Disusun Oleh
Kelompok II :
1. Amir Hasan
2. Doni Kasmon
3. Hikalmi
4. Liza Aulia Rizki
ANGKATAN XX
PROGRAM MAGISTER AKUNTANSI
PASCA SARJANA UNIVERSITAS SYIAH KUALA
DARUSSALAM, BANDA ACEH
2012
BAB 10
PROSES INTEGRITAS
Prinsip Proses Integritas dari Kerangka kerja Pelayanan keyakinan (trust service)
menyatakan bahwa sistem yang andal adalah salah satunya menghasilkan informasi
yang akurat, komplit, tepat waktu, dan valid. Seperti yang dibahas dalam tujuan
pengendalian COBIT DS 11.1, hal ini membutuhkan pengendalian atas input, proses,
dan output data. Tabel 10-1 menyajikan 6 katagori dasar penerapan pengendalian yang
dibahas dalam COBIT framework untuk memastikan proses integritas.
Tabel 10-1 Penerapan Pengendalian yang Dibahas dalam COBIT untuk memastikan
Proses Integritas
SIA BAB 10 2
penanganan komplit memeriksa kesamaan
AC6 – Kebenaran dan Pengungkapan tidak (parity), teknik pesan
Integritas Transaksi sah dari informasi pengakuan.
sensitif (peka)
Kerugian, perubahan
atau pengungkapan
informasi dalam
perjalanan
SIA BAB 10 3
masukan (input). Dokumen turnaround disiapkan dalam mesin pembaca bentuk
untuk memfasilitasi proses berikutnya sebagai record input. Sebagai contoh Utility Bill
yang dapat dibaca dengan perangkat scanning khusus ketika bill terebut
dikembalikan dengan pembayaran. Dokumen turnaround memastikan ketelitian
dengan mengeliminasi potensi kesalahan input ketika memasukkan data secara
manual.
SIA BAB 10 4
kurang dari atau sama dengan 40 jam. Sama halnya dengan field upah harian harus
lebih besar dari atau sama dengan upah minimum.
Range check (cek ring) menguji apakah jumlah angka jatuh diantara batas bawah
dan atas dari yang ditetapkan. Sebagai contoh, promosi pemasaran mungkin
diarahkan hanya untuk prospek dengan laba $ 50.000 dan $ 99.999.
Size check (cek ukuran) memastikan bahwa data input akan cocok ke dalam filed
tugas. Sebagai contoh nilai 458.976.253 akan tidak cocok dengan field digit delapan.
Completeness check (cek kelengkapan) pada setiap input yang direkam menentukan
apakah semua item data yang dibutuhkan sudah dimasukkan. Sebagai contoh,
catatan (rekaman) transaksi penjualan tidak harus diterima untuk diproses kecuali
melengkapinya dengan alamat pengiriman dan penagihan pelanggan.
Validity check (cek validitas) membandingkan kode ID atau nomor rekening (akun)
pada transaksi data dengan data yang sama dalam file master untuk memverifikasi
bahwa akun ada. Sebagai contoh, jika nomor produk 65432 dimasukkan pada
pesanan penjualan, komputer harus memverifikasinya bahwa produk tersebut benar
bernomor 65432 dalam database inventory.
Reasonableness check (cek kewajaran) menentukan kebenaran dari hubungan logis
antara dua item. Sebagai contoh, jam lembur harus dibuat nol untuk seseorang yang
tidak bekerja maksimum pada jam kerja regular dalam periode pembayaran.
Nomor ID resmi (seperti nomor pekerja) dapat berisi suatu cek digit yang dihitung
dari digit lainnya. Sebagai contoh, sistem dapat menetapkan setiap karyawan baru
dengan nomor Sembilan digit, lalu menghitung digit sepuluh dari Sembilan digit
aslinya dan menambahkannya dengan jumlah yang dihitung dengan Sembilan digit
aslinya untuk membentuk nomor ID sepuluh digit. Perangkat data entry kemudian
dapat diprogram untuk melakukan verifikasi cek digit dengan menggunakan digit
Sembilan pertama untuk menghitung digit kesepuluh setiap kali nomor ID tersebut
dimasukkan. Jika kesalahan dibuat dalam memasukkan salah satu dari sepuluh digit,
perhitungan dilakukan pada Sembilan digit pertama tidak akan cocok dengan yang
kesepuluh atau cek digit.
SIA BAB 10 5
Pengujian data entry terdahulu (preceding) digunakan dua metode yaitu batch
processing dan online real-time processing. Pengendalian data input tambahan berbeda
dengan kedua metode proses tersebut.
Batch total ini dihitung dan disimpan oleh sistem ketika data awalnya dimasukkan. Data
tersebut kemudian akan di kalkulasi ulang untuk memverifikasi apakah seluruh input
diproses dengan benar.
SIA BAB 10 6
Verifikasi closed-loop memeriksa akurasi data input dengan menggunakannya untuk
mengambil dan menampilkan nama akun sehingga pengguna dapat membuktikan
bahwa nomor akun yang benar sudah dimasukkan.
Log transaksi meliputi rician rekaman seluruh transaksi, termasuk mengidentifikasi
transaksi unik, tanggal dan waktu entry, dan siapa yang memasukkan transaksi. Jika
sebuah file online rusak log transaksi dapat digunakan untuk memastikan bahwa
transaksi tersebut tidak hilang atau dimasukkan dua kali.
SIA BAB 10 7
yang terjadi. Sebagai contoh, jika saat dihitung ulang jumlah record nya lebih kecil
dari yang aslinya, satu atau lebih transaksi record tidak diproses. Sebaliknya, jika
saat dihitung ulang jumlah recordnya lebih besar dari yang aslinya, ada tambahan
transaksi yang tidak sah diproses, atau beberapa transaksi record diproses dua kali.
Jika perbedaan total keuangan atau hash dibagi merata dengan 9, kemungkinan
penyebabnya adalah kesalahan transposisi (perubahan), dimana dua digit yang
berdekatan secara tidak sengaja terbalik (seperti 46 menjadi 64). Kesalahan
transposisi mungkin muncul karena dianggap sepele tapi bias memiliki konsekuensi
keuangan yang sangat besar. Sebagai contoh, efek dari salah mencatat tingkat
bunga pinjaman sebesar 6.4% menjadi 4.6%.
Cross footing dan zero balance test. Jumlah total dapat dihitung dalam berbagai
cara. Sebagai contoh, di dalam kertas kerja, grand total dapat dihitung salah satunya
dengan menjumlah total kolom atau baris atau dengan menjumlahkan baris dari total
kolom. Kedua metode ini harus menghasilkan hasil yang sama. Cross footing balance
test membandingkan hasil yang diproduksi oleh setiap metode untuk memverifikasi
keakuratan. Zero balance test menerapkan logika yang sama untuk mengendalikan
akun. Sebagai contoh, akun kliring upah di debit untuk pembayaran bruto semua
pekerja dalam periode waktu tertentu. Kemudian meng-kredit jumlah alokasi biaya
seluruh pekerja untuk berbagai katagori beban. Akun kliring upah harus memiliki
saldo nol setelah keduanya di jurnal (di entri); apabila tidak bersaldo nol
mengindikasikan kesalahan proses.
Write-protection mechanisms. Pengendalian ini untuk melindungi terhadap
tertimpanya atau terhapusnya data file yang tersimpan pada media magnetic. Write-
protection mechanisms telah lama digunakan untuk melindungi master file dari
kerusakan yang tidak disengaja. Invoasi teknologi juga mengharuskan penggunaan
Write-protection mechanisms untuk melindungi integritas data transaksi. Sebagai
contoh, tag identifikasi frekuensi radio (RFID) digunakan untuk melacak kebutuhan
persediaan dengan perlindungan catatan (jumlah harga) agar pelanggan tidak dapat
merubah harga barang.
SIA BAB 10 8
Pengendalian update bersamaan (Concurrent update control). Kesalahan dapat
terjadi ketika dua atau lebih pengguna berusaha untuk memperbaharui record yang
sama secara bersamaan. Pengendalian update bersamaan mencegah kesalahan
tersebut dengan mengunci satu pengguna sampai sistem telah selesai memproses
transaksi yang dimasukkan oleh pengguna yang lain.
SIA BAB 10 9
otomatis dan pengguna baru menyadarinya setelah terjadi. Sebagai contoh,
Transmission Control Protocol (TCP) yang dibahas pada Bab 8 memberikan nomor
urut untuk setiap paket dan menggunakan informasi tersebut untuk memverifikasi
bahwa seluruh paket sudah diterima dan memasang kembali dalam urutan yang
benar. Ada dua pengendalian lain yang umumnya digunakan dalam transmisi data
yaitu checksums dan parity bits.
1. Checksums. Ketika data ditransmisikan (dikirim), perangkat pengirim dapat
menghitung file hash, yang disebut checksums. Perangkat penerima melakukan
perhitungan yang sama dan mengirim hasilnya ke perangkat pengirim. Jika dua
hash setuju, transmisi dianggap akurat. Jika tidak file dikirim ulang.
2. Parity bits. Komputer merepresentasikan karakter sebagai kumpulan digit
berpasangan yang disebut bit. Setiap bit memiliki dua kemungkinan nilai: 0 atau
1. Banyak komputer menggunakan skema pengkodean tujuh digit, yang mewakili
lebih dari 26 huruf dalam abjad inggris (huruf besar dan kecil), nomor 0 sampai 9
dan variasi symbol khusus ($, % dan sebagainya). Parity bit adalah suatu
tambahan ekstra digit untuk setiap karakter awal yang dapat digunakan untuk
memeriksa akurasi transmisi. Dua skema dasarnya yang disebut sebagai even
parity (parity genap) dan odd parity (parity ganjil). Pada parity genap (Even
Parity), parity bit diset agar masing-masing karakter memiliki bit angka genap
dengan nilai 1; pada parity ganil (Odd Parity) parity bit diset agar jumlah ganjil bit
dalam karakter memiliki nilai 1. Untuk contoh, digit 5 dan 7 dapat
direpresentasikan dengan pola tujuh digit masing-masing 0000101 dan 0000111.
Sistem Parity genap (even parity) akan mengeset parity bit dari 5 sampai 0,
sehingga akan ditransmisikan sebagai 00000101 (karena kode binary dari 5 sudah
memiliki dua bit dengan nilai 1). Parity bit untuk 7 akan diatur ke 1, sehingga
akan ditransmisikan sebagai 10000111 (karena kode binary untuk 7 memiliki 3 bit
dengan nilai 1). Perangkat penerima melakukan pemeriksaan pairy (parity
checking), mencakup verifikasi bahwa jumlah yang tepat dari bit diatur ke angka
1 pada masing-masing karakter yang diterima
SIA BAB 10 10
Contoh Ilustrasi : Proses Penjualan Kredit
Kita sekarang menggunakan penjualan kredit untuk menjelaskan berapa banyak
pengendalian aplikasi yang telah dibahas berdasarkan fungsinya. Data transaksi berikut
yang digunakan yaitu: nomor pesanan penjualan, nomor rekening pelanggan, nomor
item persediaan, kuantitas yang terjual, harga jual, dan tanggal pengiriman. Jika
pembelian pelanggan lebih dari satu produk, akan ada item persediaan dengan nomor
ganda, kuantitas yang terjual dan harga terkait dengan setiap transaksi penjualan.
Proses transaksi ini meliputi langkah-langkah berikut: (1) memasukkan dan mengedit
data transaksi; (2) mengupdate record (catatan) pelanggan dan persediaan (jumlah
pembelian kredit ditambahkan pada saldo pelanggan; untuk setiap item persediaan,
kuantitas terjual dikurangi dari kuantitas di tangan); dan (3) mempersiapkan dan
mendistribusikan pengiriman dan/atau dokumen penagihan. Contohnya untuk batch
dan proses online disajikan.
SIA BAB 10 11
Laporan pengendalian menggambarkan seluruh kesalahan entri data.
Kesalahan entri data terjadi karena operator membaca sumber dokumen yang tidak
benar atau secara tidak sengaja menekan tombol yang salah, biasanya dapat
diperbaiki segera setelah terdeteksi. Sumber data yang tidak benar, seperti
transaksi penjualan yang diotorisasi atau nomor akun yang tidak valid, seluruh
masalah dan harus dikembalikan ke departemen penjualan untuk koreksi.
4. Menyortir dan mengedit file transaksi. File transaksi disortir (diurutkan)
dengan nomor rekening pelanggan. Pemeriksaan validasi tambahan dilakukan,
termasuk melakukan sign check terhadap kuantitas pesanan dan field harga
memuat nomor positif, dan range check pada tanggal pengiriman yang dijanjikan
untuk memverifikasi bahwa tidak lebih awal dari tanggal pemesanan atau selambat-
lambatnya dari kebijakan perusahaan untuk mengiklankan. Transaksi-transaksi
yang ditolak terdaftar pada laporan pengendalian bersama dengan total batch yang
dihitung. Data control menyesuaikan dengan total batch, menyelidiki dan
mengoreksi seluruh kesalahan, dan menyampaikan transaksi yang dikoreksi untuk
diproses.
5. Memperbaharui master file. File transaksi penjualan diproses terhadap database
pelanggan (akun piutang) dan persediaan atau master file. Operator membaca label
eksternal dan program membaca record internal header untuk memastikan bahwa
master file yang benar sedang di perbaharui (update). Transaksi penjualan dengan
nomor pelanggan atau nomor-nomor item yang tidak ada dalam master file yang
sesuai tidak diproses; sebagai gantinya, nomor-nomor tersebut dimasukkan pada
laporan kesalahan (error). Setelah transaksi penjualan diproses, sign check bekerja
untuk memastikan field kuantitas di tangan pada master record tidak negatif.
Pengujian juga dilakukan untuk memastikan bahwa harga jual jatuh dalam batas
normal, pesanan tersebut tidak melebihi batas kredit pelanggan dan kuantitas yang
dipesan wajar mengingat dan riwayat pesanan pelanggan. Memeriksa data yang
berlebihan – untuk contoh, perbandingan jumlah item persediaan dan deskripsi –
digunakan untuk memastikan bahwa master file record yang benar diperbaharui
(update). Perubahan total dalam saldo pelanggan dihitung; total keuangan ini
SIA BAB 10 12
dibandingkan dengan total jumlah penjualan seluruh transaksi yang sedang
diproses.
6. Mempersiapkan dan mendistribusikan output. Output termasuk penagihan
dan/atau dokumen-dokumen pengiriman dan laporan pengendalian. Laporan
pengendalian berisikan akumulasi total batch selama file update run dan daftar
transaksi yang ditolak oleh program update.
7. Review Pengguna. Pengguna pada departemen pengiriman dan penagihan
melakukan review terbatas terhadap dokumen-dokumen yang datanya tidak
lengkap atau kekurangan. Mereka juga membandingkan sistem yang dihasilkan
total batch dengan yang dihitung pada langkah 1 untuk memverifikasi seluruh
transaksi yang diproses.
SIA BAB 10 13
yang sudah diberikan (hanya possitive, karakter numerik dalam jumlah, tanggal,
dan bidang harga), dan batas pengisian limit yang sudah diisikan (tanggal
pengiriman dibandingkan tanggal sekarang).
Bila memasukkan nomor pelanggan, sistem mengambil nama pelanggan yang
sesuai dari database dan menampilkannya di layar. Operator visual memeriksa
nama pelanggan. Jika sesuai dengan nama dalam dokumen pesanan penjualan,
operator sistem, transaksi dapat dilanjutkan, jika tidak maka sistem meminta untuk
dilakukan data yang benar.
Bila jumlah item persediaan yang dimasukkan, sistem akan melakukan hal yang
sama seperti ketika memasukkan data nomor pelanggan.
SIA BAB 10 14
• Pengguna di département pengiriman dan penagihan melakukan penelaahan
terbatas dari dokumen dengan melakukan pemeriksaan data yang belum lengkap,
atau kesalahan lainnya.
• Laporan pengecekan ini dikirim ke penerima secara otomatis, jika sistem
meragukan keabsahan, maka akan mengkonfirmasi identitas yang meminta data
dengan memvalidasi terlebih dahulu nomor identitas dan password pengguna.
SIA BAB 10 15
Universitas menerapkan sejumlah kontrol dalam proses untuk menjamin integritas
faktur pengolahan mereka. Legalitas dari pembayaran, dan pengarsipan dengan
software elemen dalam faktur penting dalam kelengkapan kontrol, dengan persyaratan
dari Komisi Eropa dan otoritas pajak setempat. Pengontrolan ini meliputi :
• pemisahan tugas (Otorisasi);
• membuat otomasi kepada pihak yang berkepentingan;
• membuat otomasi akun dalam buku besar dan pusat-pusat biaya;
• mengontrol transmisi data antara sistem IT yang berbeda;
• memeberi tanda data yang sudah discan dan file pembayaran.
SIA BAB 10 16
Ketersediaan (Availability)
Interupsi proses bisnis karena tidak tersedianya atau jika sistem informasi dapat
menyebabkan kerugian keuangan secara signifikan. Akibatnya, COBIT bagian DS 4
membahas pentingnya memastikan bahwa sistem dan informasi yang tersedia bisa
digunakan. Tujuan utama adalah untuk meminimalkan resiko tidak bekerjanya sistem.
Hal ini tidak mungkin, namun demikian, untuk benar-benar risiko tidak bekerjanya
sistem. Oleh karena itu, organisasi juga perlu kontrol yang dirancang untuk
memungkinkan dimulainya kembali operasi normal secara cepat setelah terjadinya
permasalahan pada sistem. Tabel 10-2 merangkumcara mengontrol tujuan dengan dua
cara.
Tabel 10-2
Tujuan dan Kontrol Kunci
SIA BAB 10 17
Meminimalkan Risiko Kegagalan Sistem
Organisasi dapat memahami mengambil berbagai tindakan untuk meminimalkan
risiko COBIT dalam objektif DS 13.5 mengidentifikasihal yang perlu dilakukan dengan
melakukan tindakan pencegahan, kontrol dan benar menyimpan media yang magnetic
dan optik, untuk mengurangi risiko kegagalan hardware dan software. Sebagai contoh,
banyak organisasi menggunakan redundant arrays if independent drives (RAID) bukan
hanya satu disk drive. Dengan RAID, data ditulis ke dirives beberapa disk hampir
bersamaan. Jadi, jika salah satu disk drive gagal, data dapat dengan mudah diakses
dari yang lain.
SIA BAB 10 18
Dengan melakukan pelatihan dapat mengurangi resiko kegagalan sistem. Melatih
operator dengan membuat simulasi seolah-olah terjadi kegagalan sistem, kemudian
melakuan bagaimana memulihkan, dengan kerusakan minimal. Itulah sebabnya COBIT
mengontrol objektif DS 13.1 menekankan pentingnya mendefinisikan dan prosedur
untuk memastikan bahwa staf TI memahami tanggung jawab mereka.
Kegagalan sistem dapat disebabkan oleh adanya malware komputer (virus dan worm).
Oleh karena itu, penting untuk menginstal, menjalankan, dan menjaga antivirus saat ini
dan anti-spyware program. Program ini harus secara otomatis dipakai tidak hanya
untuk memindai e-mail, tetapi juga semua media penyimpanan (CD, DVD, USB
perangkat, dll) yang ada dalam perusahaan.
SIA BAB 10 19
Gambar 10-3 menunjukkan hubungan antara dua pertanyaan tersebut.ketika
masalah terjadi, data tentang semua kejadian yang telah terjadi sejak back up terakhir
dihilangkan kecuali data tersebut dapat dienter kembali kedalam sistem. Jadi, jawaban
manajemen untuk pertanyaan pertama menentukan recovery point obejective (RPO)
atau sasaran poin pemulihan sebuah organisasi yang mewakili jumlah maksimal data
yang berpotensi hilang. Jawaban atas pertanyaan kedua menentukan recovery time
objective (RTO) atau sasaran waktu pemulihan organisasi yang mewakili jangka waktu
yang berusaha untuk berfungsi tanpa sistem informasinya.
SIA BAB 10 20
Prosedur Backup Data
Prosedur data backup dirancang untuk sesuai dengan situasi dimana informasi
tidak selalu dapat diakses karena file-file yang relevan atau database telah menjadi
corrupted sebagai hasil dari kegagalan hardware,masalah software,atau human eror,
tapi sistem informasi itu sendiri masih berfungsi. Beberapa perbedaan prosedur backup
tersedia. A full backup atau backup penuh adalah salinan nyata dari keseluruhan
database. Full backup adalah time-consuming,jadi kebanyakan organisasi hanya
melakukan full backup perminggu dan mensupplai mereka dengan backup partial
harian. Gambar 10-4 membandingkan dua tipe dari backup partial harian.
1. Incremental backup termasuk hanya salinan data item yang telah berubah sejak
backup partial terakhir. Hal tersebut menghasilkan seperangkat incremental backup
file,yang setiap file terdiri dari setiap file terdiri dari hasil transaksi satu hari.
Restoration atau Perbaikan termasuk loading pertama dan full backup terakhri dan
kemudian diinstal tiap kelanjutan incremental backup dari rangkaian yang cocok.
2. Differential backup. Semua Salinan differential backup atau backup berbeda
berubah dibuat sejak full backup atau backup penuh terakhir. Jadi setiap file
differential backup yang baru terdiri dari pengaruh kumulatif dari semua aktivitas
sejak full backup terakhir. Dengan demikian, kecuali dari hari pertama mengikuti
full backup, diffrential backup harian memiliki waktu yang lebih lama daripada
incremental backup. Akan tetapi, restolution atau Perbaikan lebih simpel, karena full
backup terakhir membutuhkan untuk disuplemen dengan hanya differential backup
terbaru,daripada seperangkat file incremental backup harian.
SIA BAB 10 21
Tidak masalah prosedure backup mana yang digunakan, salinan berlipat ganda
seharusnya diciptakan. Satu salinan dapat disimpan pada on-site, untuk penggunaan
suatu kejadian dari masalah minor yang relativ terjadi, seperti kerusakan hard drive.
Pada kejadian dari masalah yang lebih serius lagi, seperti kebakaran atau banjir, setiap
salinan backup disimpan on-site akan lebih mudah hancur atau tidak dapat diakses.
Oleh karena itu, salinan backup kedua perlu untuk disimpan off-site. File-file backup
tersebut dapat dipindahkan pada site penyimpanan yang jauh baik secara fisik ataupun
elektronik. pada kasus yang lain, kontrol keamanan yang sama perlu untuk
diaplikasikan untuk backup file yang digunakan untuk melindungi salinan asli dari
informasi. Hal itu berarti salinan backup dari data sensitif harus dienkripsikan diantara
tempat penyimpanan dan selama transmisi elektronik. Akses ke backup file juga perlu
dikontrol dan dimonitori secara hati-hati.
Penting juga untuk melatih sistem penyimpanan secara periode dari backupnya.
hal tersebut berverifikasi bahwa prosedur backup bekerja dengan benar dan bahwa
media backup (tape atau disk) dapat dibaca dengan sukses oleh hardware yang
digunakan.
Backup dipakai hanya selama periode waktu yang relativ singkat. Sebagai
contoh,banyak organisasi bertahan hanya beberapa bulan dari backup. Bagaimanapun,
beberapa informasi harus disimpan lebih lama. sebuah arsip adalah salinan dari
database, master file, atau software yang dipakai secara tidak langsung sebagai catatan
historis, yang biasanya legal dan memerlukan pengaturan. Sebagai backup, salinan
arsip yang berlipat ganda seharusnya dibuat dan disimpan pada lokasi yang berbeda.
Tidak seperti halnya backup, arsip jarang dienkripsikan karena mereka memiliki
rentetan waktu yang lama yang meningkatkan resiko kehilangan kunci decryption.
Akibatnya, kontrol akses secara fisik dan logis adalah alat pokok untuk melindungi arsip
file.
Media apa yang seharusnya digunakan untuk backup dan arsip-arsip, tape atau
disk? Disk backup lebih cepat dan disk mudah hilang. Tape lebih murah, lebih mudah
untuk dibawa, dan lebih berdurasi lama. Dengan demikan, banyak organisasi
SIA BAB 10 22
menggunakan kedua media tersebut. Pertama data diback up ke disk, untuk cepat,
kemudian ditransfer ke tape.
Perhatian spesial perlu dibayar untuk backup dan pengarsipan e-mail, karena
telah menjadi repositori penting dari tingkah laku organisasi dan informasi. Alih-alih, e-
mail sering terdiri dari solusi-solusi untuk masalah yang spesifik. E-mail juga biasanya
terdiri dari informasi yang relevan terhadap lowsnit. seharusnya menarik untuk sebuah
organisasi untuk menyadari suatu polis dari penghapusan semua e-mail secara periode,
untuk mencegah gugatan pengacara dari penemuan suatu "smoking gun" dan untuk
mencegah biaya penemuan e-mail yang diminta oleh partai lainnya. Kebanyakan para
ahli, menyarankan melawan seperti politisi-politisi, karena ada beberapa hampir
menjadi salinan-salinan dari e-mail yang disimpan di arsip-arsip luar organisasi. Oleh
karena itu, sebuah kewenangan menghapus secara regular seluruh e-mail yang berarti
bahwa organisasi tidak akan dapat untk mengatakan bagian dalam cerita; pengadilan
(dan hakim) hanya akan membaca e-mail yang diciptakan oleh polis lainnya untuk
dipeselisihkan. Pernah juga ada kasus dimana pengadilan telah mendenda organisasi
jutaan dolar karena gagal memberikan e-mail yang diminta. Oleh karena itu, organisasi
perlu untuk mengbackup dan mengarsip e-mail penting ketika purging secara periode
sejumlah volume rutin, sisa-sisa e-mail.
SIA BAB 10 23
software, data, akses internet, printer, dan supplies. Pilihan pertama adalah untuk
mengontrak untuk kegunaan dari cold site. Yaitu sebuah gedung kosong diprewired
untuk keperluan akses telepon dan internet, ditambah sebuah kontrak dengan satu
atau lebih vendor untuk menyediakan semua perlengkapan yang perlu dalam periode
waktu yg spesifik. Cold site masih meninggalkan organisasi tanpa penggunaan dari
sistem informasi selama periode waktu,jadi sesuai jika hanya ketika organisasi RTO
pada satu hari atau lebih. Pilihan waktu kedua adalah untuk mengontrak untuk
penggunaan dari hot site, yaitu sebuah fasilitas yang tidak hanya prewired untuk akses
telepon dan internet tapi juga tetdiri dari semua perlengkapan kantor dan komputer
organisasi yang perlu untuk menampilkan aktivitas esensi bisnis. Hot site secara tipikal
berhasil dalam RTO hitungan jam.
Masalah antara cold dan hot site adalah penyedia site secara tipikal menjual
berlebihan kapasitasnya, dibawah asumsi bahwa dalam sekali waktu hanya sedikit klien
yang akan perlu untuk menggunakan fasilitas. Asumsi tersebut biasany dibenarkan.
Pada kejadian bencana pada umumnya, seperti badai katrina, mempengaruhi semua
organisasi dalam area geografik, bagaimanapun juga beberapa organisasi dapat
menemukan bahwa mereka tidak dapat meraih akses ke cold dan hot site mereka.
Akibatnya, pilihan ketiga pergantian infrastruktur bagi organisasi dengan jangka pendek
RTO adalah untuk membangun pusat data kedua sebagai back up dan
menggunakannya untuk implementasikan real-time mirroring.
Business continuity plan (BCP) atau kelanjutan perencanaan bisnis
menspesifikasikan bagaimana cara untuk meringkas tidak hanya operasional IT tapi
semua proses bisnis, termasuk pemindahan ke kantor baru dan menyewa tempat
sementara, jikambencana besar tidak hanya menghancurkan pusat data organisasi tapi
juga pusat kepala bagian. Perencanaan seperti itu sangat penting karena lebih dari
setengah organisasi tanpa DRP dan BCP tidak pernah buka kembali setelah ditekan
untuk tutup lebih dari beberapa hari karena bencana. Maka, memiliki DRP dan BCP
dapat berarti perbedaan antara bertahan atas major catastrophe seperti badai katrina
atau 9/11 dan bangkrut.
SIA BAB 10 24
Memiliki DRP dan BCP bagaimanapun juga tidaklah cukup. Kedua perencanaan
harus didokumentasikan dengan baik. Dokumentasi tersebut seharusnta tidak hanya
termasuk instruksi untuk notifikasi kesesuaian staf dan langkah-langkah untuk
mengambil ringkasan operasional, tapi juga dokumentasu vendor dari semua hardware
dan software. penting khususnya untuk mendokumentasikan modifikasi numerous yang
dibuat untuk konfigurasi default, sehingga pergantian sistem memiliki fungsi yang sama
sebagai aslinya. Kegagalan melakukan hal tersebut dapat menciptakan biaya
substansial dan menunda implementasi proses pemulihan. Instruksi operasional secara
rinci juga dibutuhkan, khususnya jika pergantian sementara telah disewa. Akhirnya,
salinan dari seluruh dokumen perlu untuk disimpan anatara on-site dan off-site
sehingga dapat tersedia ketika dibutuhkan.
Pengetesan secara periode dan revisi kemungkinan adalah komponen yang
paling penting dan efektif terhapa pemulihan bencana dan kelancaran perencanaan
bisnis. Kebanyakan perencanaan gagal meinisialkan tes mereka karena tidak mungkin
untuk memenuhi segala antisipasi yang bisa saja salah. Waktu untuk menemukan
masalah seperti itu tidak selama emergenci aktual, tapi lebih pada pengaturan yang
mana kelemahan dapat dengan hati-hati dan melalui analisa dan perubahan yang
sesuai pada prosedur yang dibuat. Oleh karena itu pemulihan bencana dan kelancaran
perencanaan bisni perlu untuk dites pada akhir dasar annual untuk meyakinkan bahwa
mereka dengan akurat mencerminkan perubahan terbaru pada perlengkapan dan
prosedur. sangat penting khususnya untuk mengetes prosedur termasuk dalam
mentransfer operasi aktual pada cold dan hot site. Akhirnya, dokumentasi DRP dan BCP
Perlu untuk diperbaharui untuk merefleksikan setiap perubahan dalam prosedur yang
dibuat dalam merespon untuk identifikasi masalah selama pengujian rencana-rencana
tersebut.
SIA BAB 10 25
menit. Maka, virtualisasi secara signifikan mengurangi waktu yang diperlukan untuk
memulihkan (RTO) dari masalah hardware. Catat bahwa virtualisasi tidak mengeliminasi
keperluan selama backup; organisasi masih perlu untuk menciptakan periode
"snapshots" dari dekstop dan jaringan mesin virtual dan kemudian menyimpan
snapshots pada network drive sehingga mesin dapat diciptakan kembali. Virtualisasi
dapat juga digunakan untuk mendukung real-time mirroring yang mana dua salinan
dari setiap mesin virtual dijalankan berurutan di dua fisik host yang terpisah. Setiap
transaksi diproses disetiap mesin virtual. Jika satu gagal, yang lainnya diambil tanpa
jeda pada jaringan.
Cloud computing memiliki pengaruh positif dan negatif dalam ketersediannya.
Cloud computing secara tipikal memanfaatkan bank dari jaringan yang redunda pada
lokasi yang berlipatganda, dengan demikan dapat mengurangi resiko bahwa bencana
tunggal dapat membawa pada sistem downtime dan kehilangan seluruh data.
Walaubagaimanapun, jika penyedia publik cloud bangkrut, akan sulit, jika tidak
mungkin, untuk menyelamatkan setiap data disimpan pada cloud. Oleh karena itu,
sebuah polis membuat backup regular dan menyimpan backup tersebut dimanapun
tempat lain daripada dengan penyedia cloud secara kritik. Sebagai tambahan, akuntan
perlu untuk menilai kelangsungan keuangan orang banyak dalam jangka panjang dari
penyedia cloud sebelum organisasi menjalankan untuk sumber luar disetiap data atau
aplikasinya untuk sebuah cloud public.
Control perubahan
SIA BAB 10 26
sebelum pelaksanaan untuk mengurangi kemungkinan membuat perubahan yang
menyebabkan sistem downtime, dokumentasi yang menyeluruh akan cepat
memfasilitasi "pemecahan masalah" dan resolusi dari setiap masalah yang memang
terjadi. Perusahaan dengan proses kontrol yang baik juga kurang memungkinan untuk
menderita kerugian keuangan atau reputasi dari insiden keamanan.
SIA BAB 10 27
Perubahan "darurat" atau penyimpangan dari kebijakan standar operasi harus
didokumentasikan dan dikenakan tinjauan formal serta proses persetujuan sesaat
setelah implementasi sebagai praktis. Semua perubahan darurat perlu dicatat untuk
menyediakan jejak audit.
rencana "backout" memerlukan pengembangan untuk kembali kepada kasus
konfigurasi sebelumnya dalam kasus. Perubahan tersebut memerlukan persetujuan
untuk terganggu atau ditinggalkan.
Pengguna hak dan keistimewaan harus dipantau dengan teliti pada proses
perubahan untuk memastikan bahwa pemisahan tugas yang tepat bisa
dipertahankan
Mungkin kontrol perubahan yang paling penting adalah pemantauan yang memadai dan
mereview atas tindakan manajemen untuk memastikan bahwa perubahan yang
diusulkan dan yang dilaksanakan berjalan konsisten dengan rencana multiyear strategis
organisasi. Tujuan dari pengawasan ini adalah untuk memastikan bahwa sistem
informasi organisasi terus efektif untuk mendukung strategi. Banyak organisasi IT
menciptakan komite kemudi untuk melakukan pemantauan fungsi penting ini.
Laporan Jason dirancang untuk menilai efektivitas kontrol Northwest industri dan
memastikan integritas pengolahannya. Untuk meminimalkan entri data, dan
kesempatan dalam membuat kesalahan, Northwest industri mengirimkan dokumen
turnaround kepada pelanggan, yang kembali dengan pembayaran mereka. Semua entri
data dilakukan secara online, dengan penggunaan luas dari rutinitas dan memasukkan
validasi untuk memastikan keakuratan dari komponen kunci laporan keuangan secara
teratur lintas-divalidasi dengan sumber independen. Misalnya, persediaan dihitung
secara triwulanan, dan hasil penghitungan fisik didamaikan dengan jumlah yang
disimpan didalam sistem.
SIA BAB 10 28
Jason prihatin tentang efektivitas pengendalian yang dirancang untuk memastikan
ketersediaan sistem, namun. Dia mencatat bahwa meskipun Northwest industri telah
mengembangkan pemulihan bencana dan rencana kelangsungan bisnis, rencana
tersebut belum ditinjau atau diperbarui selama tiga tahun. Perhatian yang lebih besar
adalah fakta bahwa banyak bagian dari rencana, termasuk pengaturan untuk situs
dingin yang terletak di California, belum pernah diuji. Keprihatinan Jason yang terbesar
adalah bagaimanapun itu berkaitan dengan prosedur cadangan. Semua file mingguan
pada hari Sabtu dimasukkan ke DVD, backup incremental tidak dienkripsi, dan satu
salinan tersebut disimpan di tempat ruang server utama.
SIA BAB 10 29