SECURITY PART II:

AUDITING DATABASE SYSTEMS

Tugas Mata Kuliah

Auditing EDP

Oleh Kelompok 9:
Diaz Lucky Firmansyah 180810301036
Brilyan Wahyu Gemilang 180810301241
Hamzah Dwi Maqfiroh 180810301247

Program Studi Akuntansi

Fakultas Ekonomi Dan Bisnis
Universitas Jember
2021
 BAB 1. PENDAHULUAN

Penerapan era Industri 4.0 di Indonesia dilatarbelakangi oleh banyaknya

penggunaan IT pada segala aspek bisnis dan industri di beberapa Negara maju. Indonesia
dengan jumlah sektor bisnis dan industri yang cukup banyak perlahan juga menerapkan
hal tersebut. Salah satu penggunaan dari penerpan industri 4.0 di perusahaan adalah
dengan menerapkan manajemen database perusahaan. Database merupakan hal
terpenting dari terbentuknya suatu sitem IT yang terintegrasi. Sebab database memiliki
fungsi sebagai alat penyimpan sumber informasi yang di input oleh perusahaan ke
perangkat IT yang akan digunakan untuk operasional perusahaan.
Banyaknya kasus lemahnya manajemen database perusahaan akan
menyebabkan kerugian yang material dimana kurangnya data auditing membawa aplikasi
bisnis kepada hilangnya jejak proses bisnis perusahaan. Oleh karenanya suatu penerapan
IT pada sistem operasional perusahaan dan data historis atau temporal database
diperlukan untuk melacak operasi dan tipe operasi dengan waktu. Selain itu juga sangat
dibutuhkan adanya manajemen database demi dapat meningkatkan kinerja operasional di
perusahaan, agar lebih efektif dan efisien dalam pengeluaran biaya. Sumber informasi
yang terpusat pada database perusahaan memerlukan pengendalian internal yang baik
dalam pengelolaan sumber daya yang bersifat terbatas. Pengelolaan sumber informasi
yang baik akan menghasilkan output yang baik disertai dengan adanya database auditing
dapat menjadi komponen penting dalam keamanan basis data dan kepatuhan terhadap
peraturan pemerintah, sehingga menghasilkan informasi yang lebih terpercaya. Namun,
permasalahan dalam pengelolaan database pada perusahaan dapat diatasi dengan
mengadakan audit atas database.
Topik mengenai auditing database systems ini menarik untuk dibahas karena audit
sistem database merupakan audit berbasi IT yang dapat menelusuri permasalahan dan
pengendalian atas pengelolaan sistem database perusahaan, serta perawatan untuk
kontrol IT itu sendiri. Meng-audit aktivitas dan akses terhadap database dapat membantu
mengidentifikasi masalah keamanan basis data dan menyelesaikannya dengan cepat dan
bagi database administrator perlu lebih waspada dalam teknik yang digunakan untuk
melindungi data perusahaan, serta memantau dan memastikan bahwa perlindungan yang
memadai terhadap data telah tersedia. Kegiatan auditing sebagai suatu fungsi,
memainkan peran sentral dalam memastikan kepatuhan terhadap aturan karena audit

2
memeriksa dokumentasi tindakan, praktik, dan perilaku bisnis atau individu. Dari kegiatan
audit sistem database ini, auditor akan menelusuri permasalahan-permasalahan yang
terdapat pada sistem database perusahaan. Jika auditor menemukan permasalahan yang
dianggap material bagi perusahaan, maka tugas seorang auditor akan memberikan saran
perbaikan atas permasalahan yang terjadi. Auditor akan memberikan perbaikan atas
model sistem database agar perusahaan tidak mengalami kerugian dalam bidang
manajemen database

BAB 2. PEMBAHASAN

2.1 PENDEKATAN MANAJEMEN DATA

Organisasi bisnis mengikuti salah satu atau kedua dari dua pendekatan umum untuk
manajemen data: model flat-file dan model database. perbedaan antara kedua
pendekatan itu bersifat teknis dan filosofis.

2.1.1 Pendekatan Flat File

Flat file adalah file data yang berisi catatan tanpa hubungan yang terstruktur pada
file lainnya. Pendekatan flat-file yang paling sering dikaitkan dengan sistem legacy. Ini
adalah sistem mainframe besar yang dilaksanakan pada tahun 1970 melalui 1980-an.
Beberapa organisasi saat ini masih membuat ekstensif menggunakan sistem tersebut.
Akhirnya, akan digantikan oleh sistem manajemen database modern, tetapi sementara itu,
auditor harus terus berhubungan dengan teknologi warisan sistem.
Lingkungan flat-file mempromosikan pandangan pendekatan single-user untuk
pengelolaan data dimana pengguna akhir memiliki sendiri file data daripada
membagikannya ke pengguna lain. Oleh karena itu data file distruktur, diformat, dan
diatur sesuai dengan kebutuhan spesifik pemilik atau pengguna utama dari data. Ketika
beberapa pengguna perlu data yang sama untuk tujuan yang berbeda, mereka harus
mendapatkan struktur data set terpisah untuk kebutuhan spesifik mereka.Fungsi akuntansi
memerlukan data penjualan pelanggan dari nomor rekening dan terstruktur untuk
menunjukkan saldo. Ini digunakan untuk tagihan pelanggan, rekening pemeliharaan
piutang, dan persiapan laporan keuangan. Fungsi pemasaran memerlukan catatan data
penjualan pelanggan yang dibuat oleh kunci demografis yang digunakan dalam

3
menargetkan promosi produk baru dan peningkatan penjualan produk. Kelompok layanan
produk membutuhan data penjualan pelanggan yang disediakan oleh produk dan
terstruktur untuk menunjukkan jadwal jasa.
Replikasi dari pokok data yang sama dalam beberapa file disebut redundansi data
dan memberikan kontribusi pada tiga masalah yang signifikan dalam lingkungan flat-file:
penyimpanan data, memperbarui data, dan peredaran informasi. Masalah keempat (tidak
secara khusus disebabkan oleh redundansi data) disebut ketergantungan task-data.
a. Data Storage (Penyimpanan Data): data yang terduplikasi dan terpisah memakan
penyimpanan yang besar dan sulit untuk diakses serta biaya yang dikeluarkan juga
tinggi.
b. Data Updating (Pembaruan Data) : karena data terpisah, maka update dilakukan
sendiri-sendiri secara berkala.
c. Currency of Information (Kekinian Informasi) : Apabila terjadi masalah gagalnya
memperbarui semua file penggunaan yang dipengaruhi oleh perubahan data tertentu,
dalam hal ini mungkin terjadi ketidak sinkronan dan usang.
d. Task-Data Dependency (Ketergantungan Tugas Data) : Ketidakmampuan pengguna
untuk mendapatkan informasi tambahan ketika kebutuhannya berubah.

2.1.2 Pendekatan Database

Akses ke sumber daya data yang dikendalikan oleh sistem manajemen database
(DBMS). DBMS adalah sistem software khusus yang diprogram untuk mengetahui elemen
data mana dari setiap pengguna yang berhak untuk diakses. Program pengguna
mengirimkan permintaan data ke DBMS, yang memvalidasi dan memiliki wewenang akses
ke database sesuai dengan tingkat pengguna otoritas. Jika pengguna merminta data yang
tidak berhak untuk diakses, permintaan tersebut akan ditolak.
Pendekatan ini memusatkan data organisasi ke dalam database umum yang
dibagikan bersama oleh pengguna lain. Dengan data perusahaan di satu lokasi pusat,
semua pengguna memiliki akses ke data yang mereka butuhkan untuk mencapai tujuan
masing-masing. Melalui berbagi data, masalah tradisional yang terkait dengan pendekatan
flat-file dapat diatasi.
Penghapusan Masalah Penyimpanan Data
Setiap elemen data disimpan hanya sekali, sehingga menghilangkan redundansi
data dan mengurangi pengumpulan data dan biaya penyimpanan.

4
Penghapusan Masalah Perbaruan Data
Karena setiap elemen data ada di satu tempat, hal itu hanya membutuhkan
prosedur pembaruan tunggal. Hal ini akan mengurangi waktu dan biaya arus database.
Penghapusan Masalah Penyebaran
Perubahan tunggal untuk atribut database otomatis tersedia untuk semua
pengguna atribut. Misalnya, perubahan alamat pelanggan dimasukkan oleh petugas
penagihan akan segera tercermin dalam pandangan pemasaran dan layanan produk.
Penghapusan Masalah Ketergantungan Task-Data
Perbedaan yang paling mencolok antara model database dan model flat-file adalah
menyatukan data ke database umum yang dimiliki oleh semua pengguna organisasi.
Dengan akses ke domain lengkap data entitas, perubahan kebutuhan informasi pengguna
dapat dipenuhi tanpa memperoleh tambahan set data pribadi. Pengguna dibatasi hanya
oleh keterbatasan dari data yang tersedia untuk entitas dan legitimasi kebutuhan mereka
untuk mengaksesnya.

2.2 ELEMEN KUNCI DARI LINGKUNGAN DATABASE

Bagian ini membahas elemen kunci dari lingkungan database. Hal ini termasuk
sistem manajemen database (DBMS), pengguna, administrator database, fisik database,
dan DBMS model.

2.2.1 Sistem Pengolahan Database

DBMS menyediakan lingkungan yang terkendali untuk membantu (atau mencegah)
akses ke database dan secara efisien mengelola sumber daya data. Setiap DBMS unik
dalam menyelesaikan tujuan tersebut, namun beberapa fitur khas meliputi:
1. Pengembangan Program
2. Backup dan pemulihan
3. Pelaporan penggunaan database
4. Akses database
Data Definition Language  (DDL) adalah bahasa pemrograman yang digunakan
untuk mendefinisikan database ke DBMS. DDL mengidentifikasi nama dan hubungan dari
semua elemen data, catatan, dan file yang merupakan database. Definisi ini memiliki tiga
tingkat, yang disebut: pandangan internal yang fisik, pandangan konseptual (skema), dan
tampilan pengguna (sub schema). Akses formal penerapan alat penghubung adalah

5
bahasa manipulasi data. Akses Informal: Bahasa Query metode kedua dari akses
database adalah metode informal query. Query adalah akses metodologi khusus untuk
mengekstraksi informasi dari database.
Ada tiga tingkat, yang disebut tampilan (view), dalam definisi ini yaitu, tampilan
internal fisik, tampilan konseptual (skema), dan tampilan pengguna (subskema)
1. Tampilan Internal/Tampilan Fisik.
Susunan fisik dari catatan dalam basis data disajikan melalui tampilan internal.
Tampilan internal ini mendeskripsikan struktur catatan data, hubungan antar file, dan
susunan fisik serta urutan catatan dalam suatu file.
2. Tampilan Konseptual/Tampilan Logis
Tampilan konseptual atau skema mendeskripsikan keseluruhan basis data.
Tampilan n data secara logis dan abstrak, bukan seperti cara basis data disimpan
secara fisik. Hanya ada satu tampilan konseptual untuk basis data.
3. Tampilan eksternal/Tampilan Pengguna (subskema)
Subskema atau tampilan pengguna mendefinisikan bagian pengguna dari basis data
– bagian yang boleh diakses oleh seorang pengguna.
a) Akses Formal : Antarmuka aplikasi
Akses basis data dimungkinkan dilakukan oleh antarmuka aplikasi formal.
Program pengguna, yang disiapkan oleh profesional sistem, mengirim
permintaan akses data DBMS, yang memvalidasi permintaan tersebut dan
menelusuri data untuk diproses. Dengan cara ini keberadaan DBMS
transparan bagi para pengguna.
b) Bahasa Manipulasi Data
Bahasa Manipulasi Data adalah bagan dari bahsa pemograman yang
digunakan oleh DBMS untuk melacak, memproses, dan menyimpan data.
Keseluruhan program pengguna bisa ditulis dalam DML atau perintah-perinah
DML tertentu yang dapat disisipkan ke program yang ditulis dengan
menggunakan bahasa universal, seperti PL/1, COBOL, dan FORTRAN.
c) Operasi DBMS
Berikut adalah deskripsi bagaimana DBMS dan aplikasi pengguna bekerja
bersama:
1. Program pengguna mengirim permintaan data ke DBMS. Permintaan ditulis
dalam bahasa manipulasi data khusus yang dilekatkan dalam program

6
 pengguna.
2. DBMS menganalisis permintaan dengan mencocokkan elemen-elemen
data yang diminta dengan tampilan pengguna dan tampilan konseptual.
3. DBMS menentukan parameter struktur data dari tampilan internal dan
mengirimnya ke sistem operasi, yang melakukan penelurusan data aktual.
4. Dengan menggunakan metode akses yang sesuai (program utilitas sistem
operasi), sistem operasi berinteraksi dengan alat penyimpanan disket untuk
menelusuri data dari basis data fisik.
5. Sistem operasi kemudian menyimpan data dalam area penyannga memori
utama yang dikelola oleh DBMS.
6. DBMS menstransfer data ke lokasi kerja pengguna dalam memori utama
7. Ketika pemrosesan selesai, langkah 4,5,6 dibalik untuk menyimpan kembali
data yang diproses ke basis data.
d) Akses Informal : Bahasa Permintaan Data
Akses basis data lainnya yaitu akses data secara informal. Permintaan data
adalah metodelogi akses ad hoc yang menggunakan perintah yang mirip
dengan bahasa inggris untuk membangun daftar atau informasi dasar lainnya
dari basis data. DBMS memiliki fasilitas permintaan data yang memungkinkan
pengguna yang memiliki otorisasi untuk memproses data tanpa bergantung
pada programer profesional.SQL dan IBM merupakan bahasa permintaan data
standar bagi DBMS mainframe dan mikrokomputer.

2.2.2 Database Administrator

DBA bertanggung jawab untuk mengelola sumber daya basis data. Pembagian dari
database umum oleh beberapa pengguna memerlukan organisasi, koordinasi, aturan, dan
pedoman untuk melindungi integritas dari database.
Dalam organisasi besar, fungsi DBA dapat terdiri dari departemen seluruh tenaga
teknis di bawah administrator database. Dalam organisasi yang lebih kecil, tanggung
jawab DBA dapat diasumsikan oleh seseorang dalam kelompok layanan komputer. Tugas
DBA jatuh ke bidang-bidang berikut: perencanaan database; desain database; database
implementasi, operasi, dan pemeliharaan; dan pertumbuhan database dan perubahan.
Interaksi organisasi DBA, ketika kebutuhan sistem informasi muncul, pengguna
mengirim permintaan formal untuk aplikasi komputer dengan sistem profesional

7
(programmer) organisasi. Permintaan yang ditangani melalui prosedur pengembangan
sistem formal. Jika mereka memiliki manfaat, mereka menghasilkan blok ke blok
pengembangan sistem. Permintaan pengguna juga menuju ke DBA, yang mengevaluasi
ini untuk menentukan kebutuhan database pengguna. Kita melihat hubungan ini sebagai
garis antara pengguna dan DBA dan antara DBA dan modul DDL dalam DBMS. Dengan
menjaga otoritas akses database terpisah dari pengembangan sistem (pemrograman
aplikasi), organisasi yang lebih mampu untuk mengontrol dan melindungi database.
Database administrator memiliki fungsi diantaranya :
1. Database planning
a) Mengembangkan database strategi organisasi
b) Menetapkan lingkungan database
c) Menetapkan data yang dibutuhkan
d) Mengembangkan data dictionary
2. Design
a. Logical database (skema)
b. Subskema dengan melihat pengguna eksternal
c. Internal view of database
d. Database control
3. Implementation
a. Menentukan kebijakan pengguna
b. Implementasi security control
c. Specify test prosedures
d. Mendirikan standart program
4. Operation and maintenance
1. Mengevaluasi pelaksanaan database
2. Mengatur database sesuai kebutuhan pengguna
3. Melakukan review standart dan prosedur
5. Change and growth
a. Membuat planning untuk pertumbuhan dan perubahan
b. Mengevaluasi teknologi baru
Data Dictionary, fungsi penting lainnya dari DBA adalah penciptaan dan
pemeliharaan data dictionary. Data Dictionary menggambarkan setiap elemen data dalam
database. Ini memungkinkan semua pengguna (dan programmer) untuk berbagi

8
pandangan umum dari sumber daya data, sehingga sangat memudahkan analisis
kebutuhan pengguna. Kebanyakan DBMS menggunakan software khusus untuk
mengelola data dictionary.

2.2.3 Database Fisik

Unsur utama keempat dari pendekatan database seperti disajikan pada database
fisik. Ini adalah tingkat terendah dari database dan satu-satunya yang ada tingkat dalam
bentuk fisik. Tingkat lain dari database (tampilan pengguna, pandangan konseptual, dan
internal yang tampilan) adalah representasi abstrak dari tingkat fisik. Pada tingkat fisik,
database membentuk kumpulan logis dari catatan dan file yang merupakan sumber daya
data perusahaan. Bagian ini berkaitan dengan struktur data yang digunakan dalam
database fisik.
Struktur data adalah batu bata dan mortir dari database. Struktur data
memungkinkan catatan untuk ditempatkan, disimpan, dan diambil, dan memungkinkan
gerakan dari satu record ke lain. Struktur data memiliki dua komponen dasar: organisasi
dan metode akses.
Metode akses adalah teknik yang digunakan untuk mencari catatan dan untuk
menavigasi melalui database. Untuk tujuan kita, itu sudah cukup untuk menangani metode
akses pada konseptual tingkat saja. Namun, pada tingkat teknis, mereka ada sebagai
program komputer yang disediakan sebagai bagian dari sistem operasi. Selama
pengolahan database, program metode akses, menanggapi permintaan data dari aplikasi
pengguna, menempatkan dan mengambil atau menyimpan catatan. Tugas-tugas yang
dilakukan dengan metode akses benar-benar transparan untuk aplikasi pengguna.

2.2.4 Model DBMS

Sebuah model data adalah representasi abstrak dari data tentang entitas, termasuk
sumber (aset), peristiwa (transaksi), dan agen (tenaga atau pelanggan, dll) dan hubungan
mereka dalam suatu organisasi. Tujuan dari model data adalah untuk mewakili atribut
entitas dengan cara yang dimengerti oleh pengguna. Setiap DBMS didasarkan pada
model konseptual tertentu. Tiga model umum adalah hirarkis, jaringan, dan model
relasional.
a. Database terminology
- Data atribut

9
 - Entity
- Record type
- Database
- Association
a) One-to-one association
b) One-to-many association
c) Many-to-many association

b. The Hierarchical Model

DBMS disusun secara hirarki, kadang sesuai atau mirip degan hirarki organisasi.
Contoh yang paling mirip yaitu information management system (IMS) IBM.
- Navigational databases
Hierarchial data model bisa disebut sebagai navigational databases karena
mantransfer file yang dibutuhkan untuk mengikuti petunjuk yang telah
ditetapkan.
- Kelemahan dari model ini yaitu :
1 Parent record mungkin memiliki dua atau lebih child record
2 Child record hanya mempunyai satu parent record, dan dalam model ini, data
association terbilang rendah

10
Model Jaringan
Sama dengan model hierakis, model jaringan (network model) adalah basis data
navigasional dengan hubungan eksplisit antara record dan file. Perbedaannya adalah
bahwa model jaringan menginzinkan record child untuk memiliki beberapa parent.
Model Relasional
Perbedaan yang paling nyata antara model relasional dan model navigasional
adalah cara asosiasi data disajikan ke pengguna. Model relasional menampilkan data
dalam bentuk tabel dua dimensi.

2.3 DATABASE DALAM LINGKUNGAN DISTRIBUSI

Struktur fisik data organisasi merupakan pertimbangan penting dalam
perencanaan sistem distribusi. Untuk menangani masalah ini, perencana memiliki dua
pilihan dasar, yaitu database dapat terpusat atau mereka dapat didistribusikan. Database
terdistribusi terbagi dalam dua kategori yaitu database dipartisi dan database direplikasi.
Adapun database dalam lingkungan distribusi, yaitu:

2.3.1 Database Terpusat

Pendekatan pertama mempertahankan data di satu lokasi pusat. Remote unit IT
mengirim permintaan data ke situs pusat, yang memproses permintaan dan meminta
mengirimkan data kembali ke unit TI. Sebuah Tujuan mendasar dari pendekatan database
adalah untuk mempertahankan penyebaran data. Ini bisa menjadi tugas yang menantang
dalam lingkungan DDP.

11
 Penyebaran Data dalam Lingkungan DDP, selama pengolahan data saldo
rekening melewati keadaan inkonsistensi sementara di mana nilai-nilainya tidak
dinyatakan dengan benar. Hal ini terjadi selama pelaksanaan suatu transaksi.

2.3.2 Database Terdistribusi

Dalam database terdistribusi terdiri antara lain, yaitu:
1. Database partisi
Pendekatan database partisi membagi database pusat menjadi segmen atau partisi
yang didistribusikan ke pengguna utama . Keuntungan dari pendekatan ini yaitu:
a. Memiliki data yang tersimpan pada situs lokal yang meningkatkan kontrol atas
pengguna.
b. Meingkatkan waktu atas respon dalam pengolahan sebuah transaksi dengan
memberikan izin atas akses lokal data dan mengurangi volume data yang harus
ditransmisikan antara unit IT.
c. Database terdistribusi ini dapat mengurangi efek jika terjadi bencana.

Fenomena Jalan Buntu

Mengatasi kebuntuan biasanya melibatkan penghentian satu transaksi atau lebih
untuk menyelesaikan pemrosesan transaksi lainnya dalam kebuntuan. Transaksi yang
telah dipesan kemudian harus diinisiasi kembali. Dalam mengantisipasi transaksi,
perangkat lunak resolusi mati kunci mencoba untuk meminimalkan total biaya untuk
memecahkan kebuntuan. Beberapa faktor yang harus dipertimbangkan dalam keputusan
ini adalah :
 Sumber daya yang saat ini diinvestasikan dalam transaksi, ini mungkin diukur
dengan jumlah pembaruan yang transaksi telah dilakukan dan itu harus diulang
jika transaksi dihentikan.
 Tahap penyelesaian transaksi. Secara umum, perangkat lunak resolusi kebuntuan
akan menghindari penghentian transaksi yang hampir selesai.
 Jumlah kebuntuan yang terkait dengan transaksi. Perhatian menghentikan
penghentian transaksi melanggar semua masalah kebuntuan, perangkat lunak
harus berusaha untuk menghentikan transaksi yang merupakan baian dari
kebuntuan lebih dari pada kebuntuan.
2. Database direplikasi

12
 Database direplikasi termasuk efektif dalam perusahaan di mana terdapat berbagi
data tingkat tinggi tetapi tidak ada pengguna utama. Karena data umum direplikasi di
setiap situs unit IT, lalu lintas data antara situs berkurang jauh. Pembenaran utama
untuk database direplikasi adalah untuk mendukung read only query. Dengan data
yang direplikasi di setiap situs, akses data untuk keperluan permintaan dipastikan,
dan penutupan dan penundaan karena lalu lintas data dapat diminimalkan.
3. Kontrol Konkurensi
Database konkurensi adalah adanya data yang lengkap dan akurat di semua situs
pengguna. Perancang sistem perlu menggunakan metode untuk memastikan bahwa
transaksi diproses pada setiap situs secara akurat tercermin dalam database dari
semua situs lain. Karena implikasinya untuk akurasi catatan akuntansi, masalah
konkurensi adalah masalah keprihatinan bagi auditor. Sebuah metode yang umum
digunakan untuk kontrol concurrency adalah cerita bersambung transaksi.
4. Metode Distribusi Database dan Akuntan
Keputusan untuk mendistribusikan database adalah salah satu yang harus
dipertimbangkan. Ada banyak isu dan trade off untuk dipertimbangkan, Inilah
beberapa pertanyaan paling mendasar yang harus ditangani:
 Jika data organisasi disentralisasi atau didistribusikan?
 Jika distribusi data diinginkan, haruskah ada database direplikasi atau dipartisi?
 Jika direplikasi, haruskah database direplikasi atau direplikasi sebagian?
 Jika database dipartisi, bagaimana seharusnya segmen data dialokasikan di
antara situs?

2.4 PENGENDALIAN DAN AUDIT SISTEM MANAJEMEN DATA

Kontrol atas sistem manajemen data jatuh ke dalam dua kategori umum: kontrol
akses dan backup kontrol. Kontrol akses dirancang untuk mencegah individu yang tidak
sah dalam melihat, mengambil, merusak, atau menghancurkan data entitas. Sedangkan
kontrol backup memastikan bahwa dalam hal kehilangan data akibat akses yang tidak
sah, kegagalan peralatan, atau bencana fisik organisasi dapat memulihkan database-nya.

2.4.1 Kontrol akses

13
 Kontrol akses dirancang untuk mencegah individu yang tidak sah dalam melihat,
mengambil, merusak, atau menghancurkan data entitas. Terlepas dari integrasi masalah
data yang terkait dengan model ini, menciptakan sebuah lingkungan di mana akses tidak
sah ke data dapat dikendalikan secara efektif. Bila tidak digunakan oleh pemiliknya,
sebuah flat-file ditutup untuk pengguna lain dan dapat diambil off-line dan secara fisik
diamankan di data perpustakaan. Sebaliknya, kebutuhan untuk mengintegrasikan dan
berbagi data dalam lingkungan database berarti bahwa database harus tetap online dan
terbuka untuk semua pengguna potensial.
a. Tampilan pengguna atau subschema adalah bagian dari total database yang
mendefinisikan data pengguna domain dan menyediakan akses ke database.
Meskipun tampilan pengguna dapat membatasi akses pengguna ke satu set data
yang terbatas, mereka tidak menetapkan hak seperti membaca, menghapus, atau
menulis. Seringkali, beberapa pengguna dapat berbagi satu tampilan pengguna
tetapi memiliki tingkat kewenangan berbeda. Sebagai contoh, pengguna Smith,
Jones, dan Adams pada Gambar 4.20 semua mungkin memiliki akses ke set data
yang sama: nomor rekening, pelanggan nama, saldo rekening, dan batas kredit.
b. Tabel otorisasi database berisi aturan yang membatasi tindakan yang dapat
diambil oleh pengguna. Teknik ini mirip dengan daftar kontrol akses yang
digunakan dalam sistem operasi. Setiap pengguna diberikan hak tertentu yang
dikodekan dalam tabel otoritas, yang digunakan untuk memverifikasi permintaan
tindakan pengguna.
c. Prosedur User-Defined, Sebuah prosedur yang ditetapkan pengguna
memungkinkan pengguna untuk membuat program keamanan pribadi atau untuk
menyediakan identifikasi pengguna yang lebih positif daripada satu password.
Dengan demikian, selain password, prosedur keamanan meminta serangkaian
pertanyaan pribadi yang hanya pengguna sah yang tahu.
d. Data Rahasia
Sistem database juga menggunakan prosedur rahasia untuk melindungi
penyimpanan data yang sangat sensitif, seperti formula produk, personel
membayar tarif, file password, dan data keuangan tertentu sehingga membuatnya
tidak terbaca untuk penyusup "penjelajahan" database.

e. Perangkat Biometri

14
 Hal yang paling pokok dalam prosedur otentikasi pengguna adalah penggunaan
perangkat biometrik, yang mengukur berbagai karakteristik pribadi, seperti sidik
jari, sidik suara, retina cetakan, atau karakteristik tanda tangan. Karakteristik
pengguna ini didigitalkan dan disimpan secara permanen dalam file keamanan
database atau kartu identitas yang dimiliki pengguna. Teknologi biometrik saat ini
digunakan untuk mengamankan kartu ATM dan kartu kredit.
f. Kontrol Inference
Salah satu keuntungan dari kemampuan query database adalah bahwa ia
menyediakan pengguna dengan ringkasan dan data statistik untuk pengambilan
keputusan. Untuk melindungi kerahasiaan dan integritas database, kontrol
inference harus diterapkan untuk menjaga pengguna dalam mengambil
kesimpulan, melalui fitur query, nilai-nilai data tertentu yang dinyatakan tidak sah
untuk digakses. Kontrol Inference mencoba untuk mencegah tiga jenis kompromi
untuk database:
1. Kompromi-Positif pengguna menentukan nilai tertentu dari item data.
2. Negatif kompromi-pengguna menentukan bahwa item data tidak memiliki nilai
tertentu.
3. Perkiraan kompromi-pengguna tidak dapat menentukan nilai yang tepat dari
item tetapi mampu memperkirakan dengan akurasi yang cukup untuk
melanggar kerahasiaan data.

Prosedur Audit untuk Menguji Kontrol Akses database

Berikut ini adalah prosedur audit untuk menguji kontrol akses database:
a) Tanggung jawab untuk Otoritas Tabel dan Subschemas. Auditor harus
memverifikasi bahwa administrasi database (DBA) personil mempertahankan
tanggung jawab eksklusif untuk membuat otoritas tabel dan merancang
tampilan pengguna. Bukti dapat berasal dari tiga sumber: (1) dengan meninjau
kebijakan perusahaan dan deskripsi pekerjaan yang menentukan tanggung
jawab teknis; (2) dengan memeriksa programmer tabel otoritas untuk hak
akses ke data bahasa definisi (DDL) perintah; dan (3) melalui wawancara
pribadi dengan programmer dan personil DBA.

15
 b) Menyediakan Hak Akses. Auditor dapat memilih sampel dari pengguna dan
memverifikasi bahwa hak akses mereka disimpan dalam tabel otoritas
konsisten dengan pekerjaan mereka.
c) Kontrol Biometrik. Auditor harus mengevaluasi biaya dan manfaat dari kontrol
biometrik. Umumnya, ini akan menjadi yang paling tepat di mana data yang
sangat sensitif dapat diakses oleh jumlah pengguna yang sangat terbatas.
d) Kontrol Inferensi. Auditor harus memverifikasi bahwa kontrol query database
yang ada untuk mencegah akses yang tidak sah melalui inferensi. Auditor
dapat menguji kontrol dengan mensimulasikan akses oleh sampel pengguna
dan mencoba untuk mengambil data yang tidak sah melalui pertanyaan
inferensi.
e) Kontrol Rahasia. Auditor harus memverifikasi data yang sensitif, seperti
password, dirahasiakan dengan benar.

2.4.2 Kontrol backup

Data dapat rusak dan hancur oleh tindakan berbahaya dari hacker eksternal,
ketidakpuasan karyawan, kegagalan disk, kesalahan program, kebakaran, banjir, dan
gempa bumi. Untuk memulihkan dari bencana tersebut, organisasi harus menerapkan
kebijakan, prosedur, dan teknik yang secara sistematis dan rutin memberikan salinan
backup dari file penting.

1. Kontrol Backup di Lingkungan flat-file

Teknik backup yang digunakan akan tergantung pada media dan struktur file. Urutan
file (baik tape dan disk) menggunakan teknik backup yang disebut grandparent–parent–
child (GPC). Teknik backup ini merupakan bagian integral dari proses update file induk.
Akses langsung file, sebaliknya, membutuhkan prosedur backup terpisah. grandparent–
parent–child (GPC). Teknik backup ini merupakan bagian integral dari proses update file
induk. Akses langsung file, sebaliknya, membutuhkan prosedur backup terpisah.
GPC Backup Technique. Teknik backup grandparent–parent–child (GPC) yang
digunakan dalam urutan beberapa sistem file. Prosedur backup dimulai ketika master file
saat ini (parent) diproses terhadap file transaksi untuk menghasilkan baru master file
diperbarui (child). Dalam beberapa transaksi berikutnya, child menjadi master file saat ini
(parent), dan parent asli menjadi file (grandparent) backup. File induk baru yang muncul

16
dari proses update adalah child. Prosedur ini dilanjutkan dengan setiap batch transaksi
baru, menciptakan generasi file backup. Sistem desainer menentukan jumlah file induk
backup yang diperlukan untuk setiap aplikasi. Dua faktor yang mempengaruhi keputusan
ini: (1) signifikansi keuangan dari sistem dan (2) tingkat aktivitas file.
Akses Langsung Data backup. Untuk memberikan backup, file akses langsung
harus disalin sebelum diperbarui. Waktu prosedur akses backup langsung akan
tergantung pada pemrosesan metode yang digunakan. Backup file dalam sistem batch
biasanya dijadwalkan sebelum proses update. Sistem real-time menimbulkan masalah
yang lebih sulit. Jika versi terbaru dari file induk dihancurkan melalui kegagalan disk atau
rusak oleh kesalahan program, dapat direkonstruksi dengan program pemulihan khusus
dari file backup terbaru. Dalam kasus sistem real-time, transaksi yang diproses sejak
backup terakhir dan sebelum kegagalan akan hilang dan akan perlu diolah kembali untuk
mengembalikan file master untuk status saat ini.
Penyimpanan Off-Site. Sebagai perlindungan tambahan, file backup dibuat di
bawah kedua GPC dan pendekatan akses langsung harus disimpan off-situs di lokasi
yang aman.

Tujuan Audit yang Berkaitan dengan Backup Flat-File

Pastikan kontrol backup diletakkan ditempat yang efektif dalam melindungi file data
dari kerusakan fisik, kehilangan, penghapusan disengaja, dan data korupsi melalui
kegagalan sistem dan kesalahan program.

Prosedur Audit untuk Menguji Kontrol Backup Flat-File

1. Backup Sequential File (GPC). Auditor harus memilih sampel dari sistem dan
menentukan dokumentasi dari sistem yang jumlah file backup GPC nya ditentukan
untuk setiap sistem yang memadai. Jika versi backup cukup memadai, pemulihan dari
beberapa jenis kegagalan mungkin mustahil.
2. File Backup Transaksi. Auditor harus memverifikasi melalui observasi fisik bahwa file
transaksi digunakan untuk merekonstruksi file induk juga dipertahankan. Jika file
transaksi tidak sesuai, rekonstruksi tidak mungkin.
3. Direct Access File Backup. Auditor harus memilih sampel aplikasi dan
mengidentifikasi file akses langsung diperbarui di setiap sistem.

17
4. Penyimpanan Off-Site. Auditor harus memverifikasi keberadaan dan kecukupan
penyimpanan off-site. Prosedur pemeriksaan ini dapat dilakukan sebagai bagian dari
tinjauan bencana kontrol rencana pemulihan atau pusat komputer operasi.

2. Kontrol Backup di Lingkungan Database

Tujuan mendasar dari pendekatan database adalah berbagi data sehingga sangat
rentan terhadap kerusakan dari pengguna individu. Satu prosedur yang tidak sah, satu
tindakan jahat, atau satu kesalahan program dapat mencabut komunitas pengguna
seluruh informasi sumber daya. Ketika peristiwa tersebut terjadi, organisasi perlu
merekonstruksi database status pra-kegagalan. Sebagian besar kerangka utama DBMS
memiliki backup dan sistem pemulihan yang sama.
Backup. Fitur backup membuat backup periodik seluruh database. Ini adalah
prosedur otomatis yang harus dilakukan setidaknya sekali sehari. Salinan backup
kemudian harus disimpan di daerah terpencil aman.
Log Transaksi (Journal). Fitur log transaksi menyediakan jejak audit dari semua
transaksi diproses. Daftar transaksi dalam file log transaksi dan mencatat mengakibatkan
perubahan ke database dalam log perubahan database yang terpisah.
Fitur Checkpoint. Fasilitas pos pemeriksaan menunda semua pengolahan data
sementara rekonsiliasi sistem log transaksi dan log perubahan basis data terhadap
database. Di titik ini, sistem ini dalam keadaan tenang. Pos pemeriksaan terjadi secara
otomatis beberapa kali dalam sejam. Jika terjadi kegagalan, biasanya mungkin untuk me-
restart pengolahan dari pos pemeriksaan terakhir. Dengan demikian, hanya beberapa
menit dari proses transaksi harus diulang.
Modul recovery. Modul recovery menggunakan log dan file backup untuk me-restart
sistem setelah kegagalan.

Tujuan Audit Berkaitan dengan Backup Database

Pastikan kontrol atas sumber daya data yang cukup untuk menjaga integritas dan
keamanan fisik dari database.

Prosedur Audit untuk Menguji Kontrol Backup Database

 Auditor harus memverifikasi backup yang dilakukan secara rutin dan sering untuk
memfasilitasi pemulihan hilang, hancur, atau rusak data tanpa pemrosesan kembali

18
 yang berlebihan. Database produksi harus disalin secara berkala (mungkin
beberapa kali dalam satu jam). Kebijakan backup harus seimbangan antara
ketidaknyamanan kegiatan backup dan gangguan bisnis yang disebabkan oleh
pengolahan ulang berlebihan yang diperlukan untuk mengembalikan database
setelah kegagalan.
 Auditor harus memverifikasi bahwa prosedur backup otomatis berada di tempat dan
fungsi, dan bahwa salinan database disimpan off-site untuk keamanan lebih.

19
 BAB 3. KESIMPULAN

Audit sistem Informasi adalah sebuah proses yang sistematis dalam mengumpulkan
dan mengevaluasi bukti-bukti untuk menentukan bahwa sebuah sistem informasi berbasis
komputer yang digunakan oleh organisasi telah dapat mencapai tujuannya.
Audit berbasis database itu penting yang perlu menjadi perhatian auditor adalah
adanya kelemahan dalam sistem, dimana tidak ada koneksi database. Terdapat dua
pendekatan dalam manajemen data yaitu File-Flat approach dan database approach. Flat
File atau File datar merupakan data file yang dicatat secara terpisah dan tidak saling
terkoneksi satu sama lain. Sedangkan Pendekatan Database merupakan proses
mensentralisasi data organisasi yang dibagi kepada user dengan database management
system (DBMS). DBMS memiliki empat fitur umum yaitu Pengembangan program,
Pembuatan cadangan dan pemulihan, Pelaporan penggunaan basis data, dan Akses
basis data. Pengguna program database menggunakan bahasa pemograman seperti DML
(Data manipulation Language) dan SQL (Structured Query Language). Adapun Database
administrator memiliki fungsi sebagai Database planning, Design, Implementation ,
Operation and maintenance dan Change and growth. DBMS memiliki tiga model yaitu (1)
The Hierarchical Model yang dimana DBMS disusun secara hirarki, kadang sesuai atau
mirip degan hirarki organisasi, (2) Model jaringan (network model) yang dimana basis data
navigasional memiliki hubungan eksplisit antara record dan file, (3) Model relasional yang
menampilkan data dalam bentuk tabel dua dimensi. Dengan adanya sistem database
maka auditor dan perusahaan dimudahkan dalam hal melakukan aktivitas operasionalnya.

DAFTAR PUSTAKA

Hall, James A. 2011. Information Technology Auditing and Assurance, 3rd Edition.
United States: Cengage Learning.

20
21