SECURITY PART II : AUDITING DATABASE SYSTEM

(BAGIAN KEAMANAN II : AUDIT SISTEM DATABASE)

Tugas Mata Kuliah

Auditing EDP

Oleh :
Annisa Novelia Utami (170810301029)
Hamzah Shalahuddin (170810301045)
Fairul Alviansyah M. (170810301049)
Andika Priwanto (170810301150)

PROGRAM STUDI S1 AKUNTANSI

JURUSAN AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS JEMBER
2020
 PENDAHULUAN

Perkembangan dunia bisnis dan industri saat ini erat kaitannya dengan
perkembangan teknologi yang ada. Pengunaan TI dalam kehidupan sehari-haripun
juga tidak bisa dipungkiri keberadaanya. Hal ini disebabkan oleh semakin
meningkatnya kebutuhan manusia ditambah tuntutan efisiensi dan efektivitas
penggunaan sumber daya yang sangat terbatas. Penggunaan TI disini bertujuan untuk
memudahkan segala jenis kegiatan manusia. Terutama dalam memenuhi kebutuhan
informasi dan komunikasi. Keberadaan Sistem Informasi di era juga sekarang sangat
berguna untuk memenuhi kebutuhan informasi masyarakat tak terkecuali sangat dapat
menunjang proses bisnis entitas perusahaan. Teknologi informasi (TI) digunakan untuk
mendukung perusahaan dalam melihat, mengetahui dan merespon keinginan pasar
serta mencapai tujuan perusahaan. Penerapan TI harus didukung oleh manajemen
dan sumber daya TI atau sering disebut sebagai tata kelola TI yang baik. Tata Kelola
TI yang baik bertujuan mengurangi risiko sehingga penggunaan, penerapan TI di
perusahaan tersebut dapat menambah nilai/value bagi perusahaan.
Karena umumnya perusahaan di era sekarang menggunakan sistem informasi
berbasis komputer untuk melaksanakan kegiatan dan aktivitas bisnisnya, maka audit
atau pemeriksaan tidak dapat dilakukan secara manual lagi karena menghabiskan
waktu yang lama untuk melakukan audit secara manual. Cara mengaudit perusahaan
yang menggunakan sistem informasi berbasis komputer yaitu salah satunya dengan
mengaudit sistem database-nya. Dalam makalah ini akan dibahas mengenai gambaran
umum revolusi penggunaan sistem informasi terkomputerisasi yang masih secara
terpisah dahulu kala, hingga kini menggunakan satu sistem database yang dapat
diakses segala pihak dan informasinya selalu terupdate. Selain itu akan dibahas
mengenai apa saja bagian di dalam database dan bagaimana pengendalian serta
prosedur dalam mengaudit sistem database.

2|
 PEMBAHASAN

A. PENDEKATAN MANAJEMEN DATA (DATA MANAGEMENT APPROACHES)

Terdapat 2 macam pendekatan manajemen data yaitu:
1. Pendekatan Flat-File (Flat-File Approach)
File data yang berisi catatan yang tidak memiliki hubungan terstruktur ke file
lain. File datanya terstruktur, terformat dan diatur untuk memenuhi kebutuhan
spesifik dari pemilik atau pengguna utama data. Oleh karena itu ketika
pengguna lain membutuhkan data yang sama dengan tujuan yang berbeda,
maka mereka harus menyusun set terpisah. Model ini memiliki kelemahan
yaitu menyebabkan munculnya “Data Redudancy” yang akan memberi
masalah pada:
 DATA STORAGE : Ketika terdapat 2 pengguna dengan kebutuhan data
yang sama namun harus membuat terpisah sehingga menyebabkan data
terduplikasi dan menghabiskan penyimpanan.

 DATA UPDATING : Karena data terpisah, maka update dilakukan sendiri-

sendiri.

 CURRENCY OF INFORMATION: Akibat masalah updating, terdapat

kemungkinan yang besar data akan tidak sinkron dan menjadi usang.

 TASK-DATA DEPENDANCY: Pengguna hanya bisa bekerja berdasarkan

data yang dalam kendalinya

2. Pendekatan Database (Database Approach) : Mensentralisasi data organisasi

yang diperlukan berbagai pengguna kedalam satu database sistem. Sistem
yang digunakan yaitu Databsae Management System (DBMS). Melalui
DBMS pengguna dapat mengirimkan permintaan data yang mereka butuhkan
dan sesuai dengan tingkat otorisasi pemakai, kemudian pengguna dapat
mengaksesnya. DBMS mengatasi kelemahan Flat-File Model yaitu:

1) Elimination of Data Storage Problem : Tata hanya akan disimpan sekali,

sehingga membatasi pengulangan data serta mengurangi pengumpulan data
dan tidak memenuhi penyimpanan.

2) Elimination Data Update Problem : Data yang ada pada satu tempat maka
untuk memperbaharui hanya memerlukan satu prosedur tunggal.

3|
 3) Elimination of Currency Problem : Perubahan tunggal pada atribut
database yang dibuat secara otomatis tersedia untuk seluruh atribut pengguna.

4) Elimination of Task Data Dependency Problem : Dengan akses penuh ke

seluruh domain data entitas, perubahan pada kebutuhan informasi pemakai
dapat memuaskan tanpa harus membuat set data khusus tambahan.

B. ELEMEN KUNCI DALAM LINGKUNGAN DATABASE (KEY ELEMENTS OF

THE DATABASE ENVIRONMENT)
1. Database Management System
Database Management System mempunyai beberapa unsur:
a. Typical Features (Ciri Khusus)
 Program Development, berisi Aplikasi Pengembangan Program
Perangkat Lunak.
 Backup and Recovery, sejak memproses, secara periodik DBMS
membuat backup copy di physical database, dan jika terjadi
bencana/kerusakan akan dapat memunculkan kembali
 Database Usage Reporting, ciri ini menyatakan data statistik apa yang
digunakan, kapan mereka gunakan dan siapa yang menggunakan
 Database Access, ciri yang sangat penting yaitu memberikan ijin
otorisasi untuk dapat mengakses, baik formal maupun informal database
b. Data Definition Language (DDL)
DDL adalah program bahasa pengkodean yang digunakan untuk
menetapkan database dalam DBMS. DDL mengidentifikasikan nama dan
hubungan semua unsur data, dokumen/catatan, dan file yang terdapat di
dalam database.
c. Database View
 Internal View/Physical View : Menggambarkan struktur catatan data,
hubungan-hubungan antara sebuah file dan rencana physical dan
rangkaian catatan dalam file
 Conceptual View/Logical View : Pandangan ini menggambarkan seluruh
database. Ini terlihat mewakili logika database dan mengiktisarkan,
daripada hal penyimpanan physical. Ini hanya suatu konsep pandangan
untuk sebuah database

4|
  External View/User View : Pandangan ini diartikan sebagai bagian dari
pengguna-pengguna database. Bagian pengguna individual yang
diotorisasi untuk mengakses untuk menngunakan dan menunjukkan
database.
d. Formal Access: Application Interfaces
Ada dua jalan untuk pengguna mengakses database, salah satan unya yang
mungkin adalah dengan aplikasi formal interface
 Data Manipulation Language : bahasa pemilik pemrograman yang khusus
digunakan DBMS untuk mendapatkan kembali, memproses dan
menyimpan data
 DBMS Operation
i. Pengguna program mengirimkan permintaan data untuk DBMS.
Permintaan ditulis di sebuah bahasa manipulasi data khusus. Itu
melekat di dalam pengguna program
ii. Analisis DBMS mencocokan unsur-unsur data yang berlawanan
dari pandangan pengguna dan pandangan konseptual. Jika data
yang diminta sama, maka akan diproses, jika tidak sama akan
ditiadakan.
iii. DBMS menetapkan parameter struktur data dari pandangan
internal dan itu tidak ketnggalan jaman dari sistem operasi ini,
yang mana kinerja data aktual mendapatkan kembali informasinya
iv. Penggunaan yang tepat metode akses, operasi sistem berinteraksi
dengan alat penyimpanan untuk mendapatkan kembali data dari
database physical.
v. Sistem operasi ketika data disimpan dalam daerah penyangga di
main memori diatur oleh DBMS.
vi. DBMS mentranfer data untuk lokasi pekerjaan pengguna-
pengguna di main memori vii. Ketika pemrosesan lengkap,
langkah nomer 4, 5 , 6 dikembalikan untuk memperbaiki data yang
telah diproses ke dalam database.
e. Informal Access: Query Language
Metode akses kedua dari database adalah metode informal Query.
Query adalah metodologi akses khusus yang menggunakan perintah-
perintah bahasa Inggris untuk membangun daftar atau informasi dasar yang

5|
 lain dari sebuah database. Pengguna dapat mengakses data melalui Query
langsung, tanpa memerlukan program pengguna formal.
Query menyediakan fasilitas yang ramah lingkungan untuk
mengintegrasikan dan mendapatkan kembali data untuk prosedur laporan
khusus
2. Pengguna (Users)
3. Database Administrator
Database Administrator bertanggung jawab untuk mengelola sumber
database. Tugas DBA antara lain meliputi:
a. Database planning
b. Database design
c. Database implementation
d. Database operation
e. Database maintenance
f. Database growth and change
4. The Physical Database
Physical Database adalah level paling rendah dari database dan satu-
satunya level yang ada dalam bentuk form. Physical database terdiri dari titik-
titik magnetic pada magnetic disk. Pada level fisik, database membentuk
kumpulan logis catatan dan file yang terdapat dalam sumber data perusahaan.
a. Data Structure, adalah database, yang membolehkan catatn ditempatkan,
disimpan, dipanggil, dan dimungkinkan dipindah dari catatan satu ke lainnya.
b. Organisasi Data adalah cara pencatatan secara fisik yang diatur pada alat
penyimpan secondary.
c. Data Access Method adalah teknik yang digunakan untuk menempatkan
catatan dan mengendalikan melalui database.
5. DBMS Models
Data model adalah suatu representasi abstrak data mengenai entitas,
termasuk sumber (aset), kejadian (transaksi) dan agen (personalia atau
customer) dan hubungan mereka dalam organisasi. Tujuan Data Model adalah
menyajikan atribut entitas dengan cara yang mudah dipahami oleh pemakai.
Ada tiga model data :
a. The Hierarchical Model
b. The Network Model
c. The Relation Model

6|
C. DATABASE DALAM LINGKUNGAN TERDISTRIBUSI (DATABASE IN A
DISTRIBUTED ENVIRONMENT)
Struktur fisik dari data organisasi merupakan pertimbangan yang penting dalam
merencanakan suatu sistem pendistribusian. Dalam berbicara isu ini, perencana
mempunyai dua opsi dasar: database tersebut dapat tersentralisasi atau mereka
dapat didistribusikan. Database distributor dibagi menjadi dua kategori: database yang
disekat (partitioned database) dan database yang ditiru (replicate database).

A. DATABASE TERSENTRALISASI
Pendekatan pertama melibatkan penahanan data di lokasi pusat. Unit-unit
remote IT meminta pengiriman data ke lokasi pusat, yang memproses permintaan-
permintaan dan mengirimkan data kembali ke permintaan unit IT. Pengolahan
sesungguhnya data tersebut dilaksanakan di unit IT jarak jauh. Suatu tujuan pokok dari
pendekatan database untuk memelihara peredaran data (currency data). Hal ini
merupakan tugas yang menantang di dalam lingkungan DDP.

Peredaran data Di dalam Lingkungan DDP

Saat pengolahan data, nilai rekening saldo melewati keadaan tidak konsisten yang
dimana sementara nilai-nilai mereka dinyatakan salah. Hal ini terjadi selama eksekusi
suatu transaksi.
Untuk mencapai peredaran data, akses bersama ke unsur-unsur data individu dengan
unit-unit IT ganda yang harus dicegah. Solusi pada masalah ini adalah menggunakan
larangan bekerja database, yang mana adalah suatu kendali perangkat lunak
(biasanya suatu fungsi dari DBMS) mencegah akses-akses ganda bersama ke data.

B. DATABASE DISTRIBUSI
Dapat berupa partitioned database maupun replicated database.
1) Partitioned Databases
Pendekatan partitioned database memisah database pusat menjadi segmen-segmen
atau partisi-partisi yang didistribusikan ke pemakai utama. Keuntungan pendekatan ini:
 Data yang tersimpan pada site lokal meningkatkan pengendalian user.

 Waktu respon pemrosesan transaksi ditingkatkan dengan mengijinkan akses

lokal ke data dan mengurangi volume data yang harus dikirim antara unit IT.

 Database yang dipartisi dapat mengurangi efek potensial kerusakan.

7|
 a) The Deadlock Phenomenon
Deadlock dalam lingkungan terdistribusi, dimungkinkan bagi site ganda saling
mengunci satu sama lain dari database, sehingga mencegah masing-masing
dari pemrosesan transaksinya. Deadlock terjadi karena ada mutual exclusion
pada sumber data, dan transaksi ada pada posisi „menunggu‟ sampai dengan
lock dipindah.

b) The Deadlock Resolution

Untuk mengatasi deadlock pada umumnya melibatkan lebih dari satu
terminating atau transaksi untuk melengkapi pemrosesan transaksi lain pada
deadlock. Beberapa factor yang dipertimbangkan dalam mengikuti keputusan
ini
 Sumber daya saat ini diinvestasikan dalam transaksi. Hal ini diukur
dengan jumlah pembaruan yang telah dilakukan oleh transaksi dan
yang harus diulang jika transaksi dihentikan.
 Tahap penyelesaian transaski, secara umum resulusi kebuntuan
akan menghindari penghentian transaksi yang hamper selesai.
 Jumlah deadlock terkait dengan transaksi, perangkat lunak berupaya
menghentikan transaksi yang merupakan bagian dari lebih dari satu
kebuntuan.
2) Replicated Databases
Database direplikasi dapat menjadi efektif pada perusahaan tingkat sharing datanya
tinggi, tidak ada pemakai utama. Pertimbangan utama mereplikasi database untuk
mendukung query-query read-only. Dengan mereplikasi data pada setiap bagian,
akses data untuk tujuan query dapat dipastikan, dan lockuts dan keterlambatan akibat
lalu lintas data dapat diminimalkan. Kelemahan pendekatan ini adalah menjaga
(maintaining)versi terbaru dari masing-masing database site.

C. Concurrency Controls
Database concurrency adalah adanya kelengkapan dan keakuratan data pada semua
data site pengguna. Perancang sistem memerlukan suatu metode untuk
mememastikan bahwa transaksi yang diproses pada setiap site tercermin dalam
database secara akurat pada seluruh site. Permasalahan dalam pengendalian
concurrency adalah cara/perilaku para auditor. Metoda yang digunakan untuk kendali

8|
concurrency adalah transaksi bersambung dengan time-stamping. pengecapan.
Metoda ini melibatkan label masing-masing transaksi oleh dua kriteria:
1) Software khusus untuk mengelompokkan transaksi ke dalam kelas-kelas untuk
mengidentifikasi konflik potensial.

2) Sebagian proses pengendalian adalah time-stamp setiap transaksi.

Jika muncul konflik maka transaksi dimasukkan ke dalam schedule serial

Database Distribution Methods and the Accountant Keputusan itu untuk

mendistribusikan database harus matang, ada beberapa masalah yang harus
dipertimbangkan. Sebagian dari pertanyaan-pertanyaan mendasar untuk diajukan:
 Haruskan data organisasi itu dipusatkan atau didistribusikan?

 Jika distribusi data diinginkan, perlu replikasi database atau partisi data?

 Jika ditiru, perlu database itu secara total atau parsial?

 Jika database dipartisi, bagaimana seharusnya segmen-segmen data

dialokasikan di antara lokasi-lokasi?
Pilihan melibatkan di setiap pertanyaan-pertanyaan ini berdampak pada kemampuan
organisasi itu untuk memelihara integritas data. Pencegahan jejak audit dan ketelitian
dari catatan akuntansi adalah kunci pokok.

D. PENGENDALIAN DAN AUDIT SISTEM MANAJEMEN DATA (CONTROLLING

AND AUDITING DATA MANAGEMENT SYSTEMS)
Pengendalian DBMS dikelompokkan menjadi dua yaitu: pengendalian akses
(access control) dan pengendalian backup. Pengendalian akses di desain untuk
mencegah tidak adanya autorisasi individu untuk melihat, mengambil, mencurangi dan
menghancurkan data entitas. Pengendalian Backup, memastikan peristiwa hilangnya
data sebagai akibat dari tidakadanya autorisasi akses, kegagalan peralatan, atau
kerusakan fisik dari organisasi mampu dipulihkan dalam data base.

A. Access Controls
1. User Views

Adalah subset dari total database yang menegaskan domain data pemakai dan
menyediakan akses ke database. Meskipun pengguna hanya dibatasi untuk mengatur
data, itu bukan berarti diberi hak istimewa seperti melihat, menghapus, dan menulis.
Setiap pengguna dibatasi sesuai level autorisasi.

9|
 2. Database Authorization Table

Berisi aturan-aturan yang membatasi tindakan yang dapat diambil pemakai. Teknik ini
sama dengan daftar pengendalian akses yang digunakan dalam sistem operasi.

3. User-Defined Procedures

Adalah prosedur yang mengijinkan pemakai untuk menciptakan program keamanan

personalatau rutin untuk menciptakan identifikasi pemakai positif lebih daripada
password tunggal.

4. Data Encryption

Data ecryption digunakan untuk melindungi data yang sifatnya sangat sensitif. Dengan
prosedur data encryption maka penyusup data tidak dapat membaca data karena
database di-scramble

10 |
 5. Biometric Devices

Adalah prosedur yang menggunakan alat biometrik dalam menilai berbagai macam
karakteristik personal sebagai syarat untuk dapat mengakses suatu program atau
lainya, seperti sidik jari.

6. Inference Controls

Salah satu kemampuan database query adalah menyediakan ringkasan dan data
statistik dalam kebutuhan decision making.

7. Audit Objectives

Adalah memastikan autorisasi akses database dan hak pemakai dijamin terkait dengan
kebutuhan keabsahan mereka.

8. Audit Procedures:
 Responsibility for Authority Tables and Subschemas, auditor memverifikasi
bahawa petugas DBA bertanggung jawab penuh menciptakan tabel otoritas
dan mendesain user views.
 Appropriate Access Authority, auditor memilih sampel user dan memverifikasi
hak akses yang disimpan dalam tabe otoritas masih konsisten dengan fungsi
organisasional
 Biometric devices, auditor mengevaluasi dari cost and benefit pengendalian
biometrik.

11 |
  Inference Controls, auditor memverifikasi pengendalian database query yang
ada untuk mencegah akses tanpa otorisasi melalui simpulan.
 Encryption Controls, auditor harus memverifikasi data sensitif.
B. Backup Controls

Adalah pengendalian untuk memastikan bahwa kejadian kehilangan data akibat akses
tanpa otorisasis, kegagalan perangkat, atau kerusakan fisik organisasi dapat diperbaiki
oleh database tersebut.

1) Backup Controls in the Flat-File Environment

Teknik backup yang digunakan tergantung pada media atau struktur file.

a. GPC Backup Technique, Grant-parent-child backup adalah teknik yang

digunakan dalam sistem batch file sekuensial. Prosedur backup dimulai ketika
file master sekarang (parents) diproses terhadap file transaksi

b. Direct access file back up, Nilai data dalam file langsung di ubah ditempat
melalui proses yang dinamakan penggantian desruktif. Waktu proses
pencadangan data langsung tergantung pada metode pemrosesan yang
digunakan.

12 |
c. off site storage, sebagai tambahan keamanan, back up file harus dilakukan
selain GPC pendekatan direct access harus dilakukan pencadangan diluar
lokasi dan dipastikan aman.
2) Tujuan audit terkait Backup-File Backup
 Memastikan pengendalian pencadangan berada ditempat yang evektif dalam
melindungi data dari kerusakan fisik, kehilangan, kerusakan data sebagai
akibat dari kegagalan system maupun program eror.
 Prosedur Audit untuk Pengujian Backup-File Backup Controls
 Backup Sequential File (GPC) - pilih sampel sistem dan tentukan dari
dokumentasi sistem bahwa jumlah file cadangan GPC yang ditentukan untuk
setiap sistem memadai.
 Backup Transaction Files- verifikasi pengamatan fisik bahwa file transaksi yang
digunakan untuk merekonstruksi file master juga disimpan
 Pencadangan File Akses Langsung - harus memilih banyak aplikasi dan
mengidentifikasi file akses langsung yang diperbarui di setiap system

 Penyimpanan Di Luar Situs- verifikasi keberadaan dan kecukupan

penyimpanan di luar lokasi.

13 |
 Log transaksi, fitur menyediakan jejak audit dari semua transaksi yang diproses
 Fasilitas pos pemeriksaan, menunda semua pemrosesan data sementara
sistem mendamaikan log transaksi dan log perubahan basis data dengan
database.
 Modul pemulihan, menggunakan log dan file cadangan untuk memulai kembali
sistem setelah kegagalan

3) Tujuan audit terkait data base back up

Memastikan jika pengendalian terhadap sumber data cukup untuk menjage
integritas dan keamanan fisik dari data base.
4) Procedure audit untuk test pengendalian pencadangan data base

14 |
a. Auditor harus memastikan jika data dicadangkan secara rutin dan sering
untuk memfasilitasi pemulihan data yang hilang, hancur, atau rusak selama
proses .
b. Auditor harus benar benar memastikan bahwa pencadangan otomatis
sudahada dan berfungsi dan Salinan dari data base disimpan di luar lokasi
yang aman.

15 |
 KESIMPULAN

Sistem informasi terkomputerisasi di perusahaan mengalami reformasi dari

yang semula dikerjakan secara terpisah dan perbagian, sehingga setiap pengguna
membuat sendiri datanya meskipun dengan kebutuhan yang sama. Kini sistem
tersebut tergantikan dengan sistem database dimana semua data terkumpul dalam
satu sistem database. Data tersebut hanya ada satu, tunggal, dan apabila diperbarui
maka akan langsung dan selalu terupdate. Data tersebut juga dapat diakses oleh
siapapun jika pengguanya mengirimkan permintaan akses data, tentunya sesuai
tingkat otoriasasi yang dimilikinya.
Audit atas sistem database sangat diperlukan karena umumnya perusahaan
di era sekarang menggunakan sistem informasi berbasis komputer untuk
melaksanakan kegiatan dan aktivitas bisnisnya. Audit atau pemeriksaan tidak dapat
dilakukan secara manual lagi karena menghabiskan waktu yang lama untuk melakukan
audit secara manual. Mengaudit sistem database inilah salah satunya cara mengaudit
perusahaan yang menggunakan sistem informasi berbasis komputer.

1|
 REFERENSI

A Hall, James. 2011. Information Technology Auditing. South-Western Cengage

Learning.

2|