Bab 10Pengendalian Integritas Pemrosesan dan Ketersediaan

I. Integritas Pemrosesan
Prinsip integritas pemrosesan dari Trust Service Framework menyatakan bahwa sebuah sistem yang dapat
diandalkan adalah sistem yan menghasilkan informasi akurat, lengkap, tepat waktu, dan valid.
A. Pengendalian Input
Frasa “sampah masuk, sampah keluar” menunjukkan pentingnya pengendalian input. Jika data yang
dimasukkan ke dalam sebuah sistem tidak akurat, tidak lengkap, atau tidak valid, maka outputnya juga akan
demikian.
1. Bentuk Desain. Dokumen sumber dan bentuk lainnya harus didesain untuk meminimalkan kemungkinan
kesalahan dan kelalaian. Dua bentuk utama desain pengendalian yang penting melibatkan dokumen
sumber sebelum penomoran (prenumbering) secara berurutan dan menggunakan dokumen turnaround.
a. Seluruh dokumen sumber harus dinomori sebelumnya secara berurutan. Prenumbering tersebut
meningkatkan pengendalian dengan memperbolehkannya untuk memverifikasi bahwa tidak ada
dokumen yang hilang.
b. Sebuah dokumen turnaround adalah catatan atas data perusahaan yang dikirimkan ke pihak
eksternal dan kemudian dikembalikan oleh pihak eksternal tersebut untuk selanjutnya di input ke
sistem. Dokumen turnaround disiapkan dalam bentuk yang dapat terbaca oleh mesin untuk
memudahkan pemrosesan selanjutnya sebagai catatan input.
2. Pembatalan dan Penyimpanan Dokumen Sumber. Dokumen-dokumen sumber yang telah dimasukkan ke
dalam sistem harus dibatalkan sehingga mereka tidak dapat dengan sengaja atau secara tidak jujur
dimasukkan ulang ke dalam sistem.
3. Pengendalian Entri Data. Dokumen-dokumen sumber harus dipindai untuk kewajaran dan kebenaran
sebelum dimasukkan ke dalam sistem.
 Pengecekan Field, menentukan apakah karakter pada sebuah field adalah dari jenis yang tepat.
 Pengecekan tanda, menentukan apakah data pada sebuah field memiliki tanda aritmatika yang
sesuai.
 Pengecekan batas, menguji sejumlah numerik terhadap nilai tetap.
 Pengecekan jangkauan, menguji apakah sejumlah numeric berada pada batas terendah dan tertinggi
yang telah ditentukan sebelumnya.
 Pengecekan ukuran, memastikan bahwa data input akan sesuai pada dalam field yang ditentukan.
 Pengecekan kelengkapan, memverifikasi bahwa seluruh item-item data yang diperlukan telah
dimasukkan.
 Pengecekan validitas, membandingkan kode ID atau nomor rekenin dalam data transaksi dengan
data serupa di dalam file induk untuk memverifikasi bahwa rekening tersebut ada.
 Tes kewajaran, menentukan kebenaran dari hubungan logis antara dua item-item data.
 Nomor ID resmi dapat berisi cek digit yang dihitung dari digit lain.
Pengujian entri data sebelumnya digunakan untuk pemrosesan batch dan pemrosesan realtime secara
online. Pengendalian input data tambahan berbeda untuk kedua metode pemrosesan tersebut.

Reza Yandripano/A31115725
Bab 10Pengendalian Integritas Pemrosesan dan Ketersediaan

B. Pengendalian Tambahan Entri Data Pemrosesan Batch

 Pemrosesan batch bekerja lebih efisien jika transaksi-transaksi disortir, sehinga rekening-rekening yang
terkena dampak berada dalam urutan yang dama dengan catatan di dalam file induk.
 Sebuah log kesalahan yang mengidentifikasikan kesalahan input data memudahkan pemeriksaan tepat
waktu dan pengumpulan ulang atas transaksi yang tidak dapat diproses.
 Total batch merangkum nilai-nilai numerik bagi seebuah batch atas catatan input. Berikut ini adalah tiga
total batch yang sering digunakan:
1. Total Finansial, menjumlahkan sebuah field yang berisi nilai-nilai moneter;
2. Total hash, menjumlahkan sebuah field numeric non-finansial;
3. Jumlah catatan adalah banyaknya catatan dalam sebuah batch.
C. Pengendalian Tambahan Entri Data Online
 Prompting, di mana sistem meminta tiap-tiap item data input dan menunggu respons yang dapat diterima,
memastikan bahwa seluruh data yang diperlukan telah dimasukkan (dengan kata lain, prompting adalah
sebuah pengecekan kelengkapan secara online).
 Verifikasi Closed-Loop mengecek ketepatan dari data input dengan menggunakannya untuk mengambil
dan menampilkan informasi terkait lainnya.
 Sebuah log transaksi menyertakannya sebuah catatan mendetail dari seluruh transaksi, termasuk
pengidentifikasian transaksi khusus, tanggal dan waktu entri, serta siapa yang memasukkan transaksi.
D. Pengendalian Pemrosesan
Pengendalian juga diperlukan untuk memastikan bahwa data diproses dengan benar. Pengendalian
pemrosesan yang penting mencakup kegiatan sebagai berikut:
 Pencocokan data. Dalam kasus-kasus tertentu, dua atau lebih item dari data harus dicocokkan sebelum
sebuah tindakan dilakukan.
 Label file. Label file perlu dicek untuk memastikan bahwa file yang benar dan terkini sedang diperbarui.
 Perhitungan ulang total batch. Total batch harus dihitung ulang setiap masing-masing catatan transaksi
diproses, dan total dari batch terserbut dibandingkan dengan nilai-nilai dalam catatan trailer.
 Pengujian saldo cross-footing dan saldo nol. Biasanya total dapat dihitung dengan berbagai cara.
Sebagai contoh, dalam spreadsheet sebuah grand total dapat dihitung dengan menjumlahkan sebuah
kolom dari total baris atau dengan menjumlahkan sebuah baris dari total kolom.
Sebuah pengujian saldo cross-footing, membandingkan hasil yang diperlihatkan masing-masing metode
untuk memverifikasi ketepatan. Pengujian saldo nol menerapkan logika yang sama untuk memverifikasi
ketepatan pemrosesan yang melibatkan rekening kontrol.
 Mekanisme write-protection. Mekanisme ini melindungi terhadap menimpa atau menghapus file data yang
disimpan dalam media magnetik.
 Pengendalian pembaruan secara bersamaan. Kesalahan dapat terjadi ketika dua pengguna atau lebih
berupaya untuk memperbarui catatan yang sama secara bersamaan. Pengendalian pembaruan secara

Reza Yandripano/A31115725
Bab 10Pengendalian Integritas Pemrosesan dan Ketersediaan

bersamaan mencegah kesalahan tersebut dengan mengunci satu pengguna sampai sistem telah selesai
memproses transaksi yang dimasukkan oleh yang lainnya.
E. Pengendalian Output
Pengecekan yang hati-hati terhadap output sistem memberikan pengendalian tambahan atas integritas
pemrosesan. Pengendalian output yang penting meliputi:
 Pemeriksaan Pengguna terhadap Output. Para pengguna harus dengan cermat memeriksa output sistem
untuk memverifikasi bahwa output-nya masuk akal, lengkap, dan pengguna adalah penerima yang dituju.
 Prosedur rekonsiliasi. Secara periodik, seuruh transaksi dan pembaruan sistem lainnya harus
direkonsiliasi untuk laporan pengendalian, laporan status/pembaruan file, atau mekanisme pengendalian
lainnya.
 Rekonsiliasi data eksternal. Total database harus direkonsiliasi secara periodic dengan data yang dikelola
di luar sistem.
 Pengendalian transmisi data. Organisasi juga perlu mengimplementasikan pengendalian yang didesain
untuk meminimalkan risiko kesalahan transmisi data.
Dua pengendalian transmisi data yang umum lainnya adalah checksum dan bit paritas.
1. Cheksum. Ketika data ditransmisikan, perangkat pengirim dapat menghitung sebuah hash dari file
tersebut, yang disebut checksum.
2. Bit paritas. Computer merepresentasikan karakter sebagai sebuah set digit biner yang disebut bit.
Setiap bit memiliki dua nilai yang mungkin: 0 atau 1.
Sebuah bit paritas adalah digit ekstra yang ditambahkan awal pada tiap-tiap karakter yang dapat
digunakan untuk mengecek ketepatan transmisi.
Pengecekan paritas merupakan sebuah pengendalian transmisi data di mana perangkat penerima
menghitung ulang bit paritas untuk memverifikasi ketepatan dari data yang ditransmisikan.
F. Contoh Ilustratif: Pemrosesan Penjualan Kredit
Pemrosesan transaksi-transaksi ini mencakup tahapan-tahapan berikut:
1. Pengendalian Input
Setelah transaksi penjualan dimasukkan, sistem menjalankan beberapa pengujian validasi pendahuluan.
2. Pengendalian Pemrosesan
Sistem membaca catatan kepala dari file induk pelanggan dan persediaan serta memverifikasi bahwa
versi terbaru sedang digunakan.
3. Pengendalian Output
Dokumen penagihan dan pengiriman hanya diarahkan kepada pegawai yang diotorisasi di departemen
akuntansi dan pengiriman, yang secara visual menginspeksi dokumen-dokumen tersebut untuk
kesalahan yang jelas.
G. Pengendalian Integritas Pemrosesan Dalam Spreadsheet
Sebagian besar organisasi memiliki ribuan spreadsheet yang digunakan untuk mendukung pembuatan
keputusan.Pentingnya spreadsheet bagi pelaporan keuangan direfleksikan dalam fakta bahwa ISACA

Reza Yandripano/A31115725
Bab 10Pengendalian Integritas Pemrosesan dan Ketersediaan

mendokumentasikan IT Control Objectives for Sarbanes-Oxley yang berisi lampiran terpisah yang secara
spesifik menjelaskan pengendalian integritas pemrosesan yang harus diterapkan dalam spreadsheet.
Pengujian yang cermat atas spreadsheet sebelum digunakan dapat mencegah jenis-jenis kesalahan
tersebut. Meskipun sebagian besar perangkat lunak spreadsheet yang di dalamnya memuat fitur-fitur “audit”
dapat dengan mudah mendeteksi kesalahan umum, spreadsheet dimaksudkan untuk menunjang keputusan-
keputusan penting yang membutuhkan lebih banyak pengujian mendalam untuk mendeteksi kesalahan yang
sulit dipastikan.

II. Ketersediaan
Gangguan dalam proses bisnis yang dikarenakan tidak tersedianya sistem atau informasi dapat
menyebabkan kerugian keuangan yang signifikan. Akibatnya, proses pengendalian DSS01 dan DSS04 COBIT5
menunjukkan pentingnya memastikan bahwa sistem dan informasi tersedia setiap saat dibutuhkan oleh
pengguna.Tujuan utamanya adalah untuk meminimalkan risiko penghentian sistem.
A. Meminimalkan Risiko Penghentian Sistem
Organisasi dapat melakukan berbagai tindakan untuk meminimalkan risiko penghentian sistem. Praktik
manajemen DSS01.05 COBIT 5 mengidentifikasikan kebutuhan akan pemeliharaan yang preventif, seperti
membersihkan disk drive dan menyimpan media magnetik dan optik dengan tepat, untuk mengurangi risiko
kegagalan perangkat keras dan lunak. Penggunaan komponen-komponen yang berulang menyediakan
toleransi kesalahan yang merupakan kemampuan sebuah sistem untuk terus berfungsi dalam kejadian ketika
sebuah komponen tertentu gagal.
Sebagai contoh, banyak perusahaan menggunakan redundant arrays of independent drives (RAID)
bukan hanya satu disk drive.Dalam menggunakan RAID, data dituliskan ke berbagai disk drive secara
bersamaan.
Praktik manajemen DSS01.04 dan DSS01.05 COBIT 5 menunjukkan pentingnya meletakkan dan
mendesain pusat-pusat data yang menaungi server tugas kritis dan database sehingga meminimalkan risiko
yang terkait dengan bencana alam dan yang disebabkan manusia.
Pelatihan juga dapat mengurangi risiko penghentian sistem. Operator yang dilatih dengan baik akan
lebih sedikit dalam membuat kesalahan dan akan mengetahui kapan untuk memulihkan sistem dari
kerusakan, minimal atas kesalahan-kesalahan yang mereka lakukan. Penghentian sistem juga dapat terjadi
karena adanya perangkat lunak berbahaya (malware) pada computer, seperti virus dan worm.Oleh Karena
itu, penting untuk memasang, menjalankan, dan menjaga program-program anti spyware dan antivirus
terbaru.
B. Pemulihan dan Penerusan Operasi Normal
Pengendalian preventif yang didiskusikan pada bagian sebelumnya dapat meminimalkan tetapi tidak
secara keseluruhan mengeliminasi, risiko penghentian sistem.Kegagalan perangkat keras, masalah
perangkat lunak, atau kesalahan manusia dapat menyebabkan data tidak dapat diakses.

Reza Yandripano/A31115725
Bab 10Pengendalian Integritas Pemrosesan dan Ketersediaan

Sebuah backup adalah sebuah salinan yang sama persis atas versi terbaru dari database, file, atau
program perangkat lunak yang dapat digunakan jika data aslinya tidak lagi tersedia. Prosedur backup sebuah
organisasi, DRP dan BCP merefleksikan jawaban manajemen terhadap dua pertanyaan fundamental:
1. Seberapa banyak data yang akan diciptakan ulang dari dokumen sumber atau berpotensi kehilangan?
Untuk pertanyaan pertama menentukan recovery point objective (RPO) tujuan titik pemulihan organisasi,
yang merepresentasikan jumlah maksimum atas data yang dimiliki organisasi untuk dimasukkan kembali
atau berpotensi hilang.
2. Seberapa lama organisasi dapat berfungsi tanpa sistem informasinya?
Jawaban atas pertanyaan kedua menentukan recovery time objective (RTO) tujuan waktu pemulihan
organisasi, yang merupakan waktu maksimum yang dapat ditoleransi untuk mengembalikan sebuah
sistem informasi setelah sebuah bencana.
Bagi beberapa organisasi, baik RPO dan RTO harus mendekati nol. Institusi penerbangan dan
keuangan, contohnya, tidak dapat beroperasi tanpa sistem informasinya, atau tidak boleh kehilangan
informasi mengenai transaksi. Real time monitoring melibatkan pemeliharaan dua salinan dari database pada
dua pusat data terpisah sepanjang waktu dan memperbarui kedua database secara real-time setiap terjadi
transaksi.Meskipun demikian, bagi organisasi lainnya, RPO dan RTO yang diterima mungkin diukur dalam
jam atau hari.RPO dan RTO yang lebih lama mengurangi biaya atas pemulihan bencana sebuah organisasi
atau prosedur kelangsungan bisnis.
1. Prosedur Backup Data
Prosedur backup data didesain untuk menghadapi situasi di mana informasi tidak dapat diakses
karena file atau database yang relevan telah menjadi korup/rusak akibat kegagalan perangkat keras,
masalah perangkat lunak, atau kesalahan manusia, namun sistem informasinya masih berfungsi. Ada
beberapa prosedur backup yang tersedia.
Backup penuh adalah sebuah salinan tepat dari keseluruhan sebuah database.Tindakan tersebut
membutuhkan banyak waktu, sehingga sebagian besar organisasi hanya melakukan backup penuh
secara mingguan dan melengkapinya dengan backup parsial harian.
Dua jenis backup parsial harian:
a. Sebuah backupincremental hanya melibatkan penyalinan item-item data yang telah berubah sejak
backup parsial terakhir. Salinan ini menghasilkan sebuah set file backup incremental, masing-masing
memuat hasil dari transaksi-transaksi yang terjadi dalam satu hari.
b. Sebuah backup difrensial menyalin seluruh perubahan yang dibuat sejak backup penuh terakhir.
Jadi, tiap filebackup difrensial yang baru memuat efek kumulatif dari seluruh aktivitas sejak backup
penuh terakhir.
Tidak peduli backup mana yang digunakan, berbagai salinan backup harus dibuat.Satu salinan
dapat disimpan di tempat, untuk digunakan dalam kejadian atas masalah-masalah yang relative minor,
seperti kegagalan atas hard drive.

Reza Yandripano/A31115725
Bab 10Pengendalian Integritas Pemrosesan dan Ketersediaan

Backup ditahan hanya untuk periode waktu yang relative pendek.Sebagai contoh, banyak organisasi
yang hanya memelihara backup untuk beberapa bulan.Beberapa informasi, meski demikian, harus
disimpan jauh lebih lama. Arsip adalah salinan atas sebuah database file induk, atau perangkat lunak
yang ditahan tanpa batas sebagai catatan historis, biasanya untuk memenuhi persyaratan hukum dan
peraturan. Sama halnya dengan backup, berbagai salinan dari arsip harus dibuat dan disimpan dalam
lokasi-lokasi yang berbeda.
Perhatian khusus perlu diberikan untuk mem-backup dan mengarisipkan e-mail, karena kedua
perlakuan tersebut telah menjadi tempat penyimpanan yang penting bagi perilaku dan informasi
keorganisasian.
2. Perencanaan Pemulihan Bencana dan Kelangsungan Bisnis
Sejumlah backup didesain untuk mengatasi masalah-masalah ketika satu atau lebih file atau
database rusak karena kesalahan perangkat keras, perangkat lunak, dan manusia. DRP dan BCP
didesain untuk mengatasi masalah-masalah yang lebih serius.
Sebuah rencana pemuliahan bencana menguraikan prosedur-prosedur untuk mengembalikan fungsi
TI sebuah organisasi akibat kejadian hancurnya pusat data karena bencana alam atau tindakan
terorisme. Organisasi memiliki tiga pilihan dasar untuk mengganti infrastruktur TI-nya, termasuk tidak
hanya komputer, tetapi juga komponen-komponen jaringan seperti router dan switch, perangkat lunak,
data, akses internet, printer, dan suplai.
Pilihan pertama adalah kontrak untuk menggunakan sebuah situs dingin, yang merupakan sebuah
bangunan kosong yang diberi kabel sebelumnya untuk akses telepon dan Internet yang memadai,
ditambah kontrak dengan satu vendor atau lebih untuk menyediakan seluruh peralatan yang diperlukan
dalam satu periode waktu tertentu.
Pilihan kedua adalah kontrak untuk menggunakan sebuah situs panas, yang merupakan sebuah
fasilitas yang tidak hanya diberi kabel sebelumnya untuk akses telepon dan Internet, tetapi juga terdiri
atas seluruh peralatan komputasi dan peralatan kantor yang dibutuhkan organisasi untuk menjalankan
aktivitas bisinis pokoknya.
Masalah dengan situs dingin maupun situs panas adalah bahwa penyedia situs biasanya menjual
melebihi kapasitas, dengan asumsi bahwa dalam satu waktu hanya ada beberapa klien yang akan perlu
untuk menggunakan fasilitas tersebut.
Sebuah rencana kelangsungan bisnis menspesifikasikan bagaimana untuk merangkum tidak hanya
fungsi TI, tetapi seluruh proses bisnis, termasuk relokasi ke kantor baru dan menggunakan pengganti
sementara, dalam kejadian ketika sebuah kerusakan besar yang menghancurkan tidak hanya pusat data
sebuah organisasi, tetapi juga kantor utamanya. Perencanaan seperti itu penting, karena lebih dari
separuh organisasi tanpa DRP dan BCP tidak pernah beroperasi kembali setelah dipaksa tutup selama
beberapa hari karena sebuah bencana.
Meskipun demikian, hanya memiliki DRP dan BCP saja tidaklah cukup.Kedua rencana tersebut
harus didokumentasikan dengan baik.Dokumentasi tersebut harus menyertakan tidak hanya instruksi

Reza Yandripano/A31115725
Bab 10Pengendalian Integritas Pemrosesan dan Ketersediaan

untuk memberitahu staf yang sesuai dan langkah-langkah yang diambil utuk melanjutkan operasi, tetapi
juga dokumentasi vendor dari seluruh perangkat keras dan perangkat lunak.
Pengujian dan perbaikan periodic mungkin adalah komponen-komponen paing penting dari DRP
dan BCP yang efektif.
3. Efek dari Virtualisasi dan Komputasi Cloud
Virtualisasi dapat secara signifikan meningkatkan efektivitias dan efisiensi dari pemulihan bencana
dan penerusan operasi normal.Virtualisasi secara signifikan mengurangi waktu yang diperlukan untuk
memulihkan (RTO) dari masalah perangkat keras.
Komputasi cloud memiliki efek positif dan negatif dalam ketersediaan. Komputasi cloud biasanya
memanfaatkan bank atas server berlebih dalam berbagai lokasi, sehingga menurunkan risiko bahwa
sebuah kerusakan tunggal dapat mengakibatkan penghentian sistem dan hilangnya semua data.

Reza Yandripano/A31115725