Jelajahi eBook
Kategori
Jelajahi Buku audio
Kategori
Jelajahi Majalah
Kategori
Jelajahi Dokumen
Kategori
Bagi setiap prinsip keandalan diatas, tiga kriteria yang harus dikembangkan untuk mengevaluasi
mencapaian prinsip-prinsip tersebut :
1. Entitas memiliki tujuan kinerja(performance objective), kebijakan , dan standar yang telah
ditetapkan, didokumentasikan dan dikomunikasikan,dan telah memenuhi tiap prinsip
keandalan.systrust mendefinisikan tujuan kinerja sebagai tujuan umum yang ingin dicapai
entitas;kebijakan adalah peraturan-peraturan yang memberikan arah formal untuk
mencapai tujuan, dan mendorong kinerja; serta standar sebagai prosedur yang dibutuhkan
dalam implementasi, agar sesuai dengan kebijakan.
2. Entitas menggunakan prosedur, sumber daya manusia, software, data, dan infrastruktur
untuk mencapai setiap prinsip keandalan, dengan berdasarkan pada kebijakan dan standar
yang telah ditetapkan.
3. Entitas mengawasi sistem dan mengambil tindakan untuk mencapai kesesuaian dengan
tujuan, kebijakan, dan standar , untuk setiap prinsip keandalan.
Dokumentasi
Pengendalian penting lainnya yanng mempengaruhi empat prinsip keandalan adalah
implementasi prosedur dan standar dokumentasi, untuk memastikan dokumentasi yang jelas
dan ringkas. Dokumentasi yang berkualitas memfasilitasi komunikasi dan peninjauan kemajuan
secara teratur selama pengembangan sistem, dan dapat digunakan sebagai referensi serta alat
pelatihan bagi pegawai sistem baru. Dokumentasi dapat diklasifikasikan menjadi tiga kategori
dasar, yaitu:
1. Dokumentasi administratif(administrative documentation) mendeskripsikan standar dan
prosedur untuk pemrosesan data, termasuk pembenaran dan otorisasi sistem yang baru dan
yang di ubah; standar untuk analisis, desain, dan pemrograman sistem; serta prosedur untuk
penanganan dan penyimpanan file.
2. Dokumentasi sistem(system dokumentation) mendeskripsikan setiap sistem aolikasi dan
fungsi utama pemrosesannya. Termasuk didalamnya adalah bahan naratif, bagan alir, daftar
program. Dokumentasiini menunjukan input; pemrosesan, output, dan prosedur
penanganan kesalahan atas sistem.
3. Dokumentasi operasional(operating documentation) mendeskripsikan hal apa yang
dibutuhkan untuk menjalankan sebuah program, termasuk konfigurasi perkelengkapan,
program dan file data, prosedur untuk mengatur dan melaksanakan pekerjaan, kondisi yang
mungkin dapat mengganggu pelaksanaan program,serta tindakan korektif atas gangguan
pada program.
KETERSEDIAAN
Beberapa alasan mengapa sistam dapat tidak tersedia bagi para pemakai adalah adanya
kegagalan pada hardware dan software, bencana alam, serta tindakan sabotase yang disengaja.
Salah satu cara sabotase yang paling populer, yang secara signifikan sering kali membatasi
kegiatan e-busibess suatu organisasi, disebut sebagai serangan peningkaran pelayanan (denial-
of-service attack). Serangan peningkatan pelayanan ini didiskusikan secara secara lebih luas di
bab 9.
Demi memastikan ketersediaan sistem informasi, organisasi perlu meminimalkan waktu
kegagalan sistem (system downtime) dan menggembangkan rencana pemulihan
Tabel 8-2
Ringakasan pengendalian utama atas ketersediaan
Kategori ancaman/resiko pengendalian
Pengendalian
Meminimalkan hilangnya tenaga listrik kebijakan dan prosedur untuk
Waktu kegaga atau kegagalan sistem menangani kehilangan tenaga
Lan sistem yang mengganggu listrik,kesalahan,kehilangan
Operasi bisnis yang atau kerusakan data;jaminan atas
Penting,kehilangan bencana dan gangguan bisnis;
Atau kerusakan data pemeliharaan untuk pencegahan
Secara teratur atas komponen
Utama;sistem tenaga listrik yang stabil;
Batas toleransi kesalahan
Rencana perpanjangan gangguan tanggung jawab koordinator adalah
Pemulihan atas pemrosesan data mengimplementasikan rencana,menetapka
Dari bencana serta operasi bisnis pemulihan,menugaskan tanggung
Kebakaran,bencana alam, jawab untuk kegiatan pemulihan,mendoku
Sabotase atau vandalisme mentasikan dan menguji rencana;penyim
Panan jarak jauh data dan file,jaminan asura
Ransi ,komputer cadangan serta fasilitas
Komunikasi(perjanjian resiprokal,ruang
Cadangan dengan dan tanpa fasilitas kompu
Ter/hot and cold sites,duplikat hardware,
Software serta peralatan penyimpanan data
Jaminan
Rencana pemulihan dari bencana harus memasukkan jaminan asuransi untuk
menangguhkan biaya pergantian perlengkapan, kegiatan pemulihan, serta gangguan bisnis.
Fokus 8-1
Model untuk perencanaan pemulihan dari bencana
Nilai atas rencana pemulihan dari bencana ditekankan dengan adanya berbagai sejarah kasus yang
timbul. Meluluh lantahkan komputer utamanya.
Kasus yang mungkin paling di ingat adalah cerita men walaupun fasilitas di bank tersebut tampak
Genai kebakaran terburuk dalam sejarah,dan bagai di lindungi dengan baik oleh sistem penyem
Mana cara bank tersebut pulih dari bencana dengan protan air(spinkler)dan sistem pemadam
Mengikuti sebuah rencana,yang sejak saat itu api halon,kebaran terjadi sampai melalui
Menjadi model perencanaan pemulihan. Atap gedung,yang kemudian runtuh,melu
Pada hari thanksgiving,kebakaran besar menyapu mat sistem penyemprotan air.pusat databa
Kantor-kantor di northwest national bank,minneapolis se milik bank beserta catatan yang terkait
Akan tetapi, pada hari senin berikutnya,para pegawai termasuk catatan personal dan pinjaman
Bank kembali bekerja dimarkas baru-menangani hipotek,serta cek yang belum diproses,
Penyimpanan,penarikan,investasi,pinjaman hancur.
Dan transaksi rutin bank lainnya.kebakaran setelah menerapkan rencana pemu
Tersebut dapat saja mengancam krberadaan bank lihan dari bencana yang didasarkan atas pen
Untuk tetap beroperasi di bisnisnya.hal ini disebabkan galaman northwest national bank setebal
Adanya rencana pemulihan dari bencana terinci. 150 halaman,para pejabat bank sierra deng
Bank hanya kehilangan,kalaupun ada yang hilang an cepat mengidentifikasi anggota tim,tugas
Sedikit data penting.setelah hari terjadinya kebakaran yang penting,peralatan yang dibutuhkan,ser
Trsebut,komputer dikantor pelayanan setempat beke ta mulai usaha satu malam untuk memulih
Ja keras untuk membuat kopi baru atas catatan yang kan pelayanan bank.dalam rangka mempro
Hancur. Ses transaksi harian bank yang mencapai
Sebagai contoh lainnya, sewaktu subuh krbakaran 25.000 hingga 40.000 transaksi,pemrosesan
Melanda bank sierra di porterville,california,dan data di lokasi cadangan dengan fasilitas kom
Puter(hot site)yang disediakan didekat san
Ramon ,digunakan.file yang telah diperbaha
Rui didownload dari lokasi tersebut kekom
Puter utama,yang disediakan oleh perusaha
An denver yang kemudian akanmengirimkan
Kembali hasil cetakan setiap hari keportervi
Lle.dalam waktu 6 hari setelah kebakaran,
Bank tersebut telah membereskan simpan
Antransaksinya,dan rekening pelanggan
Diperbaharui.
Pada hari rabu malam, file utama hancur. File utama ini dapat dibuat kembali dengan menggunakan
file utama hari selasa(father file) bersama dengan file transaksi hari selasa. Apabila file hari selasa
juga hancur, maka dapat dibuat kembali dengan menggunakan file utama hari senin(grandfather file)
bersama dengan file transaksi hari
Fokus 8-2
Bagaimana nasdaq pulih dari 11 september
Baru-baru ini, nilai dari rencana pemulihan dari mampu dengan cepat mengidentifikasi situasi dan
bencana ditekankan dengan adanya peningkatan para pemegang saham yang akan membutuhkan
kegiatan teroris akhir-akhir ini.contoh yang paling bantuan tambahan,sebelum nasdaq dapat dibuka
jelas adalah peristiwa 11 september 2001,yaitu pasar kembali,dengan cara membuat prioritas dan
serangan menara world trade center.kerusakan telekonferensi.
Yang disebabkan oleh dua pesawat terbang tsb sistem nasdaq yang sangat berlapis dan ter
berhasil membuat beberapa perusahaan bang sebar juga membantu perusahaan dengan cepat
bangkrut. Membuka kembali pasar.setiap pedagang saham
kantor pusat nasdaq berlokasi dilantai 49 dan terhubung dengan dua pusat hubungan nasdaq.
50 dalam one liberty plaza,yang bersebrangan pusat-pusat hubungan tersebut dihubungkan ke
letaknya dengan world trade center.pada saat setiap server mereka dengan menggunakan dua
pesawat pertama menghantam gedung tersebut vendor yangberbeda.walaupunlistrik dilower
para penjaga keamanan nasdaq segera mengeva manhattan,sistem nasdaq secara relatif tidak
luasi personil dari gedung tersebut.walaupun pa berpengaruh.
Ra pegawai dievakluasi dari kantor pusat ditimes ketika personil nasdaq tidak dapat lagi tidak
square sementara kehilangan saluran telepon dapat lagi menempati kantor di manhattan dan
nasdaq mampu merelokasi kegiatannya kepusat saluran telepon mati dikantor times square,nas
cadangan di marriott marquis.pada saat mereka daq masih memiliki kantor di maryland dan conn
berada disana,para eksekutif nasdaq langsung necticut,yangmemungkinkannya mengawasi pros
mempelajari daftar prioritas mereka;pertama ses pengaturan.walaupun banyak orang yang hila
para personil mereka;kedua,keadaan para peme ng di liberty plaza,perusahaan tersebut akan mas
gang saham mereka;ketiga,kerusakan fisik;dan ih memiliki jajaran manajemen senior dilokasi
terakhir,situasi industri perdagangan saham. Lain.
Komunikasi yang efektif menjadi penting dalam nasdaq juga mengambil tindakan pencegahan
menetapkan kondisi prioritas di atas.nasdaq dengan meminta para eksekutifnya membawa le
mendapatkan kesuksesannya dalam komunikasi bih dari satu telepon genggam,untuk bergaja-ja
dan koordinasi dengan rekan kerja lainnya di indu ga apabila salah satu penyedia pelayanan telepo
stri tersebut dari latihan simulasi untuk 2YK.sewa n mengalami kegagalan,dan berinvestasi dalam
ktu mempersiapkan perubahan untuk 2YK, nasdaq asuransi gangugan untuk membantu menanggu
telah mengatur telekonferensi bersekala internasi hkan biaya menutup pasar.perencanaan dan
onal dengan seluruh bursa efek.hal ini membantu perkiraan mengenai masa depan telah menyela
mereka mengatur konferensi serupa setelah sera matkan nasdaq dari kerugian yang dapat dikata
ngan tersebut.nasdaq telah memiliki rencanauntuk kan sebesar puluhan juta dolar.
Satu potensi krisis,dan hal ini terbukti membantu
dalam pemulihan dari krisis yang diluarperkiraan
tersebut.
Senin.file utama hari rabu,seoerti telah dijelaskan sebelumnya,kemudian dapat direkontruksi dengan
menggunakan file utama hari sekasa yang baru,bersama dengan file transaksi hari selasa.
Prosedur yang serupa digunakan untuk memastikan bahwa database on-line dan file utama
dapat dibentuk kembali.pemeriksaan ditempat dibuat secara periodik selama pemrosesan;sistem
membuat kopi database atau file utama pada waktu tersebut,besertadengan informasi yang
dibutuhkanb untuk memulai kembali sistem.file pemeriksaan ditempat disimpan dalam disk terpisah
atau pita file.apabila ter4jadi masalah,sistem dapat dimulai kembali dengan menentukan
pemeriksaan ditempar terakhir, dan kemudian memproses kembali seluruh transaksi berikutnya.
Di dalam prosedur yang disebut pengulangan(rollback),kopi yang belum diperbaharui dari
setiap catatan dibuat sebelum transaksi di proses. Apabila terjadi kegagalan hardware,catatan akan
di ulang hingga kenilai yang belum diperbaharui,kemudian transaksi akan diproses ulang dari awal.
Hard drive PC sering kali dibuat cadangannya ke CD, disket,dan pita file;akan tetapi,apabila
kopi cadangan disimpan berdekatan dengan PC, maka cadangan tersebut juga bisa dihancurkan oleh
bencana yang menghancurkan PC.first interstate ini berulang kali mengingatkan pegawai mereka
untuk membuat cadangan file dan membawanya kerumah mereka setiap hari setelah bekerja.
Salamon,sebuah firma pialang,memiliki sistem yang membuat kopi cadangan per minggu atas
seluruh file, didalam 300 tempat kerjanya diseluruh dunia. Mereka juga memiliki kopi seluruh
program aplikasi di dalam duplikat sistem komputer.
Sangatlah penting untuk mendokumentasikan prosedur pembuatan cadangan dan secara
periodik berlatih menyimpan kembali sistem dari data cadangan. Melalui cara ini, pegawai tahu
bagaimana caranya untuk secara tepat memulai kembali sistem, ketika terjadi kegagalan.
Penugasan khusus
Rencana pemulihan dari bencana membutuhkan seorang koordinator yang bertanggung
jawab untuk mengimplementasikan seluruh tahap rencan tersebut. Orang tersebut kemudian akan
menugaskan tanggung jawab mengenai aktivitas pemulihan ke orang-orang dan tim-tim
tertentu.aktivitas ini harus mencakup pengaturan aktivitas baru,pengoperasian komputer, proses
instal software,pembangunan fasilitas komunikasi data,pemulihan atas catatan-catatan
penting,serta pengaturan formulir dan pasokan.
PENGAMANAN
Beberapa klasifikasi pengendalian yang membantu untuk memastikan pengamanan sistem
yang akan didiskusikan dalam bagian ini adalah: pemisahan tugas dalam fungsi sitem,pengendalian
akses secara fisik dan logis,perlindungan atas PC dan jaringan klien/server,serta pengendalian atas
internet dan e-commerce.tabel 8-3 meringkas pengendalian pengamanan utama yang didiskusikan
dalam bagian ini.
Pemisahan tugas dalam fungsi sistem
Didalam sistem informasi yang sangat terintegrasi,prosedur yang dahulu dilakukan oleh
beberapa orang,kini digabungkan.dalam rangka memerangi ancaman ini,organisasi harus
mengimplementasikan prosedur pengendalian yang sesuai,seperti pemisahan tugas yang efektif
dalam fungsi sistem informasi.otoritas dan tanggung jawab harus dengan jelas dibagi diantara
fungsi-fungsi berikut ini :
1. Administrasi sistem(system administration). Administrasi sistem bertanggung jawab untuk
memastikan bahwa berbagai bagian dari sistem informasi beroperasi dengan lancar dan
efisien.
2. Manajemen jaringan(network management). Para manajer jaringan memastikan bahwa
peralatan yang dapat diaplikasikan telah dihubungkan ke jaringan internal dan eksternal
organisasi,serta jaringan tersebut beroperasi secara terus menerus dan sesuai dengan
fungsinya.
3. Manjemen pengamanan(security management). Manajemen pengamanan bertanggung
jawab untuk memastikan bahwa seluruh aspek sistem telah aman dan dilindungi dari
ancaman internal serta eksternal.
4. Manajemen perubahan(change management). Para personil ini mengelola seluruh
perubahan atas sistem informasi organisasi,untuk memastikan bahwa mereka dibuat dengan
mudah dan efisien,serta untuk mencegah kesalahan dan penipuan.
5. Pemakai (user). Departemen-departemen pemakai sistem mencatat,transaksi,mengotorisasi
data yang akan dipproses,serta menggunakan output sistem.
6. Analisis sistem (system analysis). Analisis sistem membantu pemakai untuk menetapkan
kebutuhan informasi mereka dan kemudian mendesain sebuah sistem informasi untuk
memenuhi kebutuhan tersebut.
7. Pemograman (programming). Para progamer menggunakan desain yang disediakan oleh
analis sistem dan membuat sebuah sistem informasi dengan cara menulis program
komputer.
8. Operasi komputer (computer operation). Para operator komputer menjalankan software
dikomputer milik perusahaan. Mereka memastikan bahwa data telah dimasukkan dengan
tepat, diproses dengan benar,serta output yang dibutuhkan dapat dihasilkan.
9. Perpustakaan sistem informasi (information system library). Pengelola perpustakaan sistem
mempertahankan penyimpanan database,filee,dan program perusahaan dalam tempat
terpisah,yang disebut sebagai perpustakaan sistem informasi.
10. Pengendalian data (data control). Kelompok pengendalian data memastikan bahwa data
sumber telah disetujui dengan benar,mengawasi arus kerja melalui komputer,merekonsiliasi
input dan output,mempertahankan catatan tentang kesalahan input
Tabel 8-3
Ringkasan pengendalian pengamanan utama
Kategori ancaman/resiko pengendalian
pengendalian
Pemisahan tugas penipuan komputer bagi dengan jelas otoritas dan tanggung jawab di
dalam fungsi antara administrasi sistem,manajemen jaringan,
sistem manajemen pengamanan,manajemen perubahan
pemakai,analisis sistem,programer,operator kom
puter,pengelola perpustakaan sistem informasi,
serta kelompok pengendalian data.
Pengendalian kerusakan komputer letakkan komputer dalam ruang terkunci;batasi
atas akses dan file;akses yang akses ke personil yang memiliki otorisasi saja;buat
secara fisik tidak memiliki jalan masuk yang terkunci dengan aman;meminta
otorisasi kedata ID pegawai;meminta pengunjung untuk menanda
rahasia tangani daftar tamu ketika mereka masuk dan me
ninggalkan lokasi;batasi akses kesaluran telepon
pribadi yang tidak terdeteksi,keterminal dan PC
yang memiliki otorisasi;batasi akses keprogram
off-line,data serta perlengkapannya;simpan kom
ponen sistem yang penting jauh dari bahan berba
haya;pasang detektor asap dan api serta pemada
m api.
Pengendalian akses yang tidak klasifikasi pengamanan data(tidak ada batasan,ha
atas akses memiliki otorisasi ke nya untuk pegawai,hanya untuk pemilik dan man
secara logis software sistem, ajemen puncak,dan lain-lain),tetapkan hak akses
program aplikasi, pegawai dan pihak luar,menghapus,dan mengu
serta sumber daya bah data.kenali pemakai melalui hal-hal yang me
sistem lainnya reka ketahui(password,PIN,jawaban atas pertanya
an pribadi),atau yang mereka miliki(kartu identita
s,kartu pegawai aktif),atau melalui karakteristik
Untuk memastikan kesalahan tersebut diperbaiki dan dimasukan kembali,serta mendistribusikan
output sistem.
Merupakan hal yang penting untuk diketahui bahwa orang-orang yang melakukan fungsi-fungsi ini
haruslah orang-orang yang berbeda.mengizinkan seseorang untuk melakukan dua atau lebih
pekerjaan,akan menghadapkan perusahaan pada kemungkinan terjadinya penipuan.
Contohnya,apabila seorang programer untuk sebuah lembaga pemberi kredit di izinkan untuk
menggunkan data asli dalam menguji program yang dibuatnya, maka dia dapat menghapus saldo
kredit mobilnya ketika melaksanakan uji tersebut.seperti juga halnya apabila seorang operator
komputer memiliki akses ke logika program dan
Tabel 8-3
Ringkasan pengendalian pengamanan utama (lanjutan)
Kategori ancaman/resiko pengendalian
pengendalian
Personal mereka(sidik jari,pola suara,pemindai retina,be
ntuk wajah,tanda tangan,dan sistem sandi tekan),peme
riksaan kesesuaian,matriks pengendalian akses.
Perlindungan atas kerusakan file lakukan inventori atas PC dan pemakainya,sesuaikan sis
PC dan jaringan komputer dan tem pengamanan dengan ancaman dan resikonya,la
klien/server perlengkapannya tih pemakai tentang pengendalian PC,kunci disk drive
akses yang tidak beri label yang tidak dapat dilepas,simpan data yang sen
memiliki otorisasi ke sitif dalam tempat yang aman,secara otomatis mematik
data rahasia;pemakai an jaringan PC yang tidak digunakan,buat cadangan
yang tidak dikenali hard drive secara teratur,eksrinsip file atau beri file pass
sistem pengamanan word,hapus bersih disk dengan menggunakan program
utility,buat dinding pelindung disekitar operasi,boot PC
dalam sistem pengamanan,gunakan pengendalian pass
word bertingkat,pekerjakan spesialis atau program peng
amanan untuk mendeteksi kelemahan dijaringan,audit
dan catat pelanggaran pengamanan.
Pengendalian kerusakan file data password,enkripsi,verifikasi routing,software pendeteksi
internet dan dan perlengkapan; virus,firewall,pembuatan jalur khusus,penggunaan amp
e-commerce akses yang tidak lop elektonis,tolak akses pegawai ke internet,dan server
memiliki otorisasi ke internet tidak terhubung dengan komputer lainnya di
data rahasia perusahaan.
Fokus 8-3
Memastikan integritas password
1.Mintalah pemakai untuk menjaga kerahasian telah membuat passwordnya tidak valid,te
nomor identifikasi dan password.sistem seharusnya tapi karena password tidak diubah seca
tidak menampilkannya ketika pemakai memasukannya ra teratur,maka password yang di curi sebe
pemakai harus jangan pernah menggunkan password lum dia pergi,memungkinkannya mengaks
di pacific bell,beberapa hacker remaja berlagak seperti es ke sistem.
Pegawai perusahaan dan membujuk pemakai sistem 4.berikanlah nomor identifikasi elektronik
untuk memberikan password yang mereka butuhkan ke setiap peralatan yang memiliki otorisasi
untuk mengakses sistem. Contohnya,akses kecatatan penggajian da
2.secara acak berikanlah password ke pemakai,karena pat dibatasi ke komputer dan terminal di
password yang dipilih sendiri oleh pemakai sering kali bagian penggajian serta pihak manajemen
dapat ditebak dengan mudah puncak yang terkait.
3.ubahlah password sesering mungkin untuk memper 5.putuskan hubungan dan nonaktifkan iden
tahankan kerahasiaan.beberapa bulan setelah dipecat tifikasi bagi siapa pun yang tidak dapat me
seorang pegawai wanita dicalifornia masuk dalam kom mberikan nomor identifikasi atau password
puter milik bekas perusahaanya,untuk mengkopi dan yan valid,dalam tiga percobaan.hal ini men
merusak file.polisi menggerebek rumahnya dan menyi cegah hacker memrogram komputer dalam
ta jutaan dolar software perusahaan.perusahaan rangka mencoba berbagai kombinasi nomo
untuk mengimplementasikan pengendalian ini,tetapi r identifikasi dan password pemakai.
Memutuskan bahwa pengendalian ini menggunakan 9.batasi dengan segera akses seorang pega
terlalu banyak sumber daya sistem. Waiketika dia dipindahkan kebagian lain
6.selidikilah dengan segera peralatan yang digunakan contohnya,seseorang dipindah dari bagian
untuk melakukan percobaan akses kesistem dengan penggajian harus tidak boleh memiliki akse
menggunakan nomor identifikasi atau password yang s lagi ke data penggajian.
Tidak valid. 10.nonaktifkan dengan segera nomor identi
7.mintalah pegawai untuk mematikan komputer mere fikasi dan password pegawai yang diberhen
ka ketika tidak digunakan.merupakan hal yang sangat tikan.
Penting untuk tidak meninggalkan komputer tanpa 11.gunakanlah program pemindai passwo
penjagaan selama interaksi on-line dengan database rd untuk mendeteksi password yang lemah
perusahaan yang rahasia. Atau yang mudah ditebak.
8.batasi pemakai atau transaksi terminal untuk waktu 12.mintalah kartu pintar(smart card) yang
tertentu,seperti dalam jam kerja normal. menghasilkan password baru dan unik setiap
menit.sistem akan menggunakan algoritma ya
ng sama dengan kartu tersebut dan,karena wa
ktunya telah disamakan,akan menghasilkan pa
ssword yang sama.
Biro imigrasi dan naturalisasi amerika serikat telah mulai menggunakan pembaca tangan elektronik
untuk memverifikasi seseorang.sidik tangan pemohon paspor ditangkap dan disimpan dalam kartu
seukuran dompet.ketika pemegang kartu pembaca khusus yang mencocokkan keduanya.dibandar
udara yang di lengkapi dengan pembaca tangan,paspor tidak perlu diperlihatkan ketika seseorang
pemmegang kartu datang kembali ke negara tersebut.tujuan akhirnya adalah memasukkan data sisik
tangan berkode dalam paspor yang dapat dibaca mesin.
Alat biometris yang ideal dapat beradaptasi dengan perubahan sekecil apapun,tetapi akan
menolak pemakai yang tidak memiliki otoritasasi.sayangnya,masih terdapat masalah.contohnya,alat
pengenal suara dapat menolak seseotrang yang mengalami pilek atau suaranya tidak jelas karena
berbicara lewat jalur telepon,sementara pemindai retina dapat menolak seseorang yang mengalami
mata merah.kelemahan lainnya adalah,kecuali untuk pemindai suara,pemakai harus memiliki alat
identifikasi biometris jarak jauh atau secara fisik hadir untuk menggunakan sistem.
Fokus 8-4
Kartu Aktif secara diam-diam mendeteksi keberadaan pegawai
dampak hilangnya keamanan atau kerahasiaa atas bisnis perusahaan. Beberapa data tidak
memerlukan pembatasan akses, seperti data yang dimasukkan kedalam Website yang dapat diakses
umum. Beberapa data dibatasi hanya untuk pegawai. Data lainnya bersifat rahasia dan akses
dibatasi hanya untuk pemilik dan pihak manajemen puncak. Dalam sebagian besar perusahaan,
bebrapa tingkat pengamanan (atau kerahasiaan0 akan ditetapkan digunakan. Ketika data dan
program telah diklasifikasi, pemilik dan pihak manajemen puncak dapat menetapkan hak akses
pegawai dan pihak luar. Dalam membuat penetapan ini, pemisahan tugas yang memadai harus tetap
dipertahankan. Integritas data dan pengemanan data juga penting sehingga tidak ada seorang pun
dalam organisasi yang memiliki otoritas untuk membaca, menambah, menghapus, dan mengubah
data tanpa ada orang lainnya yang meninjau aktivitas tersebut.
Ketika seseorang mencoba mengakses data atau program atau mengoperasikan sistem, uji
kesesuaian (compatibility test) harus dilaksanakan untuk menetapkan apakah pemakai memiliki
otorisasi untuk melaksanakan tindakan yang akan dilakukan. Contohnya, pegawai pabrik tidak akan
diberikan otorisasi untuk memasukkan data mengenai utang
Gambar 8-1
Matriks Pengendalian Akses
12345 ABC 0 0 1 0 0 0 0
12346 DEF 0 2 0 0 0 0 0
12354 KLM 1 1 1 0 0 0 0
12359 NOP 3 0 0 0 0 0 0
12389 RST 0 1 0 0 3 0 0
12567 XYZ 1 1 1 1 1 1 1
usaha, dan staf pembelian tidak akan diizinkan untuk memasukkan pesanan penjualan. Prosedur ini
penting untuk mencegah baik kesalahan yang tidak di sengaja maupun yang disengaja, dalam
manipulasi sistem.
Uji kesesuaian menggunakan matriks pengendalian akses (access control matrix), yang
berupa daftar nomor identifikasi dan password para pemakai yang memiliki otorisasi; daftar seluruh
file, data, program; dan akses setiap pemakai atas mereka. Gamabar 8-1 memperlihatkan matriks
pengendalian akses dengan kode untuk empat jenis akses. Pemakai 12345-ABC hanya diizinkan
untuk membaca dan menampilkan file C, serta di batasi dari berbagai akses ke file atau program
lainnya. Pemakai 12389-RST, yaitu seorang programer, memiliki otorisasi untuk membuat perubahan
jenis apapun atas program 2, dan dapat membaca serta menampilakan catatan dari file B. Pemakai
12567-XYZ, mungkin seorang supervisor, memiliki otoritas untuk membaca dan menampilkan isi
seluruh file dan program.
Banyak kebijakan dan prosedur untuk pengendalian komputer utama dapat diaplikasikan untuk
jaringan PC. Pengendalian berikut ini juga merupakan pengendalian yang penting:
Latihlah pemakai mengenai pengendalian yang berkaitan dengan PC serta arti pentingnya.
Penanganan harus merupakan bagian pentin dari proses pengembangan aplikasi. Pemakai
yang mengembangakn program aplikasi ,ereka sendiri harus diajarkan cara untuk menguji dan
mendokumentasikannya.
Batasi akses dengan menggunakan kunci di PC dan apabila mungkin, atas disk driver.
Perlengkapan harus dengan jelas diberi label dengan menggunakan atiket yang tidak dapat
dipindahkan.
Buatlah kebijakan dan prosedur untuk (1) mengendalikan data yang dapat disimpan atau di
download ke PC, (2) meminimalkan potensi pencurian atas PC yang dipindahkan dari tempat
perusahaan, (3) melarang pemakai menggunakan softwere pribadi ke dalam PC, mengkopi
software perusahaan untuk penggunaan pribadi, atau menggunakan sistem tanpa memiliki
otoritas. Ketidakberadaan pengendalian dalam hal-hal inilah (atau kegagalan dalam
menerapkannya) yang membuat seorang pegawai perusahaan sekuritas besar di San Franciso
menggunakan sistem komputer perusahaan untuk membeli dan menjual kokain.
PC yang mudah dibawa tidak boleh disimpan di dalam mobil dan harus dibawa masuk ke kabin
pesawat bukan di bagasi. PC yang berisi data rahasia harus dikunci sewaktu malam dan
diamankan ketika tidak sedang digunakan. Di Kementrian Pertahanan Inggris, sebuah Laptop
dicuri, sementara laptop tersebut berisi seluruh rencana perang Operasi Badai Gurun
(Operation Desert Storm).
Simpanlah data yang sensitif dalam lingkungan yang seaman mungkin, seperti menyimpannya
dalam server atau komputer pusat, sebagai ganti PC. Alternatifnya, data yang sensitif dapat
disimpan dalam disket atau disk drive yang dapat dipindahkan dan disimpan di lemar besi.
Seseorang menggunakan obeng di kantor pusat Levi Strauss untuk mengambil hard drive dari
sebuah PC. Drive tersebut berisi data pribadi (nama, nomor jaminan sosial, tanggal lahir, dan
nomor rekening bank) 20.000 pegawainya. Data ini dapat digunakan untuk mengajukan
aplikasi kartu kredit secara curang dan untuk menarik uang tunai dari rekening bank terkait.
Instal software yang secara otomatis akan mematikan terminal atau komputer yang termasuk
dalam jaringan setelah tidak digunakan dalam waktu yang telah di tentukan.
Buatlah cadangan hard drive secara teratur.
Enkripsi atau lindungi file dengan password agar data yang dicuri tidak berguna.
Gunakanlah program penghapusan tuntas yang benar-benar membersihkan data dalam disk
ketika yang rahasia dihapus. Perintah hapus ini dalam sebagian bear PC hanya menghapus
indeks data, bukan data itu sendiri. Banyak program utilitas yang dapat memulihkan kembali
data yang dihapus (bukan yang benar-benar dihapus)
Buatlah dinding pelindung disekitar sistem operasi untuk mencegah pemakai mengubah file
sistem yang penting.
Oleh karena PC paling rentan ketika baru dinyalakan, PC harus di boot dalam sistem
pengamanan. Pemakai tidak boleh dapat menggunakan bagian manapun sistem sehingga
pemakai memberikan otorisasi yang sesuai. Usaha apapun untuk memindahkan software
sistem dari sistem tersebut, harus membuat keyboard menjadi tidak dapat di operasikan.
Apabila pemisahan tugas secara fisik tidak mungkin dilakukan, gunakan pengendalian
password berlapis untuk membatasi akses pegawai kedata yang tidak sesuai serta
menciptakan pemisahan tugas yang efektif.
Gunakanlah spesialis atau program pengamanan untuk mengatasi kelemahan dalam jaringan.
Program pengsmsnsn sksn meniru penyelundup dan memberikan informasi berharga tentang
seberapa aman aktivitas jaringa serta dimana saja perbaikan harus dilakukan. Paerhatian
harus diberikan agar program ini tidak digunakan untuk kepentingan lain yang menyimpang.
Contohnya, SATAN (System Administrator Tool for Analyzing Nerwork), sebuat program
pengamanan gratis yang ditawarkan di internet, dapat membantu membuka jaringan ke pihak
luar dalam situasi tertentu.
Audit dan catatlah hal-hal yang dilakukan para pemakai dan waktu mereka melakukannya,
agar pelanggaran pengamanan dapat dilacak dan diperbaiki.
Didiklah para pemakai mengenai risiko virus komputer dan cara meminimalkannya (lihat Bab
9)
Firewall
Individual
SIA Perusahaan A Internet
Tabel 8-4
Ringkasan Pengendalian Keterpeliharaan Utama
Kategori Ancaman/ Risiko Pengendalian
Pengendalian
Pengembangan Proyek Rencana utama strategis jangka panjang, jadwal pemprosesan data,
proyek dan pengembangan penugasan setiap proyek ke manajer atau tim, rencana
pengendalian sistem pengembangan proyek, kejadian penting dari proyek, evaluasi
akuisisi mengkonsumsi kinerja, pengukuran kinerja sistem (pemasukan data, penggunaan,
sumber daya yang waktu respons), dan peninjausn pascaimplementasi.
sangat banyak.
KETERPELIHARAAN
Dua kategori pengendalian yang membantu memastikan keterpeliharaan sistem adalah: (1)
pengembangan proyek dan pengendalian akuisisi dan (2) perubahan pengendalian manajemen.
Pengendalian ini dibahas dibawah ini dan diringkas dalam Tabel 8-4.
Fokus 8-5
Memasang Sistem Pelarian (Runaway)
Westpac Banking Corporation ndi Sydney, menyimpulkan bahwa CS90 tidak dapat
Australia menyelidiki proyek pengembangan dikendalikan. Meskipun proyek itu telah
sistem lima tahun untuk mendefenisikan menghabiskan dana hampir $150 juta, namun
ulang peran teknologi informasi. Proyek yang tidak ada hasil berguna yang diperoleh. Selain
menggunakan Coe System 90 (CS90) itu, pejabat bank menyatakan bahwa jadwal
dianggarkan sebesar $85 juta. Tujuannya penyelesaian proyek tidak dapat dipenuhi.
adalah untuk desentralisasi sistem informasi Oleh karena masalah serius yang dihadapinya
Westpac Dengan menyediakan alat computer- dengan portofolio utang dan program
aided seftware engineering (CASE) dan sistem manajemn aset, Westpac memutuskan
ahli ke para manajer cabang. Desentralisasi uuntuk tidak mengeluarkan dana lagi untuk
akan membuat westpac mampu memberikan CS90. Jadi, bank memecat IBM, yang menjadi
respon yang lebih cepat terhadap kebutuhan integrator sistem* dan pengembangan
palanggan sambil mengurangi ukuran software utama, dan menyewa Andersen
departemen SIA internal. Consulting (yang sekarang bernama
Sekitar 3 tahun setelah proyek Accenture) untuk meninjau proyek itu dan
dimulai,Westpac mengambil stok CS90 dang
mengembangkan rekomendasi untuk seoerti ini, menurut para ahli yang
menyelamatkannya. menyelamatkan sistem pelarian, CIO dan
Penguncuran dana yang sia-sia untuk proyek eksekutuf SIA yang lain sama salahnya dengan
CS-90 Westpack hanya merupakan satu cerita integrator sistem.
yang sudah sering didengar: proyek komputer Para ahli tersebut menyarankan bahwa
yang melebihi anggaran dan tidak selesai prowek integresi sitem jarus diawasi oleh
tepat waktu, yang sering disebabkan oleh komite sponsor, yang dibentuk oleh CIO, dan
integrator sistem yang tidak mampi diketuai oleh pemenang internal proyek.
memenuhi janji-janjinya yang terlalu tinggi. Manajer departemen untuk semua unit yang
Para ahli industri menyebut proyek tersebut akan menggunakan sistem itu unyuk masuk
sebagai pelarian (runaway). Selama beberapa dalam komite ini. Peran komite ini adalah
tahun, KPMG mengambil ahli sekitar 50 untuk menetapkan prosedur formal untuk
proyek komputer pelarian (runaway), dan mengukur dan melaporkan status proyek.
memperkirakan bahwa, sekitar dua pertiga Pendekatan yang tebaik adlah dengan
dari kasus-kasus ini, masalah timbul dari membagi proyek menjadi tugas-tugas yang
kesalahan manajemen integrator sistem. dapat dikelola, menugaskan tanggung jawab
Sistem komputer yang dibangun oleh pihak untuk setia tugas, dan melakukan pertemuan
ketiga yang mengeluarkan banyak biaya dan berkalai (minimal setiap bulan) untuk
tidak dapat memenuhi tanggal waktu, sama meninjau kemajuan dan menilai kualitas.
halnya drngan sistem yang dikembangkan Sama pentinnya adalah langkah-langkah yang
secara internal. Oleh sebab itu, peraturan harus diambil diluar proyek. Sebelum pihak
dasar manajemen dan pengendalian proyek ketiga dipanggil untuk mengajukan
wajib digunakan, termasuk pengawasan penawaran atas proyek, spesifikasi yang jelas
melekat terhadap kemajuan sistem selama harus dikembangkan, termasuk deskripsi yang
pengembangan. Sayangnya, banyak jelas dan definisi sistem, tenggak waktu yang
perusahaan yang tidak melakukan hal ini. jelas, dan kriteria penerimaan yang tepat
Sebaliknya mereka bergantung pada untuk setiap tahap proyek. Meskipun
kepastian integrator bahwa proyek akan pengembangan spesifikasi mungkin terlihat
diselaikan tepat waktu. Sering kali, integrator mahal, namun dalam jangka panjang akan
tidak memenuhi tenggat waktu tetapi tidak menghemat uang. Sebagai contoh:
memberitahukan kepada klien, karena Pemerintah Daerah Suffolk, New York, baru-
memperkirakan bahwa proyek masih dapat baru ini menghabiskan waktu 12 bulan dan
diselsaikan tepat waktu jika didorong dengan uang sebesar $500.000 untuk menyiapkan
keras pada menit terakhir. Dalam kasus spesifikasi yang rinci untuk sistem informasi
penegakan hukum yang baru sebesar $16 juta mengajukan penawaran untuk proyek
sebelum menerima penawaran. Pemerintah tersebut. Hal ini harus dipandang sebagai
daerah tersebut kemudian menyewa Unisys anugrah, bukan masalah. Para integrator yang
Corporation and Grumma Data System untuk tidak menghargai usaha perusahaan untuk
mengembangkan sistem tersebut. Pejabat mengendalikan secara ketat biaya dan
pemerintah daerah yakin bahwa usaha awal kualitas proyek sistemnya, adalah integrator
yang mereka lakukan membantu memastikan yang biasanya bertanggung jawab atas
kesuksesan sistem yang baru yang berbagai sistem pelarian (runaway).
menghemat biaya hardware sebesar $3 juta.
Beberapa integrator sistem mungkin menolak *Integrator sistem adalah pemasok yang bertanggung
jawab untuk mengelola usaha pengembangan sistem
spesifikasi yang rinci dan metode
kerja sama yang melibatkan personil pengembangannya,
pengendalian proyek yang ketat. Sebagai
pembelinya, dan mungkin juga personil pengembangan
contoh: setelah meninjau spesifikasi sisitem dari salah satu atau beberapa pemasok yang
pemerintah Daerah Suffolk, hanya 6 dari 22 lain, yang sedapat mungkin menggunakan standar
INTEGRITAS
Tujuan utama dari pengendalian aplikasi adalah untuk melindungi, mendeteksi, dan mengoreksi
kesalahan dalam transaksi ketika mengalir melalui berbagai tahap dalam program pemprosesan
data. Dengan kata lain, pengendalian memastikan integritas masukan aplikasi tertentu, data yang
disimpan, program, transmisi data, dan ouput.
Dalam kasus pembukaan, Jason Scott menemukan beberapa faktur fiktif di SPP yang mungkin telah
diproses oleh sistem piutang dan pembayaran kas. Jika demikian, hal ini menunjukkan kegagalan
pengendalian integritas aplikan. Akan tetapi, pengendalian umum yang tidak memadai, yang
memastikan bahwa lingkungan pengendalian berdasarkan komputer dari organisasi stabil dan
dikelola dengan baik, juga dapat menyebabkan kerusakan pengendalian. Pengendalian umum dan
pengendalian aplikasi penting dan perlu, karena pengendalian aplikasi akan lebih efektif dengan
adanya pengendalian umum yang kuat.
Jika pengendalian aplikasi lemah, output sistem informasi cenderung berisi kesalahan. Data yang
salah dapat mengarah ke pengambilan keputusan manajemen yang buruk dan dapat secara negatif
mempengaruhi hubungan perusahaan dengan pelanggan, pemasok, dan pihak eksternal lainnya.
Sebagai contoh: beberapa negara bagian menuntut Eksperian (dulunya TRW), biro besar untuk
pelaporan kredit, karena melaporkan informasi kredit yang tidak akurat dan melanggar privasi
pelanggan. Tuntutan hukum tersebut dipicu oleh ribuan komplain pelanggan mengenai informasi
yang tidak akurat dan negatif pada laporan kredit mereka.
Bagian ini akan membahas enam kategori pengendalian integritas, yaitu: pengendalian sumber daya,
rutinitas validasi input, pengendalian entri data on-line, pengendalian pemprosesan dan
penyimpanan data, pengendalian output, dan pengendalian transmisi data. Total batch,
pengendalian integritas yang lain, dibahas di Bab 7. Pengendalian-pengendalian integritas ini
diringkas dalam Tabel 8-5.
Jason Scott menemukan bahwa formulir yang diberi nomor tidak digunakan di SPP. Akan tetapi,
voucher yang diberi nomor secara berurutan seharusnya dapat digunakan, dengan voucher terpisah
yang direkatkan pada setiap faktur pemasok dan dokumen pendukungnya. Selain itu, nomor
pemasok tidak dikendalikan dengan menggunakan pemasok (piutang). Jika faktur pemasok disetujui
untuk pembayaran, maka pemasok tersebut menjadi kreditor yang disetujui. Jason memperhatikan
dalam laporannya bahwa penggunaannya yang sesuai dari voucher yang diberi nomor secara
berurutan atau virifikasi digit pemeriksaan nomor pelanggan seharusnya dapat membantu SPP untuk
tidak membayar faktur fiktif.
Rutinitas Data yang tidak valid Pada saat file transaksi diproses, program edit
validasi input atau tidak akurat dalam memeriksa field data utama yang menggunakan
file transaksi yang pemeriksaan edit tersebut: ukuran, field, tanda,
diproses oleh komputer validasi, batas, jangkauan, kelogisan, data yang
berlebihan, dan pemeriksaan kapasitas. Mesukkan
pengecualian ke dalam catatan kesalahan; selidiki,
koreksi, dan masukan kembali secara tepat waktu; edit
kembali; dan siapkan ringkasan laporan kesalahan.
Pengendalian Data yang tidak akurat Kebijakan dan prosedur (menentukan aktivitas
pemprosesan atau tidak lengkap dan pemprosesan data dan personil bagian
dan file utama yang diproses penyimpanannya; pengamanan dan kerahasiaan data;
penyimpanan oleh komputer jejak audit; serta kesepakatan kerahasiaan);
data mengawasi dan mempercepat entri data oleh personil
pengendalian data; rekonsiliasi pembaruan sistem
dengan akun pengendali atau laporan; rekonsiliasi
jumlah total dalam database dengan jum;ah total yang
dibuat secara
Pemeriksaan urutan menguji apakah batch data input sesuai dengan urutan numerik atau
alfabetis yang tepat atau tidak.
Pemeriksaan field menentukan apakah karakter di dalam field memiliki tanda aritmatik yang
sesuai atau tidak. Sebagai contoh, pemeriksaan pada field numerik akan menunjukkan
kesalahan jika berisi karakter kosong atau alfabetis.
Pemeriksaan tanda menentukan apakah data di dalam field memiliki tanda aritmatik yang
sesuai atau tidak. Sebagai contoh, data dalam field jumlah persediaan tidak boleh memiliki
tanda negatif.
Tabel 8-5
Ringkasan Pengendalian Integritas Utama (lanjutan)
Kategori Ancaman/Risiko Pengendalian
Pengendalian
terpisah; pelaporan penyimpangan, pemeriksaan
sirkulasi data, nilai default, pencocokan data;
pengamanan data; pengaman data (perpustakaan
data dan perpustakawan, kopi cadangan file data
yang disimpan di lokasi luar dan aman,
perlindungan dari kondisi yang dapat merusak data
yang disimpan); penggunaan label nama file serta
mekanisme perlindungan penulisan; mekanisme
perlindungan database (administrator database,
kamus data, dan pengendalian pembaruan
simultan); serta pengendalian konversi data.
Pengendalian Output komputer yang Prosedur untuk memastikan bahwa output sistem
output tidak akurat dan tidak sesuai dengan tujuan integritas, kebijakan, dan
lengkap standar organisasi; peninjauan visual output
komputer; rekonsiliasi jumlah total batch; distribusi
output secara tepat; output rahasia yang dikirim
telah dilindungi dari akses dan modifikasi yang tidak
memiliki otorisasi, serta kesalahan pengiriman;
output rahasia atau bersifat sensitif disimpan dalam
area yang aman; pemakai meninjau kelengkapan
dan akurasi output komputer; menyobek output
rahasia yang tidak lagi dibbutuhkan; laporan
kesalahan dan penyimpangan.
Pengendalian Akses yang tisak Awasi jaringan untuk mendeteksi poin-poin yang
transmisi data memiliki otorisasi lemah, back-up komponen, desain jaringan untuk
terhadap data yang mengatasi pemprosesan puncak, multijalur
ditransmisi atau ke komunikasi antara komponen jaringan,
sistem itu sendiri; pemeliharaan pencegahan, enkripsi data, verifikasi
kegagalan sistem; routing (label judul, skema pembuktisn keaslian
kesalahan dalam bersama, sistem penagihan kembali), pemeriksaan
transmisi data keamanan, dan prosedur pengenalan pesan
(pemeriksaan bergema, label percobaan, batch
bernomor).
pemeriksaan validitas membandingkan nomor ID atau kode transaksi dengan yang telah
diotorisasi. Sebagai contoh, jika penjualan ke pelanggan 65432 dalam database pelanggan
untuk mengkonfirmasikan bahwa penjualan memang dibuat untuk pelanggan yang valid.
Pemeriksaan batasan menguji jumlah numerik untuk memastikan bahwa jumlah tersebut
tidak melebihi batas atas dan batas bahwa yang ditentukan sebelumnya. Sebagai contoh, field
jam kerja dalam input penggajian mingguan dapat dibandingkan dengan jumlah maksimum,
misalnya 60 jam.
Pemeriksaan jangkauan mirip dengan pemeriksaan batasan kecuali dalam hal batas atas dan
batas bawah. Pemeriksaan jangkauan digunakan pada field tanggal transaksi, karena tanggal
harus berada beberapa hari dari tanggal sekarang.
Pengujian kelogisan menentukan ketepatan logis dari data yang dimasukkan dan disimpan.
Sebagai contoh, kenaikan gaji bulanan sebesar $1.000 adalah logis untuk eksekutif yang
sekarang mendapat gaji $15.000 per bulan tetapi tidak untuk personil entri data yang hanya
mendapat gaji $1.500 per bulan.
Pemeriksaan data yang redundan menggunakan dua pengidentifikasi dalam setiap catatan
transaksi untuk mengkonfirmasikan bahwa catatan database yang benar telah diperbarui.
Sebagai contoh, nomor akun pelanggan dan lima huruf pertama dari nama pelanggan dapat
digunakan untuk menelusuri catatan utama pelanggan yang benar dari file piutang.
Pemeriksaan kapasitas memastikan bahwa data akan cocok dengan field-nya. Sebagai contoh,
458.976.253 tidak akan cocok dalam field delapan digit.
Prosedur harus ditetapkan untuk mendeteksi, mengoreksi, dan melaporkan semua kesalahan dan
memastikan bahwa prosedur tersebut diikuti. Informasi mengenai input data atau kesalahan
pemrosesan data (tanggal terjadinya, penyebab kesalahan, tanggal koreksi, dan pemasukan kembali)
harus dimasukkan ke dalam catatan kesalahan (error log). Kesalahan harus diselidiki, dikoreksi, dan
dimasukkan kembali secara tepat waktu (biasanya dengan batch transaksi berikutnya) dan diedit
ulang dengan menggunakan rutinitas validasi input yang sama. Secara periodik, catatan kesalahan
harus ditinjau ulang untuk memastikan bahwa semua kesalahan telah dikoreksi dan kemudian
digunakan untuk menyiapkan laporan kesalahan yang merangkum kesalahan menurut jenis catatan,
jenis kesalahan, penyebab, dan peraturannya.
Pengendalian Entri Data On-Line
Sasaran dari pengendalian entri on-line adalah untuk memastikan integritas data transaksi yang
dimasukkan dari terminal on-line dan PC dengan mengurangi kesalahan dan penghilangan.
Pengendalian entri data on-line mencakup:
Pemeriksaan field, batasan, jangkauan, kelogisan, tanda, validitas, dan data yang redundan,
seperti yang dideskripsikan dalam bagian sebelumnya, adalah pengendalian yang berguna.
Nomor ID pemakai dan password membatasi entri data hanya untuk personil yang memiliki
otorisasi.
Pengujian kompatibilitas memastikan bahwa pegawai yang memasukkan atau mengakses data
memiliki otorisasi untuk melakukan entri atau untuk melihat data.
Jika memungkinkan, sistem harus memasukkan data transaksi secara otomatis untuk
menghemat waktu pengetikan dan mengurangi kesalahan. Sebagai contoh, sistem dapat
menentukan nomor dokumen selanjutnya yang tersedia dan memasukkannya ke dalam
catatan transaksi. Sitem juga dapat menghasilkan
Gambar 8-3
Program Edit
Transaksi
Program Edit
Transaksi
Laporan Transaksi
Kesalahan yang Ditolak
Transaksi
yang valid
Mem-file Prosedur
Pemeliharaan Koreksi
Program Koreksi
Entri Kembali
Kesalahan
Transaksi yang
Sudah Dikoreksi
Penggabungan dengan
Batch Transaksi
Berikutnya
nomor ID baru yang memenuhi algoritma digit pemeriksaan dan tidak mengulangi nomor yang
ada dan kemudian memasukkannya kedalam catatan input.
Pemberitahuan (prompting), yaitu sistem meminta setiap data input dan menunggu respons
yang dapat diterima.
Prapemformatan, yaitu sistem menampilkan dokumen dengan menunjukkan spasi kosong
dan menunggu data untuk dimasukkan.
Pengujian kelengkapan pada setiap catatan input menentukan apakah semua data yang
dibutuhkan telah dimasukkan atau tidak.
Verifikasi closed-loop digunakan untuk memeriksa keakuratan data input. Sebagai contoh,
jika personil memasukkan nomor akun, sistem dapat menelusuri dan menampilkan nama akun
agar personil tersebut dapat menentukan apakah nomor akun yang dimasukkan sudah benar
atau tidak.
Catatan transaksi (transaction log) yang mencakup perincian catatan seluruh data transaksi,
pengidentifikasi transaksi tertentu; tanggal dan waktu entri; terminal, jalun transmisi, dan
identifikasi operator; dan urutan masuknya transaksi. Jika file on-line rusak, catatan tersebut
dapat digunakan untuk merekonstruksinya. Jika kesalahan fungsi menutup sistem secara
temporer, catatan tersebut dapat digunakan untuk memastikan bahwa transaksi tidak hilang
atau dimasukkan dua kali.
Pesan kesalahan yang jelas menunjukkan kapan kesalahan terjadi, bagian mana yang salah,
dan apa yang harus dilakukan oleh operator untuk mengoreksinya.
Data yang dibutuhkan untuk mereproduksi dokumen entri data on-line harus disimpan
seperlunya untuk memenuhi persyaratan legal.
Perawatan khusus perlu dilakukan memperkenalkan system baru atau metode baru untuk
menyediakan informasi.experian mengembangkan website yang sangat aman bagi pelanggan yang
ingin mengakses laporan kredit;site tersebut memiliki firewall,enkripsi,dan verifikasi identitas untuk
menghindari pemakai yang ingin membuka laporan kredit orang lain.dua hari setelah site tersebut
diluncurkanwashingt post menulis cerita mengenai website itu yang menghasilkan lebih dari 2000
permintaan hanya dalam beberapa jam.beban ini,y6ang lebih besar dari yang telah diantisipasi oleh
Experian,menghasilkan bug yang menyebabkan laporan untuk urutan antrian menjadi
kacau.akibatnya,orang-orang dikirimi laporan kredit yang salah.untungnya,pengendali output yang
dipasang oleh Experian didalam system pengetahui masalah tersebut hanya setelah 213 laporan
dikirim.sesuatu yang mungkin menjadi bencana besar,dapat menjadi bencana kecil karena adanya
pengendalian system.
Enkripsi data(kriptografi)
Dengan pertumbuhan internet dan perdagangan elektronik yang sangat pesat,enkripsi data
telah menjadi pengendali yang sangat penting.kriptografi adalah ilmu kode rahasia dan lingkungan
untuk memastikan bahwa transmisi-transmisi data dan transaksi perdagangan elektronik membatasi
akses data atau penggunaan untuk personil yang memiliki otorisasi,melindungi data dari pihak yang
tidak otorisasi,dan menentukan,dengan kepastian yang hamper absolute,siapa yang mengirim
pesan.pengendalian enkripsi data didiskusikan lebih mendalam di bab 3.
Entri data
Data dapat dimasukkan kedalam system melalui keyboard atau mengambil data secara
elektronik dengan menggunakan alat otomasi data sumber seperti scanner yang memiliki universal
product codes (UPCs).unutuk pengendalian yang memadai,semua data transaksi yang signifikan
diperiksa minimal satu kali.umumnya,pengujian yang dilakukan oleh computer,seperti pemeriksaan
edit,lebih murah dan lebih efektif dari pada pengujian yang dilakukan oleh manusia,seperti verifikasi
kunci dan pemeriksaan visual.
Sesuai dengan kebutuhan,pengendalian berikut ini dapat digunakan untuk memeriksa
keakuratan data transaksi yang dimasukkan kedalam system:
Ketika seorang pemakai mengakses sitem online,pengendalian akses logis
mengkonfirmasikan identitas alat entri data (computer pribadi,terminal) dan validitas nomor
pengenal dan password pemakai tersebut.
Pengujian kesesuaian dilakukan terhadap semua interaksi pemakai untuk memastikan
bahwa hanya tugas-tugas yang memiliki otorisasi yang dilakukan.
System secara otomatis memberikan ke transaksi nomor pemesanan penjualan selanjutnya
dan tanggal yang sesuai dengan tanggal faktur.
Untuk membantu personil yang memiliki otorisasi dalam memasukkan data
penjualan,system meminta semu input yang dibutuhkan (pengujian kelengkapan).sistem
harus memberikan respon atas setiap permintaan.
Setiap respons diuji dengan menggunakan satu atau beberapa pengendalian
berikut:pemeriksaan validitas (nomor persediaan dan nomor pelanggan yang
valid),pemeriksaan field dan tanda(field kuantitas,tanggal,dan harga hanya berisi karakter
nomerik positif),dan pemeriksaan batas atau jangkauan(tanggal pengiriman).
Ketika nomor pelanggan dimasukkan,system mencari nama pelanggan yang bersangkutan
dari database dan menampilkannya kelayar(verifikasi closed-loop).
Ketika jumlah persediaan dimasukkan,system dan operator melakukan prosedur yang sama
dengan yang mereka lakukan atas nomor pelanggan.
Pembaruan file
Karena program pembaruan file mengakses catatan database pelanggan dan
persediaan,program tersebut melaksanakan pengujian validasi input tambahan dengan
membandingkan data pada setia catatan transaksi dengan data dicatatan database yang
sesuai.pengujian ini sering mencakup berikut ini :
Pemeriksaan validitas nomor pelanggan dan persediaan.
Pemeriksaan tanda saldo persediaan yang ada (setelah dikurangi jumlah yang dijual).
Pemeriksaan batasan yang membandingkan jumlah total saldo setiap pelanggan dengan
batas kredit mereka.
Pemeriksaan jangkauan harga penjualan setiap barang yang dijual sesuai dengan jangkauan
harga yang diizinkan untuk barang tersebut.
Pengujian logika atas jumlah yang dijual dari tiap barang sesuai dengan jumlah penjualan
normal untuk pelanggan dan barang tersebut.
Pada waktu yang telah ditentikan,salinan dari semua transaksi yang di proses dan database
dibuat dan dikirim kelokasi luar yang aman untuk tujuan penyimpanan.
Prosedur pengendalian
Langkah 1 :
Catatan jumlah pesanan penjualan
Urutan nomor barang persediaan
Pemisahaan total kuantitas ang dijual dan harganya
Total penjualan dalam dolar
Langkah 2 :
Pemeriksaan otorisasi input
Catatan input tanda terimah input kedalam catatan pengendalian
Langkah 3 :
Verifikasi digit pemeriksaan nomor akun
Verifikasi digit pemeriksaan nomor barang persediaan
Pemeriksaan kuantitas,tanggal,dan harga pada field
Verifikasi utama semua field numeric
Rekonsilasi total batch
Langkah 4 :
Pemeriksaan urutan nomor akun
Pemeriksaan batas kuantitas dan harga
Pemeriksaan jangkauan tanggal pengiriman
Rekonsilasi total batch
Penelitian dan koreksi input yang salah
Langkah 5 :
Pengamanan file utama dalam perpustakaan file
Pemeliharaan salinan file utama
Pemeriksaan validitas nomor akun pelanggan
Pemeriksaan jangkauan harga penjualan
Pengujian kelogisan jumlah ang dipesan
Langkah 6 :
Rekonsilasi total batch
Investigasi dan koreksi input yang salah
Distribusi dokumen penagihan dan pengiriman
Langkah 7 :
Inspeksi visual terhadap output
Rekonsilasi total batch
Dokumen
pesanan
penjualan
Kirim ke
departeme
n EDP
From Dokumen
pengendalian pesanan
batch penjualan
Ringkasan dan kesimpulan kasus
Jason scot dan supervisor nya tidak manmpu untuk mengidentifikasi sumber faktur
fiktif tersebut.mereka meminta polisi untuk mengidentifkasi pemilik rekening bank pacific
electric services.polisi menemukan bahwa patricia simpson,staf entri data di SPP,adalah
pemilik rekening itu.setelah di interogasi oleh seorang pemeriksa ahl penpuan,patricia
mengakui skema penggelapan dana dimana dia membuat faktur fiktif,memasukkannya
kedalam batch faktur yang disampaikannya kepadanya untuk entri data,memodifkasi total
pengendalian batch itu,dan menghancurkan lembar pengendalian batch ang asli.menurut
patricia,skema tersebut dimulai 3 bulan yang lalu,dan tidak ada orang lain di SPP yang
terlibat.dia juga mengklaim bahwa semua faktur fiktif adalah atas nama pacific electric
services.
Jason menguji catatan pembayaran tunai SPP untuk memeriksa kebenaran cerita
patricia.jason menulis suatu program yang membaca file transaksi pembaaran tunai dan
mengidentifikasikan pembayaran ke pacific electric services.kemudian dia mengejarkan
tugas yang berbahaya yaitu tugas untuk mendapatkan kembali beberapa ratus file yang
berisi transaksi penyebaran selama 2 tahun terakhir dari arsp spp.dia mengidentifikan 40
transaksi curang yang total nya $20.000.bertentangan dengan pernyataan patricia,bagian
pertama dari transaksi ini terjadi 18 bulan lebih awal.
karena patricia belum jujur tentang durasi skema nya,Jason menduga patricia
mungkin juga menggunakan nama perusahaan fiktif yang lain.akan tetapi,sampai saat
itu,patricia tidak memberikan informasi lebih lanjut,atas nasihat dari pengacaranya maka
Jason menulis program computer yang lain untuk meneliti catatan pembayaran tunai dan
mendapatkan kembali nomor rekening pemasok,nama,alamat,dank ode otorisasi untuk
setiap factor pemasok yang diproses tampah disertai laporan pesanan pembelian atau
laporan penerimaan.pengujian ini akhir nya menghasilkan suatu file yang berisi 175 catatan
pemasok,dimana pembayaran diotorisasi oleh 23 orang pegawai spp.
Jason mengurut file ini berdasarkan kode otorisasi dan penyerapan 23 printout yang
berisi data tentang para pemasok dan nama setiap pegawai yang mengotorisasinya,.setiap
hasil print dikirim kepada pegawai yang bersangkutan,permintaan untuk mengkonfirmasikan
keaslian dari setiap pemasok pada daftar tersebut.setelah menerima semua printout
tersebut,Jason menyimpulkan bahwa rencana penggelapan dana memang hanya terbatas
pada pacific electric services.
Dari perubahan-perubahan yang diterapkan di spp untuk meningkatkan system
pengawasan internalnya,Jason melihat bahwa manajemen menolak perubahan serupa yang
diusulkan oleh staf audit internal northwest,termasuk yang duibuat oleh supervisornya
setahun yang lalu.jason menyadari bahwa ia telah mempelajari suatu kebenaran yang
penting tentang pengawasan Internal:banyak perusahaan dan manager yang tidak
menyadari penting nya pengawasan internal sehingga mereka mengalami kerugian.
Istilah-istilah penting
Sytrust
Tujuan kinerja
Kebijakan
Standar
Rencana srategis
Dokumentasi administrative
Dokumentasi system
Dokumentasi operasional
Pemeliharaan preventif
Konsep bertingkat
Pengulangan
Akses fisik
Akses logis
Password
Identifikasi biometric
Pengujian kesesuaian
Intranet
Firewall
Tunneling
Amplop elektronik
Evaluasi kinerja
Pemasukan data
Penggunaan
Waktu respons
Peninjauan pasca-implementasi
Pengendalian aplikasi
Pengendalian umum
Digit pemeriksaan
Verifikasi utama
Program edit
Pemeriksaan urutan
Pemeriksaan field
Pemeriksaan tanda
Pemeriksaan validitas
Pemeriksaan batas
Pemeriksaan jangkaun
Pengujian kelogisan
Pemeriksaan kapasitas
Catatan kesalahan
Laporan kesalahan
Pemberitahuan (prompting)
Pra-pemformatan
Pemeriksaan kelengkapan
Verifikasi closed-loop
Catatan transaksi
Pesan kesalahan
Nilai default
Label eksternal
Label internal
Label volume
Label judul
Label trailer
Pemeriksaan kesamaan
Pemeriksaan gema
Kuis bab 8
1.pengendalian apa yang di desain untuk memastikan bahwa lingkngan pengendalian berbasis
computer di suatu organisasi stabil dan dikelola dengan baik?
a.pengendalian umum
b.pengendalian aplikasi
c.pengendalian detektif
d.pengendalian preventif
2.berikut ini adalah prosedur pengendalian yang efektif untuk memastikan bahwa operator tidak
membuat perubahan yang tidak diotorisasi terhadap program dan file,kecuali:
a.rotasi tugas
b.penempatan beberapa operator dalam rua ng computer selama pemprosesan
c.permintaan otorisasi formal tertulis dan dokumentasi perubahan program
d.pemelihaan dan peninjauan catatan dari semua kegiatan dan intervensi operator
4.apa metode terbaik untuk mengurangi risiko terbacanya data oleh pihak lain secara elektronik?
a.dengan menggunakan bit kesamaan
b.pengujian kesesuain
c.enkripsi data
d.prosedur pengulangan dan pemeriksaan
5.deskripsi setiap program aplikasi,mencakup naratif,bagan alir,dank ode,disebut:
a.dokumentasi administrative
b.dokumentasi akuntansi
c.dokumentasi operasional
d.dokumentasi system
6.istilah mana yang mendeskripsikan pengendalian yang di diseain untuk mencegah,mendeteksi,atau
mengoreksi kesalahan dalam transaksi ketika melalui berbagai tahapan pada program pemrosesan
data khusus?
a.pengendalian umum
b.pengendalian khusus
c.pengendalian aplikasi
d.pengendalian efektif
7. Menurut SysTrust, berikut ini adalah prinsip-prinsip yang dapat digunakan oleh perusahaan
untuk menentukan keandalan sistem, kecuali:
a. Ketersediaan
b. Dapat dikendaliakan
c. Keterpeliharaan
d. integritas
8. Ketika komputer menjumlahkan empat digit pertama dari nomor pelanggan untuk
menghitung nilai digit kelima dan kemudian membandingkan perhitungan itu dengan nomor
yang diketik saat entri data, hal tersebut merupakan contoh dari:
a. Pemeriksaan field
b. Pemeriksaan keamanan
c. Verifikasi digit pemeriksaan
d. Total batch
9. Istilah apa yang mendeskripsikan bahwa pemeriksaan edit akan mendeteksi entri nomor
pelanggan yang tidak ada?
a. Digit pemeriksaan
b. Pemeriksaan batas
c. Pemeriksaan urutan
d. Pemeriksaan validasi
10. Dalam sistem on-line, pemakai memasukkan nomor pelanggan dan sistem merespons dengan
menampilkan nama pelanggan dan meminta verifikasi pemakai. Hal ini disebut:
a. Pengujian verifikasi closed-loop
b. Pemeriksaan data redundan
c. Pengujian kesesuaian
d. Pengujian kelengkapan
Soal-soal
8.1. Perusahaan anda telah membeli beberapa komputer pribadi. Salah satunya telah diinstal di
departemen penyimpanan, yang bertanggung jawab untuk membayar barang dan
memelihara catatan penyimpanan. Di dalam audit, anda menemukan bahwa seorang
pegawai, yang terlatih aplikasi komputer, menerima daftar permintaan untuk penyimpanan,
meninjaunya untuk melihat kelengkapan dan persetujuannya, membayar barang tersebut,
memelihara catatan operasional komputer, dan mengotorisasi penyesuaian jumlah total
barang dengan menggunakan komputer.
Ketika anda mendiskusikan dengan manajer departemen pengendalian yang dapat
diterapkan, Anda diberitahukan bahwa komputer pribadi diberikan secara eksklusif ke
departemen tersebut. Oleh sebab itu, tidak diperlukan jenis-jenis pengendalian seperti yang
diterapkan pada sistem komputer yang luas.
Diminta:
Berikan pendapat anada mengenai pernyataan manajer tersebut, dengan membahas secara
seingkat lima jenis pengendalian yang dapat diterapkan pada aplikasi komputer pribadi
tersebut.
8.2. Anda adalah general menajer perusahaan manufaktur di Woodbridge, Virginia. Selama 6
bulan terakhir ini, perusahaan anda selalu kalah dari pensaing anda yang mengajukan
penawaran proyek sedikit lebih rendah dari penawaran anda. Dengan firasat bahwa hal
tersebut tidak mungkin selalu terjadi secara kebetulan, anda menyewa detektif swasta.
Dtektif tersebut melaporkan bahwa salah seorang pagawai anda, yang memiliki akses ke
komputer, mencuri data penawaran anda dan menjualnya kepesain anda dengan harga
$25.000 per penawaran.
Diminta:
a. Identifikasi kemungkinan kekurangan pada pengendalian internal di sistem
komputer perusahaan anda yang dapat menyebabkan pencurian data tersebut
terjadi.
b. Kemungkinan lain apakah yang dapat menyebabkan data penawaran dicuri atau
dijual?
c. Bagaimana anda dapat menjaga agar hal-hal tersebut tidak terjadi?
8.3. Perhatikan serangkaian data numerik input komputer pada tabel 8-6
Diminta:
a. dari data di Tabel 8-6 hitung dan tunjukkan satu contoh untuk hal-hal berikut:
Total campuran (hash)
Perhitungan catatan
Total finansial
b. untuk setiap pengendalian berikut ini, berikan contoh dari empat catatan di Tabel 8-
6 mengenai kesalahan atau kemungkinan kesalahan yang akan dideteksi oelh setiap
pengendalian (buat daftar kesalahan tersebut-jangan hanya mendeskripsikannya).
Pemeriksaan field
Pemeriksaan urutan
Pemeriksaan batas
Pemeriksaan kelogisan
Pengujian saldo cross-footing (pemeriksaan penjumlahan atau pengurangan dari
kanan ke kiri).
8.4. Anda adalah administrator pengamanan data di suatu perusahaan kecil, sistemnya
menggunakan dua program, yaitu: sistem penggajian dan pemrosesan persediaan. Ada tiga
file yang dipelihara, yaitu: sistem penggajian, file utama persediaan, dan catatan transaksi.
Ada tiga file yang dipelihara, yaitu: file utama penggajian, file utama persediaan, dan catatan
transaksi. Pemakai berikut ini memiliki akses ke sistem sesuai dengan yang ditentukan:
Pemakai Akses
Tenega penjual Membaca dan menampilkan catatan di
File persediaan
Analisis pengendaliam persediaan Membaca, menampilkan, memperbarui,
Membuat, dan menghapus catatan di
File persediaan
Analisis penggajian Membaca, menampilkan, dan
Memperbarui catatan di file
Penggajian
Manajer SDM Membaca, menampilkan, memperbarui
Membuat, dan menghapus catatan di
File penggajian
Programer penggajian Melaksanakan semua operasional sistem
Penggajian; membaca dan
Menampilkan catatan file penggajian
Dan catatan transaksi
Programer persediaan Melaksanakan operasional sistem
Persediaan; membaca dan
Menampilkan catatan file persediaan
Dan catatan transaksi
Manajer pemprosesan data Membaca dan menampilkan semua
Program dan file
Anda sendiri Melaksanakan semua operasional dalam
Semua program dan file
Diminta:
a. Buatlah matriks pengendalian akses yang memungkinkan semua pemakai
memiliki tingkat akses yang ditentukan. Untuk setiap pemakai, berikan kode
pemakai enam-karakter dan pilih kode otoritas akses. Gunakan sistem
pengkodean otoritas akses berikut ini.
0=tidak ada akses yang diperbolehkan
1=hanya untuk membaca dan menampilkan
2=membaca, menampilkan, dan memperbarui
3=membaca, ,menampilkan, memperbarui, membuat, dan menghapus
b. Perubahan-perubahan apa yang akan anda buat untuk hak mengakses dari para
pegawai yang disebutkan sebelumnya?
8.5. Pengendalian apa yang anda rekomendasikan untuk mencegah terjadinya situasi berikut
ini?
a. Field jumlah jam kerja untuk para pegaai tetap harus berisikan 01 untuk satu minggu.
Satu field pegawai berisi angka 40, dan cek sebesar $9.872,51 secara tidak sengaja
disiapkan dan dikirim.
b. Seorang programer memperoleh file penggajian utama, memasukkannya ke sistem, dan
mengubah gaji bulanya dari $4.400 menjadi $6.000.
c. File piutang di disket secara tidak sengaja rusak dan tidak dapat dikonstruksi ulang
setelah diganti dengan file piutang dalam suatu pemrosesan.
d. Suatu perusahaan kehilangan hampir semua data bisnis vitalnya dalam suatau
kebakaran yang memusnahkan ruangan tempat penyimpanan disket.
e. Seorang programer berhenti dari suatu perusahaan di tengah-tengah proyeknya. Oleh
karena tidak ada programer yang dapat memahami pekerjaan yang telah diselesaikan
oleh progrsmer tersebut, proyek itu dimulai lagi dari awal.
f. Seorang programer bank memperoleh disket yang berisi program yang menghitung
bunga rekening pelanggan. Dia memasukkan program kedalam komputernya dan
memodifikasinya agar angka pecahan dari setiap penghitungan bunga, yang biasanya
dibulatkan, dimasukkan ke rekeningnya.
g. Ketika mengetik catatan pembayaran pelanggan, digit 0 dalam prmbayaran sebesar
$102,34 secara tidak sengaja diketik dengan huruf O. Akibatnya, transaksi tersebut tidak
diproses dengan benar, dan pelanggan menerima laporan yang salah.
8.6 Pengendalian apa yang anda rekomendasikan pada suatu sistem komputer on-line untuk
mencegah terjadiya situasi berikut ini?
a. Seorang remaja mendapatkan akses yang tidak diotorisasi ke sistem dengan cara
memprogram komputer pribadi untuk memasukkan nomor pemakai secara berulan-
ulang sampai nomor yang benar didapatkan.
b. Seorang pegawai memperoleh akses yang tidak diotorisasi kesistem dengan mengamati
nomor pemakai milik supervisor-nya dan menebak dengan tepat password-nya setelah
mencoba sebanyak 12 kali.
c. Seorang tenaga penjual di manufaktur PC, ketika mengetik pesanan pelanggan. Dengan
menggunakan laptop, memasukkan nomor barang yang salah. Akibatnya, pesanan
sebanyak 50 monitor yang dimasukkan, padahal pelanggan tersebut memesan 50
komputer pribadi.
d. Seorang tenaga penjual diberi laptop untuk memasukkan oesanan penjualan ketika
berkunjung ke tempat pelanggan. Dia menggunakan laptop tersebut untuk menaikkan
gaji bulanannya sebesar #500.
e. Seorang tenaga penjual yang mengetik pesanan pelanggan dari komputer eksternal
secara tidak sengaja tidak memasukkan alamat pengirim pesanan.
f. Pusat penelitian dan pengembangan suatu perusahaan menggunakan PC eksternal yang
terhubung dengan pusat komputernya sejauh 100 mil. Dengan menggunakan wiretap
(kabel untuk mencuri informasi), pesaing utama dari perusahaan itu mencuri rencana
rahasia suatu informasi rahasia suatu inovasi produk utama.
g. Suatu server bank melayani terminal di 8 loket drive-in. Pada suatu hari jumat sore yang
sibuk, server terputus sehingga bank terpaksa menutup loket du jam.
h. Listrik terputus selama 20 menit sehingga sistem komputer perusahaan juga terputus.
Hal tersebut mengakibatkan hilangnya data beberapa transaksi yang dimasukkan ke
dalam dari sistem dari beberapa terminal eksternal.
8.7 kantor pusat Gleicken Corporation, perusahaan swasta yang mencatat penjualan. Tahun sebesar
$3,5 juta, terletak di Kalifornia. Untuk 150 klien nya, Gleicken menyediakan jasa software legal
on-line yang mencangkup penyimpanan data dan kegiatan administratif untuk kantor hukum.
Perusahaan ini berkembang pesat sejak pertama kali dimulai 3 tahun lalu, dan departemen
pemprosesan datanya telah berkembang dengan cepat untuk memenuhi tuntutan
perkembangan perusahaan. Oleh karena pimpinan dan staf penjualan Gleicken menghabiskan
banyak waktu diluar kantor mencari klien baru, perencanaan fasilitas EDP diserahkan ke
profesional pemprosesan data.
Kantor pusat Gleicken baru saja pindah kesuatu gudang yang telah direnovasi yang terletak
dipinggir kota. Ketika merenovasi gudang itu, para arsitek mempertahankan struktur
awalnya, termasuk eksterior dari kayu tipis dan balok yang tampak di interiornya. Hardware
perusahaan terletak di area yang luas dengan langit-langit yang tinggi dan jendela dilangit-
langitnya. Keterbukaan ini membuat area pemprosesan data dapat diakses oelh semua staf
dan mendorong pendekatan tim untuk menyelesaikan masalah. Sebelum Gleicken
menempati fasilitas baru itu, pengawas kota menyatakan bahwa bangunan tersebut aman
(ada pemadam kebakaran dan jalan keluar yang memadai, dan lain-lain).
Gleicken ingi menyediakan lebih banyak perlindungan untuk database informasi klien. Oleh
sebab itu, Gleicken menerapkan prosedur backup dengan yang menggunakan pita yang
secara otomatis mem-backup database setiap hari minggu malam agar tidak mengganggu
prosedur dan operasional harian. Semua pita diberi label dan disimpan di rak departemen
pemprosesan data. Di departemen tersebut da manual operator yang berisi instruksi cara
menggunakan pita tersebut untuk memperoleh kembali database jika diperlukan. Dalam
keadaan darurat, ada daftar telepon rumah dari semua staf di departemen pemprosesan
data. Gleicken baru saja menaikkan asuransi untuk kehilangan data dari $50.000 menjadi
$100.000.
Hari sabtu yang lalu, gedung kantor pusat Glecken musnah oleh kebakaran.
Sekarang perusahaan harus memberitahukan ke para klien nya bahwa semua informasi
mereka telah musnah.
Diminta:
a. uraikan kelemahan pengamanan komputer di Gleicken Corporation yang
memungkinkan terjadinya kehilangan data yang membawa bencana.
b. Sebutkan komponen yang seharusnya ada dalam bencana pemulihan setelah
bencana untuk memastikan pemulihan komputer setelah 72 jam.
c. Faktor-faktor apa, selain yang tercakup didalam rencana, yang perlu
dipertimbangkan oleh perusahaan ketika merumuskan rencana pemulihan setelah
bencana.
d. Glecken harus melindungi dirinya dari bencana apa saja, selain kebakaran?
Kasus 8-1
Any Company, Inc.: Kasus Komprehensif Berkelanjutan
Kunjungi satu perusahaan lokal dan mintalah izin untuk mempelajari sistem pengendalian internal
perusahaan tersebut. Setelah anda mendapat persetujuan suatu perusahaan, lakukanlah hal-hal
berikut:
Kasusu 8-2
Departemen perpajakan dinegara bagian anda sedang mengembangkan sistem komputer yang baru
untuk memproses pengembalian pajak penghasilan individual dan perusahaan. Sistem yang baru itu
memiliki kemampuan input data langsung dan permintaan informasi. Identifikasi pembayaran pajak
dilakukan dengan menggunakan nomor jaminan sosial untuk individual dan nomor identifikasi pajak
federal untuk perusahaan. Sistem yang baru tersebut harus didimplementasikan secara penuh pada
periode pajak berikutnya.
Sistem yang baru itu akan melayani tiga tujuan utama:
1. Data akan dimasukkan langsung kesistem dari pengembalian pajak dengan menggunakan
terminal komputer yang terletak di kantor pusat.
2. Pengembalian akan diproses dengan menggunkan fasilitas komputer utama di kantor pusat.
Pemprosesan akan mencangkup empat langkah, yaitu:
e. Verifikasi akurasi matematis
f. Auditing kelogisan pengurangan, jatuh tempo pajak, dan lain-lain, dengan
menggunakan ritinitas edit, dan juga mencakup perbandingan data saat ini dan data
tahun lalu.
g. Identifikasi pengembalian yang harus dipertimbangkan untuk audit oleh agen
pendapatan departemen.
h. Menerbitkan cek pembayaran kembali bagi pembayar pajak
3. Jasa permintaan informasi akan disediakan bagi pembayar pajak, jika ada permintaan,
melalui bantuan personil departemen pajak di lima kantor regional. Ada 50 terminal yang
akan ditempatkan di setiap kantor regional. Ada 50 terminal yang akan ditempatkan disetiap
kantor regional. Pembayar pajak akan diizinkan untuk menentukan status pengambilannya
atau memperoleh informasi mengenai pengembalian selama tahun terakhir dengan cara
menelpon atau datang kesalah satu kantor regional departemen.
Kepala kantor pajak negara bagian menguatirkan keamanan data ketika input dan pemprosesan,
serta mengenai perlindungan terhadap bencana alam seperti kebakaran dan banjir. Hal ini
mencangkup perlindungan terhadap data yang hilang atau rusak selama input dan pemprosesan
data serta kesalahan input atau pemprosesan data. Selanjutnya; kepala kantor pajak dan kepala
kejaksaan wilayah mendiskusikan mesalah umum mengenai kerahasiaan data yang mungkin
terbuka karena sifat dan operasional sistem yang baru tersebut. Mereka berdua ingin agar
masalah yang potensial dapat diidentifikasi sebelum sistem dikembangkan dan
diimplementasikan secara penuh, agar pengendalian yang sesuai dapat dimasukkan kedalam
sistem yang baru itu.
Diminta:
1. Deskripsikan masalah kerahasiaan yang potensial, yang mungkin muncul dari setiap area
pemprosesan berikut ini, dan rekomendasikan tindakan koreksi untuk mengatasi setiap
masalah yang teridentifikasi:
a. Input data
b. Pemprosesan pengembalian
c. Permintaan informasi data
2. Kepala kantor pajak ingin memasukkan pengembalian untuk mengamankan data dari
kehilangan, kerusakan, input yang salah, atau penggunaan data selama pemprosesan dan
input data. Identifikasi masalah-masalah yang potensial (selain bencana alam seperti
kebakaran atau banjir) sehingga departemen perpajakan dapat mengembangkan
pengendalian yang sesuai, dan rekomendasikan pengendalian yang mungkin diterapkan
untuk setiap masalah yang teridentifikasi.