OPERASI KOMPUTER

Disusun untuk memenuhi tugas mata kuliah Audit Pengolahan Data Elektronik

Disusun oleh :

Istikhanah 7211414006
Regita Eka Wijaya 7211414028
Adistya Kuswoyo 7211414116
Dian Permana I 7211414210

FAKULTAS EKONOMI
UNIVERSITAS NEGERI SEMARANG
2017

i
 DAFTAR ISI

HALAMAN SAMPUL ............................................................................................. i

DAFTAR ISI ............................................................................................................. ii
BAB I PENDAHULUAN .......................................................................................... 1
1.1 Latar Belakang............................................................................................ 1
1.2 Rumusan Masalah ...................................................................................... 1
1.3 Tujuan ......................................................................................................... 2
BAB II PEMBAHASAN ........................................................................................... 3
1.1 Strukturisasi Fungsi Teknologi Informasi .................................................. 3
1.2 Pusat Komputer .......................................................................................... 15
1.3 Pengendalian Sistem Operasi dan Pengendalian Keseluruhan Sistem ....... 26
1.4 Pengendalian Keseluruhan Sistem ............................................................. 27
1.5 Sistem Komputer Pribadi (PC) ................................................................... 35
BAB III PENUTUP ................................................................................................... 41
1.1 Kesimpulan ................................................................................................. 41
DAFTAR PUSTAKA ................................................................................................ 42

ii
 BAB I
PENDAHULUAN

1.1. Latar Belakang

Pengaturan fungsi teknologi informasi memiliki berbagai implikasi pada sifat
pengendalian internal, yang selanjutnya akan memiliki implikasi pada auditnya.
Perkembangan penggunaan komputer dalam bisnis akan mempengaruhi metode
pelaksanaan audit demikian pula dengan ilmu pengetahuan lainnya. Satuan usaha
(perusahaan) disebut menggunakan sistem komputer (PDE) apabila dalam memproses
data penyusunan laporan keuangan menggunakan komputer dengan tipe dan jenis
tertentu baik dioperasikan oleh perusahaan sendiri atau pihak lain. Kebutuhan
terhadap auditing di sistem komputer semakin perlu untuk dipenuhi agar tujuan
auditing dapat dicapai secara efektif dan efisien meskipun tujuan tetap auditing tidak
berubah, tetapi proses audit mengalami perubahan yang signifikan baik dalam
pengumpulan dan evaluasi bukti maupun pengendaliannya. Hal ini disebabkan karena
adanya perubahan dalam pemrosesan data akuntansi. Demikian juga dengan halnya
pengendalian tujuan pengendalian pengolahan data yang akurat dalam suatu
lingkungan manual maupun lingkungan terkomputerisasi adalah sama. Dalam suatu
lingkungan yang terkomputerisasi harus diterapkan pengendalian untuk mengurangi
risiko pengulangan kesalahan dan untuk memastikan data benar akurat. Perubahan
dalam metode pengendalian dan pengolahan ini menimbulkan metode baru dalam
auditing. Dengan demikian auditor harus mempelajari keahlian baru untuk bekerja
secara efektif dalam suatu lingkungan bisnis yang berkomputerisasi untuk mereviw
teknologi informasi.
1.2. Rumusan Masalah
1. Bagaimana strukturisasi fungsi teknologi informasi?
2. Apakah yang dimaksud dengan pusat komputer?
3. Bagaimana pengendalian sistem operasi dan pengendalian keseluruhan
sistem?
4. Bagaimana pengendalian keseluruhan sistem dalam operasi komputer?
5. Bagaimana sistem komputer pribadi?

1
1.3. Tujuan
1. Untuk mengetahui strukturisasi teknologi informasi
2. Untuk mengetahui yang dimaksud dengan pusat komputer
3. Untuk mengetahui pengendalian sistem operasi dan pengendalian
keseluruhan sistem
4. Untuk mengetahui pengendalian keseluruhan sitem dalam operasi komputer
5. Untuk mengetahui apa sitem komputer pribadi

2
 BAB II
ISI

1.1. Strukturisasi Fungsi Teknologi Informasi

1.1.1. Pemrosesan Data Terpusat
Di bawah model pemrosesan data terpusat (centralized data procesing),
semua pemrosesan data dilakukan oleh satu atau lebih komputer besar yang
diletakkan di sebuah lokasi terpusat yang melayani berbagai pengguna di seluruh
perusahaan. Figur 2-1 menggambarkan pendekatan ini, di mana aktivitas layanan
komputer dikonsolidasikan dan dikelola sebagai sumber daya bersama
perusahaan. Para pengguna akhir bersaing untuk mendapat sumber daya ini
berdasarkan kebutuhannya. Fungsi layanan komputer biasanya diperlakukan
sebagai pusat biaya (cost center) yang biaya operasionalnya akan dibebankan
kembali ke para pengguna akhir. Figur 2-2 menggambarkan sebuah struktur
layanan komputer terpusat dan menunjukkan area-area layanan utamanya:
administrasi basis data, pemrosesan data, pengembangan sistem dan
pmeliharaannya. Penjelasan mengenai berbagai fungsi utama tiap area ini adalah
sebagai berikut.
A. Adiministrasi basis data
Perusahaan yang dikelola secara terpusat memelihara sumber daya
datanya dalam sebuah lokasi terpusat yang digunakan bersama oleh
semua pengguna akhirnya. Dalam penataan data bersama ini, sebuah
bagian yang independen administrasi basis data (database administration
– DBA) yang dikepalai oleh administrator basis data bertanggung jawab
atas keamanan dan integritas basis data.
B. Pemrosesan data
Bagian ini terdiri atas fungsi organisasional berikut ini:
pengendalian data, konversi data, operasi komputer, dan perpustakaan
data.
Pengendalian data. Pengendalian data bertanggung jawab atas
penerimaan berbagai batch (kumpulan) dokumen transaksi yntk
pemrosesan dari pengguna akhir dan kemudian pendistribusian output
komputer kembali ke para pengguna terkait.

3
Konversi data. Fungsi konversi data (data conversion) mentranskipsikan
data transaksi dari dokumen sumber kertas ke dalam input komputer.
Figur 2-1
Pendekatan Pemrosesan Data Terpusat

Figur 2-2
Bagan Struktur Organsisasi dari Fungsi Layanan Komputer Terpusat

Operasi komputer. File elektronik yang dihasilkan kemudian diproses

oleh komputer pusat, yang dikelola oleh bagian operasi komputer
(computer operation).
Perpustakaan data. Perpustakaan data (data library) adalah sebuah ruang
yang beada di sebelah pusat komputer yang memberikan tempat
penyimpanan yang aman untuk berbagi file data off-line. File itu dapat
berupa salinan cadangan atau file data terkini. Contohnya, perpustakaan

4
 data dapat digunakan untuk menyimpan salinan cadangan dalam bentuk
DVD, CD-ROOM, pita (tape), atau alat penyimpanan lainnya.
C. Pengembangan dan pemeliharaan sistem
Kebutuhan sistem informasi para pengguna dipenuuhi melalui dua
fungsi yang saling berhubungan: pengembangan sistem dan
pemeliharaan sistem. Bagian yang pertama bertanggung jawab untuk
menganalisis berbagai kebutuhan penguuna dan mendesain sistem baru
yang dapat memnihi berbagai kebutuhan tersebut. Para partisipan yang
terlibat dalam aktivitas pengembangan sistem meliputi para praktisi
sistem, pengguna akhir, dan pemegang kepentingan.
1.1.2. Pemesihan Pekerjaan yang Tidak Saling Bersesuaian
Tiga tujuan dasar pemisahan pekerjaan yang tidak saling bersesuaian:
1. Pemisahan fungsi otorisasi transaksi dari pemrosesan transaksi.
2. Pemisahan fungsi pencatatan dari pengaman aset.
3. Membagi fungsi pemrosesan transaksi ke beberapa orang agar pelaku
penipuan akan harus melakukan kolusi dengan dua orang atau lebih,.
A. Memisahkan pengembangan sistem dari operasi komputer
Pemisahan pengembangan sistem (baik pengembangan sistem baru
maupun pemeliharaannya) dari aktivitas operasi adalah hal yang paling
penting. Hubungan antara kedua bagian ini seharusnya sangat formal,
dan tanggung jawab mereka tidak dapat dicampuradukkan. Para ahli
pengembangan dan pemeliharaan sistem seharusnya menciptakan (dan
memelihara) sistem bagi para pengguna, dan seharusnya tidak terlibat
dalam proses memasukkan data, atau menjalankan aplikasi (atau, operasi
komputer). Staf operasional seharusnya menjalankan sistem ini dan tidak
terlibat alam tahap desain sistem tersebut. Fungsi-fungsi ini secara
inheren tidak saling bersesuaian, dan menhonsolidasikan kedua fungsi ini
akan mengundang timbulnya kesalahan dan penipuan. Dengan
pengetahuan terperinci mengenai logika dan parameter pengendalian
aplikasi serta akses ke sistem operasi komputer dan perlengkapannya,
seseorang yang memiliki hak istimewa tersebut dapat melakukan
perubahan secara tidak sah atas aplikasi ketika dijalankan. Perubahan
semacam itu dapat bersifat sementara (untuk waktu singkat) dan akan
hilang tanpa jejak ketika aplikasi dinonaktifkan.

5
B. Memisahkan administrasi basis data dari fungsi lainnya
Pengendalian organisasional lainnya yang penting adalah
pemisahan pekerjaan administrasi basis data (DBA) dari fungsi pusat
komputer lainnya. Fungsi DBA bertanggung jawab atas sejumlah
pekerjaan penting yang berkaitan dengan keamanan basis data, termasuk
pembuatan skema basis data dan tampilan pengguna, pemberian otoritas
akses ke basis data ke para pengguna, pengawasan penggunaan basis data,
dan perencanaan untuk perluasan di masa depan.
C. Memisahkan fungsi pengembangan sistem dari pemeliharaan sistem
Beberapa perusahaan mengatur fungsi pengembangan sistem
internalnya ke dalam dua bagian: analis dan pemrograman sistem. Bagian
analis sistem bekerja dengan para pengguna untuk menghasilkan desain
terperinci sitem yang baru. Bagian pemrograman akan mengodekan
berbagai program sesuai dengan spesifikasi desain ini. Walaupun
pendekatan ini banyak digunakan, pendekatan ini dihubungkan dengan
dua jenis masalah pengendalian: dokumentasi yang tidak memadai
(inadequate documentation) dan potensi terjadinya penipuan program
(program fraud).
Memperbaiki dokumentasi. Dokumentasi sitem yang buruk merupakan
masalah kronis dalam banyak perusahaan. Kondisi ini khususnya terjadi
jika perusahaan tidak menggunakan alat rekayasa peranti lunak
berbantuan komputer (computer-assisted software engineering – CASE)
yang memiliki fitur dokumentasi otomatis. Terdapat dua penjelasan
untuk fenomena ini. Pertama, mendokumentasikan sistem adalah
pekerjaan yang tidak semenarik desain, pengujian dan implementasinya.
Alasan kedua atas terjadinya dokumentasi yang tidak memadai adalah
jaminan pekerjaan.
Mencegah penipuan. Penipuan dengan program melibatkan perubahan
yang tidak sah atas berbagai modul program dengan tujuan melakukan
tindakan ilegal. Programer asli mungkin berhasil menutupi keberadaan
kode yang digunakan untuk penipuan di antara beberapa ribu baris kode
yang benar serta ratusan modul yang membentuk suatu sistem. Akan
tetapi, agar penipuan tersebut dapat berjalan baik, programer tersebut
harus memiliki akses yang berkelanjutan dan tidak terbatas atas program

6
 terkait. Untuk mengendalikan kondisi ini, programer tersebut harus
melindungi kode yang digunakan untuk penipuan tadi dari deteksi oleh
programer lainnya atau oleh auditor.
D. Struktur alternatif pengembangan sistem
Figur 2-2 menyajikan sebuah struktur organisasional tingkat atas di
mana fungsi pengembangan sistem dipisahkan ke dalam dua kelompok:
pengembangan sistem baru dan pemeliharaan sistem. Kelompok
pengembangan sistem baru bertanggung jawab untuk mendesain,
memprogram, dan mengimplementasikan berbagai proyek sistem baru.
Setelah berhasil dalam implementasinya, tanggung jawab pemeliharaan
sistem setelahnya akan jatuh pada kelompok pemeliharaan sistem.
Restrukturisasi ini memiliki berbagai implikasi yang secara langsung
dapat menjawab dua masalah pengendalian. Pertama, standar
dokumentasi akan lebih baik karena kelompok pemeliharaan akan
membutuhkan adanya dokumentasi untuk melakukan pekerjaan
pemeliharaannya. Kedua, menolak akses programer sistem untuk masa
selanjutnya ke program akan mencegah penipuan melalui program.
E. Memisahkan perpustakaan data dari operasional
Perpustakaan data biasanya berada dalam ruang yang bersebelahan
dengan pusat komputer dan berfungsi sebagai tempat penyimpanan yang
aman berbagai file data off-line, seperti pita magnetis dan removable disk
dalam sistem tradisional. Pustakawan data (data librarian) adalah orang
yang bertanggung jawab atas penerimaan, penyimpanan, penarikan dan
pengamanan berbagai file data dan harus mengendalikan akses ke
perpustakaan tersebut. Ketika program selesai dijalankan, operator
mengembalikan file ke pustakawan untuk disimpan. Pemisahan fungsi
pustakawan dari operasional penting untuk keamanan fisik berbagi file
data off-line. Potensi eksposur dapat digambarkan melalui tiga skenario
berikut:
1. Pusat komputer kadang sangat sibuk.
2. Orang yang tidak berpengalaman melakukan fungsi pustakawan
dalam waktu sibuk mungkin mengembalikan sebuah pita ke
dalam lokasi penyimpanan yang salah di perpustakaan.

7
 3. Pustakawan secara langsung bertanggung jawab atas
implementasi kebijakan perusahaan tentang pita yang akan didaur
ulang
F. Tujuan Audit
1. Melakukan penilaian risiko mengenai pengembangan,
pemeliharaan, dan operasi sistem.
2. Memverifikasi bahwa orang-orang dengan pekerjaan yang tidak
kompatibel telah dipisah sesuai dengan tingkat potensi risikonya.
3. Memverifikasi bahwa pemisahan tersebut dilakukan dalam cara
yang dapat mendorong lingkungan kerja di mana hubungan
formal, bukan informal, ada antarpekerjaan yang tidak saling
bersesuaian tersebut.
G. Prosedur Audit
1. Mendapat dan mengkaji kebijakan perusahaan atas keamanan
komputer.
2. Mengkaji dokumen yang terkait, termasuk struktur organisasi saat
ini, pernyataan misi, dan deskripsi pekerjaan untuk berbagai
fungsi penting, agar dapat menentukan apakah ada orang atau
kelompok yang menjalankan fungsi-fungsi yang tidak saling
bersesuaian.
3. Mengkaji dokumentasi sistem dan catatan pemeliharaan untuk
mencari sampel aplikasi.
4. Melalui observasi, tentukan apakah kebijakan pemisahan
pekerjaan diikuti dalam praktiknya.
5. Mengkaji hak-hak dan keistimewaan para pengguna untuk
memverifikasi bahwa para programer memiliki izin akses yang
sesuai dengan deskripsi pekerjaan mereka.
1.1.3. Model Terdistribusi
Alternatif dari konsep terpusat adalah konsep pemrosesan data
terdistribus (distributed data procesiing – DDP). Alternatif A sesungguhnya
adalah varian dari model terpusat; perbedaannya adalah terminal-terminalnya
didistribusikan ke para pengguna akhir untuk menangani input dan output.
Penataan ini meniadakan kebutuhan akan kellmpok pengendalian data dan
konversi data yang terpusat, karena para pengguna kini akan melakukan

8
berbagai pekerjaan tersebut. Akan tetapi, pengembangan sistem, operasional
komputer, dan administrasi basis data masih terpusat. Alternatif B adalah
perubahan radikal dari model tersebut. Alternatif ini mendistribusikan semua
layanan komputer ke para pengguna akhir, di mana mereka dapat beroperasi
sebagai unit-unit yang berdisi terpisah. Hasilnya adalah peniadaan fungsi
layanan komputer pusat dalam struktur organisasi perusahaan.
Figur 2-3
Dua Pendekatan Pemrosesan Data Terdistribusi

A. Risiko yang Berkaitan dengan DDP

Ketidakefisienan penggunaan sumber daya. Pertama, ada risiko
terjadinya kesalahan manajemen atas sumber daya keseluruhan
perusahaan, terutama oleh para pengguna akhir. Kedua, ada risiko peranti
keras dan lunak tidak sesuai satu sama lain, terutama, sekali lagi, di
tingkat pengguna akhir. Ketiga, ada risiko terjadinya pekerjaan yang
redundan (rangkap) berkaitan dengan aktivitas dan tanggung jawab
pengguna akhir.
B. Kerusakan Jejak Audit
Penggunaan DDP dapat memengaruhi secara negatif jejak audit.
Karena jejak audit dalam sistem yang modern cenderung bersifat
elektronik, merupakan hal biasa jika sebagian atau seluruh jejak audit
berada dalam berbagai komputer pengguna akhir. Apabila pengguna

9
 akhir secara tidak sengaja menghapus jejak audit, maka jejak audit
tersebut dapat hilang dan tidak dapat dipulihkan. Atau, jika pengguna
akhir secara tidak sengaja memasukkan beberapa kesalahan yang lolos
dari pengendalian ke dalam daftar (log) audit, maka s=jejak audit dapat
secara efektif hancur.
C. Pemisahan Tugas yang Tidak Memadai
Distribusi layanan TI ke para pengguna dapat menghasilkan
terciptanya banyak unit kecil yang tidak memungkinkan adanya
pemisahan berbagai fungsi yang teidak saling bersesuaian. Kondisi ini
akan menjadi pelanggaran pengendalian internal yang mendasar. Akan
tetapi, mewujudkan pemisahan tugas yang memadai mungkif tidak dapat
dilakukan dalam beberapa lingkungan yang terdistribusi.
Mempekerjakan profesional yang berkualitas. Para manajer yang juga
pengguna akhir dapat saja kurang memiliki pengetahuan dalam
mengevaluasi kualifikasi dan pengalaman terkait beberapa kandidat yang
melamar untuk posisi sebagai profesional komputer. Risiko kesalahan
pemrograman dan kegagalan sistem akan meningkat secara langsung
bersamaan dengan tingkat inkompetensi karyawan. Masalah ini akan
meluas masuk ke dalam ranah akuntan dan auditor, yang membutuhkan
keahlian teknis yang secara khusus dibutuhkan untuk mengaudit sistem
informasi akuntansi yang melekat dalam teknologi komputer dengan baik.
Kurangnya stadar. Karena adanya pendistribusian tanggung jawab dalam
lingkungan DDP, standar untuk mengembangkan dan
mendokumentasikan sistem, pemilihan bahasa pemrograman, pengadaan
peranti keras dan lunak, serta evaluasi kinerja mungkin jarang
diaplikasikan atau bahkan tidak ada. Mereka yang menentang DDP
berpendap bahwa risiko-risiko yang berkaitan dengan desain dan operasi
sistem pemrosesan dapat dapat ditoleransi hanya jika standar-standar
semacam itu diaplikasikan secara konsisten. Kondisi ini membutuhkan
adanya standar yang ditentukan secara terpusat.
D. Kelebihan DDP
1. Penurunan biaya. Mikrokomputer dan minikomputer yang
canggih dan murah dan yang dapat melakukan fungsi-fungsi
khusus telah mengubah nilai ekonomis pemrosesan data secara

10
 dramatis. Selain itu, biaya per unit untuk penyimpanan data, yang
dulu merupakan justifikasi untuk mengonsolidasikan data ke
dalam sebuah lokasi terpusat, tidak lagi menjadi pertimbangan
utama. Pergeseran ke DDP dapat mengurangi biaya dalam dua
hal: (1) data dapat dimasukkan dan diedit di area pengguna,
hingga meniadakan pekerjaan terpusat untuk pembuatan dan
pengendalian data; dan (2) kerumitan aplikasi dapat dikurangi,
yang akhirnya akan mengurangi biaya pengembangan serta
pemeliharaan.
2. Peningkatan tanggung jawab pengendalian biaya. Para manajer
yang juga pengguna akhir memiliki tanggung jawab atas
keberhasilan keuangan dari berbagai operasi mereka. Tanggung
jawab ini mengharuskan para manajer diberdayakan secara tepat
dengan otoritas untuk membuat keputusan mengenai sumber daya
yang memngaruhi keberhasilan mereka secara umum. Ketika para
manajer tidak dimasukkan dalam pengambilan keputusan yang
penting untuk mencapai tujuan mereka, kinerja mereka dapat
terpengaruh secara negatif. Akibatnya manajemen yang kurang
agresif dan kurang efektif akan berkembang.
3. Peningkatan kepuasan pengguna. Pendukung DDP berpendapat
bahwa memberikan dukungan yang lebih khusus (yang hanya
dapat dilakukan dalam lingkungan yang terdistribusi)
memberikan manfaat langsung atas moral dan produktivitas
pengguna.
4. Flesibilitas cadangan. Argumentasi terakhir untuk mendukung
DDP adalah kemampuannya untuk membuat cadangan fasilitas
komputer agar terlindung dari potensi bencana seperti kebakaran,
banjir, sabotase, dan gempa bumi. Satu-satunya cara bagi sebuah
pusat komputer untuk mengatasi berbagai bencana semacam itu
adalah dengan menyediakan fasilitas komputer kedua. Model
yang terdistribus menawarkan fleksibilitas organisasional untuk
menyediakan cadangan. Setiap unit TI yang secara geografis
terpisah dapat didesain untk memiliki kelebihan kapasitas. Jika
suatu bencana menghancurkan sebuah lokasi, maka lokasi-lokasi

11
 lainnya dapat menggunakan kelebihan kapasitas tersebut untuk
memproses berbagai transaksi yang seharusnya dilakukan di
lokasi yang hancur tersebut.
1.1.4. Mengendalikan Lingkungan DDP
A. Kebutuhan akan Analisis yang Cermat
DDP membawa nilai prestise yang tinggi hingga proses analisis
pro dan kontranya akan dapat menutupi berbagai pertimbangan penting
dalam hal manfaat ekonomi serta kelayakan operasionalnya. Beberapa
perusahaan telah bergeser ke DDP tanpa secara penuh
mempertimbangkan apakah struktur organisasional yang terdistribusi
tersebut akan dapat membuat mereka secara lebih baik mencapai tujuan
perusahaan atau tidak. Banyak usaha yang berkaitan dengan DDP
terbukti tidak efektif, dan bahkan menghalangi produktivitas, karena para
pengambil keputusan hanya melihat berbagai kebaikan system ini yang
lebih bersifat simbolis daripada nyata. Sebelum membuat langkah yang
tidak dapat diulang lagi, para pengambil keputusan harus menilai
berbagai kebaikan nyata DDP bagi perusahaan mereka. Auditor memiliki
peluang dan kewajiban untuk memainkan peran penting dalam analisis
ini.
Model yang terpusat penuh dan model yang terdistribusi penuh
mewakili dua posisi ekstrem dalam sebuah area alternatif struktur.
Kebutuhan kebanyakan perusahaan masuk di antara kedua titik ekstrem
ini. Dalam kebanyakan perusahaan, masalah pengendalian yang telah
dijelaskan sebelumnya dapat ditangani dengan mengimplementasikan
fungsi TI perusahaan.
B. Mengimplementasikan Fungsi TI Perusahaan.
Model yang terpusat penuh dan model yang terdistribusi penu
mewakili dua posisi ekstrim pada sebuah area alternatif struktur.
Kebutuhan sebagian besar perusahaan masuk di antara kedua titik
ekstrem ini. Dalam kebanyakan perusahaan, masalah pengendalian yang
telah dijelaskan sebelumnya dapat ditangani dengan pengimplementasian
fungsi TI Perusahaan..
Fungsi ini banyak berkurang dari segi ukuran dan statusmya daripada
model yang dimilikinya dalam model terpusat ditunjukkan dalam gambar

12
2-2. Corporate group IT menyediakan pengembangan sistem dam
manajemen basis data untuk sistem keseluruhan perusahaan selain dari
saran serta keahlian teknis bagi komunitas yang terdistribusi.
Beberapa layanan yang disediakan akan dijelaskan sebagai berikut :
Pengujian terpusat atas peranti luunak komersial dan peranti keras.
Kelompok TI perusahaan dapat secara lebih baik dalam mengevaluasi
berbagai kebaikan beberapa peranti lunak dank eras yang dijual
dipasaran. Kelompok yang terpusat dan secara teknis bagus dalam
memberikan penilaian, dapat mengevaluasi berbagai fitur sistem,
pengendalian, dan kesesuaiannya dengan berbagai standar industri serta
standar organisasi yang paling (scara)efisien. Oleh karena itu, organisasi
harus memusatkan pengadaan, pengujian, dan implementasi peranti
lunak dan keras ke fungsi TI perusahaan.
Layanan pengguna. Sebuah fitur yang berharga dari kelompok
perusahaan adalah fungsi layanan penggunanya. Aktivitas ini
menyediakan bantuan bersifat teknis bagi para pengguna selama instalasi
perangkat lunak baru serta dalam mengatasi berbagai masalah peranti
lunak dank eras. Pembuatan papan buletin elektronik bagi para pengguna
adala cara yang sempurna untuk menyebarluaskan informasi mengenai
berbagai masalah yang sering muncul dan memungkinkan adanya proses
berbagai atas progam yang dikembangkan oleh pengguna , ke satu sama
lain dalam perusahaan. Beberapa forum modern lainya dapat membrikan
manfaat yang sama contohnya : chat room, diskusi bersambung ,atau
dukungan dalam bentuk FAQ serta intranet.
Lembaga pembuat standar. Lingkungan pengendalian yang relative
kurang baik akibat dari model DDP dapat diperbaiki dengan membuat
beberapa petunjuk terpusat. Kelompok perusahaan dapat memberikan
kontribusinya untuk tujuan ini dengan membentuk serta
menyebarluaskan ke berbagai area pengguna standar standar yang sesuai
untuk pengembangan sistem, pemrograman dan dokumentasi system.
Kajian personal (Personal Revies). Kelompok perusahaan mungkin
lebih baik persiapannya daripada para pengguna dalam mengevaluasi
secara teknis kualifikasi para calon praktisi sistem. Walaupun para
praktisi sistem sesungguhnya akan menjadi bagian dari kelompok

13
 pengguna, keterlibatan kelompok perusahaan dalam keputusan untuk
mempekerjakan dapat memberikan layanan yang berharga bagi
perusahaan.
C. Tujuan Audit
1. Melakukan penilaian resiko atas fungsi TI DDP
2. Menverifikasi bahwa unit-unit IT yang terdistribusi menggunakan
berbagai standard kinerja keseluruhan perusahaan yang
mendorong kesesuaian diantara hardware, software aplikasi
peranti lunak dan data.
D. Prosedur Audit
1. Memverifikasikan bahwa berbagai kebijakan dan standar
perusahaan untuk desain sistem, dokumentasi, dan pengadaan
hardware dan software telah dikeluarkan dan disebarluaskan ke
berbagai unit TI.
2. Mereview struktur organisasi (organizational chart), pernyataan
misi, dan job descriptions terkini bagi fungsi-fungsi utama untuk
menetapkan apakah karyawan atau kelompok sedang melakukan
tugas-tugas yang tidak sesuai (bertentangan).
3. Memverifikasi bahwa pengendalian pengganti (compensating
control) seperti supervisi dan pengawasan manajemen dilakukan
ketika pemisahan pekerjaan yang tidak saling berkesesuaian
secara ekonomi tidak mungkin dilakukan.
4. Mengkaji/review dokumentasi sistem untuk memverifikasi
bahwa berbagai aplikasi, prosedur, dan database dirancang, dan
berfungsi sesuai dengan standar perusahaan.
5. Memverifikasi bahwa tiap karyawan diberikan izin akses sistem
ke berbagai program dan data sesuai dengan deskripsi
pekerjaannya.

14
1.2. Pusat Komputer
1.2.1. Pengendalian Pusat Komputer
Para akuntan mempelajari lingkungan fisik pusat komputer sebagai bagian
dari audit tahunan mereka. Eksposur di area ini memiliki potensi dampak yang
besar atas informasi catatan akuntansi, pemrosesan transaksi , dan efektivitas
berbagai pengendalian lainnya yang lebih konvensional dan internal. Berikut ini
adalah beberapa fitur pengendalian yang secara langsung dapat berkontribusi
pada keamanan lingkungan pusat computer.
A. Lokasi Fisik
Lokasi fisik pusat komputer secara langsung mempengaruhi
berbagai resiko bencana dan ketidaktersediaan. Sebisa mungkin, pusat
komputer harus jauh dari berbagai bahaya yang ditimbulkan manusia dan
alam seperti pemrosesan pabrik, gas, dan pipa air, bandara, wilayah yang
tingkat kejahatannya tinggi, daratan yang banjir, keretakan pada lapisan
permukaan bumi secara geologi. Lokasi tersebut harus sejauh mungkin
dari arus lalu lalang normal, seperti lantai tertinggi dari sebuah bangunan,
atau merupakan bangunan yang terpisah dan mandiri. Menyadari bahwa
menempatkan lokasi pusat komputer dilantai bawah sebuah gedung
kantor dapat menciptakan eksposur adanya risiko bencana seperti banjir.
B. Konstruksi
Idealnya, sebuah pusat komputer seharusnya ditempatkan pada
sebuah bangunan berlantai satu yang konstruksinya kokoh dengan akses
yang terkendali. Utility (listrik dan telepon) dan saluran komunikasi
seharusnya ditanam di bawah tanah (underground). Jendela bangunan
tidak boleh terbuka. System penyaringan udara harus ada dan harus
ditempatkan yang mana mampu menyaring serbuk sari, debu, dan
serangga. Jika pusat komputer terpaksa berlokasi di gedung yang terdiri
atas beberapa lantai, maka seharusnya ditempatkan di lantai atas, jika
memungkinkan.
C. Akses.
Akses ke pusat komputer harus dibatasi hanya untuk para operator
dan karyawan lainnya yang bekerja ditempat tersebut. Pengendalian fisik,
seperti pintu yang terkunci, seharusnya digunakan untuk membatasi
akses ke pusat tersebut. Pintu masuk utama ke pusat komputer

15
 seharusnya melalui sebuah pintu yang terkunci. Untuk mencapai tingkat
keamanan yang tinggi, akses harus dimonitor oleh sirkuit kamera local
dan system rekaman video. Pusat komputer juga seharusnya
menggunakan sign-in logs atau daftar masuk bagi para programmer dan
analis yang membutuhkan akses untuk memperbaiki kesalahan program.
D. Pengatur Suhu Udara
Komputer akan berfungsi secara baik dalam lingkungan yang
memiliki pengatur suhu udara. Untuk komputer mainframe, menyediakan
pengatur suhu udara yang seringkali merupakan sebuah persyaratan
jaminan vendor. Komputer beroperasi paling bagus dala suhu berkisar
dari 70 sampai 75 derajat Fahrenheit dan kelembaban relatif 50 persen.
Kesalahan logika dapat terjadi dalam peranti keras computer jika suhu
menyimpang jauh dari kisaran optimalnya. Selain itu risiko kerusakan
sirkuit akibat gelombang listrik statis akan meningkat ketika kelembaban
turun. Sebaliknya, kelembaban yg tinggi dapat menyebabkan jamur
tumbuh, kertas akan rusak serta perlengkapan akan menjadi macet.
Bahkan, Sekelompok PC akan menghasilkan panas yang tinggi, hingga
ruangan yang dipenuhi dengan PC membutuhkan pengaturan suhu udara
yang khusus.
E. Pemadam Kebakaran
Sebagian besar bencana alami yang biasa mengancam bagi
peralatan komputer perusahaan adalah kebakaran. Sebagian perusahaan
yang menderita kebakaran bangkrut karena kehilangan berbagai catatan
yang sangat penting, seperti piutang dagang. Implementasi sistem
pemadam kebakaran yang efektif memerlukan konsultasi dengan
spesialis khusus. Beberapa fitur utama dari sistem pemadam kebakaran
meliputi hal-hal berikut:
1. Alarm otomatis dan manual harus ditempatkan pada lokasi
strategis disekitar instalasi
2. Harus ada sebuah sistem pemadaman kebakaran otomatis yang
dapat menghentikan kebakaran jenis tertentu di lokasi terkait.
3. Alat pemdam kebakaran manual harus ditempatkan diberbagai
lokasi strategis.

16
 4. Bangunan terkait harus bagus konstruksinya untuk dapat
menahan kerusakan akibat air yang ditimbulkan dari
perlengkapan pemadam kebakaran
5. Pintu keluar darurat harus ditandai dengan jelas dan dapat
bercahaya selama terjadi kebakaran.
F. Pasokan Listrik
Listrik yang di sediakan secara komersial memberikan beberapa
masalah yang dapat mengganggu operasi pusat komputer, termasuk mati
listrik,penurunan daya listrik, fluktuasi daya, dan perbedaan daya.
Perlengkapan yang digunakan untuk mengendalikan berbagai masalah ini
meliputi regulator voltase (voltage regulators), pelindung ubungan
pendek (surge protectors), generator, dan baterai. Luas dan konfigurasi
peralatan pengendalian yang diperlukan akan tergantung pada
kemampuan perusahaan untuk menanggung berbagai gangguan dan daya
yang dicatat perusahaan untuk menyediakan layanan yang dapat
diandalkan (reliable). Pasokan listrik yang tiba-tiba turun dan penurunan
daya listrik dapat dikendalikan dengan adanya cadangan baterai.
Keputusan mengenai pengendalian listrik dapat menjadi salah satu
keputusan yang mahal, dan biasanya memerlukan saran dan analisis dari
para ahli.
G. Tujuan Audit
Tujuan umum yang berkaitan dengan pengendalian pusat komputer
adalah untuk mengevaluasi berbagai pengendalian yang mengatur
keamanan pusat komputer. Secara khusus, auditor harus memverifikasi
bahwa:
1. Keamanan pengendalian fisik secara ajar memadai untuk
melindungi perusahaan dari eksposur fisik.
2. Jaminan atas perlengkapan telah memadai untuk dapat mengganti
kerugian perusahaan jika terjadi kehancuran atau kerusakan
(bencana), terhadap pusat computer terkait.
3. Dokumentasi operator memadai untuk dapat menangani
kegagalan system.

17
H. Prosedur Audit
Berikut ini merupakan pengejian fisik pengendalian keamanan:
Pengujian Konstruksi Fisik (Test of Physical Construction). Auditor
harus menentukan apakah pusat komputer dibangun secara kokoh dari
bahan yang tahan api. Dalam hal ini, harus ada drainase yang memadai
dibawah lantai yang ditinggikan untuk memungkinkan air mengalir
keluar jika terjadi banjir ketika terjadi kebakaran dilantai atasnya atau
dan sumber lainnya. Dan juga auditor harus mengevaluasi lokasi fisik
pusat komputer. Fasilitas harus ditempatkan dalam sebuah area yang
dapat meminimalkan eksposur kebakaran, kerusuhan, dan bahaya lainnya.
Pengujian system deteksi kebakaran (Tests of the Fire Detection System).
Auditor harus meyakini bahwa alat pendeteksi dan perlengkapan
pemadam kebakaran ada, baik yang manual maupun yang otomatis,seta
diuji secara teratur. Sistem pendeteksi kebakaran harus mendeteksi asap,
panas, dan gas yang mudah terbakar.
Pengujian Pengendalian Akses (Tests of Access Control). Auditor harus
memastikan bahwa akses rutin ke pusat komputer hanya terbatas untuk
karyawan-karyawan yang diberi otorisasi. Rincian mengenai akses para
pengunjung (melalui programmer dan yang lainnya) seperti waktu
kedatangan dan kepergian, tujuan dan frekuensi akses, dapat diperolah
dengan mengkaji daftar akses atau access log. Untuk memastikan
kelengkapan dokumen ini, auditor dapat secara diam-diam mengamati
proses pemberian izin akses, atau mengkaji pita rekaman video dari
berbagai kamera di titik akses, jika digunakan.
Pengujian Pasokan Listrik Cadangan ( Tests of Backup Power Supply).
Pusat komputer harus melaksanakan pengujian berkala terhadap pasokan
listrik cadangannya untuk memastikan bahwa tempat tersebut memiliki
kapasitas yang cukup untuk menjalankan komputer dan pengaturan suhu
udara. Ini merupakan pengujian yang sangat penting dan hasilnya harus
secara formal dicatat.
Pengujian Cakupan Asuransi (Tests for Insurance Coverage). Auditor
setiap tahun harus mengkaji cakupan asuransi perusahaan atas hardware,
software, dan fasilitas fisik komputernya. Pengadaan baru harus

18
 didaftarkan dalam polis asuransi dan perlengkapan serta peranti lunak
yang sudah usang dan software yang harus disingkirkan.
Pengujian pengendalian dokumentasi operator( Tests of Operator
Documentation Controls). Auditor harus menverifikasi bahwa sistem
dokumentasi, seperti bagan alir, bagan alir logika progam dan daftar
kode progam, bukan merupakan bagian dari dokumentasi operasional.
Operatpr seharusnya tidak memiliki akses ke perincian operasional
logika internal system. Akan tetapi auditor harus menentukan bahwa ada
dokumentasi pengguna yang memadai, atau ada fungsi help desk yang
memadai, untuk mengurangi jumlah kesalahan dalam system Auditor
harus menentukan bahwa dokumentasi pengguna yang sesuai tersedia,
atau sebuah fungsi help desk di tempatkan, untuk mengurangi jumlah
kesalahan dalam system operasi. Dalam system lama para operator
computer menggunakan buku petunjuk pelaksaan untuk melakukan
fungsi tertentu. Auditor harus mengkaji buku petunjuk pelaksanaan untuk
melihat kelengkpan dan akurasinya.
1.2.2. Perencanaan Pemulihan dari Becanda
Tiga tipe kejadian yang dapat menggangguatau menghancurkan pusat
komputer perusahaan dan system informasinya, yakni bencana alam, bencana
akibat manusia dan kegagalan sistem. Bencana alam seperti: banjir, kebakaran
gempa bumi, biasanya dapat menghancurkan bagi pusat komputer dan SI
walaupun kemungkinannya kecil. Kadang-kadang kejadian bencana alam tidak
dapat dihindari. Dengan perencanaan yang hati-hati , dampak penu dari suatu
bencana dapat dikurangi dan perusahaan masih dapat pulih kembali. Bencana
akibat manusia seperti sabotase dan error dapat sama menghancurkannya.
Kegagalan sistem seperti listrik padam atau kegagalan hard-drive umumnya
lebih terbatas lingkupnya tapi merupakan peristiwa berkategori bencana yang
sering terjadi.
Kesemua bencana ini dapat membuat perusahaan kehilangan fasilitas
pemrosesan datanya, mengehntikan berbagai fungsi bisnis yang dilakukan atau
dibantu oleh computer, dan menurunkan kemmapuan perusahaan untuk
menjalankan bisnis. bencana juga mengakibatkan kerugian investasi dalam hal
teknologi dan system. Bagi banyak perusahaan seperti Amazon dan eBay.com,
hilangnya bahkan beberapa jam saja kemampuan pemrosesan computer dapat

19
mengakibatkan bencana. untuk dapat bertahan hidup dari peristia semacam itu
perusahaan mengembangkan prosedur pemulihan dan merumuskannya dalam
bentuk rencana keberlanjutan perusahaan,rencana pemulihan dari bencana atau
rencana pemuliahn bisnis. Rencana pemulihan dari bencana (Disaster Recovery
Plan- DRP ) merupakan penyataan yang komprehensif tentang semua tindakan
yang akan harus dilakukan sebelum, selama dan setelah adanya bencana jenis
apapun bersama dengan berbagai prosedur yang didokumentasikan dan diuji
yang akan memastikan keberlanjutan operasi perusahaan.
Berikut beberapa pencegahan untuk mengantisipasi bencana:
1. Indetifying critical applications
2. Membuat tim pemulihan bencana
3. Menyediakan cadangan lokasi.

A. Mengidentifikasi Aplikasi yang Sangat Penting

Elemen mendasar pertama dalam sebuah DRP adalah
mengidentifikasi berbagai aplikasi yang sangat penting dan yang
berkaitan dengan berbagai file data. Usaha pemulihan harus

20
 berkonsentrasi pada pemulihan atas berbagai aplikasi yang sangat
penting tersebut agar perusahaan dapat bertahan hidup dalam jangka
pendek. Tentu saja, dalam jangka panjang semua aplikasi harus
diperbaiki ke tingkat yang sama sebelum terjadinya bencana. Akan tetapi,
DRP tidak boleh mencoba untuk memulihkan keseluruhan fasilitas
pemrosesan data perusahaan ke kapasitas penuhnya. Sebagai gantinya
rencana tersebut harus focus untuk bertahan hidup dalam jangka pendek.
Prioritas berbagai aplikasi dapat berubah dengan seiring aktu, dan
keputusan iniharus dinilai kembali secara teratur. System secara kosntan
harus direvisi dan diperluas untuk mencerminkan berbagai perubahan
dalam kebutuhan pengguna . begitu pula DRP yang harus diperbarui
untuk mencerminkan perkembangan baru dan mengidentifikasi berbagai
aplikasi yang sangat penting.
B. Membentuk Tim Pemulihan dari Bencana
Figure 2-7 menyajikan struktur organisasional yang menggambarkan
komposisi tim rencana pemulihan dan bencana. Para anggota tim
haruslah para ahli dalam bidang masing-masing dan memiliki pekerjaan
tertentu yang ditugaskan kepadanya. Setelah terjadi bencana , anggota
tim akan mendelegasikan berbagai subpekerjaan ke bawhan mereka.
Lingkungan yang terbentuk akibat bencana mungkin mengharuskan
dilakukannya pelanggaran atas teknik pengendalian, seperti pemisahan
pekerjaan, pengendalian akses, dan pengawasan.
C. Menyediakan Cadangan Lokasi
Bahan yang paling penting dalam sebuah DRP adalah rencana
tersebut memungkinkan adanya fasilitas pemrosesan data duplikat
setelah adanya bencana. Di antara berbagai pilihan yang tersedia adalah
hot site cold site, perjanjian bantuan saling mengeuntungkan , cadangan
yang disediakan secara internal dan lain-lainnya.
Hot Site/ pusat operasional pemulihan. Salah satu pendekatan untuk
mengontrak sebuah lokasi cadangan adalah dengan Hot side atau
recovery operation center – ROC yang memiliki peralatan lengkap.
Karena investasi yang besar, hot site biasanya digunakan dengan
beberapa perusahaan. Perusahaan-perusahaan ini dapat membeli sebagian
atau menjadi pelanggan hot site terkait dengan membayar biaya bulanan

21
atas hak penggunaannya. Pendekatan ini memiliki resiko apabila bencana
alam yang luas akan mempengaruhi banyak perusahaan dalam area
geografis yang sama. Jika beberapa perusahaan berbagi ROC yang sama,
beberapa perusahaan akan berakhir dengan mengantre dalam barisan
tunggu. Kelebihan hot site dibanding cold site adalah waktu pemulihan
yang jauh lebih singkat. Hot site memiliki berbagai fasilitas, furniture,
hardware dan bahkan sistem operasi didalamnya. Apabila terjadi
gangguan besar, pelanggan(perusahaan) dapat menempati lokasi tersebut,
dan dalam beberapa jam dapat saja dapat melanjutkan pemrosesan
berbagai aplikasi yang sangat penting.
Cold site/Ruang Kosong. Variasi dari pendekatan hhot site adala pilihan
cold site atau ruang kosong. Pendekatan ini biasanya melibatkan dua
lokasi computer, tetapi tanpa adanya perlengkapan computer serta
peripheral. Contohnya , ruangan biasanya dilengkapi dengan lantai yang
ditinggikan dan pengatur suhu udara. Jika terjadi suatu bencana, ruang
tersebut tersedia dan siap untuk menerima peranti keras apapaun yang
dibutuhkan pengguna sementaranya agar dapat menjalankan system
pemrosesan data yang sanagat penting. Walaupun merupakan perbaikan
dari perjanjian bantuan saling menguntungkan, pendekatan ruang kosong
ini memiliki dua masalah besar. Pertama, pemuliha tergantung pada
ketersediaan peranti keras computer yang dibutuhkan untuk memulihkan
fungsi pemrosesan data secara tepat waktu. Masalahh yang kedua dari
pendekatan ini adalah potensi adanya persaingan antara beberapa
pengguna atas sumber daya ruangan, sama seperti yang terjadi pada hot
site.
Perjanjian Bantuan Saling Menguntungkan. Perjanjian yang saling
menguntungkan adalah suatu kesepakatan antara dua atau lebih (dengan
fasilitas komputer yang komaptibel) untuk saling membantu dalam hal
pemrosesan data yang mereka butuhkan jika terjadi bencana. Ketika
terjadi bencana, perusahaan host tuan rumah harus menginterupsi jadwal
pemrosesannya untuk memproses berbagai aplikasi penting perusahaan
yang terkena bencana. Hal ini berdampak pada perusahaan host harus
memposisikan diri dalam mode daurat (dan memotong pemrosesan
aplikasi prioritas rendah) untuk mengakomodasi peningkatan permintaan

22
sumber daya IT yang tiba-tiba. Perjanjian timbal balik seperti ini
merupakan pilihan yang popular dan banyak diminati. Karena relatif
cost-free (selama tidak terjadi bencana) dan memberikan kenyamanan
secara psikologis dalam tingkat tertentu.
Cadangan yang Disediakan Secara Internal (Internally Provided
Backup). Perusahaan yang lebih besar dengan beberapa pusat
pemrosesan data lebih suka memilih mengandalkan diri sendiri dengan
syarat adanya pembentukan kelebihan kapasitas internal. Pilihan ini
memungkinkan perusahaan untuk mengembangkan susunan/konfigurasi
hardware dan software yang dapat memastikan kecocokan fungsional
antarpusat pemrosesan data dan meminimisasi masalah perpindahan
ketika terjadi bencana. Pada dasarnya, cadangan yang disediakan secara
internal hampir sama dengan perjanjian bantuan yang saling
menguntungkan antara berbagai cabang dalam entitas yang sama.
Cadangan Peranti Keras. Jika menggunakan metode cold site untuk
menyediakan layanan cadangan, maka entitas harus memastikan bahwa
hardware komputer siap tersedia ketika keadaan darurat.
Cadangan Peranti Lunak: Sistem Operasi. Jika perusahaan
menggunakan metode cold site atau metode lainnya yang tidak
menyertakan operating system (O/S) yang kompatibel, maka DRP harus
mencakup prosedur untuk membuat salinan dari sistem operasi entitas
terkait yang siap di akses ketika terjadi bencana. Tujuan ini dapat
diwujudkan dengan menjaga adanya salinan O/S yang valid dan terkini
disuatu lokasi cadangan yang dekat.
Cadangan Peranti Lunak: Aplikasi. Berdasarkan tahapan aplikasi yang
sangat penting, DRP harus terdiri dari suatu prosedur untuk menyediakan
salinan atau cetakan dari aplikasi peranti lunak yang penting. Sekali lagi
prosedur ini dapat dicapai dengan menyediakan salinan yang cukup
untuk berbagai aplikasi yang penting di lokasi cadangan yang dekat.
File Data Cadangan. Basis data seharusnya disalin setiap harinya ke
media berkapasitas tinggi dan berkecepatan tinggi, seperti CD/DVD dan
lokasi aman yang berada diluar perusahaan. Jika terjadi suatu bencana,
rekonstruksi dari basis data diwujudkan dengan memperbarui versi

23
 cadangan yang terkini dengan data transaksi selanjutnya. Demikian
dengan file induk dan file transaksi harus dilindungi.
Dokumentasi Cadangan. Dokumentasi system untuk berbagai aplikasi
yang paling penting seharusnya dibuat cadangannya dan disimpan di luar
perusahaan dengan cara yang sama seperti menyimpan file data.
Besarnya volume bahan yang dilibatkan dan adanya revisi aplikasi secara
konstan akan membuat tugas menjadi rumit. Proses tersebut dapat
menjadi lebih efisien dengan menggunakan alat dokumentasi CASE.
DRP harus juga memasukan penyediaan provisi untuk berbagai salinan
petunjuk bagi pengguna yang hharus siap untuk digunakan.
Cadangan Dokumen Pasokan dan Dokumen Sumber. Perusahaan harus
menyediakan cadangan persedian pasokan dan dokumen sumber yang
digunakan dalam aplikasi penting. Contoh dari pasokan yang penting
adalah kartu persediaan, faktur, order pembelian dan formulir khusus
yang tidak bisa diperoleh dengan cepat. DRP harus memerinci jenis dan
kuantitas yang dibutuhkan dokumen khusus ini.
Menguji DRP. Sebagaian besar aspek perencanaan contigancy yang
diabaikan adalah pengujian rencana. Akan tetapi kemudian DRP penting
dan harus dilaksanaakan secara periodik. Pengujian mengukur ksiapan
personel dan mengidentifikasikan penghapusan atau bottlenecks dalam
rencana.
Tujuan Audit. Menverifikasi bahwa rencana pemulihan bencana ( DRP )
organisasi sesuai untuk memenuhi kebutuhan organisasi dan
pengimplimasiannya menguntungkan dan praktis.
Prosedur Adudit. Menverifikasi bahwa DRP manajemen merupakan
sebuah solusi yang realistis untuk perjanjian terhadap bencana alam yang
dapat menghalangi organisasi dari sumberdaya komputernya. Fokus
pengujian berikut pada perhatian area-area yang paling besar.
1.2.3. Pengendalian Toleransi Kegagalan
Toleransi kegagalan (fault tolerance) adalah kemampuan sistem untuk
melanjutkan operasinya ketika sebagian dari sistem tersebut gagal karena adanya
kegagalan peranti keras, kesalahan dalam program aplikasi atau kesalahan
operator. Beberapa tingkat toleransi kegagalan dapat diwujudkan melalui
implementasi beberapa komponen sistem yang redundan:

24
 1. Redundant array of inexpensive (independent) disks (RAID). Terdapat
beberapa jenis konfigurasi RAID. Pada dasarnya tiap metode melibatkan
penggunaan beberapa disket paralel yang berisi beberapa elemen data
dan aplikasi yang redundan. Jika salahsatu disket gagal maka data yang
hilang secara otomatis akan di rekronstruksi dari komponen redundan
yang disimpan di disket lainnya.
2. Uninterruptable power supplies (UPS). Jika terjadi pemadaman listrik
maka sumber listrik cadangan dengan tenaga baterai yang tersedia akan
memungkinkan sistem untuk mematikan dirinya secara terkendali.
Proses ini akan mencegah hilangnya dan rusaknya data yang dapat
terjadi akibat dari kegagalan dari sistem yang tidak terkendali.
3. Multipemrosesan, penggunaan yang simultan dua atau lebih processor
meningkatkan jumlah pemrosesan yang dapat dijalankan dalam operasi
normal. Jika terjadi kegagalan processor berbagai prosessor sama
lainnya akan menyeimbangkan beban kerja dan memberikan bantuan
penuh.
Mengimplementasikan pengendalian toleransi kegagalan akan memastikan
bahwa tidak ada satupun titik potensi kegagalan sistem. Kegagalan total hanya
dapat terjadi jika timbul kegagalan dalam beberapa komponen sekaligus.
A. Tujuan audit
Memastikan bahwa perusahaan menggunakan tingkat toleransi kegagalan
yang tepat.
B. Prosedur audit
1. Kebanyakan sistem yang menggunakan RAID menyediakan
pemetaan grafis diket penyimpanan redundanya. Dari pemetaan
ini auditor harus menentukan apakah tingkat RAID yang ada
memadai bagi perusahaan.
2. Jika perusahaan tidak menggunakan RAID potensi suati titik
kegagalan sitem akan ada. Auditor harus mengkaji bersama
dengan administrator sistem berbagai prosedur alternatif untuk
pemulihan dari kegagalan disket.
3. Menentukan bahwa berbagai salinan disket boot telah dibuat
untuk beberapa server di jaringan guna berjaga jaga jika terjadi
kegagalan sektor boot. Karna disket boot dapat digunakan untuk

25
 memotong proses boot yang normal, disket tersebut harus
diamankan dan akses ke disket tersebut harus dibatasi hanya
untuk administratornya saja.
1.3. Pengendalian Sistem Operasi dan Pengendalian Keseluruhan Sistem
Sistem operasi (operating system) adalah program pengendali dalam komputer.
Sistem ini memungkinkan para pengguna dan aplikasi didalamya untuk berbagi dan
mengakses sumber daya komputer bersama seperti prosessor, memori utama, basis
data dan printer.
Sistem operasi melakukan tiga pekerjaan utama. Pertama, sistem ini
menerjemahkan bahasa tingkat tinggi, seperti COBOL, BASIC,bahasa c, dan SQL
kedalam bahasa tingkat mesin yang dapat dijalankan oleh komputer. Modul modul
penerjemah bahasa dalam sistem operasi disebut sebagai kompilator dan interpreter.
Kedua, sistem operasi mengalokasikan berbagai sumber daya komputer ke para
pengguna, kelompok kerja dan aplikasi. Ketiga, sistem operasi mengelola berbagai
pekerjaan penjadwalan pekerjaan dan multi pemograman. Untuk melakukan pekerjaan
secara konsisten dan handal maka sistem operasi harus mencapai lima tujuan
pengendalian fundamental berikut
1. Sistem operasi harus melindungi dirinya dari para pengguna
2. Sistem operasi harus melindung para penggunanya dari satu sama lain
3. Sistem operasi harus melindungi para pengguna dari diri mereka sendiri
4. Sistem operasi harus dilindungi dari dirinya sendiri
5. Sistem operasi harus dilindungi dari lingkungan sekitarnya
1.3.1. Keamanan Sistem Operasi
Keamanan sitem operasi (operating system security) melibatkan kebijakan,
prosedur, dan pengendalian yang menentukan siapa saja yang dapat mengakses
sistem operasi, sumber daya mana yang dapat diakses dan tindakan apa yang
dapat dilakukan.
A. Prosedur Logon adalah pertahanan garis depan sitem operasi dari akses
tidak sah. Saat pengguna memulai proses tersebut akan disajikan dialog
yang meminta id dan kata sandinya.
B. Acces Token, jika usaha logon berhasil sistem akan membuat akses
token yang berisi informasi utama mengenai pengguna, selanjutnya
informasi tersebut akan digunakan untuk menyetujui semua tindakan
yang dilakukan oleh pengguna.

26
 C. Daftar Pengendalian Akses, daftar ini berisi informasi yang menetapkan
hak akses atas semua pengguna valid atas sumber daya terkait.
D. Pengendali Akses Mandiri, memungkinkan mereka memberikan hak
akses ke pengguna lainnya. Contoh , kontroler orang yang merupakan
pemilik file buku besar memberikan hak baca saja kepada seorang
manajer dibagian penganggaran. Akan tetapi manajer dibagian utang
usaha diberikan ijin untuk membaca dan menulis ke buku besar tersebut.
1.3.2. Ancaman terhadap integritas sistem operasi
Tujuan pengendalian sistem operasi kadang tidak dapat dicapai karena
adanya berbagai kesalahan dalam sitem operasi yang terjadi secara tidak sengaja
atau sengaja. Ancaman yang tidak disengaja meliputi kegagalan piranti keras
yang menyebabkan sistem operasi gagal (crash). Kegagalan sitem operasi juga
disebabkan oleh berbagai kesalahan dalam program aplikasi pengguna yang
tidak dapat dioterjemahkan oleh sitem operasi. Kegagalan sitem yang tidak
disengaja dapat menyebabkan keseluruhan segmen masuk kedalam disket dan
printer, hingga mengakibatkan pengungkapan secara tidak sengaja berbagai
informasi rahasia. Ancaman yang dilakukan secara sengaja terhadap sistem
operasi biasanya berupa usaha untuk mengakses data secara tidak sah atau
melanggar privasi pengguna untuk mendapatkan keuntungan finansial. Akan
tetapi bentuk ancaman yang sedang berkembang saat ini berasal dari program
penghancur yang tidak jelas keuntungannya untuk apa. Beberapa eksposur ini
berasal dari 3 sumber:
1. Personel dengan hak tertentu yang menyalahgunakan wewenangnya.
2. Orang-orang yang menjelajahi sitem operasi untuk mengidentifikasi dan
mengeksploitasi kelemahan keamanan.
3. Orang yang menyelipkan virus komputer atau bentuk lain program
penghancur lainnya kedalam sitem operasi.
1.4. Pengendalian keseluruhan sistem
Keamanan keseluruhan sitem dipengaruhi oleh bagaimana hak akses diberikan.
Oleh karenanya, hak semacam ini harus dikelola dengan hati-hati dan diawasi secara
dekat agar sesuai dengan kebijakan perusahaan dan prinsip pengendalian internal.
1.4.1. Mengendalikan Hak Akses
A. Tujuan audit

27
 Menverifikasi bahwa hak akses diberikan dengan cara konsisten
dengan kebutuhan untuk memisahkan berbagai fungsi yang tidak saling
bersesuaian, dan sesuai dengan kebijakan perusahaan.
B. Prosedur audit
1. Kaji kebijakan perusahaan atas berbagai fungsi yang tidak saling
bersesuaian dan pastikan bahwa kebijakan tersebut mendorong
adanya keamanan yang wajar.
2. Kaji berbagai hak sekelompok pengguna dan orang orang tertentu
untuk menentukan apakah hak akses mereka sesuai dengan
deskripsi pekerjaan dan posisi mereka.
3. Kaji catatan personalia untuk menentukan apakah para karyawan
yang diberikan hak tersebut menjalani pemeriksaan keamanan
intensif yang cukup atau tidak, sesuai dengan kebijakan perusahaan
4. .Kaji catatan karyawan untuk menentukan apakah para pengguna
secara formal mengetahui tanggung jawab mereka untuk
mempertahankan kerahasiaan data perusahaan
5. Kaji waktu logon yang diizinkan untuk para pengguna. Izin
tersebut harus sesuai dengan pekerjaan yang dilakukan.
1.4.2. Pengendalian kata sandi
Kata sandi adalah kode rahasia yang dimasukkan para pengguna agar
dapat memasuki akses ke sistem. Walaupun kata sandi dapat memberikan
keamanan pada tingkat tertentu, ketika diterapkan pada para pengguna yang
tidak memiliki konsep keamanan, prosedur kata sandi dapat mengakibatkan
perilaku pengguna yang dapat melemahkan keamanan. Bentuk paling umum
perilaku yang bertentangan dengan keamanan meliputi:
1. Lupa kata sandi sehingga keluar dari sitem
2. Tidak sering mengubah kata sandi
3. Sindrom post-it
4. Kata sandi yang terlalu sederhana
A. Kata sandi yang dapat digunakan kembali
Metode yang paling umum pada pengendalian kata sandi adalah
melalui kata sandi yang dapat diguanakan kembali. Kata sandi yang dapat
digunakan kembali dan berisi huruf serta angka acak adalah yang paling
sulit untuk ditelusuri, akan tetapi juga paling sulit diingat oleh pengguna.

28
 B. Kata sandi sekali pakai
Kata sandi sekali pakai didesain untuk mengatasi berbagai masalah
diatas. Dalam pendekatan ini kata sandi jaringan milik pengguna akan
secara konstan diubah.
C. Kebijakan kata sandi
1. Penyebaran yang tepat, dengan cara memberikan pelatihan
karyawan untuk meningkatkan kesadaran dalam perusahaan
2. Panjang kata sandi yang sesuai, mencari kata sandi yang tidak
mudah ditebak dengn campuran huruf dan angka
3. Kekuatan yang sesuai, kata sandi tidak boleh berisi katakata
sungguhan untuk isinya
4. Tingkat akses atau komplesitas yang sesuai
5. Perubahan tepat waktu yang sesuai, adanya perintah mengubah
kata sandi dalam waktu bersamaan
6. Perlindungan yang sesuai
7. Penghapusan yang tepat
D. Tujuan audit
Pastikan bahwa perusahaan memiliki kebijakan kata sandi yang
memadai dan efektif untuk mengendalikann akses ke sistem operasi.
E. Prosedur audit
1. Menverifikasi bahwa semua pengguna diharuskan memiliki kata
sandi
2. Menverifikasi bahwa semua pengguna diberikan arahan dalam
penggunaan kata sandi mereka dan peran penting pengendalian
kata sandi
3. Tentukan apakah telah ada prosedur untuk mengidentifikasi
berbagai kata sandi yang lemah
4. Nilai kecukupan kata sandi seperti dalam hal panjangnya dan
interval kadaluarsanya
5. Tinjau kembali kebijakan dan penguncian akun
1.4.3. Mengendalikan objek yang merusak dan risiko email
A. Mengendalikan risiko email
Surat elektonik adalah fungsi internet yang paling terkenal dan
jutaan pesan beredar diseluruh dunia setiap hari. Email memiliki berbagai

29
 risiko inheren dalam penggunaanya yang difikirkan oleh auditor salah
satunya adalah adanya infeksi virus dan worm yang sedang berkembang
luas.
B. Virus adalah sebuah program perusak yang melekatkan dirinya pada
program yang sah untuk memasuki sitem operasi. Virus menghancurkan
berbagai program aplikasi,file data dan sitem operasi dalam beberapa cara.
Pemahaman akan bagaimana virus bekerja dan bagaimana virus menyebar
antar sistem adalah hal yang penting agar dapat mengendalikannya secara
efektif.
Program virus biasanya melekatkan dirinya ke berbagai file berikut ini :
1. File program .EXE atau .COM
2. File program .OVL
3. Bagian boot suatu disket
4. Program driver suatu peralatan
5. File sistem operasi
C. Worm adalah program peranti lunak yang menyembunyikan dirinya
kedalam memori komputer dan mereplikasi dirinya ke berbagai area
memori yang tidak digunakan.
D. Bom logika adalah program perusak yang dipicu oleh beberapa peristiwa
yang telah ditentukan sebelumnya.
E. Pintu belakang (backdoor) adalah program piranti lunak yang
memungkinkan akses secara tidak sah kesistem tanpa melalui proses logon
yang normal. Tujuan dari program ini untuk menyelipkan virus dan
melakukan penipuan ke dalam sistem.
F. Kuda troya (Trojan horses) adalah program yang tujuannya menangkap ID
dan kata sandi dari pengguna yang tidak menaruh curiga. Program tersebut
didesain menyerupai sistem logon yang normal,ketika pengguna
memasukkan ID dan kata sandinya maka kuda troya akan menyimpan
salinanya dalam sebuah file tersembunyi.
Ancaman dari berbagai program yang merusak dapat secara substansial
dikurangi melalui penggabungan dua teknologi dan prosedur administrasi.
Berikut contoh yang dapat digunakan dalam sitem operasi:
1. Beli produk asli dari vendornya.

30
 2. Tetapkan kebijakan keseluruhan perusahaan terkait dengan
penggunaan piranti lunak tidak sah atas peranti lunak yang
memiliki hak cipta.
3. Selalu lakukan upgrade untuk mendeteksi virus.
4. Mengawasi semua peranti lunak domain publik akan adanya
infeksi virus sebelum digunakan.
5. Buat prosedur keseluruhan perusahaan untuk perubahan dalam
program produksi.
6. Buat program pendidikan untuk meningkatkan kesadaran pengguna.
7. Menginstal aplikasi baru dan melakukan pengujian keseluruhan
sebelum mengimplementasikan di mainframe atau jaringan LAN.
8. Secara rutin buat salinan cadangan file penting.
9. Jika memungkinkan batasi hak pengguna untuk membaca saja atau
menjalankan saja.
10. Syaratkan adanya berbagai protokol yang secara eksplisit
mendukung prosedur logon sistem operasi agar dapat memotong
akses kuda troya.
11. Secara teratur pindai sistem.
G. Spoofing
Pemalsuan IP Address untuk menyerang sebuah server di internet,
kegiatan ini biasanya dilakukan oleh para hacker/cracker.
H. Spamming
Spamming adalah pengiriman mail yang mungkin tidak diinginkan/tidak
disukai penerima email. Posting yang sering mengakibatkan SPAMMING,
misalnya: berita warning virus, media buyer, multi level marketing, surat
berantai, surat yang tidak berarti (junk mail), bomb mail (mengirim email
sama berulang-ulang) dan hoax email (email bohong, dari sumber yang
tidak jelas). Tujuan dari Spamming merupakan kegiatan "nakal" lainnya di
Internet seperti hacking, cracking, carding.
I. Chain letters
Surat berantai, yaitu surat yang dikirimkan kepada seseorang untuk
dikirim lagi ke penerima yang lain. Surat berantai sebagian besar
berisi berita-berita yang tidak dapat dipertanggungjawabkan isinya.
Cara penyebarannya surat berantai dalam surat berantai biasanya

31
 menawarkan ganjaran uang atau keberuntungan yang akan kita
terima jika kita meneruskan email tersebut kepada orang kita kenal.
Mereka menakuti kita dengan ancaman “bad luck” dan
konsekuensi yang akan kita terima kalau kita tidak meneruskan
surat tersebut.
J. Urban Legends
Contoh dari urban legends adalah percakapan antara kapten kapal
dengan kapal lain yang ia kira berada dalam jalur tabrakan.
Masing-masing meperdebatkan siapa yang harus keluar dari jalur.
Akhirnya orang kedua menginformasikan kepada kapten kapal
bahwa dia bukanlah kapten kapal melainkan penjaga
mercusuar.Pada umumnya cerita ini menarik, dan baris terakhir
pada pesan menganjurkan penerima untuk mengirim pesan tersebut
kepada teman-temannya.
K. Hoax Virus Warning
Pada dasarnya hoax memiliki kesamaan dengan chain letters
perbedaannya dalam hoax tidak memberikan ganjaran uang atau
keberuntungan yang akan diterima bila mengirimkan pesan kepada
orang yang dikenalnya. Trik dari hoax virus warning adalah
memberikan peringatan tentang konsekuensi yang serius akibat
virus, dan pada akhir pesan membuat seruan untuk
memberitahukan semua teman sebelum mereka terinfeksi. Dengan
membuat pernyataan tersebut penulis mempunyai tujuan untuk
mengedarkan pesannya ke seluruh dunia.
L. Flamming
Kelakuan manusia dalam internet tidak dapat dibatasi untuk
melakukan interaksi. Karena itu, kebanyakan melakukan atau
menulis sesuatu yang tidak mereka lakukan di depan umum.
Flamming adalah pesan yang dibuat penulis untuk menyerang
partisipan lain dengan sangat kasar dan sering menyangkut
hubungan perorangan. Flamming juga memasukkan kata-kata yang
menghina orang lain atau suatu organisasi. Resiko dari flaming
lebih serius karena undang-undang federal mengatur mengenai
pokok persoalan seperti pelecehan seksual. Pengawasan akan

32
 memasukkan pendidikan dan kebijakan melarang flaming dengan
konsekuensinya.
M. Tujuan Audit
Memeriksa efektifitas kebijakan manajemen dan prosedur untuk mencegah
pengenalan dan penyebaran tujuan untuk merusak.
N. Prosedur Audit
1. Melakukan tanya jawab dengan personil operasi, memastikan
mereka telah mengerti tentang virus komputer dan mengetahui
resiko menggunakan komputer serta penyebaran virus dan program
jahat lainnya.
2. Memeriksa prosedur operasi untuk memastikan jika CD yang rutin
digunakan untuk memindahkan data antar kelompok kerja tidak
berisi virus.
3. Membuktikan bahwa sistem pengelola rutin melakukan scan
workstation pada file server, email server dari serangan virus.
4. Membuktikan software yang baru telah diperiksa sesuai stand-
alone yang diimplementasikan pada host atau network server.
5. Membuktikan bahwa software antivirus telah diperbaharui dengan
jarak yang teratur dan didownload untuk pusat kerja per-individu.
1.4.4. Pengendalian Jejak Audit Elektronik
Audit Trail adalah logs yang dapat dirancang untuk catatan aktivitas
pada sistem, aplikasi dan tingkat pengguna. Ketika diimplementasikan dengan
tepat, audit trail menyediakan pengendalian detektif untuk membantu mencapai
tujuan kebijakan keamanan. Audit trail terdiri dari dua jenis audit logs, yaitu: (1)
detailed logs of individual keystrokes, dan (2) event-oriented logs.
A. Pengawasan Ketikan
Keystroke Monitoring meliputi pencatatan keystrokes pengguna
dan respon system. Bentuk log ini dapat digunakan setelah bukti (fact)
untuk merekonstruksi rincian kejadian atau sebagai pengendalian real-time
untuk memonitor atau mencegah instruksi yang tidak diotorisasi.
B. Pengawasan Peristiwa
Event Monitoring meringkaskan aktivitas kunci berkaitan dengan
pengguna, aplikasi dan sumberdaya sistem. Event logs khususnya
mencatat ID semua pengguna yang mengakses sistem; wakti dan durasi

33
 session pengguna; program yang dijalankan selama session; dan file-file,
database, printer dan sumberdaya yang diakses lainnya.
C. Tujuan Jejak Audit
Audit trail dapat digunakan untuk mendukung tujuan keamanan
dalam tiga cara:
1. Mendeteksi akses ke sistem yang tidak diotorisasi
2. Menfasilitasi rekonstruksi kejadian-kejadian
3. Mempromosikan akuntabilitas personal
D. Implementasi Jejak Audit
Informasi yang terkandung pada audit logs berguna bagi akuntan
dalam mengukur potensial bencana dan kerugian finansial yang
berhubungan dengan eror, penyalahgunaan wewenang, atau akses yang
tidak diotorisasi oleh pengganggu luar. Audit logs, bagaimanapun juga
dapat menghasilkan data pada overwhelming detail.
E. Tujuan Audit
Memastikan bahwa pengauditan pengguna dan kejadian memadai
untuk mengukur potensial bencana dan kerugian finansial yang
berhubungan dengan eror, penyalahgunaan wewenang, atau akses yang
tidak diotorisasi oleh pengganggu luar. Audit logs, bagaimanapun juga
dapat menghasilkan data pada overwhelming detail.
F. Prosedur Audit
Sebagian besar sistem operasi menyediakan beberapa bentuk
fungsi-fungsi manajer audit untuk menentukan kejadian-kejadian yang
diaudit. Auditor harus memverifikasi bahwa kejadian audit trail telah
diaktifkan sesuai dengan tujuan organisasi.
1. Banyak sistem operasi yang menyediakan sebuah audit log viewer
yang membenarkan auditor untuk scan log untuk aktivitas yang
tidak biasa.
2. Security group organisasi memiliki, memonitor, dan melaporkan
pelanggaran-pelanggaran keamanan. Auditor harus memilih
sebuah contoh kasus pelanggaran keamanan dan mengevaluasi
disposition mereka untuk mengakses keefektifan security group.

34
1.5. Sistem Komputer Pribadi (PC)
Bagian dari chapter ini memeriksa resiko , pengendalian, dan pokok persoalan
audit yang berkaitan dangan personal computer enviroment. PC environment
memiliki fitur-fitur yang signifikan.
1.5.1. Sistem Operasi PC
Operating system diaktifkan (boot) dan berada pada memory utama
komputer selama OS dinyalakan. Operating system memiliki beberapa fungsi.
OS mengendalikan CPU, accesses, RAM, menjalankan program, menerima
input dari keyboard atau alat input lainnya, mendapatkan kembali dan
meyimpan data ke dan dari secondary storage devices, menampilkan data pada
monitor, mengendalikan printer, dan melaksanakan fungsi-fungsi lainnya yang
mengendalikan sistem hardware.
Operating system terdiri dari dua jenis instruksi. System-resident
commands aktif pada memory utama pada seluruh waktu untuk
mengkoordinasikan permintaan input/output dan melaksanakan program. Disk
resident commands berada pada sebuah secondary storage device sampai
permintaan dibuat untuk melaksanakan special purpose utility programs ini.
1.5.2. Risiko dan Pengendalian Sistem PC
Ada banyak resiko yang baru dan berbeda yang berhubungan dengan PC:
A. Penilaian Risiko
PC memperkenalkan banyak tambahan resiko atau resiko yang
berbeda. Oleh karena itu, auditor harus menganalisis semua aspek-aspek
PC untuk memastikan resiko spesifik untuk organisasi sebagai subyek,
berhubungan dengan PC. Pada beberapa hal, resiko berhubungan dengan
lingkungan PC akan tersisa suatu pembukaan (exposure), karena tak satu
pun cost effective dapat dibuat mengenai resiko.
B. Kelemahan Inheren
PC hanya menyediakan keamanan minimal lebih dari (pada) file-
file data dan program. Kelemahan pengendalian ini merupakan bawaan
dibalik filosofi rancangan sistem operasi PC. Pada mulanya diperuntukkan
sebagai sistem pengguna tunggal, mereka dirancang untuk membuat
penggunaan komputer mudah dan untuk memudahkan akses, tidak
membatasinya. Filosofi ini sewaktu diperlukan untuk mempromosikan

35
 end-user computing, kadang-kadang ke arah perbedaan dengan tujuan
pengendalian internal.
C. Pengendalian Akses yang Lemah
Keamanan software yang meyediakan prosedur logon tersedia
untuk PC. Sebagian besar program, bagaimanapun, menjadi aktif hanya
ketika komputer di boot dari hard drive. Kejahatan komputer berusaha
untuk menghindari (mengakali) prosedur logon yang dapat dilakukan
dengan memaksa komputer untuk boot dari A: drive, atai CD-ROM drive,
dengan jalan sebuah sistem operasi yang tidak dikendalikan dapat di load
kedalam memory komputer. Pemilikan jalan pintas sistem operasi
komputer yang tersimpan dan paket keamanan, kejahatan memiliki akses
yang tidak terbatas ke data dan program pada hard disk drive.
D. Pemisahan pekerjaan yang tidak memadai
Dalam lingkungan PC, terutama perusahaan-perusahaan kecil,
seorang karyawan dapat memiliki akses ke banyak aplikasi yang
memproses transaksi yang tidak sesuai. Sebagai contoh, satu orang
individu dapat dipercaya untuk mencatat semua data transaksi, termasuk
order penjualan, penerimaan kas, faktur-faktur, dan disbursements.
Khususnya, buku besar dan rekening pembantu diperbaharui secara
otomatis dari sumber-sumber input ini. Pembukaan (exposure) bertambah
ketika ketika operator juga dipercaya untuk pengembangan (programming)
aplikasi yang dia jalankan. Pada operasi perusahaan kecil, mungkin ada
sdikit yang bisa dilakukan untuk mengeliminasi konflik bawaan dari tugas-
tugas ini. Akan tetapi, pengendalian multilevel password bisa mengurangi
resiko tersebut.
E. Pengendalian Kata Sandi Multitingkat
Pengendalian multilevel password digunakan untuk membatasi
karyawan-karyawan yang berbagi komputer yang sama untuk direktori
khusus, program-program dan file data. Karyawan diharuskan untuk
menggunakan password yang lainnya pada tingkat sistem berbeda yang
sesuai untuk memperoleh akses. Teknik ini menggunakan tabel-tabel
otorisasi yang tersimpan untuk batasan lebih lanjut sebuah akses individu
untuk hanya membaca, data input, modifikasi data, kemampuan
pencoretan (deletion) data.

36
F. Risiko Kerugian Fisik
Karena ukurannya, PC merupakan obyek pencurian. Kemudahan
Laptop untuk dibawa menempatkannya pada resiko tertinggi. Prosedur-
prosedur harus ditempatkan untuk pegangan para pengguna yang
bertanggungjawab untuk pengembalian laptop.
G. Risiko Kehilangan Data
Terdapat resiko kehilangan data karena kegagalan sistem, sabotase,
hackers/crackers,dan lainlain. Perhatian penuh harus dialihkan untuk
melindungi data sebagai asset.
Risiko Penguna Akhir. Pengguna akhir terhubung sistem jaringan yang
memiliki peluang untuk dengan sengaja menghapus hard drives, korup
atau sabotase nilai-nilai data, mencuri data dan dengan cara lain
menyebabkan kejahatan serius terhadap data perusahaan pada lingkungan
PC. Perhatian harus dialihkan untuk membatasi resiko ini dengan
pengendalian seperti training dan menciptakan kebijakan efektif atas
penggunaan komputer, termasuk menyatakan hukuman untuk pencurian
atau penghilangan (penghancuran) data.
Risiko Prosedur Pembuatan Cadangan yang tidak Memadai. Untuk
melindungi (mempertahankan) integritas misi kritis data dan program,
organisasi membutuhkan prosedur backup formal. Tanggungjawab
penyediaan backup pada lingkungan PC jatuh pada pengguna. Seringkali,
karena kurangnya pengalaman dan training komputer, pengguna gagal
untuk menyadari pentingnya prosedur backup sampai prosedur itu
terlambat. Kegagalan komputer, biasanya kegagalan disk, terutama
disebabkan hilangnya data yang signifikan pada lingkungan PC. Prosedur
formal untuk pembuatan salinan-salinan backup filefile data kritis (dan
program) dapat mengurangi ancaman ini. Ada sejumlah pilihan yang
tersedia berhubungan dengan masalah ini.
1. Local backups on appropriate media. Media yang dapat digunakan
untuk back up file-file data pada PC local termasuk floppy disk, CD-
R/CD-RW (compact disks), DVDs dan Zip Disks.
2. Dual internal hard drives. Microcomputers dapat dikonfigurasikan
dengan dua hard disks fisik internal. Satu disk dapat digunakan

37
 untuk menyimpan data yang dihasilkan dan ketika penyimpanan
yang lainnya backup file-file.
3. External hard drive. Sebuah pilihan backup yang populer adalah
external hard drive dengan removable disk cartridge, yang dapat
menyimpan ber-gigabyte data per perantaraan (medium). Medium
devices termasuk CD, DVD, dan Zip disks.
H. Risiko yang berkaitan dengan infeksi virus.
Dukungan yang tegas terhadap kebijakan dan prosedur organisasi
yang terlindungi terhadap infeksi virus adalah kritis untuk pengendalian
virus yang efektif. Auditor harus menverifikasi bahwa kebijakan dan
prosedur yang ada dan bahwa kebijakan dan prosedur tersebut dipatuhi.
Organisasi harus menggunakan pengendalian teknis tambahan dalam
bentuk software anti virus. Auditor dapat dapat memperoleh kecukupan
bukti pendukung pengendalian virus dengan melaksanakan pengujian
berikut ini:
1. Auditor harus memverifikasi bahwa organisasi mematuhi kebijakan
pembelian software hanya dari vendor yang memiliki reputasi baik.
2. Auditor harus mereview kebijakan organisasi untuk penggunaan
software anti-virus.
3. Auditor harus memverifikasi bahwa hanya software yang diotorisasi
yang dipasang pada PC.
I. Risiko pengembangan sistem dan prosedur pemeliharaan yang tidak
memadai
Lingkungan microcomputer kekurangan fitur-fitur operating
system dan pemisahan tugas-tugas yang penting untuk menyediakan
pengendalian yang diperlukan. Management harus memberikan
kompensasi untuk pembukaan (exposures) bawaan tersebut terhadap yang
lainnya, pada teknikteknik pengendalian yang lebih konvensional.
Perusahaan kecil harus menggunakan prosedur pemilihan software secara
formal, yang mencakup langkah-langkah berikut ini :
1. Menyalurkan sebuah analisis formal dari permasalahan dan
kebutuhan pengguna.
2. Meminta penawaran dari beberapa vendor.

38
 3. Mengevaluasi produk-produk yang bersaing dengan syarat-syarat
kemampuan produk untuk memenuhi kebutuhan yang
diidentifikasi.
4. Menghubungi calon pengguna saat ini paket-paket komersial untuk
mendapatkan opini mereka tentang produk tersebut.
5. Membuat pilihan.
J. Tujuan Audit
1. Memverifikasi bahwa pengendalian disusun untuk melindungi data,
program, komputer dari akses yang tidak diotorisasi, manipulasi,
perusakan, dan pencurian.
2. Memverifikasi bahwa supervisi yang cukup dan prosedur-prosedur
operasi yang ada untuk memberikan kompensasi sebagai pengganti
lemahnya pemisahan anntara fungsi-fungsi (tugas) para pengguna,
programmer, dan operator.
3. Memverifikasi bahwa prosedur backup disusun untuk mencegah
hilangnya data dan program karena kegagalan sistem, eror, dan lain
sebagainya.
4. Memverifikasi bahwa prosedur pemilihan dan perolehan sistem
menghasilkan aplikasi-aplikasi yang berkualitas tinggi, dan
terlindungi dari perubahan yang tidak diotorisasi.
5. Memverifikasi bahwa sistem tersebut bebas dari virus-virus dan
cukup terlindungi untuk meminimalkan resiko menjadi terinfeksi
dengan virus atau objek yang sejenis.
K. Prosedur Audit
1. Auditor harus memverifikasi bahwa microcomputers dan file-file
mereka secara fisik terkendali
2. Auditor harus memverifikasi mulai dari bagan organisasi, job
descriptions, dan observasi bahwa aplikasi-aplikasi programmer
menjalankan fungsi-fungsi signifikan secara keuangan juga tidak
mengoperasikan sistem tersebut.
3. Auditor harus mengkonfirmasikan bahwa laporan-laporan
transaksi yang diproses, catatan-catatan rekening yang
diperbaharui, dan jumlah pengendalian yang disiapkan,

39
 didistribusikan, dan mencocokkan dengan manajemen yang sesuai
pada interval yang teratur dan tepat waktu.
4. Auditor harus menentukan bahwa pengendalian multilevel
password digunakan untuk membatasi akses ke data dan aplikasi.
5. Jika removable hard drives digunakan, auditor harus
memverifikasi bahwa prosedur backup sedang ditelusuri. Dengan
membandingkan nilai nilai-nilai data dan tanggal-tanggal pada
backup disks untuk pembuatan file, auditor dapat menilai frekuensi
dan kecukupan prosedur-prosedur backup.
6. Auditor harus memverifikasi bahwa aplikasi kode sumber secara
fisik aman (seperti pada peti besi yang terkunci) dan hanya versi
yang tersusun disimpan pada microcomputer.
7. Dengan mereview pengendalian pemilihan dan perolehan sistem,
auditor harus memverifikasi bahwa paket software komersial
digunakan pada microcomputer yang dibeli dari vendor yang
bereputasi baik.
8. Auditor harus mereview teknik-teknik pengendalian virus.

40
 BAB III
PENUTUP

3.1. Kesimpulan
Pembahasan ini mengeksplorasi berbagai isu pengendalian operasi dan audit
yang berkaitan dengan struktur fungsi TI, pengendalian operasi pusat komputer,
sistem operasi komputer, dan lingkungan komputer pribadi. Strukturisasi fungsi
teknologi informasi terdiri dari pemrosesan data terpusat, pemisahan pekerjaan yang
tidak saling bersesuaian, model terdistribusi dan mengendalikan lingkungan DDP.
Dalam pusat komputer telah dibahas tentang pengendalian pusat komputer yang
terdiri dari beberapa fitur pengendalian yaitu lokasi fisik, konstruksi, akses, pengatur
suhu udara, pemadam kebakaran, pasokan listrik, tujuan audit, dan prosedur audit.
Sistem operasi (operating system) adalah program pengendali dalam komputer.
Sistem ini memungkinkan para pengguna dan aplikasi didalamya untuk berbagi dan
mengakses sumber daya komputer bersama seperti prosessor, memori utama, basis
data dan printer. Keamanan sitem operasi (operating system security) melibatkan
kebijakan, prosedur, dan pengendalian yang menentukan siapa saja yang dapat
mengakses sistem operasi, sumber daya mana yang dapat diakses dan tindakan apa
yang dapat dilakukan.
Dalam Pengendalian keseluruhan sistem Keamanan keseluruhan sitem
dipengaruhi oleh bagaimana hak akses diberikan. Oleh karenanya, hak semacam ini
harus dikelola dengan hati-hati dan diawasi secara dekat agar sesuai dengan
kebijakan perusahaan dan prinsip pengendalian internal.

41
 DAFTAR PUSTAKA

Hall, James A dan Singleton Tommie. 2007. Audit Teknologi Informasi dan Assurance.
Jakarta: Salemba Empat

42