Dalam makalah sebelumnya telah dijelaskan kerangka pengendalian manajemen

(the management control framework) poin satu sampai tiga, yaitu pengendalian
pucuk pimpinan (top management controls), pengendalian manajemen
pengembangan sistem (system development management controls), dan
pengendalian manajemen program (programming management systems). Dan
dalam pertemuan kali ini akan dibahas kelanjutan dari kerangka pengendalian
manajemen tersebut yang terdiri dari, pengendalian majamenen sumber data (data
resources management controls), pengendalian manajemen keamanan (security
management controls), pengendalian manajemen operasi (operations management
controls), dan pengendalian manajemen jaminan kualitas (quality assurance
management controls).

A. Pengendalian Manajemen Sumber Data (Data Resource Management

Controls)
Setiap organisasi seharusnya dapat menyadari pentingnya data sebagai
sumber daya kritis yang memang harus dikelola dengan baik agar tidak terjadi
hal-hal yang tidak diinginkan. Dan dalam suatu sistem berbasis teknologi
informasi, pengendalian manajemen data yang baik terdapat beberapa hal
didalamnya seperti:
1. User harus dapat berbagi data, maksudnya disini adalah data yang ada
dapat di gunakan oleh pengguan serta dapat data tersebut dapat dibagikan
ke sesame pengguna.
2. Data harus tersedia untuk digunakan kapan saja, dimana saja, dan dalam
berbagai bentuk apapun (dengan aturan akses/wewenang yang jelas).
3. Sistem manajemen data juga harus menjamin adanya sistem penyimpanan
yang efisein, tidak terjadi redundancy data, adanya data security, data
integrity, dan data independence.
4. Data disini juga harus dapat dimodifikasi dengan mudah oleh pemakainya
(user friendly) oleh pihak yang berwenang untuk memodofikasinya.

Untuk menangani sistem manajemen data, dapat dilakukan solusi teknis

dengan melakukan database management systems (DBMS) dan data
repository systems (DRS). Selain itu juga diperkenalkan dua peranan keahlian
penting di dalam manajemen data yaitu data administrator (DA) dan database
administrator (DBA). Sasaran atau tujuan dari pengelolaan data antara lain:

1. Sharability, yaitu kemampuan untuk berbagi. Maksudnya adalah pemakai

data yang berbada dama suatu organisasi dapat diizinkan masuk dan
menggunakan data yang sama. Mereka tidak perlu memiliki copy dari
data yang sama tersebut.
2. Availability, yaitu ketersediaan. Maksudnya adalah jika data digunakan
secara bersama-sama, maka pemakai harus dapat masuk dan
menggunakan data tersebut pada saat dibutuhkan, dari lokasi mereka dan
dengan format yang mereka perlukan.
3. evolvability, yaitu kemampuan untuk berkembang. Data serta fasilitas
yang ada dapat dikembangna dengan mudah sesuai dengan perubahan
yang nantinya diperlukan oleh pemakainya.
4. Integrity, yaitu keutuhan dan konsistensi data. Maksudnya adalah jika data
digunakan banyak orang maka keaslian, keakuratan dan kelengkapan serta
konsistensi data itu harus dapat terjaga dengan baik. Jangan sampai terjadi
kesalahan di dalam data tersebut.

Tugas DA dan DBA

Auditor harus memahami fungsi DA dan DBA dengan beberapa alasan,

seperti:

1. Jika DA dan DBA tidak menjalankan fungsinya dengan baik, maka akan
sulit menentukan pengamanan aset, integritas data, efektivitas dan
efisiensi sistem dalam DB.

2. DA dan DBA adalah merupakan sumber daya dalam organisasi untuk

memberikan informasi terkait kelebihan dan kekurangan lingkungan
database.
3. DA dan DBA menyediakan informasi penting administratif dan teknis
yang perlu diketahui oleh auditor.

Berikut beberapa tugas Data/Database Administrator:

Tugas Tanggungjawab DA Tanggungjawab DBA

Definisi data Membuat perencanaan Membuat skema internal
data strategis, menelaah yang khusus (berorientasi
kebutuhan pengguna, serta pada komputer).
membuat definisi konsep
yang khusus dan skema
eksternal (berorientasi
pada kebutuhan pemakai).
Pengisisan data Membantu pemakai untuk Menyiapkan program
dapat membuat prosedur untuk membuat data, dan
pengumpulan data, membantu memadatkan
validasi dan kriteria edit. atau mengumpulkan data.
Mendefinisi Menetapkan konsep dan Menetapkan skema
ulang/merestruktur skema eksternal yang baru, internal yang baru,
ulang data membantu pemakai untuk mengubah database agar
memahami konsep baru sesuai dengan skema yag
itu. baru.
Pensiunkan data Menentukan kebijakan Menjalankan kebijakan
pension data. pensiun data.
Membuat Menentukan kebutuhan Menentukan kebutuhan
database tersedia pemakai akhir atas programmer atas
untuk pemakai database tools, testing, dan database tools.
mengevaluasi alat tersebut.
Memberitahukan Menjawab pertanyaan dan Menjawab pertanyaan
dan melayani mengajari pemakai, dan mengajari
pemakai mengumumkan programmer,
 kebijaksanaan dibidang mengumumkan
informasi. kebijaksanaan dibidang
informasi.
Pemeliharaan Mengembangkan dan Menjalankan kontrol
integritas database mengumumkan standar database untuk membantu
organisasi, membantu programmer untuk
pemakai untuk membuat mendesain dan
aplikasi pengendalian. menjalankan kontrol
aplikasi.
Memonitor Memonitor pola pemakai Memonitor pola
operaional database. penggunaan database oleh
programmer,
mengumpulkan statistic
kinerja database.

Dari tugas DB dan DBA dapat dilakukan beberapa cara untuk mengauditnya,
seperti:

1. Pada tugas definisi, pengisian, restruktur ulang dan pensiun data

a. Dapat dilakukan wawancara serta observasi langsung kepada DA dan

DBA untuk mengetahui performansi mereka

b. Mengevaluasi sampel dokumen (kualitas desain skema, kontrol

perubahan skema, dan kebijakan data retirement)

c. Wawancara pengguna tentang seberapa baik performansi DA dan

DBA

2. Pada tugas membuat database tersedia untuk pemakai

a. Wawancara DA dan DBA tentang aktivitas untuk ketersediaan data

 b. Wawancara pengguna tentang kepuasan dalam akses dan
penggunaan DB

c. Evaluasi machine logs dan manual logs sebagai bukti penggunaan

d. Jika perlu, lakukan pengujian detail tentang sistem aplikasi yang

menggunakan DB, apakah beroperasi dengan efektif dan efisien
atau tidak

3. Pada tugas memberitahukan dan melayani pemakai

a. Wawancara DA dan DBA tentang prosedur dalam menyampaikan

informasi dan melayani pengguna

b. Evaluasi kualitas sistem komunikasi, dokumentasi dan messaging

c. Wawancara sampel pengguna untuk konfirmasi kepuasan terhadap

performansi DA dan DBA

4. Pemeliharaan integritas database

a. Wawancara DA dan DBA tentang kontrol yang diterapkan untuk

mengelola integritas DB

b. Wawancara pengguna DB tentang awareness terhadap kontrol tsb

c. Observasi pengguna saat mengakses dan mengubah DB

d. Jika perlu, lakukan pengujian detail tentang aplikasi DB yang

digunakan

5. Pada tugas memonitor operational

a. Wawancara DA dan DBA tentang prosedur yang digunakan untuk

mengawasi DB

b. Evaluasi dokumentasi terkait statistik yang dikumpulkan dan aksi

yang dilakukan untuk meningkatkan performansi
 c. Wawancara/ sebarkan kuesioner ke sampel pengguna untuk
konfirmasi apakah sistem telah berjalan efektif dan efisien

d. Jika perlu, lakukan pengujian detail untuk memastikan bahwa

sasaran perlindungan aset dan integritas data telah diupayakan

Pada sistem database terdapat tiga pendefinisian yang harus dilakukan, yaitu:

1. External schema, adalah sebuah skema eksternal yang memperlihatkan

berbagai keterangan tentang pandangan pemakai terhadap database
sebagai suatu objek yang akan diminta oleh pemakai. Oleh karena
banyaknya pemakai, maka skema eksternal ini juga banyak.

2. Conceptual schema, dalam skema ini memperlihatkan database dari

perspektif users atau pengguna. Isi dari skema ini adalah semua objek
yang ada di database, semua attribute, semua hubungan antara objek dan
semua integrity constraint pada objek.

3. Internal schema, dalam skema ini menunjukan peta database ke fisik

media penyimpanan. Disini berisikan records, fields, access paths, dan
proses yang digunakan untuk menggambarkan objek seperti yang
ditunjukan pada skema konseptual.

Intregritas Data

Integritas data menurut (Everest, 1986) dalam bukunya (Gondodiyoto, 2007)

mengidentifikasikan ada 6 hal yang harus dilakukan oleh DA dan DBA untuk
mengkontrol aktivitas mereka, yaitu:

1. Definition control, disini DA dan DBA menetapkan kontrol untuk

memastikan bahwa database akan selalu sesuai dengan definisinya. DA
mengembangkan dan menyebarluaskan standar dari definisi data yang
telah dibuat dan melakukan pengawasan terhadap pencapaian standar
tersebut.
2. Existence control, disini DA dan DBA melakukan pengamanan terhadap
database dengan melakukan backup dan recovery procedure. DA dapat
berkonsultasi dengan pemakai untuk menetapkan backup apasaja yang
diperlukan.

3. Access control, maksudnya disini adalah seperti password.

4. Update control, maksudnya disini adalah membatasi pengubahan

database, hanya dapat dilakukan oleh pengguna yang memang berwenang.
Dalam hal ini terdapat dua hal yaitu penambahan data pada database dan
wewenang untuk mengubah serta menghapus data yang ada.

5. Concurrency control, integritas data dapat bermasalah tiba-tiba bila data

yang sama diakses oleh dua pengguna bersamaan, jika hal ini tidak diatur
tentunya ini akan membuat eror.

6. Quality control, bertugas untuk memastikan keakuratan, kelengkapan, dan

konsistensi data yang di pelihara pada database.

Penempatan DA dalam suatu organisasi:

1. Di organisasi strategic atau turnaround, SI memegang peran penting

untuk keberhasilan organisasi. DA cocok ditempatkan di posisi dengan
kekuasaan cukup besar.

2. Di organisasi support atau factory, DA sebaiknya diletakkan di bahwa

kontrol orang yang bertanggung jawab atas fungsi SI.
 Sedangkan penempatan DAB dalam suatu organisasi dapat berupa:

a. Posisi DBA tidak bergantung pada karakteristik organisasi.

b. DBA harus punya posisi di bawah orang yang mengendalikan fungsi

SI.

c. DBA harus bekerja dekat dengan DA, dan dapat berkomunikasi

langsung dengan DA.

Penempatan fungsi DA dan DBA akan lebih sulit jika organisasi tersebut
menggunakan struktur desentralisasi. Beberapa hal tujuan antara manajemen
database dengan tujuan dari desentralisasi fungsi sitem informasi sering
bermasalah, disatu sisi sentralisasi perencanaan dan kontrol data memiliki
tujuan yang sama dengan manajemen database, namun disisi lain
desentralisasi fungsi sistem informasi sehingga dekat dengan pemakai
merupakan tujuan dari desentralisasi itu sendiri. Sebuah penyesuaian
mungkin dapat dilakukan, seperti data dapat dibagi kedalam 2 set yaitu data
pusat serta data lokal. Serta penempatan DA dan DBA dalam tingkat divisi
dan pusat. Fasilitas yang akan digunakan untuk memelihara definisi otomatis
dari data dapat disebut data repository systems. Dan auditor harus dapat
mengetahui seperti apa dan bagaimana DRS dan kegunaannya pada proses
audit.

Fungsi utama dari DRS adalah untuk menyimpan data pada database,
karena definisi data adalah data itu sendiri maka disebut metadata yang harus
otentik, akurta, lengkap, konsisten, dan up to date database tersebut, dan itu
semua dapat diperoleh dari:

1. Aplikasi yang mengakses dan memanipulasi DB

2. Pengguna yang harus menjalankan aktivitas harian

Beberapa masalah yang akan dihadapi dam pengimplementasian DRS antara

lain:

1. DRS biasanya terkait dengan PL lain (DBMS, CASE tool, application

generator, dll)

2. Pengelolaan DRS tunggal jadi sulit jika fungsi SI terdistribusi

3. Sulit membangun DRS yang mendukung semua kebutuhan penggunaan

secara efektif dan efisien
Data definition (DD) dan DRS dapat digunakan dalam audit:

1. DD dapat diakses untuk menentukan layout catatan

2. Auditor dapat memperoleh kriteria validasi terkait data items yang diaudit

3. Jika auditor menemukan bahwa data items hilang/ corrupted, DRS dapat
digunakan untuk mencari tahu file mana yang terpengaruh

4. Auditor dapat mengakses DD untuk menentukan prosedur backup and

recovery dari file tertentu

Tugas dari DA dan DBA bisa dibilang sangat penting, namun tidak dapat
kita hindari terkadang kekuasaan itu bersebrangan dengan aturan yang ada.
Maka dari itu kita harus mengetahui seberapa besar pengaruh DA dan DBA,
sehingga dapat meminimalisir kerusakan pengendalian yang terjadi. Ada
beberapa masalah yang timbul dari eksistensi tugas DA dan DBA, seperti:

1. Jika DBA yang dipekerjakan tidak berkompeten, data yang akan

digunakan jadi tidak efisiendan bisa menimbulkan konflik antar
pemakainya.

2. Harus ada kontrol karena wewenang dari DA dan DBA dapat memberikan
akses kepada mereka untuk melakukan kecurangan atau tindakan criminal.

3. Penyalahgunaan tools yang mereka miliki untuk melanggar hak akses,

sebagai contoh mereka mengetahui password dari pemakai.

Solusi untuk menghindarinya:

1. Terapkan senioritas dalam peran DA dan DBA, untuk memastikan

kompetensi dan tingkat kepercayaan terhadap DA dan DBA

2. Berikan pelatihan yang cukup agar DA dan DBA dapat bekerja secara
efektif dan efisien, serta mengurangi kemungkinan kesalahan

3. Tentukan pemisahan tugas yang tepat dan jelas bagi DA dan DBA
 4. Gunakan log manual dan otomatis untuk mencatat aktivitas DA dan DBA

B. Pengendalian Manajemen Keamanan (Security Management Controls)

Pengendalian ini dimaksudkan untuk memberikan keyakinan agar aset sistem

informasi tetap aman. Aset sumber daya informasi mencakup fisik dan non fisik.
Aset fisik meliputi perangkat mesin, pengguna, perlengkapan dan fasilitas
penunjangnya, sedangkan aset non fisik, meliputi data/informasi dan program
aplikasi komputer. Keamanan sistem informasi mencakup keamanan perangkat
keras, perangkat lunak, data/informasi, sistem prosedur dan manusia.

Ancaman utama terhadap keamanan dapat terjadi disebabkan karena bencana

alam, maupun oleh manusia yang bersifat kelalaian atau kesengajaan, antara lain:

1. Sumber ancaman eksternal

a. Ancaman kebakaran
Beberapa pelaksanaan pengamanan apabila terjadi ancaman kebakaran
adalah:
 Memasang alarm kebakaran otomatis yang diletakkan pada tempat
dimana aset-aset sistem informasi berada.
 Menyediakan tabung kebakaran yang diletakkan pada lokasi yang
mudah diambil.
b. Ancaman banjir
Beberapa pelaksanaan pengamanan untuk ancaman banjir adalah:
 Meletakkan semua material aset sistem informasi di tempat yang
tinggi.
c. Perubahan tegangan sumber energi
 Mengantisipasi perubahan tegangan sumber energi listrik, misalnya
dengan menggunakan stabilizer ataupun uninteruptable power supply
(UPS) yang memadai yang mampu meng-cover tegangan listrik bila
tiba-tiba turun.
d. Kerusakan struktural
  Kerusakan struktural biasanya terjadi karena bencana alam seperti
gempa, angin ribut.
e. Hacker
Pelaksanaan pengamanan terhadap hacker, yaitu:
 Penggunaan kontrol logika seperti menggunakan password yang sulit
untuk ditebak.
 Penggunaan firewall.
f. Virus dan worm

Pelaksanaan pengamanan terhadap virus dan worm, yaitu:

 Tindakan preventif, dapat dilakukan dengan cara memasang anti

virus dan meng-update secara rutin, serta melakukan scan file yang
akan digunakan.
 Tindakan detektif, seperti melakukan scan secara rutin.
 Tindakan korektif, seperti memastikan back up data bebas virus,
pemakaian anti virus terhadap file yang terinfeksi.
2. Sumber ancaman internal
 Manajemen, misalnya adanya kesalahan dalam penyediaan sumber
daya, perencanaan control yang tidak cukup.
 Karyawan, misalnya errors, theft (pencurian), fraud (penipuan),
sabotase, extortion (pemerasan), improper use of service
(penggunaan layanan yg tidak sah)
 Unreliable system, misalnya terjadi kesalahan pada hardware,
software maupun kesalahan pada fasilitas.

Disaster Recovery Plan

Disaster recovery merupakan suatu proses, kebijakan, dan prosedur untuk

mengembalikan kinerja infrastruktur teknologi setelah terjadi bencana. Disaster
Recovery Plan terdiri dari 4 bagian, meliputi :

1. Emergency plan:
 aksi yang harus dilakukan segera jika terjadi bencana
2. Backup plan
Tipe, frekuensi, prosedur, lokasi, dan pelaksana backup
3. Recovery plan
Prosedur untuk mengembalikan kemampuan SI
4. Test plan
Untuk mengidentifikasi defisiensi rencana emergency, backup dan
recovery

Dalam rencana kerja audit terhadap pengendalian keamanan, perlu dilakukan hal-
hal sebagai berikut:

1. Teliti security management controls, apakah sudah ada kebijakan

pengamanan terhadap:
 Ancaman kebakaran
 Ancaman banjir
 Perubahan tegangan sumber energi
 Kerusakan struktural dan pengamanan untuk mengantisipasi kerusakan
struktural
 misalnya memilih lokasi perusahaan yang jarang terjadi gempa dan
angin ribut.
 Polusi
 Penyusup
 Virus, apakah ada preventif, seperti menginstall anti virus dan
mengupdate secara
 rutin, melakukan scan file yang akan digunakan. Atau secara detektif,
melakukan
 scan secara rutin, atau korektif, memastikan backup data bebas virus,
pemakaian
 antivirus terhadap file yang terinfeksi.
 Hacking.
  Pengendalian keamanan fisik.
 Pengendalian keamanan data dan fasilitas pengolahan.
 Adanya data-log, file-protection, access restriction, back-up &
recovery.
2. Teliti mengenai security management controls atas data communication,
apakah sudah ada kebijakan pengamanan:
 Facilities security controls
 Library controls
 Online access controls
 Controls deteksi atas kegagalan sistem pengamanan
 Recovery dari kegagalan sistem Pengamanan
 Devices, Remote terminal, channels, multiplexor, control unit
 Concepts, Modulasi, transmission mode, direction
 Online real-time system
 Distributed Data Processing
 Networking
 Security Protection
 Self Protection
3. Memperoleh informasi dari manajemen mengenai penggunaan fasilitas
pengamanan, library, dan pengendalian pengamanan sistem online,
4. Periksa master security plan untuk menentukan apakah pengendalian
pengamanan sistem sudah cukup dan lengkap,
5. Periksa hasil pengujian pengendalian pengamanan sistem dan periksa
penilaian manajemen atas hasil pengujian tersebut,
6. Perhatikan fasilitas pengamanan sistem untuk memastikan cara kerja
pengendalian akses sistem, konstruksi, dan lokasi seperti yang ditetapkan
oleh manajemen,
7. Perhatikan library untuk menentukan apakah prosedur pembatasan akses
program, dokumen, dan file selama digunakan telah efektif,
8. Perhatikan lokasi komputer pusat untuk memastikan bahwa akses ke dalam
sistem telah terlindung secara efektif,
9. Perhatikan wewenang akses ke dalam sistem untuk menentukan apakah
konsistensi dengan pemisahan fungsi dan dapat menjaga kerahasiaan data,
10. Perhatikan pengindentifikasi pemakai untuk menentukan apakah hanya
pemakai yang berwenang yang dapat menggunakan sistem,
11. Perhatikan metoda pengendalian komunikasi akses data untuk meyakinkan
bahwa akses oleh penyadap memiliki kemungkinan yang kecil,
12. Pelajari laporan auditor internal mengenai pengendalian pengamanan sistem
dan periksa simpulan mereka atas kecukupan pengendalian,
13. Peroleh informasi dari manajemen mengenai jenis dan lokasi peralatan
pemadam kebakaran, dan pastikan adanya prosedur yang harus diikuti oleh
staf sistem (pengolahan data) berbasis komputer jika terjadi bahaya
kebakaran,
14. Peroleh informasi dari manajemen mengenai peralatan untuk mendeteksi
akses ke ruang komputer yang dilakukan tanpa ijin, dan pastikan adanya
prosedur yang harus diikuti ketika akses tanpa ijin terdeteksi,
15. Perhatikan fasilitas pengamanan sistem untuk memastikan keberadaan,
jumlah, dan lokasi peralatan pendeteksi akses komputer,
16. Periksa hasil pengujian pengamanan sistem untuk menentukan kecukupan
peralatan deteksi akses komputer,
17. Peroleh informsi dari manajemen mengenai alat untuk memastikan apakah
penggunaan sistem online otentik,
18. Periksa daftar pengguna komputer dan periksa catatan mengenai
pendeteksian dan tindak lanjut dari kegagalan pengamanan sistem,
19. Periksa prosedur darurat mengenai penggunaan sistem off-line, selama
adanya kegagalan sistem on-line untuk memastikan bahwa pengendalian
terhadap ketepatan dan kelengkapan transaksi sudah memadai,
20. Diskusikan dengan data entry operator mengenai prosedur darurat tersebut
untuk meyakini bahwa mereka telah mengerti prosedur tersebut dan
pengendalian yang terkait,
21. Periksa tata cara pemulihan untuk memastikan apakah manajemen telah
mengantisipasi seluruh kemungkinan risiko pengamanan,
22. Periksa hasil pengujian atas rencana pengamanan untuk memastikan bahwa
rencana tersebut benar-benar meminimalkan kemungkinan kehilangan data
dan kerugian materi,
23. Amati library dan periksa adanya back-up master file maupun back-up
transaction file untuk memastikan bahwa prosedur pemulihan data telah
diikuti.
24. Periksa mengenai kebijakan pengendalian akhir apabila ancaman keamanan
benar-benar telah terjadi, pengendalian akhir apa yang dilaksanakan:
 Periksa pedoman rencana pemulihan menjadi keadaan normal setelah
terjadi bencana:
 Rencana Darurat (Emergency Plan)
 Rencana Backup (Backup Plan)
 Rencana Pemulihan (Recovery Plan)
 Rencana Pengujian (Test Plan)
 Ada atau tidaknya kebijaksanaan asuransi
 Pengaturan adanya peralatan komputer dan peralatan lainnya sabagai
cadangan (back-up-site),apabila terjadi masalah pada peralatan yang
dioperasikan. Dimana pun peralatan komputer cadangan berada,
cadangan tersebut harus diuji coba secara berkala terlebih dahulu untuk
menjalankan program komputer yang ada,
 Pengaturan dan penempatan perangkat lunak cadangan dan
dokumentasinya di lokasi yang berbeda.Perangkat lunak cadangan
harus selalu dimutakhirkan untuk menjamin tidak ada perbedaan
dengan program yang dioperasikan,
 Perbaikan data yang memungkinkan recovery master file dan
transaction file,
 Pengaturan pegawai yang bertanggung jawab untuk menangani apabila
ada masalah yang terjadi.
C. Pengendalian Manajemen Operasi (Operations Management Controls)

Pengendalian ini merupakan jenis pengendalian intern yang dirancang

untuk pengelolaan sumberdaya dan operasi teknologi informasi salam suatu
organisasi. Pengendalian ini disusun dengan tujuan menciptakan kerangka
kerja organisasi, pendayagunaan sumberdaya informasi serta pembagian
tugas yang baik bagi suatu organisasi yang menggunakan sistem berbasis
teknologi informasi. Sumber daya yang dimaksud disini adalah hardware,
software, net-ware, brain-ware, ataupun data itu sendiri serta seluruh
komponen yang akan dipergunakan untuk mendukung keberlangsungan
kegiatan operasi sistem informasi yang baik. Pengendalian manajemen
operasi dapat diterapkan dengan mencakup hal-hal seperti:

1. Pemisahan tugas dan fungsi

Tahap ini didesain untuk memastikan bahwa fungsi-fungsi yang tidak

sejalan yang mana seharusnya saling mengecek, seperti: fungsi
analisis/desain dan pemograman, dengan operasi komputer (didalamnya
terdapat penyiapan transaksi, otorisasi, proses entri, dan pelaporan) telah
dipisahkan. Ada dua jenis pemisahan fungsi, yaitu pemisahan fungsi
untuk departemen TI dengan non TI, dan pemisahan fungsi di dalam
departemen TI itu sendiri.

a. Pemisahan fungsi departemen TI dengan non TI (users)

Bertujuan untuk memisahkan antara pemakai atau pengguna dengan

departemen TI sehingga meningkatkan pengendalian terhadap
aktivitas TI. Jika pemisahan ini berjalan efektif, maka departemen TI
tidak akan bertanggungjawab terhadap hal-hal:

1) Yang bersifat melakukan dan mengotorisasi transaksi

2) Kebenaran nilai substansi dan perubahan file induk atau file

transaksi, kecuali ada permintaan atau otorisasi dari departemen
lain(users)
 3) Mengoreksi kesalahan yang bukan kesalahan departemen TI itu
sendiri tanpa ada permintaan atau otorisasi dari departemen lain
(users)

b. Pemisahan fungsi di dalam departemen TI

Fungsi ini dapat dipisahkan berdasarkan fungsi sistem dan

pemograman, operasi komputer, pengendalian dan penjadwalan
input.output, dan pemeliharaan media (library). Selain itu juga
terdapat fungsi-fungsi dalam departemen TI dapat dipisahkan
berdasarkan:

1) Penyusunan sistem aplikasi yang dapat diperinci menjadi analisis

dan perancangan sistem, dan penyusunan program

2) Operasi mesin

3) Fungsi dukungan teknis (technical support) seperti database

administrator, communication specialist, systems programmer, dan
staff teknis hardware.

4) Pengawasan yang terdiri dari pengawasan proses, serta pengawasan

dan penyimpanan file, media, program dan dokumentasi,
manajemen dan pengawasan database.

2. Pengendalian personil

Personil tentunya mempunyai peranan yang penting dalam

pengendalian manajemen sistem. Kualitas dan kejujuran personil dalam
pengoperasian sistem akan berdampak pada suskse dan efektifnya operasi
sistem yang ada. Oleh karena itu kualitas dan kejujuran dari personil akan
menentukan kualitas dari sebuah sistem. Pengendalian personil yang
efektif dapat dilakukan dengan berbagai cara seperti:

a. Diadakannya prosedur penerimaan dan pemilihan pegawai

 b. Diadakannya peningkatan keahlian melalui pelatihan yang sesuai
dengan bidangnya

c. Diadakannya evaluasi dari suatu pekerjaan

d. Pengadministrasian atas gaji dan prosedur promosi yang jelas

e. Diuraikannya tugas dengan jelas

f. Pemilihan dan pelatihan pegawai

g. Adanya penyeliaan (supervisi) dan penilaian

h. Adanya job rotation serta keharusan mengambil cuti.

Pengendalian operasi sistem didesain untuk memberikan keyakinan yang

memadai bahwa:

a. Sistem yang ada hanya digunakan untuk tujuan yang memang telah
diotorisasi

b. Akses terhadap operasi komputer hanya dibatasi untuk karyawan yang

telah mendapatkan otorisasi

c. Hanya program-program yang telah disetujui yang digunakan

d. Masalah pengolahan dapat dideteksi dan dikoreksi.

3. Pengendalian perangkat keras

Pengendalian ini didesain untuk dapat memastikan bahwa perangkat

keras yang ada dalam hal ini komputer telah aman dari kerusakan yang
disebabkan oleh berbagai faktor baik dari manusia ataupun dari
lingkungan disekitar komputer itu sendiri. Terdapat beberapa jenis
pengendalian perangkat keras yang dapat diterapkan dalam organisasi
untuk menjaga keamanan perangkat keras seperti:

a. Pengawasan terhadap akses fisik

 Pengawasan ini merupakan perlindungan yaitu dengan melakukan
pembatasan pada orang-orang yang akan masuk ke bagian atau
ruangan misalnya ruangan komputer. Bentuk pengawasan itu dapat
berupa ditempatkannya satpam pada posisi yang strategis, pengisian
agenda kunjungan bagi para pengunjung, dan penggunaan tanda
pengenal pegawai kantor.

b. Pengaturan lokasi fisik

Maksudnya adalah lokasi untuk ruangan komputer, sebab penempatan

ruangan komputer menjadi pertimbangan yang cukup penting.
Ruangan komputer ini dapat ditempatkan pada ruangan yang jarang
atau tidak mudah didatangi orang-orang yang tidak berkepentingan,
ini akan menjaga komputer dari kerusakan oleh pihak-pihak yang
tidak berwenang.

c. Penggunaan alat pengaman

Alat ini digunakan untuk tambahan perlindungan. Alat ini dapat

berupa detector asap, alat pemadam kebakaran, air conditioner,
ataupun penangkal petir.

d. Pengendalian operasional perangkat keras

Ini merupakan bentuk pengendalian untuk menjaga perangkat keras

dari kemungkinan kerusakan akibat aktivitas pengoperasian.
Pengendalian ini meliputi prosedur pemeliharaan rutin, penanganan
dan laporan kerusakan, pengendalian tindakan personil, serta
inventarisasi.

e. Pengendalian perangkat lunak

Pengendalian ini didesain untuk memastikan keamanan dan kendalan

dari suatu sistem. Dilakukan dengan cara mengawasi penggunaan
program dan mencegah akses oleh pihak yang tidak berwenang. Cara
 yang dapat dilakukan adalah dengan pemakaian prosedur log on dan
pengendalian terhadap ancaman dari virus.

f. Pengendalian keamanan data

Merupakan tindakan pengendalian yang dilakukan untuk menjaga

keamanan data yang tesimpan dalam media penyimpanan agar tidak
rusak, hilang, atau malah diakses orang yang tidak berhak.

Dengan begitu garis besar manajemen operasi bertanggung jawab

terhadap hal-hal:

a. Pengoperasian komputer (computer operation)

Tiga tipe kontrol yang harus ada:

1) Fungsi yang harus dilakukan operator manusia maupun otomatis

2) Fungsi penjadwalan kerja pada hardware maupun software

3) Fungsi pemeliharaan hardware

Auditor mengevaluasi:

1) Apakah operasi otomatis sudah akurat, lengkap dan otentik

2) Apakah ada penjadwalan produksi yang diacu

3) Apakah pemeliharaan sudah efektif dan efisien

Auditor dapat mewawancara manajer operasi, tekniksi dan operator,

serta mengevaluasi dokumentasi yang dihasilkan.

b. Pengoperasian jaringan (network operation)

Ini berkaitan dengan pengelolaan WAN dan LAN. Kontrol yang

penting yang harus dilakukan adalah dalam penggunaan network
control terminal (pada WAN) dan file servers (pada LAN). Audit
dapat mengevaluasi reliabilitas kontrol operasi network control
 terminal dan file servers melalui wawancara, observasi, dan review
dokumentasi.

c. Persiapan dan pengentrian data (preparation and entry data)

Fasilitas persiapan dan entri data harus dirancang untuk

meningkatkan kecepatan dan akurasi operator. Operator harus terlatih,
dan ada mekanisme backup yang sesuai.

Auditor diharuskan untuk mengevaluasi:

1) Apakah ada standar yang diterapkan untuk persiapan dan entri data

2) Dokumen yang menunjukkan kesesuaian pelaksanaan persiapan

dan entri data dengan standar yang diacu

d. Pengendalian produksi (production control)

Fungsi utamanya adalah untuk mengelola input dan output,

penjadwalan kerja, manajemen SLA (service-level agreements) dengan
pengguna, transfer pricing/ chargeout, serta akuisisi hasil komputer.
Auditor mengevaluasi:

1) Apakah file telah disiapkan dan terdokumentasi sesuai standar

2) Dengan wawancara pengguna dan staf operasi tentang SLA

3) Catatan komplain dan aksi penyelesaiannya

4) Akurasi, kelengkapan, kebaruan dan keamanan dari dokumentasi

fungsi transfer-pricing

4. Kepustakaan file (file library)

Fungsi dari kepustakaan file pada bagian operasioanal adalah

bertanggung jawab untuk mengelola manajemen penyimpanan data,
karena media penyimpanan mungkin menyimpan file yang sangat penting
sehingga media tersebut harus disimpan dengan aman. Auditor dapat
 melakukan wawancara, observasi dan review dokumen untuk memastikan
bahwa media telah disimpan, digunakan, dipelihara dan dimusnahkan
dengan baik. Juga dibutuhkan berbagai jenis dokumentasi untuk
mendukung fungsi sistem informasi. Meliputi dokumen rencana strategis
dan operasional, dokumentasi sistem aplikasi, program aplikasi, system-
software dan utility, basis data, manual operasi, manual pengguna, dan
manual standar. Aktivitas ini sulit, karena tanggung jawab dokumentasi
biasanya tersebar di seluruh bagian organisasi dan bentuk serta lokasinya
sangat beragam.

5. Fungsi help desk

Dalam fungsi ini bertujuan untuk:

a. Menyediakan hardware/software bagi users, atau membantu

menyelesaikan masalah pemakai akhir

b. Menjawab pertanyaan pemakai akhir

c. Memonitor perkembangan teknologi dan memberikan informasi teknis

kepada pemakai akhir tentang perkembangan tersebut.

Auditor dapat mengevaluasi kinerja help desk/ technical support melalui

wawancara, observasi dan review dokumentasi.

6. Capacity planning

Dalam memanfaatkan SI untuk mencapai tujuan dengan biaya

seminimal mungkin, manajer operasi harus memutuskan:

a. Apakah laporan performansi menunjukkan penyalahgunaan fasilitas

b. Apakah performansi sistem dapat diterima dan sesuai dengan

kebutuhan pengguna

c. Apakah perlu penambahan hardware dan software

 Auditor perlu mengevaluasi apakah manajer operasi telah mengawasi
performansi dengan baik dan apakah keputusan yang diambil terkait
perencanaan kapasitas sudah sesuai dengan statistik performansi.

7. Outsource

Organisasi biasanya melakukan outsource sebagaian fungsi SI agar

bisa lebih fokus pada bisnis utamanya dan fungsi SI dapat berjalan dengan
baik karena dipegang oleh pihak yang kompeten. Tipe-tipe kontrol yang
penting untuk dilakukan adalah:

a. Evaluasi terus-menerus tentang kelayakan keuangan pihak penyedia

outsource

b. Memastikan kesesuaian dengan syarat dan ketentuan kontrak

outsourcing

c. Memastikan keandalan berkelanjutan dari kontrol dalam operasi

penyedia outsource

d. Mengelola prosedur disaster recovery dengan penyedia outsource

D. Pengendalian manajemen jaminan kualitas (Quality assurance

management control).

Fungsi utama yang harus dilakukan Quality Assurance Management Controls

adalah untuk memastikan bahwa sistem informasi yang dihasilkan telah
mencapai tujuan kualitas, pengembangan, pelaksanaan, pengoperasian, dan
pemeliharaan dari sistem informasi sudah sesuai dengan standar kualitas.
Alasan pentingnya peran QA dalam organisasi adalah semakin banyaknya
organisasi yang menggunakan sistem informasi sebagai aset utama, tuntutan
pengguna akan sistem informasi yang berkualitas juga semakin meningkat,
ambisi organisasi akan kualitas software semakin meningkat, lalu organisasi
semakin bertanggung jawab untuk menghindari produk (software) cacat,
 kontrol kualitas yang buruk akan beresiko dan dapat memunculkan biaya
yang tinggi.

Berikut penjelasan secara detail mengenai fungsi Quality Assurance dalam

organisasi :

1. Mengembangkan tujuan kualitas

Aktivitas ini termasuk aktivitas yang sulit dilakukan karena perspektif definisi
kualitas berbeda-beda. Kualitas perlu dibedakan dalam berbagai level sistem
informasi. Tujuan kualitas dapat bertentangan satu sama lain. Auditor perlu
mengevaluasi apakah sudah ada charter dan definisi sasaran untuk fungsi-
fungsi sistem informasi, apakah tujuan dan ukuran kualitas telah ditentukan
untuk setiap sistem informasi yang digunakan dalam organisasi, level
awareness staf QA dan SI tentang tujuan kualitas,serta opini stakeholders
(termasuk manajemen) tentang tujuan kualitas yang ditentukan oleh staf QA.

2. Mengembangkan, menginformasikan dan memelihara fungsi sistem informasi

berdasarkan standar
Terdapat beberapa keuntungan apabila memberikan tanggung jawab ini
kepada staf QA:

 Staf QA dituntut memiliki pengetahuan terbaru tentang penerapan standar

SI, hal tersebut dapat menentukan standar organisasi menjadi lebih
mudah

 Di dalam organisasi, keputusan tentang standar seringkali menjadi isu

politis sehingga staf QA cocok karena independen

 Posisi QA memungkinkan pandangan yang lebih luas untuk menilai

maupun menentukan standar yang paling sesuai untuk organisasi.

 Staf QA memang dinilai kinerjanya menurut kualitas yang dicapai

organisasi, termasuk fungsi SI di dalamnya.
 Auditor dapat mewawancarai staf QA maupun stakeholders lain tentang
tentang aktivitas ini. Auditor juga dapat melakukan observasi pada rapat QA
dan me-review dokumentasi standards.

3. Mengawasi kepatuhan terhadap standar QA

Staf QA mengawasi kepatuhan dengan standar berupa rencana QA untuk
sistem spesifik di organisasi, maupun standar umum.
4. Mengidentikasi area yang butuh perbaikan
Sebagai pihak yang independen, QA diharapkan dapat memberikan
rekomendasi terkait perbaikan sistem yang sesuai. Beberapa hal yang
mungkin dihadapi seperti kemungkinan peningkatan efektivitas biaya,
ketepatan perubahan standar SI, dampak perubahan terhadap stakeholders,
kemungkinan resistansi perilaku pada perubahan standar, ataupun dukungan
manajemen bila standar atau proses harus berubah
5. Melaporkan kepada manajemen
QA harus memberikan laporan secara rutin kepada manajemen tentang
penerapan standar SI apakah sudah sesuai dengan yang telah direncanakan
di awal. Kekurangan yang teridentifikasi harus dapat disampaikan kepada
manajemen dengan tepat. Auditor dapat melakukan wawancara staf QA
untuk mengetahui pendekatan yang digunakan untuk menghasilkan temuan,
selain itu wawancara stakeholders untuk mengetahui tingkat kepuasan, serta
observasi rapat yang membahas laporan dan temuan, dan review contoh
laporan QA
6. Mengadakan pelatihan QA standards and procedures

Pegawai yang terampil dan memiliki motivasi tinggi merupakan hal yang
sangat berpengaruh terhadap kualitas. Terdapat 2 tipe training yang
diperlukan, diantaranya:

 Training tentang pengetahuan umum QA Standar

 Prosedur yang spesifik tentang sistem aplikasi

Hubungan antara audit dan quality assurance

Jika QA ada dan berfungsi baik, auditor bisa mengurangi substantive testing
yang perlu dilakukan. Staf QA seharusnya bias melakukan pengecekan
kontrol SI yang lebih komprehensif, sehingga hasilnya dapat diandalkan oleh
auditor. Auditor dapat berfokus pada evaluasi fungsi dan peran QA tanpa
perlu terlalu dalam menguji kontrol SI.

Pembangunan sistem komputerisasi yang baik, berkaitan dengan segala hal

yang mencakup kegiatan pengembangan sistem, implementasi,
pengoperasian, dan perawatan sistem aplikasi, perlu diteliti:

1. apakah kegiatan-kegiatan tersebut sungguh-sungguh telah dilakukan

sesuai dengan kaidah standar yang telah ditetapkan, dan apakah
(sistem) informasi yang akan dihasilkan dapat mencapai tujuan serta
sasaran hasil dan mutu yang dikehendaki.
2. Teliti apakah pengguna (user) makin menuntut (demanding) bahwa
jasa yang mereka terima harus memenuhi mutu tertentu yang sesuai
dengan satisfaction level tertentu.
3. Teliti apakah ada unit yang bertanggungjawab dan memonitor defect
product.
4. Teliti apakah ada mekanisme untuk menemonitor apakah service agar
user satisfied terhadap produk/jasa sistem informasi telah dikelola
dengan baik.
5. Teliti apakah para pimpinan organisasi makin menyadari untuk lebih
menggalakkan fungsi quality assurance, mengembangkan budaya
mutu, khususnya membantu kesadaran mutu dan bagaimana
menetapkan sasaran kualitas ke anggota development team.
6. Teliti apakah pimpinan (atau unit yang ditugasi) telah menetapkan,
mengelola, dan mensosialisasikan standar, khususnya yang berkaitan
dengan sistem informasi.
7. Teliti apakah pimpinan (atau unit yang ditugasi) memonitor apakah
standar sudah dipatuhi.
8. Teliti apakah pimpinan atau unit yang ditugasi mengkaji bidang-
bidang yang perlu perbaikan, terutama yang berkaitan dengan masalah
kualitas.
9. Teliti apakah pimpinan atau unit yang ditugasi memberikan pelatihan-
pelatihan tentang peningkatan mutu produk/jasa.
 DAFTAR PUSTAKA
Gondodiyoto, S. 2007. Audit Sistem Informasi + Pendekatan CobIT.
Jakarta: Mitra Wacana Media.
Ron Weber (2007). Information Systems Control and Audit. Prentice-Hall,
USA