, jika di pindahkan, melindungi file pita dari penulisan. Banyak disket yang memiliki
tombol on/off yang memiliki fungsi yang sama dengan cincin tersebut. Sayangnya, mekanisme
perlindungan penulisan ini dapat dengan mudah dielakkan.
Mekanisme perlindungan database. Sistem database menggunakan administrator database,
kamus data, dan pengendalian pembaruan simultan untuk menyediakan perlindungan data.
Administrator membentuk dan menerapkan prosedur untuk mengakses dan memperbarui
database. Pengendalian pembaruan simultan melindungi catatan dari kesalahan yang terjadi
ketika dua pemakai atau lebih berusahan memperbarui catatan yang sama secara simultam.
Hal ini dilakukan dengan mengunci satu pemakai sampai sistem telah selesai memproses
pembaruan yang dimasukkan oleh satu pemakai yang lain.
Pengendalian konversi data. Ketika data dari file dan database yang kama dimasukkan ke
struktur data yang baru, pengendalian koversi diperlukan untuk memastikan bahwa medium
penyimpanan data yang baru, bebas dari kesalahan. Sistem yang lama dan yang baru harus
dijalankan secara paralel paling tidak satu kali dan hasilnya dibandingkan untuk
mengidentifikasi ketidakcocokannya. Konversi data harus diawasi dengan hati-hati dan
ditinjau oleh auditor internal.
Pengamanan data. Perpustakaan data yang diawasi secara memadai adalah salah satu sarana
untuk menghindari hilangnya data. Perpustakaan data, pustakawan yang mencatat file data
masuk dan keluar, label internal dan eksternal, mekanisme perlindungan penulisan, dan kopi
back-up file data yang disimpan dilokasi luar yang aman, dapat membantu mamstikan
integritas data. Area penyimpanan file data juga harus dilindungi dari api, debu, panas, dan
kelembapan yang berlebihan, dan kondisi lain yang dapat merusak data yang disusun.
Pengendalian output
Perusahaan harus membentuk,mendokumentasikan,dan mengikuti prosedur yang didesain
untuk memastikan bahwa semua output system sesuai dengan tujuan,kebijakan,dan standar
integritas perusahaan.prosedur tersebut akan memastikan bahwa perusahaan melakukan hal
berikut ini;
Meninjau kelogisan dan kesesuaian format semua output.
Merekonsilasi total pengendalian input dan output yang berkaitan setiap hari.
Mendistribusikan output computer kedepartemen pemakai yang sesuai.
Melindungi output yang sensitive dan rahasia yang dikirim kepemakqai melalui
akses,modifikasi,dan kesalahan pengirimaanyang tidak diotorisasi.
Menyimpan output yang sensitif dan rahasia diarea yang aman.
Mewajibkan pemakai untuk meninjau secara hati-hati kelengkapan dan ketepatan semua
output computer yang mereka terimah.
Menyobek atau menghancurkan data yang sangat rahasia,seperti daftar pelanggan,data
penelitian,dan catatan pengajian yang tidak lagi dibutuhkan.

Perawatan khusus perlu dilakukan memperkenalkan system baru atau metode baru untuk
menyediakan informasi.experian mengembangkan website yang sangat aman bagi pelanggan yang
ingin mengakses laporan kredit;site tersebut memiliki firewall,enkripsi,dan verifikasi identitas untuk
menghindari pemakai yang ingin membuka laporan kredit orang lain.dua hari setelah site tersebut
diluncurkanwashingt post menulis cerita mengenai website itu yang menghasilkan lebih dari 2000
permintaan hanya dalam beberapa jam.beban ini,y6ang lebih besar dari yang telah diantisipasi oleh
Experian,menghasilkan bug yang menyebabkan laporan untuk urutan antrian menjadi
kacau.akibatnya,orang-orang dikirimi laporan kredit yang salah.untungnya,pengendali output yang
dipasang oleh Experian didalam system pengetahui masalah tersebut hanya setelah 213 laporan
dikirim.sesuatu yang mungkin menjadi bencana besar,dapat menjadi bencana kecil karena adanya
pengendalian system.

Pengendalian transmisi data


Organisasi harus mengambil langkah untuk melindungi informasi rahasia secara memadai
ketika informasi tersebut dikirim dari satu lokasi kelokasi yang lain.organisasi harus mengurangi
resiko kegagalan transmisi data seperti:akses yang tidak diotorisasi,modifikasi data,dan pengiriman
data kelokasi yang salah.untuk melakukan hal ini,perusahaan harus mengawasi network untuk
mendeteksi poin yang lemah,memelihara komponen cadangan,dan mendesain jaringan network
agar kapasitas dapat cukup memadai untuk mengatasi periode pemrosesan yang padat.organisasi
juga harus membentuk jalur komunikasi yang banyak antara komponen network yang sangat
penting agar system dapat tetap berfungsi jika salah satu jalurnya gagal.dengan cara pemeliharaan
yang bersifat mencegah,perusahaan dapat meningkat kearah jalur telekomunikasi yang kondisinya
lebih cepat dan lebih efisien,hanya memiliki sedikit masalah deengan static,dan jarang gagal.
Kesalahan transmisi data diminimalkan dengan menggunakan enkripsi data,verifikasi
routing,pemeriksaan keamanan,dan teknik pengetahuan pesan.

Enkripsi data(kriptografi)
Dengan pertumbuhan internet dan perdagangan elektronik yang sangat pesat,enkripsi data
telah menjadi pengendali yang sangat penting.kriptografi adalah ilmu kode rahasia dan lingkungan
untuk memastikan bahwa transmisi-transmisi data dan transaksi perdagangan elektronik membatasi
akses data atau penggunaan untuk personil yang memiliki otorisasi,melindungi data dari pihak yang
tidak otorisasi,dan menentukan,dengan kepastian yang hamper absolute,siapa yang mengirim
pesan.pengendalian enkripsi data didiskusikan lebih mendalam di bab 3.

Prosedur verifikasi routing


beberapa prosedur verifikasi routing dapat memastikan bahwa pesan tidak diarahkan ke
alamat system yang salah.data yang dikirimkan dapat diberikan label judul yang mengidentifikasi
tujuannya,yang digunakan system untuk memverifikasi bahwa tujuannya bvalid dam memiliki
otorisasi untuk menerimanya.skema pembuktian keaslian bersama memerlukan kedua computer
untuk saling berbagi password sebelum komunikasi terjadi.dalam system pemanggilan
kembali(callback),pemakai memasukkan password dan diidentifikasi oleh pemakai yang memiliki
otorisasi.kemudian computer memutuskan dan memanggil kembali pemakai untuk memverifikasi
indentitas pemakai,password,nomor telephon,atau lokasi.

Pemeriksaan kesamaan (parity)


Computer menggunakan kombinasi beberapa bit untuk menampilkan satu
karakter.contohnya,digit 5 dapat diwakili oleh 0101 dan digit 7 oleh 0111.ketika data dikirim,bit
dapat hilang atau diterimah secara tidak tepat.untuk memdeteksi kesalahan ini,bit kesamaan
ditambah kesetiap karakter.dalam kesamaan genap,setiap bit memiliki jumlah angka satu yang
genap.dalam contoh ini,bit kesamaan untuk 5 adalah nol (0101 0),karena 5 sudah memiliki jumlah
angka satunya genap.bit kesamaan untuk 7 adalah satu(0111 1) agar jumlah angka satunya
genap.dalam kesamaan ganjil,jumlah angka satunya gasal.pemeriksaan kesamaan adalah
memverifikasi bahwa ada jumlah angjka satu yang genap(atau ganjil) dcan dilakukan oleh alat-alat
yang menerima data.pemeriksaan kesamaan secara dua-dimensi menguji kesamaan secara vertical
dan horizontal.pemeriksaan ganda penting dalam telekomunikasi,karena gangguan yang sering
muncul dapat menyebabkan hilangnya dua atau lebih bit yang berdekatan.pemeriksaan kesamaan
secara satu-dimensi tidak akan mendeteksi semua kesalahan.

Prosedur pengenalan pesan


Sejumlah teknik pengenalan pesan digunakan untuk memungkinkan pengirim pesan
elektronik mengetahui bahwa pesan telah diterimah.
Pemeriksaan ulang(echo check).ketika data dikirim,system menghitung ringkasan statistic
seperti jumlah bit dalam pesan.unit penerimah melakukan perhitungan yang sama-prosedur ini
disebut pemeriksaan ulang-dan mengirim hasilnya ke unit pengirim.jika perhitungannya
sama,transmisi dianggap akurat.
Label jalur (label trailer).unit penerima dapat memeriksa label jalur untuk memverifikasi
bahwa semua pesan telah diterimah.
Batch bernomor (numbered batches).jika pesan yang besar dikirim dalam beberapa
segmen,maka setiap segmen dapat dinomori secara berurutan agar unit penerima dapat
menyusun segmen-segmen tersebut dengan tepat.
Ketika kesalahan transmisi data terdeteksi,unit penerima akan memberikan tanda ke unit
pengirim dan data akan dikirim ulang.umumnya,system akan melakukan hal ini secara otomatis dan
pemakai tidak menyadari bahwa hal tersebut telah terjadi.kadang-kadang,system tidak dapat
melakukan transmisi ulang secara otomatis dan akan meminta pengirim untuk mengirim kembali
data tersebut.

Pengendalian transmisi data untuk EDI dan EFT


Pengendalian transmisi data memberikan nilai tambah bagi organisasi yang menggunakan
electronic data interchange (EDI) atau electronic funds transfer (EFT) dalam mengurangi resiko akses
yang tidak memiliki otorisasi terhadap data perusahaan.sistem EFT juga rentang terhadap
kecurangan transfer dana.dalam lingkungan seperti ini,pengendalian internal yang baik dapat dicapai
dengan menggunakan sejumlah prosedur pengendalian.akses fisik ke fasilitas network harus
dikendalikan secara ketat.identifikasi elektronik harus diwajibkan untuk semua terminal network
yang memiliki otorisasi.
PENGENDALIAN KEANDALAN : CONTOH PEMROSESAN ON-
LINE
Banyak dari pengendalian keandalan yang dideskripsikan dalam bab ini dapat diilustrasikan
dengan menggunakan contoh penjualan secara kredit.data transaksi berikut ini yang
digunakan:nomor pesanan penjualan,nomor akun pelanggan,nomor barang persediaan,jumlah yang
dijual,harga jual,dan tanggal pengiriman.jika seorang pelanggan membeli lebih dari satu
produk,nomor barang persediaan,jumlah yang dijual,dan harga akan terjadi lebih dari satu kali dalam
setiap catatan transaksi penjualan.pemrosesan transaksi ini mencakup langkah-langkah berikut ini:
1. Memasukkan dan mengedit data transaksi
2. Memperbarui catatan pelanggan dan persediaan(jumlah pembelian secara kredit
ditambahkan kesaldo pelanggan;untuk setiap barang persediaan,jumlah barang yang dijual dikurangi
dari jumlah yang ada)
3. Menyiapkan dan mendistribusikan dokumen pengiriman dan atau penagihan.

Entri data
Data dapat dimasukkan kedalam system melalui keyboard atau mengambil data secara
elektronik dengan menggunakan alat otomasi data sumber seperti scanner yang memiliki universal
product codes (UPCs).unutuk pengendalian yang memadai,semua data transaksi yang signifikan
diperiksa minimal satu kali.umumnya,pengujian yang dilakukan oleh computer,seperti pemeriksaan
edit,lebih murah dan lebih efektif dari pada pengujian yang dilakukan oleh manusia,seperti verifikasi
kunci dan pemeriksaan visual.
Sesuai dengan kebutuhan,pengendalian berikut ini dapat digunakan untuk memeriksa
keakuratan data transaksi yang dimasukkan kedalam system:
Ketika seorang pemakai mengakses sitem online,pengendalian akses logis
mengkonfirmasikan identitas alat entri data (computer pribadi,terminal) dan validitas nomor
pengenal dan password pemakai tersebut.
Pengujian kesesuaian dilakukan terhadap semua interaksi pemakai untuk memastikan
bahwa hanya tugas-tugas yang memiliki otorisasi yang dilakukan.
System secara otomatis memberikan ke transaksi nomor pemesanan penjualan selanjutnya
dan tanggal yang sesuai dengan tanggal faktur.
Untuk membantu personil yang memiliki otorisasi dalam memasukkan data
penjualan,system meminta semu input yang dibutuhkan (pengujian kelengkapan).sistem
harus memberikan respon atas setiap permintaan.
Setiap respons diuji dengan menggunakan satu atau beberapa pengendalian
berikut:pemeriksaan validitas (nomor persediaan dan nomor pelanggan yang
valid),pemeriksaan field dan tanda(field kuantitas,tanggal,dan harga hanya berisi karakter
nomerik positif),dan pemeriksaan batas atau jangkauan(tanggal pengiriman).
Ketika nomor pelanggan dimasukkan,system mencari nama pelanggan yang bersangkutan
dari database dan menampilkannya kelayar(verifikasi closed-loop).
Ketika jumlah persediaan dimasukkan,system dan operator melakukan prosedur yang sama
dengan yang mereka lakukan atas nomor pelanggan.

Pembaruan file
Karena program pembaruan file mengakses catatan database pelanggan dan
persediaan,program tersebut melaksanakan pengujian validasi input tambahan dengan
membandingkan data pada setia catatan transaksi dengan data dicatatan database yang
sesuai.pengujian ini sering mencakup berikut ini :
Pemeriksaan validitas nomor pelanggan dan persediaan.
Pemeriksaan tanda saldo persediaan yang ada (setelah dikurangi jumlah yang dijual).
Pemeriksaan batasan yang membandingkan jumlah total saldo setiap pelanggan dengan
batas kredit mereka.
Pemeriksaan jangkauan harga penjualan setiap barang yang dijual sesuai dengan jangkauan
harga yang diizinkan untuk barang tersebut.
Pengujian logika atas jumlah yang dijual dari tiap barang sesuai dengan jumlah penjualan
normal untuk pelanggan dan barang tersebut.
Pada waktu yang telah ditentikan,salinan dari semua transaksi yang di proses dan database
dibuat dan dikirim kelokasi luar yang aman untuk tujuan penyimpanan.

Persiapan dan pendistribusian output


Output meliputi dokumen penagihan dan atau pengiriman dan laporan pengendalian output yang
dapat digunakan adalah sebagai berikut :
Dokumen penagihan dan pengiriman disampaikan secara elektronik kepada pemakai yang
sesuai.
Pemakai di departemen pengiriman dan penagihan melaksanakan tinjauan terbatas
terhadap dokumen dengan memeriksanya secara visual untuk melihat apakah ada data
yang tidak lengkap atau kekurangan lainnya.
Laporan pengendalian dikirim secara otomatis kepenerimah yang diharapkan,atau penerima
dapat meminta laporan kesistem tersebut.

PENGENDALIAN KEANDALAN : CONTOH PEMPROSESAN BATCH


Pemrosesan transaksi dengan cara pemrosesan batch meliputi langkah-langkah berikut :
1. Siapkan batch total.totanya dicatat pada form pengendalian batch yang ditambahkan
kemasing-masing kelompok dokumen penjualan.
2. Kirimkan transaksi kedepartemen elektronik data processing (EDP).didepartemen
tersebut,setiap batch diperiksa otorisasi nya dan catatan dalam catatan pengendalian.
3. Masukkan data transaksi kedalam system.kesalahan entri data biasanya disebabkan oleh
salah satu dari dua hal berikut.kesalahan operator karena salah membaca sumber dokumen
atau secara tidak sengaja menekan tombol yang salah.
4. Urutkan dan edit file transaksi.baik sebelum maupun setelah file transaksi penjualan
diurutkan berdasarkan urutan nomor pelanggan,suatu program melaksanakan beberapa
pemeriksaan edit.
5. Perbaruhi file utama(master files).file transaksi penjualan diproses berdasarkan (piutang)
pelanggan dan database persediaan atau file utama.jika database atau file utama disimpan
off-line,maka harus dipastikan bahwa salian arsip yang benar didapat didalam perpustakaan
file dan dimsukkan kedalam system.
6. Siapkan dan mendistribusikan output.output meliputi dokumen penagihan dan atau
pengiriman dan laporan pengendalian.laporan pengendalian berisi total batch yang di
akumulasi selama pembaruan file dijalankan dan daftar transaksi yang ditolak oleh program
pembarun.
7. Tinjaun pemakai.para pemakai didepartemen mengirimkan dan penagihan melaksanakan
tinjauan terbatas terhadap dokumen untuk mengetahui jika ada data yang tidak lengkap
atau kekurangan lainnya.

Prosedur pengendalian
Langkah 1 :
Catatan jumlah pesanan penjualan
Urutan nomor barang persediaan
Pemisahaan total kuantitas ang dijual dan harganya
Total penjualan dalam dolar
Langkah 2 :
Pemeriksaan otorisasi input
Catatan input tanda terimah input kedalam catatan pengendalian
Langkah 3 :
Verifikasi digit pemeriksaan nomor akun
Verifikasi digit pemeriksaan nomor barang persediaan
Pemeriksaan kuantitas,tanggal,dan harga pada field
Verifikasi utama semua field numeric
Rekonsilasi total batch
Langkah 4 :
Pemeriksaan urutan nomor akun
Pemeriksaan batas kuantitas dan harga
Pemeriksaan jangkauan tanggal pengiriman
Rekonsilasi total batch
Penelitian dan koreksi input yang salah
Langkah 5 :
Pengamanan file utama dalam perpustakaan file
Pemeliharaan salinan file utama
Pemeriksaan validitas nomor akun pelanggan
Pemeriksaan jangkauan harga penjualan
Pengujian kelogisan jumlah ang dipesan
Langkah 6 :
Rekonsilasi total batch
Investigasi dan koreksi input yang salah
Distribusi dokumen penagihan dan pengiriman
Langkah 7 :
Inspeksi visual terhadap output
Rekonsilasi total batch

Gambar 8-4 prosedur pemrosesan


Dokumen
Bagan alir
pesanan
Pemrosesan penjualan
Pesanan penjualan
Dan prosedur
Pengendalian yang Form
pengendalian Susunsn
batch menurut
berkaitan
bacth

Dokumen
pesanan
penjualan

Kirim ke
departeme
n EDP

From Dokumen
pengendalian pesanan
batch penjualan
Ringkasan dan kesimpulan kasus
Jason scot dan supervisor nya tidak manmpu untuk mengidentifikasi sumber faktur
fiktif tersebut.mereka meminta polisi untuk mengidentifkasi pemilik rekening bank pacific
electric services.polisi menemukan bahwa patricia simpson,staf entri data di SPP,adalah
pemilik rekening itu.setelah di interogasi oleh seorang pemeriksa ahl penpuan,patricia
mengakui skema penggelapan dana dimana dia membuat faktur fiktif,memasukkannya
kedalam batch faktur yang disampaikannya kepadanya untuk entri data,memodifkasi total
pengendalian batch itu,dan menghancurkan lembar pengendalian batch ang asli.menurut
patricia,skema tersebut dimulai 3 bulan yang lalu,dan tidak ada orang lain di SPP yang
terlibat.dia juga mengklaim bahwa semua faktur fiktif adalah atas nama pacific electric
services.
Jason menguji catatan pembayaran tunai SPP untuk memeriksa kebenaran cerita
patricia.jason menulis suatu program yang membaca file transaksi pembaaran tunai dan
mengidentifikasikan pembayaran ke pacific electric services.kemudian dia mengejarkan
tugas yang berbahaya yaitu tugas untuk mendapatkan kembali beberapa ratus file yang
berisi transaksi penyebaran selama 2 tahun terakhir dari arsp spp.dia mengidentifikan 40
transaksi curang yang total nya $20.000.bertentangan dengan pernyataan patricia,bagian
pertama dari transaksi ini terjadi 18 bulan lebih awal.
karena patricia belum jujur tentang durasi skema nya,Jason menduga patricia
mungkin juga menggunakan nama perusahaan fiktif yang lain.akan tetapi,sampai saat
itu,patricia tidak memberikan informasi lebih lanjut,atas nasihat dari pengacaranya maka
Jason menulis program computer yang lain untuk meneliti catatan pembayaran tunai dan
mendapatkan kembali nomor rekening pemasok,nama,alamat,dank ode otorisasi untuk
setiap factor pemasok yang diproses tampah disertai laporan pesanan pembelian atau
laporan penerimaan.pengujian ini akhir nya menghasilkan suatu file yang berisi 175 catatan
pemasok,dimana pembayaran diotorisasi oleh 23 orang pegawai spp.
Jason mengurut file ini berdasarkan kode otorisasi dan penyerapan 23 printout yang
berisi data tentang para pemasok dan nama setiap pegawai yang mengotorisasinya,.setiap
hasil print dikirim kepada pegawai yang bersangkutan,permintaan untuk mengkonfirmasikan
keaslian dari setiap pemasok pada daftar tersebut.setelah menerima semua printout
tersebut,Jason menyimpulkan bahwa rencana penggelapan dana memang hanya terbatas
pada pacific electric services.
Dari perubahan-perubahan yang diterapkan di spp untuk meningkatkan system
pengawasan internalnya,Jason melihat bahwa manajemen menolak perubahan serupa yang
diusulkan oleh staf audit internal northwest,termasuk yang duibuat oleh supervisornya
setahun yang lalu.jason menyadari bahwa ia telah mempelajari suatu kebenaran yang
penting tentang pengawasan Internal:banyak perusahaan dan manager yang tidak
menyadari penting nya pengawasan internal sehingga mereka mengalami kerugian.

Istilah-istilah penting
Sytrust

Tujuan kinerja

Kebijakan

Standar

Rencana srategis

Dokumentasi administrative

Dokumentasi system

Dokumentasi operasional

Pemeliharaan preventif

Uninterruptible power supply (UPC)


Toleransi kesalahan

Rencana pemulihan dari bencana

Lemari besi elektronik

Konsep bertingkat

Pengulangan

Lokasi cadangan dengan fasilitas computer (hot site)

Lokasi cadangan tanpa fasilitas computer (cold site)

Akses fisik

Akses logis

Tanda pengenal (ID) pemakai dan system penguji keaslian

Tanda pengenal (ID) pemakai

Password

Identifikasi kepemilikan fisik

Identifikasi biometric

Pengujian kesesuaian

Matriks pengendalian akses

Intranet

Firewall

Tunneling

Amplop elektronik

Rencana pengembangan proyek

Kejadian penting dari proyek

Evaluasi kinerja

Jadwal pemrosesan data

Pengukuran kinerja system

Pemasukan data

Penggunaan

Waktu respons

Peninjauan pasca-implementasi

Pengendalian aplikasi

Pengendalian umum
Digit pemeriksaan

Verifikasi digit pemeriksaan

Verifikasi utama

Rutinitas validasi input

Program edit

Pemeriksaan urutan

Pemeriksaan field

Pemeriksaan tanda

Pemeriksaan validitas

Pemeriksaan batas

Pemeriksaan jangkaun

Pengujian kelogisan

Pemeriksaan data redundan

Pemeriksaan kapasitas

Catatan kesalahan

Laporan kesalahan

Pemberitahuan (prompting)

Pra-pemformatan

Pemeriksaan kelengkapan

Verifikasi closed-loop

Catatan transaksi

Pesan kesalahan

Nilai default

Label eksternal

Label internal

Label volume

Label judul

Label trailer

Cincin pelindung pita file

Pengendalian pembaruan simultan

Enkripsi data (kriptografi)


Prosedur verifikasi rauting

Skema keaslian bersama

System pemanggilan kembali

Bit kesamaan (parity bit)

Pemeriksaan kesamaan

Pemeriksaan gema

Kuis bab 8
1.pengendalian apa yang di desain untuk memastikan bahwa lingkngan pengendalian berbasis
computer di suatu organisasi stabil dan dikelola dengan baik?
a.pengendalian umum
b.pengendalian aplikasi
c.pengendalian detektif
d.pengendalian preventif

2.berikut ini adalah prosedur pengendalian yang efektif untuk memastikan bahwa operator tidak
membuat perubahan yang tidak diotorisasi terhadap program dan file,kecuali:
a.rotasi tugas
b.penempatan beberapa operator dalam rua ng computer selama pemprosesan
c.permintaan otorisasi formal tertulis dan dokumentasi perubahan program
d.pemelihaan dan peninjauan catatan dari semua kegiatan dan intervensi operator

3.keefektisan password diperkuat oleh hal-hal berikut ini,kecuali:


a.perubahan password secara berkala
b.seleksi pemakai password
c.tidak menampilkan password dilayar
d.pemutusan hubungan secara otomatis setelah beberapa usaha yang gagal

4.apa metode terbaik untuk mengurangi risiko terbacanya data oleh pihak lain secara elektronik?
a.dengan menggunakan bit kesamaan
b.pengujian kesesuain
c.enkripsi data
d.prosedur pengulangan dan pemeriksaan
5.deskripsi setiap program aplikasi,mencakup naratif,bagan alir,dank ode,disebut:
a.dokumentasi administrative
b.dokumentasi akuntansi
c.dokumentasi operasional
d.dokumentasi system
6.istilah mana yang mendeskripsikan pengendalian yang di diseain untuk mencegah,mendeteksi,atau
mengoreksi kesalahan dalam transaksi ketika melalui berbagai tahapan pada program pemrosesan
data khusus?
a.pengendalian umum
b.pengendalian khusus
c.pengendalian aplikasi
d.pengendalian efektif

7. Menurut SysTrust, berikut ini adalah prinsip-prinsip yang dapat digunakan oleh perusahaan
untuk menentukan keandalan sistem, kecuali:
a. Ketersediaan
b. Dapat dikendaliakan
c. Keterpeliharaan
d. integritas
8. Ketika komputer menjumlahkan empat digit pertama dari nomor pelanggan untuk
menghitung nilai digit kelima dan kemudian membandingkan perhitungan itu dengan nomor
yang diketik saat entri data, hal tersebut merupakan contoh dari:
a. Pemeriksaan field
b. Pemeriksaan keamanan
c. Verifikasi digit pemeriksaan
d. Total batch
9. Istilah apa yang mendeskripsikan bahwa pemeriksaan edit akan mendeteksi entri nomor
pelanggan yang tidak ada?
a. Digit pemeriksaan
b. Pemeriksaan batas
c. Pemeriksaan urutan
d. Pemeriksaan validasi
10. Dalam sistem on-line, pemakai memasukkan nomor pelanggan dan sistem merespons dengan
menampilkan nama pelanggan dan meminta verifikasi pemakai. Hal ini disebut:
a. Pengujian verifikasi closed-loop
b. Pemeriksaan data redundan
c. Pengujian kesesuaian
d. Pengujian kelengkapan

Pertanyaan untuk Diskusi


8.1 Proyek implementasi komputer biasanya dilaksanakan saat kondisi krisis, sehingga kelompok
implementasi harus bekerja keras untuk memenuhi jadwal implementasi. Dalam situasi
tersebut, beberapa bagian biasanya diputus dengan mempertimbangkan pengendalian
dokumentasi dan aplikasi. Argumen apa yang dapat secara efektif menghindari jenis-jenis
pemutusan tersebut?
8.2 Secara teoritis, suatu prosedur pengendalian perlu digunakan jika keuntungannya melebihi
biasanya. Jelaskan cara memperkirakan keuntungan dan biaya dari pengendalian berikut ini.
a. Pemisahan tugas
b. Prosedur perlindungan data
c. Pengendalian akses logis
d. Rutinitas validasi input
8.3 Prudential-Bache Securities di New York mengontrak Comdisco Computing Services di New
Jersey untuk mem-backup datnya (lebih dari 500.000 transaksi sekuritas perhari) dengan
mengirimnya berdasarkan waktu sebenarnya ke jasa lemari besi elektronik. Jasa tersebut
meliputi penggunaan jalur transmisi data kecepatan tinggi dan perpustakaan pita otomatis.
Comdisco juga membuat suatu hot site yang tersedia untuk Prudential-Bache jika suatu bencana
menutup suatu data utamanya. Hot site tersebut mempunyai hubungan langsung dengan sistem
lemari besi, untuk memastikan bahwa semua data kecuali yang 15 menit terakhir akan
didapatkan kembali.
Meskipun ketentuan kontrak dirahasiakan, rencana tersebut pasti sangat mahal bagi
Prudential-Bache. Didiskusikan bagaimana kontrak ini disetujui dengan mengacu pada
keuntungan-biaya. Sebagai tambahan, sebutkan sedikitnya tiga langkah yang perlu dilakukan
oleh Prudential-Bache untuk mencegah akses yang tidak memiliki otorisasi ke data backup-nya.
8.4 Untuk tujuan pengendalian, fungsi otorisasi transaksi harus dilakukan oleh pegawai diluar
apartemen sistem. Akan tetapi, komputer terus diprogram untuk memulai transaksi, seperti
pengeluaran suatu pesanan pembelian ketika posisi persediaan rendah. Didiskusikan apakah
pengeluaran transaksi otomatis seperti itu merupakan pelanggarandari prinsip pengawasan
internal yang baik.
8.5 The Foster Corporation baru-baru ini memecat direktur SIS-nya stelah mengalami kelebihan
anggaran selama bebarapa tahun dalam pengembangan sistem dan operasional komputer. Anda
telah dipilih menjadi direktur sementara dan diminta menyelidiki permasalahan yang telah
dialami oleh departemen tersebut. Ada sedikit informasi tertulis mengenai aktivitas departemen
atau kebijakan yang diaturnya. Direktur yang sebelumnya mengkomunikasikan tugas, standar,
dan evaluasi kinerja secara lisan. Gaya manajemen ini populer di antara bebarapa pegawai tetapi
tidak disukai oleh banyak pegawai yang lain, bebrapa dari pegawai yang tidak menyukai hal
tersebut, sudah meninggalkan perusahaan.
Proyek sistem utama yang sedang dikembangkan adalah SIA. Tujuan proyek tersebut
didefinisikan secara longgar, meskipun sangat banyak analisis, desain, dan pemrograman telah
diselesaikan. Direktur proyek menyatakan bahwa proyek itu telah separuh selesai. Departemen
operasional komputer menjalankan pekerjaan dengan dasar sesuai-dengan-yang-diterima (as-
received). Supervisor operasional menyarankan bahwa sistem yang lebih dapat dipercaya
diperlukan untuk memenuhi permintaan selama periode puncak dan mengatasi pertumbuhan
pemrosesan yang diharapkan.
Identifikasi dan uraikan dengan singkat beberapa unsur-unsur pengendalian yang sepertinya
kurang dalam situasi ini dan yang harus diterapkan didepartemen sistem informasi.

Soal-soal
8.1. Perusahaan anda telah membeli beberapa komputer pribadi. Salah satunya telah diinstal di
departemen penyimpanan, yang bertanggung jawab untuk membayar barang dan
memelihara catatan penyimpanan. Di dalam audit, anda menemukan bahwa seorang
pegawai, yang terlatih aplikasi komputer, menerima daftar permintaan untuk penyimpanan,
meninjaunya untuk melihat kelengkapan dan persetujuannya, membayar barang tersebut,
memelihara catatan operasional komputer, dan mengotorisasi penyesuaian jumlah total
barang dengan menggunakan komputer.
Ketika anda mendiskusikan dengan manajer departemen pengendalian yang dapat
diterapkan, Anda diberitahukan bahwa komputer pribadi diberikan secara eksklusif ke
departemen tersebut. Oleh sebab itu, tidak diperlukan jenis-jenis pengendalian seperti yang
diterapkan pada sistem komputer yang luas.
Diminta:
Berikan pendapat anada mengenai pernyataan manajer tersebut, dengan membahas secara
seingkat lima jenis pengendalian yang dapat diterapkan pada aplikasi komputer pribadi
tersebut.
8.2. Anda adalah general menajer perusahaan manufaktur di Woodbridge, Virginia. Selama 6
bulan terakhir ini, perusahaan anda selalu kalah dari pensaing anda yang mengajukan
penawaran proyek sedikit lebih rendah dari penawaran anda. Dengan firasat bahwa hal
tersebut tidak mungkin selalu terjadi secara kebetulan, anda menyewa detektif swasta.
Dtektif tersebut melaporkan bahwa salah seorang pagawai anda, yang memiliki akses ke
komputer, mencuri data penawaran anda dan menjualnya kepesain anda dengan harga
$25.000 per penawaran.
Diminta:
a. Identifikasi kemungkinan kekurangan pada pengendalian internal di sistem
komputer perusahaan anda yang dapat menyebabkan pencurian data tersebut
terjadi.
b. Kemungkinan lain apakah yang dapat menyebabkan data penawaran dicuri atau
dijual?
c. Bagaimana anda dapat menjaga agar hal-hal tersebut tidak terjadi?
8.3. Perhatikan serangkaian data numerik input komputer pada tabel 8-6
Diminta:
a. dari data di Tabel 8-6 hitung dan tunjukkan satu contoh untuk hal-hal berikut:
Total campuran (hash)
Perhitungan catatan
Total finansial
b. untuk setiap pengendalian berikut ini, berikan contoh dari empat catatan di Tabel 8-
6 mengenai kesalahan atau kemungkinan kesalahan yang akan dideteksi oelh setiap
pengendalian (buat daftar kesalahan tersebut-jangan hanya mendeskripsikannya).
Pemeriksaan field
Pemeriksaan urutan
Pemeriksaan batas
Pemeriksaan kelogisan
Pengujian saldo cross-footing (pemeriksaan penjumlahan atau pengurangan dari
kanan ke kiri).
8.4. Anda adalah administrator pengamanan data di suatu perusahaan kecil, sistemnya
menggunakan dua program, yaitu: sistem penggajian dan pemrosesan persediaan. Ada tiga
file yang dipelihara, yaitu: sistem penggajian, file utama persediaan, dan catatan transaksi.
Ada tiga file yang dipelihara, yaitu: file utama penggajian, file utama persediaan, dan catatan
transaksi. Pemakai berikut ini memiliki akses ke sistem sesuai dengan yang ditentukan:

Pemakai Akses
Tenega penjual Membaca dan menampilkan catatan di
File persediaan
Analisis pengendaliam persediaan Membaca, menampilkan, memperbarui,
Membuat, dan menghapus catatan di
File persediaan
Analisis penggajian Membaca, menampilkan, dan
Memperbarui catatan di file
Penggajian
Manajer SDM Membaca, menampilkan, memperbarui
Membuat, dan menghapus catatan di
File penggajian
Programer penggajian Melaksanakan semua operasional sistem
Penggajian; membaca dan
Menampilkan catatan file penggajian
Dan catatan transaksi
Programer persediaan Melaksanakan operasional sistem
Persediaan; membaca dan
Menampilkan catatan file persediaan
Dan catatan transaksi
Manajer pemprosesan data Membaca dan menampilkan semua
Program dan file
Anda sendiri Melaksanakan semua operasional dalam
Semua program dan file
Diminta:
a. Buatlah matriks pengendalian akses yang memungkinkan semua pemakai
memiliki tingkat akses yang ditentukan. Untuk setiap pemakai, berikan kode
pemakai enam-karakter dan pilih kode otoritas akses. Gunakan sistem
pengkodean otoritas akses berikut ini.
0=tidak ada akses yang diperbolehkan
1=hanya untuk membaca dan menampilkan
2=membaca, menampilkan, dan memperbarui
3=membaca, ,menampilkan, memperbarui, membuat, dan menghapus
b. Perubahan-perubahan apa yang akan anda buat untuk hak mengakses dari para
pegawai yang disebutkan sebelumnya?
8.5. Pengendalian apa yang anda rekomendasikan untuk mencegah terjadinya situasi berikut
ini?
a. Field jumlah jam kerja untuk para pegaai tetap harus berisikan 01 untuk satu minggu.
Satu field pegawai berisi angka 40, dan cek sebesar $9.872,51 secara tidak sengaja
disiapkan dan dikirim.
b. Seorang programer memperoleh file penggajian utama, memasukkannya ke sistem, dan
mengubah gaji bulanya dari $4.400 menjadi $6.000.
c. File piutang di disket secara tidak sengaja rusak dan tidak dapat dikonstruksi ulang
setelah diganti dengan file piutang dalam suatu pemrosesan.
d. Suatu perusahaan kehilangan hampir semua data bisnis vitalnya dalam suatau
kebakaran yang memusnahkan ruangan tempat penyimpanan disket.
e. Seorang programer berhenti dari suatu perusahaan di tengah-tengah proyeknya. Oleh
karena tidak ada programer yang dapat memahami pekerjaan yang telah diselesaikan
oleh progrsmer tersebut, proyek itu dimulai lagi dari awal.
f. Seorang programer bank memperoleh disket yang berisi program yang menghitung
bunga rekening pelanggan. Dia memasukkan program kedalam komputernya dan
memodifikasinya agar angka pecahan dari setiap penghitungan bunga, yang biasanya
dibulatkan, dimasukkan ke rekeningnya.
g. Ketika mengetik catatan pembayaran pelanggan, digit 0 dalam prmbayaran sebesar
$102,34 secara tidak sengaja diketik dengan huruf O. Akibatnya, transaksi tersebut tidak
diproses dengan benar, dan pelanggan menerima laporan yang salah.
8.6 Pengendalian apa yang anda rekomendasikan pada suatu sistem komputer on-line untuk
mencegah terjadiya situasi berikut ini?
a. Seorang remaja mendapatkan akses yang tidak diotorisasi ke sistem dengan cara
memprogram komputer pribadi untuk memasukkan nomor pemakai secara berulan-
ulang sampai nomor yang benar didapatkan.
b. Seorang pegawai memperoleh akses yang tidak diotorisasi kesistem dengan mengamati
nomor pemakai milik supervisor-nya dan menebak dengan tepat password-nya setelah
mencoba sebanyak 12 kali.
c. Seorang tenaga penjual di manufaktur PC, ketika mengetik pesanan pelanggan. Dengan
menggunakan laptop, memasukkan nomor barang yang salah. Akibatnya, pesanan
sebanyak 50 monitor yang dimasukkan, padahal pelanggan tersebut memesan 50
komputer pribadi.
d. Seorang tenaga penjual diberi laptop untuk memasukkan oesanan penjualan ketika
berkunjung ke tempat pelanggan. Dia menggunakan laptop tersebut untuk menaikkan
gaji bulanannya sebesar #500.
e. Seorang tenaga penjual yang mengetik pesanan pelanggan dari komputer eksternal
secara tidak sengaja tidak memasukkan alamat pengirim pesanan.
f. Pusat penelitian dan pengembangan suatu perusahaan menggunakan PC eksternal yang
terhubung dengan pusat komputernya sejauh 100 mil. Dengan menggunakan wiretap
(kabel untuk mencuri informasi), pesaing utama dari perusahaan itu mencuri rencana
rahasia suatu informasi rahasia suatu inovasi produk utama.
g. Suatu server bank melayani terminal di 8 loket drive-in. Pada suatu hari jumat sore yang
sibuk, server terputus sehingga bank terpaksa menutup loket du jam.
h. Listrik terputus selama 20 menit sehingga sistem komputer perusahaan juga terputus.
Hal tersebut mengakibatkan hilangnya data beberapa transaksi yang dimasukkan ke
dalam dari sistem dari beberapa terminal eksternal.
8.7 kantor pusat Gleicken Corporation, perusahaan swasta yang mencatat penjualan. Tahun sebesar
$3,5 juta, terletak di Kalifornia. Untuk 150 klien nya, Gleicken menyediakan jasa software legal
on-line yang mencangkup penyimpanan data dan kegiatan administratif untuk kantor hukum.
Perusahaan ini berkembang pesat sejak pertama kali dimulai 3 tahun lalu, dan departemen
pemprosesan datanya telah berkembang dengan cepat untuk memenuhi tuntutan
perkembangan perusahaan. Oleh karena pimpinan dan staf penjualan Gleicken menghabiskan
banyak waktu diluar kantor mencari klien baru, perencanaan fasilitas EDP diserahkan ke
profesional pemprosesan data.
Kantor pusat Gleicken baru saja pindah kesuatu gudang yang telah direnovasi yang terletak
dipinggir kota. Ketika merenovasi gudang itu, para arsitek mempertahankan struktur
awalnya, termasuk eksterior dari kayu tipis dan balok yang tampak di interiornya. Hardware
perusahaan terletak di area yang luas dengan langit-langit yang tinggi dan jendela dilangit-
langitnya. Keterbukaan ini membuat area pemprosesan data dapat diakses oelh semua staf
dan mendorong pendekatan tim untuk menyelesaikan masalah. Sebelum Gleicken
menempati fasilitas baru itu, pengawas kota menyatakan bahwa bangunan tersebut aman
(ada pemadam kebakaran dan jalan keluar yang memadai, dan lain-lain).
Gleicken ingi menyediakan lebih banyak perlindungan untuk database informasi klien. Oleh
sebab itu, Gleicken menerapkan prosedur backup dengan yang menggunakan pita yang
secara otomatis mem-backup database setiap hari minggu malam agar tidak mengganggu
prosedur dan operasional harian. Semua pita diberi label dan disimpan di rak departemen
pemprosesan data. Di departemen tersebut da manual operator yang berisi instruksi cara
menggunakan pita tersebut untuk memperoleh kembali database jika diperlukan. Dalam
keadaan darurat, ada daftar telepon rumah dari semua staf di departemen pemprosesan
data. Gleicken baru saja menaikkan asuransi untuk kehilangan data dari $50.000 menjadi
$100.000.
Hari sabtu yang lalu, gedung kantor pusat Glecken musnah oleh kebakaran.
Sekarang perusahaan harus memberitahukan ke para klien nya bahwa semua informasi
mereka telah musnah.
Diminta:
a. uraikan kelemahan pengamanan komputer di Gleicken Corporation yang
memungkinkan terjadinya kehilangan data yang membawa bencana.
b. Sebutkan komponen yang seharusnya ada dalam bencana pemulihan setelah
bencana untuk memastikan pemulihan komputer setelah 72 jam.
c. Faktor-faktor apa, selain yang tercakup didalam rencana, yang perlu
dipertimbangkan oleh perusahaan ketika merumuskan rencana pemulihan setelah
bencana.
d. Glecken harus melindungi dirinya dari bencana apa saja, selain kebakaran?

Kasus 8-1
Any Company, Inc.: Kasus Komprehensif Berkelanjutan
Kunjungi satu perusahaan lokal dan mintalah izin untuk mempelajari sistem pengendalian internal
perusahaan tersebut. Setelah anda mendapat persetujuan suatu perusahaan, lakukanlah hal-hal
berikut:

1. Mintalah salinan bagan organisasi, deskripsi pekerjaan, dokumentasi yang berhubungan


dengan bagaimana otoritas dan tanggung jawab diserahkan di dalam fungsi sistem
informasi. Evaluasi apakah jalur otoritas dan tanggung jawab telah didefenisikan dengan
jelas atau tidak, dan apakah tuga-tugas telah di bagi dengan baik atau tidak.
2. Tentukan bagaimana perusahaan mengevaluasi kemajuan proyek pengembangan sistem
selama tahap desain dan implementasi.
3. Amati bagaimana perusahaan mengendalikan akses fisik ke tempat komputer utamanya;
serta ke komputer pribadi dan terminal on-line. Evaluasi apakah pengendalian akses
perusahaan sudah efektif atau tidak.
4. Tentukan prosedur yang digunakan oleh perusahaan untk melindungi program yang
disimpannya dan file data dari kehilangan atau kerusakan, termasuk prsedur pemulihan
program atau file data yang mungkin hilang. Evaluasi apakah prosedur tersebut sudah tepat
atau tidak.
5. Periksalah prosedur dan kebijakan perusahan yang berhubungan dengan penggunaan
password untuk mengendalikan akses logis ke sumber daya sistemnya. Evaluasi prosedur
dan kebijakan tersebut.
6. Secara singkat periksalah salinan administrasi, sistem dan dokumentasi operasional
perusahaan. Evaluasi kualitas dan kelengkapan materi tersebut.
7. Tentukan teknik yang digunakan oleh perusahaan untuk mengurangi resiko resesi sistem.
8. Apakah perusahaan memiliki rencana pemulihan secara bencana secara tertulis untuk
fasilitas komputernya? Jika ada, periksalah salinan rencana tersebut dan nilailah kekuatan
dan kelemahannya.

Kasusu 8-2

Departemen perpajakan dinegara bagian anda sedang mengembangkan sistem komputer yang baru
untuk memproses pengembalian pajak penghasilan individual dan perusahaan. Sistem yang baru itu
memiliki kemampuan input data langsung dan permintaan informasi. Identifikasi pembayaran pajak
dilakukan dengan menggunakan nomor jaminan sosial untuk individual dan nomor identifikasi pajak
federal untuk perusahaan. Sistem yang baru tersebut harus didimplementasikan secara penuh pada
periode pajak berikutnya.
Sistem yang baru itu akan melayani tiga tujuan utama:
1. Data akan dimasukkan langsung kesistem dari pengembalian pajak dengan menggunakan
terminal komputer yang terletak di kantor pusat.
2. Pengembalian akan diproses dengan menggunkan fasilitas komputer utama di kantor pusat.
Pemprosesan akan mencangkup empat langkah, yaitu:
e. Verifikasi akurasi matematis
f. Auditing kelogisan pengurangan, jatuh tempo pajak, dan lain-lain, dengan
menggunakan ritinitas edit, dan juga mencakup perbandingan data saat ini dan data
tahun lalu.
g. Identifikasi pengembalian yang harus dipertimbangkan untuk audit oleh agen
pendapatan departemen.
h. Menerbitkan cek pembayaran kembali bagi pembayar pajak
3. Jasa permintaan informasi akan disediakan bagi pembayar pajak, jika ada permintaan,
melalui bantuan personil departemen pajak di lima kantor regional. Ada 50 terminal yang
akan ditempatkan di setiap kantor regional. Ada 50 terminal yang akan ditempatkan disetiap
kantor regional. Pembayar pajak akan diizinkan untuk menentukan status pengambilannya
atau memperoleh informasi mengenai pengembalian selama tahun terakhir dengan cara
menelpon atau datang kesalah satu kantor regional departemen.

Kepala kantor pajak negara bagian menguatirkan keamanan data ketika input dan pemprosesan,
serta mengenai perlindungan terhadap bencana alam seperti kebakaran dan banjir. Hal ini
mencangkup perlindungan terhadap data yang hilang atau rusak selama input dan pemprosesan
data serta kesalahan input atau pemprosesan data. Selanjutnya; kepala kantor pajak dan kepala
kejaksaan wilayah mendiskusikan mesalah umum mengenai kerahasiaan data yang mungkin
terbuka karena sifat dan operasional sistem yang baru tersebut. Mereka berdua ingin agar
masalah yang potensial dapat diidentifikasi sebelum sistem dikembangkan dan
diimplementasikan secara penuh, agar pengendalian yang sesuai dapat dimasukkan kedalam
sistem yang baru itu.
Diminta:
1. Deskripsikan masalah kerahasiaan yang potensial, yang mungkin muncul dari setiap area
pemprosesan berikut ini, dan rekomendasikan tindakan koreksi untuk mengatasi setiap
masalah yang teridentifikasi:
a. Input data
b. Pemprosesan pengembalian
c. Permintaan informasi data
2. Kepala kantor pajak ingin memasukkan pengembalian untuk mengamankan data dari
kehilangan, kerusakan, input yang salah, atau penggunaan data selama pemprosesan dan
input data. Identifikasi masalah-masalah yang potensial (selain bencana alam seperti
kebakaran atau banjir) sehingga departemen perpajakan dapat mengembangkan
pengendalian yang sesuai, dan rekomendasikan pengendalian yang mungkin diterapkan
untuk setiap masalah yang teridentifikasi.