RMK Bab 10 Integritas Pemrosesan dan Ketersediaan Pengendalian

Pengendalian Integritas Pemrosesan dan Ketersediaan

A. Integritas Pemrosesan

Prinsip integritas pemrosesan dari Trust Service Framework menyatakan bahwa sebuah
sistem yang dapat diandalkan adalah sistem yang menghasilkan informasi akurat, lengkap,
tepat waktu, dan valid. Adapun pengendalian dasar sebaga dasar – dasar untuk integritas
pemrosesan adalah sebagai berikut :
1. Pengendalian Input
Ancaman / risiko yang mungkin dihadapi pada tahap pengendalian input yaitu :
a. Data tidak valid
b. Data tidak diotorisasi
c. Data tidak lengkap
d. Data tidak akurat.
Untuk memverifikasi validitas data input, langkah – langkah berikut dapat dilakukan yaitu
sebagai beriut :
a. Bentuk Desain
Dua bentuk utama desain pengendalian yang penting melibatkan dokumen sumber
sebelum penomoran (prenumbering) secara berurutan dan menggunakan dokumen
turnaround.
b. Pembatalan dan Penyimpanan Dokumen Sumber
Dokumen sumber asli (atau gambar – gambar elektronik) harus ditahan sepanjang
diperlukan untuk memenuhi persyaratan hukum dan peraturan serta memberikan
sebuah jejak audit.
c. Pengendalian Entri Data
Pengendalian manual yang harus dilengkapi dengan pengendalian entri data ekonomis
yaitu sebagai berikut :
1) Pengecekan field (field check), menentukan apakah karakter pada sebuah field
adalah dari jenis yang tepat
2) Pengecekan tanda (sign check), menentukan apakah data pada sebuah field
memiliki tanda aritmatika yang sesuai
3) Pengecekan batas (limit check), menguji sejumlah numerik terhadap nilai tetap
4) Pengecekan jangkauan (range check), menguji apakah sejumlah numerik berada
pada batas terendah dan tertinggi yang telah ditentukan sebelumnya
5) Pengecekan ukuran (size check), memastikan bahwa data input akan sesuai pada
dalam field yang ditentukan
6) Pengecekan (atau pengujian) kelengkapan (completeness check/list), memverifikasi
bahwa seluruh item – item data yang diperlukan telah dimasukkan

Bobby Frathama Sembiring (A31115756) Page 1

RMK Bab 10 Integritas Pemrosesan dan Ketersediaan Pengendalian

7) Pengecekan validitas (validity check), membandingkan kode ID atau nomor rekening

dalam data transaksi dengan data serupa di dalam file induk untuk memverifikasi
bahwa rekening tersebut ada
8) Tes kewajaran (reasonable test), menentukan kebenaran dari hubungan logis antara
dua item – item data
9) Nomor ID resmi (seperti nomor pegawai) dapat berisi cek digit (check digit) yang
dihitung dari digit lain.
d. Pengendalian Tambahan Entri Data Pemrosesan Batch
Beberapa pengendalian tambahan entri data pemrosesan batch adalah sebagai berikut:
1) Pemrosesan batch dan pengecekan berurutan (sequence check)
2) Log kesalahan
3) Total batch yang terdiri atas :
a) Total finansial (financial total), yaitu menjumlahkan sebuah field yang berisi nilai
– nilai moneter, seperti jumlah yang seluruh penjualan
b) Total hash (hash total), yaitu menjumlahkan sebuah field numerik non-finansial,
seperti kuantitas yang dipesan
c) Jumlah catatan (record count), adalah banyaknya catatan dalam sebuah batch
e. Pengendalian Tambahan Entri Data Online
Terdiri atas :
1) Prompting yaitu dimana sistem meminta tiap – tiap item data input dan mengunggu
respons yang dapat diterima, memastikan bahwa seluruh data yang diperlukan telah
dimasukkan.
2) Verifikasi closed-loop (closed-loop verification), dengan mengecek ketepata dari
data input dengan menggunakannya untuk mengambil dan menampilkan informasi
terkait lainnya
3) Sebuah log transaksi menyertakan sebuah catatan mendetail dari seluruh transaksi
termasuk pengidentifikasian transaksi khusus, tanggal dan waktu entri, serta siapa
yang memasukkan transaksi.
2. Pengendalian Pemrosesan
Pengendalian pemrosesan yang penting mencakup kegiatan sebagai berikut :
a. Pencocokan data
Dua atau lebih item dari data harus dicocokkan sebelum sebuah tindakan dilakukan.
b. Label file
Label file perlu dicek untuk memastikan bahwa file yang benar dan terkini sedang
diperbarui. Dua jenis label internal yang penting adalah catatan kepala (header record)
dan catatan trailer (trailer record).
c. Perhitungan ulang total batch

Bobby Frathama Sembiring (A31115756) Page 2

RMK Bab 10 Integritas Pemrosesan dan Ketersediaan Pengendalian

Total batch harus dihitung ulang setiap masing – masing catatan transaksi diproses, dan
total dari batch tersebut harus dibandingkan dengan nilai – nilai dalam catatan trailer.
d. Pengujian saldo cross-footing dan saldo nol
Biasanya total dapat dihitung dengan berbagai cara yaitu dengan menjumlahkan
sebuah kolom dari total baris atau dengan menjumlahkan sebuah baris dari total kolom,
dengan pengujian saldo cross-footing (cross-footing balance test), dan pengujian saldo
nol (zero balance test)
e. Mekanisme write-protection
Mekanisme ini melindungi terhadap menimpa (overwriting) atau menghapus (erasing)
file data yang disimpan dalam media magnetik.
f. Pengendalian pembaruan secara bersamaan
Pengendalian ini mencegah kesalahan dengan mengunci satu pengguna sampai sistem
telah selesai memproses transaksi yang dimasukkan oleh yang lainnya.
3. Pengendalian Output
Beberapa ancaman / risko pada pengendalian output adalah :
a. Penggunaan laporan yang tidak akurat atau tidak lengkap
b. Pengungkapan yang tidak diotorisasi informasi sensitif
c. Kehilangan, perubahan atau pengungkapan informasi dalam transit.
Pengendalian output yang penting meliputi :
a. Pemeriksaan pengguna terhadap output
Para pengguna harus dengan cermat memeriksa output sistem untuk memverifikasi
bahwa outputnya masuk akal, lengkap, dan pengguna adalah penerima yang dituju.
b. Prosedur rekonsiliasi
Secara periodik, seluruh transaksi dan pembaruan sistem lainnya harus direkonsiliasi
untuk laporan pengendalian, laporan status/pembaruan file, atau mekanisme
pengendalian lainnya.
c. Rekonsiliasi data eksternal
Total database harus direkonsiliasi secara periodik dengan data yang dikelola di luar
sistem.
d. Pengendalian transmisi data
Organisasi juga perlu megimplentasikan pengendalian yang didesain untuk
meminimalkan risiko kesalahan transmisi data. Dua pengendalian transmisi data yang
umum lainnya adalah :
1) Checksum
Ketika data ditransmisikan, perangkat pengirim dapat menghitung sebuah hash dari
file tersebut, yang disebut checksum.
2) Bit paritas

Bobby Frathama Sembiring (A31115756) Page 3

RMK Bab 10 Integritas Pemrosesan dan Ketersediaan Pengendalian

Komputer mempresentasikan karakter sebagai sebuah set digit biner yang disebut
bit. Sebuah bit paritas (parity bit) adalah digit ekstra yang ditambahkan awal pada
tiap – tiap karakter yang dapat digunakan untuk mengecek ketepatan transmisi.

B. Ketersediaan

Beberapa pengendalian utama yang terkait dengan tujuan yang ingin dicapai adalah
sebagai berikut :
1. Untuk meminalkan risiko penghentian sistem, maka pengendalian utamanya yaitu :
a. Pemeliharaan preventif
b. Toleransi kesalahan
c. Lokasi dan desain pusat data
d. Pelatihan
e. Manajemen patch dan perangkat lunak antivirus
2. Untuk pemulihan yang cepat dan lengkap serta pelanjutan operasi normal, maka
pengendalian utamanya yaitu :
a. Prosedur backup
b. Disaster recovery plan (DRP)
c. Business continuity plan (BCP)

Praktik manajemen COBIT 5 menunjukkan pentingnya meletakkan dan mendesain

pusat – pusat data yag menaungi server tugas kritis dan database sehingga meminimalkan
risiko yang terkait dengan bencana alam dan yang disebabkan manusia. Fitur – fitur desain
umumnya meliputi sebagai berikut :
1. Lantai yang ditinggikan memberikan perlindungan dari kerusakan yang disebabkan oleh
banjir
2. Pendeteksi api dan perangkat penekanan mengurangi kemungkinan kerusakan bagi
peralatan komputer karena terlalu panas atau lembab.
3. Kabel dengan tancapan khusus yang tidak dapat diganti dengan mudah menurunkan risiko
kerusakan sistem karena mencabut tanpa sengaja pada perangkat tersebut
4. Perangkat antipetir memberikan perlindungan terhadap fluktuasi daya temporer yang
mungkin menyebabkan kerusakan komputer dan peralatan jaringan lainnya
5. Sebuah sistem uninterupptible power supply (UPS) atau suplai daya bebas gangguan
memberikan perlindungan dari kejadian sebuah listrik yang berkepanjangan, dengan
menggunakan tenaga baterai yang memungkinkan sistem beroperasi cukup lama untuk
mencadangkan data penting dan mematikan (shutdown) dengan aman.

Bobby Frathama Sembiring (A31115756) Page 4

RMK Bab 10 Integritas Pemrosesan dan Ketersediaan Pengendalian

6. Pengendalian akses fisik mengurangi risiko pencurian atau kerusakan.

Sebuah backup adalah sebuah salinan yang sama persis atas versi terbaru dari
database, file atau program perangkat lunak yang dapat digunakan jika data aslinya tidak lagi
tersedia. Organisasi memerlukan rencana pemulihan bencana dan rencana kelangsungan
hidup (DRP-disaster recovery plans, dan BCP-business continuity plans). Prosedur backup
sebuah organisasi, CRP dan BCP merefleksikan jawaban manajemen terhadap dua
pertanyaan fundamental yaitu :
1. Seberapa banyak data yang akan diciptakan ulang dari dokumen sumber (jika ada) atau
berpotensi kehilangan (jika belum ada dokumen sumber yang ada). Manajemen perlu untuk
menentukan recovery point objective (RPO) yang merepresentasikan jumlah maksimum
atas data yang dimiliki organisasi untuk dimasukkan kembali atau berpotensi hilang.
2. Seberapa lama organisasi dapat berfungsi tanpa sistem informasinya. Manajemen perlu
menentukan recovery time objective (RTO) yang merupakan waktu maksimum yang dapat
ditoleransi untuk mengembalikan sebuah sistem informasi setelah sebuah bencana.

Backup penuh (full backup) adalah sebuah salinan tepat dari keseluruhan sebuah
database. Tindakan tersebut membutuhkan banyak waktu, sehingga sebagian besar organisasi
hanya melakukan backup penuh secara mingguan dan melengkapinya dengan backup parsial
harian. Berikut perbandingan dua jenis backup parsial harian yaitu :
1. Backup inkremental (incremental backup) hanya melibatkan penyalinan item – item data
yang berubah sejak backup parsial terakhir.
2. Backup diferensial (differential backup) menyalin seluruh perubahan yang dibuat sejak
backup penuh terakhir. Jadi, tiap file backup diferensial yang baru memuat efek kumulatif
dari seluruh aktivitas sejak backup penuh terakhir.

Banyak organisasi hanya memelihara backup untuk beberapa bulan. Beberapa

informasi harus disimpan jauh lebih lama. Arsip (archive) adalah salinan atas sebuah database,
file induk, atau perangkat lunak yang ditahan tanpa batas sebagai catatan historis, biasanya
untuk memenuhi persyaratan hukum dan peraturan. Sama halnya dengan backup, berbagai
salinan dari arsip harus dibuat dan disimpan dalam lokasi – lokasi yang berbeda.

Sebuah rencana pemulihan bencana (disaster recovery plan-DRP) menguraikan

prosedur – prosedur untuk mengembalikan fungsi TI sebuah organisasi akibat kejadian
hancurnya pusat data karena bencana alam atau tindakan terorisme. Pilihan pertama adalah
kontrak untuk menggunakan sebuah situs dingin (cold site) yang merupakan sebuah bangunan
kosong yang diberi kabel sebelumnya untuk akses telepon dan Internet yang memadai,
ditambah kontrak dengan satu vendor atau lebih untuk menyediakan seluruh peralatan yang

Bobby Frathama Sembiring (A31115756) Page 5

RMK Bab 10 Integritas Pemrosesan dan Ketersediaan Pengendalian

diperlukan dalam satu periode waktu tertentu. Pilihan kedua adalah kontrak untuk
menggunakan sebuah situs panas (hot site), yang merupakan sebuah fasilitas yang tidak hanya
diberi kabel sebelumnya untuk akses telepon dan Internet, tetapi juga terdiri atas seluruh
peralatan komputasi dan peralatan kantor yang dibutuhkan organisasi untuk menjalankan
aktivitas bisnis pokoknya.

Sebuah rencana kelangsungan hidup (business continuity plan-BCP) menspesifikasikan

bagaimana untuk merangkum tidak hanya fungsi TI, tetapi seluruh proses bisnis, termasuk
relokasi ke kantor baru dan menggunakan pengganti sementara, dalam kejadian ketika sebuah
kerusakan besar yang menghancurkan tidak hanya pusat data sebuah organisasi, tetapi juga
kantor utamanya. Perencanaan seperti itu penting, karena lebih dari separuh organisasi tanpa
DRP dan BCP tidak pernah beroperasi kembali setelah dipaksa tutup selama beberapa hari
karena sebuah bencana. Kedua rencana tersebut harus didokumentasikan dengan baik.
Dokumentasi tersebut harus menyertakan tidak hanya instruksi untuk memberitahu staf yang
sesuai dan langkah – langkah yang diambil untuk melanjutkan operasi, tetapi juga dokumentasi
vendor dari seluruh perangkat keras dan perangkat lunak.

Pengujian dan perbaikan periodik mungkin adalah komponen – komponen paling

penting dari DRP dan BCP yang efektif. Pengujian dapat mengungkap detail – detail yang
diabaikan. DRP dan BCP perlu diuji setidaknya secara tahunan untuk memastikan bahwa
kedua program tersebut dengan tepat merefleksikan perubahan terkini dalam peralatan dan
prosedur. Dokumentasi DRP dan BCP perlu diperbarui untuk merefleksikan segala perubahan
dalam prosedur yang dibuat sebagai respon atas masalah – masalah yang diidentifikasi selama
pengujian rencana – rencana tersebut.

Virtualisasi dapat secara signifikan meningkatkan efektivitas dan efisiensi dari

pemulihan bencana dan penerusan operasi normal. Sebuah mesin virtual hanyalah sebuah
kumpulan file perangkat lunak. Oleh karena itu, jika server fisik yang menampung file tersebut
gagal, maka file dapat dipasang pada mesin penampung lainnya dalam beberapa menit. Jadi,
virtualisasi secara signifikan mengurangi waktu yang diperlukan untuk memulihkan (RTO) dari
masalah perangkat keras.

Komputasi cloud memiliki efek positif dan negatif dalam ketersediaan. Komputasi cloud
biasanya memanfaatkan bank atas server berlebih dalam berbagai lokasi, sehingga
menurunkan risiko bahwa sebuah kerusakan tunggal dapat mengakibatkan penghentian sistem
dan hilangnya semua data. Jika sebuah penyedia cloud publik keluar dari bisnis, ini mungkin
sulit, jika memungkinkan, untuk mendapatkan kembali semua data yang disimpan dalam cloud
tersebut.

Bobby Frathama Sembiring (A31115756) Page 6