com
Bab 9
Sistem Aplikasi:
Risiko dan Kontrol
TUJUAN PEMBELAJARAN
1. Diskusikan risiko umum yang terkait dengan sistem aplikasi.
2. Diskusikan risiko umum yang terkait dengan sistem aplikasi pengembangan pengguna akhir.
3. Diskusikan risiko sistem pertukaran informasi bisnis dan jelaskan standar umum untuk
penilaian audit mereka.
4. Jelaskan aplikasi Web, termasuk praktik pengkodean aman terbaik dan risiko umum.
5. Menjelaskan pengendalian aplikasi dan bagaimana pengendalian tersebut digunakan untuk mengamankan masukan, pemrosesan,
Sistem aplikasi menyediakan fungsi otomatis untuk mendukung proses bisnis secara efektif. Aplikasi juga
menimbulkan risiko bagi organisasi dalam bentuk peningkatan biaya, hilangnya integritas data, kelemahan
dalam kerahasiaan, kurangnya ketersediaan, dan kinerja yang buruk, antara lain. Selanjutnya, setelah
diimplementasikan, aplikasi dapat dimodifikasi secara berkala untuk memperbaiki kesalahan atau hanya
mengimplementasikan peningkatan dan peningkatan (pemeliharaan). Pemeliharaan tersebut perlu konsisten
dengan strategi bisnis atau TI; jika tidak, ini dapat menyebabkan masalah kinerja dan penggunaan sumber daya
yang tidak efisien.
Bab ini membahas risiko umum untuk berbagai jenis sistem aplikasi dan memberikan
contoh risiko potensial tersebut. Ini juga menyentuh kontrol aplikasi yang relevan yang dapat
diterapkan oleh organisasi untuk mengurangi risiko yang dibahas. Terakhir, keterlibatan
auditor TI saat memeriksa aplikasi dibahas.
241
242◾ Kontrol dan Audit Teknologi Informasi
file komputer tunggal atau pada tabel database. Jika data yang dimasukkan salah, dampak kesalahan akan
signifikan karena aplikasi bergantung pada data tersebut. Demikian pula, semakin tinggi jumlah aplikasi yang
menggunakan data terkonsentrasi, semakin besar dampaknya ketika data tersebut menjadi tidak tersedia
karena masalah perangkat keras atau perangkat lunak. Contoh yang baik untuk diskusi lebih lanjut tentang
sistem aplikasi adalah sistem Enterprise Resource Planning (ERP).
Sistem ERP menyediakan fungsionalitas bisnis standar dalam sistem lingkungan TI yang
terintegrasi (misalnya, pengadaan, inventaris, akuntansi, dan sumber daya manusia). Sistem ERP
memungkinkan banyak fungsi untuk mengakses database umum—mengurangi biaya
penyimpanan dan meningkatkan konsistensi dan akurasi data dari satu sumber. Faktanya, memiliki
satu database meningkatkan kualitas dan ketepatan waktu informasi keuangan. Namun, kesalahan
pemrosesan dapat dengan cepat memengaruhi banyak fungsi karena informasi dibagikan tetapi
bersumber dari database yang sama. Menurut Apps Run the World edisi Juni 2016, sebuah
perusahaan riset pasar teknologi yang dikhususkan untuk ruang aplikasi, pasar aplikasi ERP di
seluruh dunia akan mencapai $84,1 miliar pada tahun 2020 versus $82,1 miliar pada tahun 2015.
Beberapa pemasok ERP utama saat ini termasuk SAP, FIS Global, Oracle, Fiserv,
Meskipun banyak keuntungan dari sistem ERP, mereka bukannya tanpa risiko. Sistem
ERP tidak jauh berbeda dari sistem aplikasi yang dibeli atau dikemas, dan karena itu
mungkin memerlukan modifikasi ekstensif untuk proses bisnis baru atau yang sudah
ada. Modifikasi ERP (yaitu, rilis perangkat lunak) memerlukan pemrograman yang cukup
besar untuk memperbaiki semua kode khusus organisasi. Karena sistem paket bersifat
generik, organisasi mungkin perlu memodifikasi operasi bisnis mereka agar sesuai
dengan metode pemrosesan vendor, misalnya. Perubahan dalam operasi bisnis mungkin
tidak sesuai dengan budaya organisasi atau proses lainnya, dan mungkin juga mahal
karena pelatihan. Selain itu, beberapa integrasi mungkin diperlukan untuk fungsionalitas
yang bukan merupakan bagian dari ERP, tetapi memberikan informasi integral ke fungsi
ERP. Lebih-lebih lagi,
Risiko lain dengan sistem ERP adalah sifat khusus dari sumber daya yang diperlukan untuk menyesuaikan dan
mengimplementasikan. Di sebagian besar organisasi, sumber daya khusus ini harus diperoleh dari perusahaan
konsultan dengan harga tinggi. Untuk mengurangi ketergantungan pada konsultan mahal, organisasi perlu berinvestasi
dalam mendidik staf mereka sendiri untuk mengambil alih tanggung jawab untuk memelihara sistem ERP. Karena
sumber daya ini sangat dibutuhkan, tantangannya adalah mempertahankan sumber daya ini setelah mereka
sepenuhnya terlatih.
Sistem ERP bisa sangat kompleks dengan basis data, modul aplikasi, dan antarmuka yang
mendasarinya dengan aplikasi pihak ketiga dan lama. Kompleksitas sistem ERP sebenarnya mungkin
lebih mahal daripada lingkungan beberapa aplikasi yang dimaksudkan untuk diganti.
Sistem aplikasi seperti sistem ERP sering terkena berbagai jenis risiko. Risiko umum
tambahan yang terkait dengan sistem aplikasi meliputi:
Keamanan informasi harus menjadi perhatian TI, pengguna, dan manajemen. Namun, itu belum menjadi
prioritas utama yang konsisten bagi banyak organisasi. Survei dan laporan sebelumnya menunjukkan
bahwa organisasi lebih memperhatikan anggaran dan kekurangan staf daripada keamanan informasi.
Responden survei tersebut masih terus mengidentifikasi hambatan untuk mengurangi risiko keamanan
informasi, seperti kurangnya sumber daya manusia, dana, kesadaran manajemen, serta alat dan solusi.
Sementara itu, teknologi canggih dan peningkatan akses pengguna akhir ke informasi penting dan
sensitif terus meningkatkan risiko keamanan informasi.
◾ informasi sensitif dan rahasia mungkin berisiko dan terkena dampak negatif; dan
◾ virus komputerdapat diperkenalkan mempengaruhi file perusahaan, kinerja sistem komputer,
atau hanya memperlambat jaringan dan sumber dayanya.
Untuk memerangi akses jarak jauh yang tidak sah, minimal, ID pengguna dan kata sandi harus
digunakan enkripsiketika ditransmisikan melalui jalur publik. Selanjutnya, data rahasia yang dikirimkan
melalui jalur publik juga harus dienkripsi. Solusi keamanan enkripsi tergantung pada sensitivitas data
yang dikirimkan. Terakhir, tinjauan akses pengguna harus dilakukan secara berkala oleh personel
keamanan IS, dan disetujui oleh manajemen, untuk memastikan akses jarak jauh yang diberikan akurat
dan konsisten dengan tugas dan tanggung jawab pekerjaan.
laporan untuk analisis dan pelaporan tanpa sepenuhnya memahami informasi yang diunduh. departementempat
penyimpanan data(misalnya, database, awan data, dll.) mungkin memiliki informasi yang berlebihan dengan kerangka
waktu yang berbeda. Hasilnya adalah pemborosan waktu dalam merekonsiliasi repositori ini untuk menentukan data
mana yang akurat. Bidang perhatian utama lainnya adalah bahwa manajemen mungkin gagal menggunakan informasi
dengan benar karena kegagalan dalam mengidentifikasi informasi penting; menafsirkan makna dan nilai informasi yang
diperoleh; dan/atau mengkomunikasikan informasi penting kepada manajer yang bertanggung jawab atau pembuat
keputusan utama secara tepat waktu.
Kesalahan input data adalah ketika data yang tidak akurat dimasukkan ke dalam sistem aplikasi secara
tidak sengaja karena kesalahan manusia. Tindakan pencegahan termasuk kontrol aplikasi bawaan,
seperti digit cek dan entri ganda. Input data yang salah, di sisi lain, adalah ketika data yang tidak akurat
dimasukkan ke sistem aplikasi dengan sengaja untuk menipu organisasi atau pemangku
kepentingannya. Dalam hal ini, tindakan pencegahan dapat mencakup pengamanan akses ke program
dan data melalui otentikasi pengguna dan mekanisme otorisasi.
Pemrosesan yang tidak lengkap terjadi ketika transaksi atau file tidak diproses karena kesalahan. Ini mungkin
terjadi dipemrosesan batchketika file tidak ada, atau selamapemrosesan onlineketika permintaan atau pemicu
gagal untuk memulai transaksi. Pemrosesan transaksi duplikat termasuk mengeksekusi transaksi lebih dari
sekali. Ini dapat terjadi selama pemrosesan batch jika file dieksekusi beberapa kali, atau selama pemrosesan
online ketika pemicu transaksi memulai transaksi lebih dari sekali. Pemrosesan duplikat juga dapat terjadi ketika
pekerjaan berhenti secara tidak normal (berlebihan), tetapi beberapa catatan yang telah diproses tidak diatur
ulang. Pemrosesan yang tidak tepat waktu termasuk pemrosesan yang tertunda karena masalah produksi atau
hilangnya batas waktu. Misalnya, proses keuangan harus terjadi pada penutupan akhir bulan untuk memastikan
bahwa detail transaksi yang diproses dalam satu sistem aplikasi sesuai dengan posting transaksi denganjurnal
umum. Selain itu, ketika sistem online memposting transaksi ke sistem batch, biasanya ada batas waktu di mana
pemrosesan berakhir pada hari pertama dan dimulai pada hari kedua.
Jika tidak dijaga dengan baik, laporan keluaran mungkin mengandung kesalahan setelah diproses
(mengganggu integritasnya) dan juga didistribusikan secara tidak benar. Kontrol keluaran harus ada,
misalnya, untuk memverifikasi bahwa data akurat dan lengkap (yaitu, dicatat dengan benar), dan bahwa
distribusi laporan dan prosedur penyimpanan efektif. Contoh pengendalian keluaran melibatkan kinerja
Sistem Aplikasi: Risiko dan Kontrol◾ 245
review, rekonsiliasi, dan verifikasi untuk transmisi data. Selain itu, akses ke laporan harus
didasarkan pada dasar "perlu-untuk-tahu" untuk menjaga kerahasiaan.
Sistem aplikasi yang dirancang pengguna akhir yang dikembangkan secara terpisah mungkin tidak kompatibel dengan
arsitektur TI organisasi yang ada atau yang akan datang. Pengembangan sistem TI tradisional memverifikasi
kompatibilitas dengan perangkat keras yang ada dan aplikasi perangkat lunak terkait. Tidak adanya standar perangkat
keras dan perangkat lunak dapat mengakibatkan ketidakmampuan untuk berbagi data dengan aplikasi lain dalam
organisasi.
Selain mengembangkan sistem yang tidak kompatibel, pengguna akhir mungkin mengembangkan aplikasi atau
database yang berlebihan karena kurangnya komunikasi antar departemen. Karena kurangnya komunikasi ini,
departemen pengguna akhir dapat membuat database atau aplikasi baru yang mungkin telah dibuat oleh
departemen lain. Proses implementasi yang lebih efisien memiliki departemen pengguna akhir yang
mengoordinasikan proyek pengembangan sistem mereka dengan TI dan bertemu dengan departemen
pengguna akhir lainnya untuk membahas proyek yang mereka usulkan.
sebuah program. Lebih mungkin bahwa tinjauan independen akan menangkap kesalahan yang dibuat oleh pengembang
pengguna akhir, dan tinjauan semacam itu membantu memastikan integritas sistem aplikasi yang baru dirancang.
dilakukan. Aplikasi EUD sering disimpan di PC seseorang dan tidak dicadangkan dengan benar. Jika
terjadi bencana atau serangan virus, aplikasi ini (dan datanya) mungkin tidak dapat dipulihkan karena
kurangnya cadangan. Oleh karena itu, pengguna akhir mungkin tidak dapat membuat ulang aplikasi dan
datanya dalam jangka waktu yang wajar.
Tidak adanya strategi pencadangan dan pemulihan mengakibatkan hilangnya data komputer. Data yang
tidak dicadangkan selalu berisiko, seperti penghapusan file secara tidak sengaja, virus dan malware yang
merusak, kegagalan hard drive, kegagalan daya atau crash, pencurian komputer, kerusakan air, kebakaran, dan
banyak lainnya.
◾ Penyerang akan terus mencari peluang untuk mendobrak sistem komputer tradisional (non-seluler), dan
mengeksploitasi kerentanan. Penyerang mampu mengeksploitasi sistem yang firmwarenya (perangkat
lunak permanen yang diprogram ke dalam memori hanya-baca) mengontrol operasi input dan output,
serta firmware lainnya, sepertisolid-state drive, kartu jaringan, dan perangkat Wi-Fi. Jenis eksploitasi ini
kemungkinan besar menunjukkan kesamaanperangkat lunak perusakserangan.
◾ Ransomwarepada perangkat seluler akan melanjutkan pertumbuhannya meskipun penyerang kemungkinan akan
menggabungkan kunci perangkat seluler ini dengan bentuk serangan lain, seperti pencurian kredensial, yang
memungkinkan mereka mengakses hal-hal seperti rekening bank dan kartu kredit.
Virus adalah istilah umum yang digunakan untuk menggambarkan program yang bereproduksi sendiri,
cacing,tahi lalat,lubang, Kuda Troya, danbom waktu. Di lingkungan saat ini, ancamannya tinggi karena
jumlah sumber yang tidak terbatas dari mana virus dapat diperkenalkan. Misalnya, virus dapat disalin
dari disk atau diunduh dari halaman Web yang terinfeksi. Mereka menyebar ke file lain, file-file itu pada
gilirannya menyebar ke file lain, dan seterusnya. Itusektor bootdisk adalah salah satu yang paling rentan
terhadap infeksi virus karena diakses setiap kali komputer dihidupkan, memberikan replikasi virus yang
mudah. Ketika virus diaktifkan, ia menyalin kode ke hard drive, dan dapat menyebar ke media tambahan
dengan menjalankan aplikasi umum seperti pengolah kata atau program email. Media yang berisi virus
akan terus menginfeksi komputer lain dan menyebarkan virus ke seluruh organisasi.
Virus juga dapat menyebar di antara komputer yang terhubung dalam jaringan (lokal, Internet, dll.). Mereka
dapat menyebar ketika file atau program yang terinfeksi diunduh dari komputer umum melalui lampiran email,
kode tersembunyi di dalam hyperlink, dan sebagainya. Virus dapat menyebabkan berbagai masalah seperti:
◾ Memproduksi spam
◾ Meluncurkan serangan penolakan layanan
Risiko bagi organisasi adalah waktu yang diperlukan untuk menghapus virus, membangun kembali sistem yang
terpengaruh, dan merekonstruksi data yang rusak. Organisasi juga harus memperhatikan pengiriman program yang
terinfeksi virus ke organisasi lain. Virus menyebabkan kerusakan finansial yang signifikan, dan penerima dapat
mengajukan tuntutan hukum terhadap organisasi yang melembagakannya.
Tampilan 9.1 Risiko terhadap EDI atau Sistem Pertukaran Informasi Bisnis Elektronik
Mempertaruhkan Keterangan
Kehilangan bisnis Korupsi yang tidak disengaja atau disengaja dari aplikasi terkait EDI
kesinambungan/kelangsungan- dapat mempengaruhi setiap transaksi EDI yang dilakukan oleh suatu organisasi,
masalah keprihatinan mempengaruhi kepuasan pelanggan, hubungan pemasok, dan kemungkinan
kelangsungan bisnis pada akhirnya.
Kehilangan kerahasiaan Informasi sensitif mungkin secara tidak sengaja atau sengaja dibocorkan
sensitif di jaringan atau di sistem penyimpanan kotak surat kepada pihak yang tidak
informasi berwenang, termasuk pesaing.
Peningkatan paparan Akses ke sistem komputer dapat memberikan peluang yang lebih besar
tipuan untuk mengubah catatan komputer dari satu organisasi dan mitra
dagangnya oleh staf pihak perdagangan atau oleh staf jaringan
pihak ketiga. Ini dapat mencakup pengenalan transaksi tidak sah
oleh organisasi pengguna atau personel pihak ketiga.
Manipulasi dari Situasi di mana jumlah yang dibebankan atau dibayarkan kepada pemasok tidak
pembayaran ditinjau sebelum transmisi. Oleh karena itu, terdapat risiko bahwa
pembayaran dapat dilakukan untuk barang yang tidak diterima, jumlah
pembayaran yang berlebihan, atau pembayaran ganda dapat terjadi.
Kerugian transaksi Transaksi dapat hilang sebagai akibat dari gangguan pemrosesan di
situs jaringan pihak ketiga atau dalam perjalanan ke organisasi penerima, yang
dapat menyebabkan kerugian dan pelaporan keuangan yang tidak akurat.
(Lanjutan)
250◾ Kontrol dan Audit Teknologi Informasi
Tampilan 9.1 (Lanjutan) Risiko terhadap EDI atau Sistem Pertukaran Informasi Bisnis Elektronik
Mempertaruhkan Keterangan
Kesalahan dalam informasi Kesalahan dalam sistem pemrosesan dan komunikasi, seperti:
dan komunikasi perbaikan pesan yang salah, dapat mengakibatkan pengiriman
sistem informasi perdagangan yang salah atau pelaporan yang tidak akurat
kepada manajemen.
Hilangnya jejak audit EDI menghilangkan kebutuhan akan hard copy. Akan ada lebih sedikit kertas untuk
auditor untuk memeriksa. Pengguna EDI tidak boleh memberikan bukti
audit yang memadai atau sesuai, baik dalam bentuk cetak maupun media
elektronik. Vendor pihak ketiga mungkin tidak menyimpan jejak audit untuk
jangka waktu yang signifikan, atau jejak audit bisa hilang saat pesan
diteruskan melalui beberapa jaringan.
konsentrasi dari Akan ada peningkatan ketergantungan pada kontrol komputer di mana mereka
kontrol mengganti kontrol manual, dan mereka mungkin tidak cukup tepat waktu. Penggunaan
EDI dengan ketergantungan yang lebih besar pada sistem komputer memusatkan
kontrol di tangan staf yang lebih sedikit, meningkatkan ketergantungan pada orang-
orang kunci, dan meningkatkan risiko.
Kegagalan aplikasi Kegagalan aplikasi atau komponen EDI dapat memiliki dampak yang signifikan
dampak negatif terhadap organisasi mitra dalam siklus bisnis
masing-masing, terutama untukInventaris Tepat Waktu
manajemen, produksi, dan sistem pembayaran. Selain itu, ada
kemungkinan penyebaran kesalahan di seluruh sistem lain karena
integrasi dengan aplikasi bisnis lain.
Potensi kewajiban hukum Situasi di mana kewajiban tidak didefinisikan dengan jelas dalam mitra dagang
perjanjian, tanggung jawab hukum dapat timbul karena kesalahan di luar kendali
organisasi atau oleh karyawannya sendiri. Masih ada ketidakpastian yang cukup
besar tentang status hukum dokumen EDI atau ketidakmampuan untuk
menegakkan kontrak dalam keadaan yang tidak terduga.
Pengisian yang berlebihan oleh Pemasok pihak ketiga mungkin secara tidak sengaja atau sengaja menagih terlalu mahal
layanan pihak ketiga organisasi yang menggunakan layanan mereka.
penyedia
Manipulasi dari Informasi yang tersedia untuk pemilik pihak ketiga
organisasi jaringan dapat memungkinkan mereka atau pesaing untuk mengambil
keuntungan yang tidak adil dari suatu organisasi.
Sumber:Diadaptasi dari Senft, S., Gallegos, F., dan Davis, A. 2012.Kontrol Teknologi Informasi
dan Audit. Boca Raton: CRC Press/Taylor & Francis.
◾ Potensi KEHILANGAN jejak audit transaksi, sehingga mempersulit atau tidak mungkin untuk merekonsiliasi,
merekonstruksi, dan meninjau catatan. Ini mungkin bisa menjadi pelanggaran undang-undang dan
mengakibatkan penuntutan dan denda.
Sistem Aplikasi: Risiko dan Kontrol◾ 251
◾ Peningkatan paparan tebusan, pemerasan, atau penipuan melalui potensi gangguan layanan atau
peningkatan peluang untuk mengubah catatan komputer dalam organisasi dan IS mitra
dagangnya.
◾ Gangguan arus kas ketika transaksi pembayaran dihasilkan karena kesalahan atau dialihkan atau
dimanipulasi.
◾ Kehilangan profitabilitas yang terjadi melalui peningkatan biaya bunga atau pesanan ke
pesaing karena kurangnya penerimaan pesan EDI.
◾ Kerusakan reputasi melalui hilangnya pelanggan utama, terutama jika masalah EDI dipublikasikan
secara luas.
◾ Standar ASC X12 memfasilitasi pertukaran elektronik transaksi bisnis, seperti menempatkan dan
memproses pesanan, pengiriman, penerimaan, pembuatan faktur, dan pembayaran. Secara
khusus, standar ASC X12 mengidentifikasi data yang digunakan dalam transaksi, urutan
kemunculan data tersebut, apakah data wajib atau opsional, kapan data dapat diulang, dan
bagaimana loop, jika berlaku, disusun dan digunakan.
◾ Standar EDIFACT menyediakan seperangkat standar internasional umum untuk
transmisi elektronik data komersial. Standar internasional EDIFACT berurusan dengan
pertukaran elektronik data terstruktur, seperti perdagangan barang dan jasa antara
sistem informasi komputerisasi independen.
◾ Standar Tradacoms, yang dominan di sektor ritel Inggris. Standar saat ini
disebut sebagai GS1 UK.
◾ Standar Organization for Data Exchange by Tele Transmission (ODETTE), yang
mewakili kepentingan industri otomotif di Eropa. ODETTE menciptakan standar,
mengembangkan praktik terbaik, dan menyediakan layanan yang mendukung
manajemen logistik, komunikasi e-bisnis, dan pertukaran data teknik di seluruh
industri otomotif Eropa.
◾ Standar dan praktik terbaik Verband der Automobilindustrie (VDA) juga berlaku
untuk industri otomotif Eropa. Standar VDA terutama berfokus pada melayani
kebutuhan perusahaan otomotif Jerman.
◾ Standar internasional Health Level-7 (HL7) berhubungan dengan pertukaran elektronik data klinis
dan administratif di antara penyedia layanan kesehatan. Standar HL7 telah diadopsi oleh badan
penerbit standar lainnya seperti ANSI dan Organisasi Internasional untuk Standardisasi.
◾ Standar global GS1 EDI memandu komunikasi elektronik dan otomatisasi transaksi
bisnis yang biasanya terjadi di seluruh rantai pasokan. Standar ini berlaku untuk
pengecer, produsen, pemasok material, dan penyedia layanan logistik, misalnya.
252◾ Kontrol dan Audit Teknologi Informasi
◾ Validasi masukan
◾ Pengkodean keluaran
◾ Otentikasi dan manajemen kata sandi
◾ Manajemen sesi
◾ Kontrol akses
◾ Praktik kriptografi
◾ Penanganan kesalahan dan pencatatan
◾ Perlindungan data
◾ Keamanan komunikasi
◾ Sistem konfigurasi
◾ Keamanan basis data
◾ Manajemen file
◾ Manajemen memori
◾ Praktik pengkodean umum
OWASP menawarkan daftar periksa praktiskanyang berfokus pada penerapan praktik dan prinsip pengkodean yang
aman. Daftar periksa dirancang untuk berfungsi sebagai alat awal pengkodean yang aman untuk membantu tim
pengembangan memahami (dan mematuhi) praktik pengkodean yang aman.
Risiko yang terkait dengan aplikasi Web, sebagaimana dinyatakan dalam 10 Risiko Keamanan Aplikasi Web
Paling Kritis OWASP 2017,kantermasuk:
* www.pcmag.com/encyclopedia/term/54272/web-application.
kan www.owasp.org/images/0/08/OWASP_SCP_Quick_Reference_Guide_v2.pdf.
kan www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=OWASP_Top_10_for_2017_Release_
Calon.
Sistem Aplikasi: Risiko dan Kontrol◾ 253
◾ Injeksi
◾ Otentikasi rusak dan manajemen sesi
◾ Skrip lintas situs
◾ Kontrol akses rusak
◾ Kesalahan konfigurasi keamanan
◾ Paparan data sensitif
◾ Perlindungan serangan tidak memadai
Daftar periksa prinsip dan praktik pengkodean aman OWASP adalah salah satu cara efektif untuk meminimalkan
risiko dan memastikan bahwa organisasi mengembangkan aplikasi Web yang sukses. Namun, auditor,
manajemen, pengembang, dan konsultan keamanan harus mempertimbangkan tingkat risiko yang terkait
dengan semua jenis aplikasi untuk merancang dan menerapkan kontrol aplikasi yang sesuai.
Kontrol Aplikasi
Ada dua kelompok besar kontrol komputer yang membantu mengurangi risiko aplikasi yang
dibahas di atas, dan sangat penting untuk memastikan pengoperasian sistem aplikasi yang tepat
dan berkelanjutan. Mereka adalah: Kontrol Komputer Umum dan Kontrol Aplikasi. Kontrol
komputer umum ("kontrol umum" atau "ITGC") mencakup pemeriksaan kebijakan dan prosedur
yang berhubungan dengan banyak aplikasi dan mendukung fungsi kontrol aplikasi yang efektif.
Kontrol umum mencakup infrastruktur TI dan layanan dukungan, termasuk semua sistem dan
aplikasi. Pengendalian umum biasanya mencakup pengendalian atas (1) operasi sistem informasi;
(2) keamanan informasi; dan (3) manajemen kontrol perubahan (yaitu, akuisisi perangkat lunak
sistem, perubahan dan pemeliharaan, perubahan program, dan akuisisi, pengembangan, dan
pemeliharaan sistem aplikasi).
Kontrol aplikasi memeriksa prosedur yang spesifik dan unik untuk aplikasi. Kontrol aplikasi juga
disebut sebagai "kontrol otomatis." Mereka memperhatikan keakuratan, kelengkapan, validitas,
dan otorisasi data yang ditangkap, dimasukkan, diproses, disimpan, dikirim, dan dilaporkan.
Contoh kontrol aplikasi termasuk memvalidasi input data, memeriksa akurasi matematis catatan,
dan melakukan pemeriksaan urutan numerik, antara lain. Kontrol aplikasi cenderung efektif ketika
kontrol umum efektif. Tampilan 1.3 dari Bab 1 mengilustrasikan kontrol umum dan aplikasi, dan
bagaimana kontrol tersebut harus diterapkan untuk mengurangi risiko dan mengamankan
aplikasi. Perhatikan dalam pameran bahwa sistem aplikasi selalu dikelilingi oleh risiko. Risiko
diwakili dalam pameran dengan simbol ledakan. Risiko ini bisa dalam bentuk akses yang tidak sah,
kehilangan atau pencurian atau peralatan dan informasi, shutdown sistem, dll. Kontrol umum,
yang ditunjukkan dalam simbol segi enam, juga mengelilingi aplikasi dan memberikan "perisai
pelindung" terhadap risiko. Terakhir, ada aplikasi atau kontrol otomatis yang berada di dalam
aplikasi dan memberikan perlindungan langsung atas input, pemrosesan, dan output informasi.
Kontrol aplikasi yang diterapkan di organisasi dapat mencakup, antara lain, kontrol konfigurasi sistem dan/
atau aplikasi; kontrol terkait keamanan yang memberlakukan akses pengguna, peran, dan pemisahan tugas;
dan kontrol notifikasi otomatis untuk memperingatkan pengguna bahwa transaksi atau proses sedang
menunggu tindakan mereka. Kontrol aplikasi juga memeriksa perhitungan matematis, penyeimbangan
254◾ Kontrol dan Audit Teknologi Informasi
total antara pekerjaan, kewajaran terhadap volume atau nilai yang diharapkan, rekonsiliasi antara sistem,
dan distribusi output yang terkontrol untuk memastikan akurasi dan kelengkapan transaksi. Kontrol
aplikasi dapat digambarkan sebagai teknik yang digunakan untuk mengontrol input, pemrosesan, dan
output informasi dalam suatu aplikasi. Mereka dipecah menjadi tiga kategori utama: input, pemrosesan,
dan kontrol output.
Kontrol Masukan
Kontrol input dimaksudkan untuk meminimalkan risiko yang terkait dengan input data ke dalam sistem aplikasi.
"Antarmuka pengguna" adalah sarana di mana pengguna berinteraksi dengan sistem. Dalam kebanyakan kasus, ini
adalah layar komputer, mouse, dan keyboard. Antarmuka yang efektif bagi pengguna akan membantu mengurangi
biaya meja dan meningkatkan akurasi dan efisiensi. Juga, antarmuka pengguna harus menyediakan sarana bagi
pengguna untuk mendapatkan bantuan peka konteks.
Mendefinisikan persyaratan input memastikan bahwa metode pengambilan data sesuai untuk jenis data
yang dimasukkan dan bagaimana selanjutnya digunakan. Masalah kinerja dan masalah akurasi dapat
diperkenalkan dengan metode yang tidak tepat untuk menangkap data. Persyaratan input harus menentukan
semua sumber yang valid untuk data serta metode untuk memvalidasi data. Kontrol input mencegah transaksi
yang tidak valid dimasukkan dan mencegah data yang tidak valid dalam transaksi yang valid. Mereka secara
khusus memastikan keaslian, keakuratan, dan kelengkapan data yang dimasukkan ke dalam suatu aplikasi.
Keaslian
NIST mendefinisikan keaslian sebagai "properti yang asli dan dapat diverifikasi dan dipercaya."*Keaslian
memastikan bahwa hanya pengguna yang berwenang yang memiliki akses untuk memasuki transaksi. Selama
proses pengembangan sistem aplikasi, pengguna yang berwenang harus ditentukan bersama dengan tingkat
keamanan mereka untuk akses data. Informasi ini dapat digunakan saat mendesain layar input untuk
membatasi layar atau bidang ke grup pengguna tertentu. Kontrol juga dapat dirancang untuk menegakkan
pemisahan tugas. Misalnya, pengguna mungkin dapat memasukkan transaksi, tetapi supervisor mungkin perlu
menyetujui transaksi sebelum diserahkan untuk diproses.
Otentikasi juga harus dipertimbangkan ketika aplikasi otomatis berinteraksi dengan aplikasi
lain. Otentikasi, menurut NIST, memverifikasi "identitas pengguna, proses, atau perangkat sering
kali sebagai prasyarat untuk memungkinkan akses ke sumber daya dalam sistem informasi."*
Seringkali, pekerjaan batch terjadwal beroperasi di bawah otoritas dengan hak akses tertentu ke
database. Risiko yang terkait dengan akun akses ini serta hak akses perlu ditinjau.Akun umum
tidak boleh digunakan. Pekerjaan batch harus diberikan hak istimewa minimal dan akun tingkat
sistem tidak boleh digunakan.
Ketepatan
Akurasi dipastikan melalui pemeriksaan edit yang memvalidasi data yang dimasukkan sebelum menerima transaksi
untuk diproses. Akurasi memastikan bahwa informasi yang dimasukkan ke dalam aplikasi konsisten dan sesuai dengan
kebijakan dan prosedur. Hal ini dicapai dengan merancang layar input dengan pengeditan dan validasi yang memeriksa
data yang dimasukkan terhadap aturan atau nilai yang telah ditentukan sebelumnya.
* http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar4.pdf.
Sistem Aplikasi: Risiko dan Kontrol◾ 255
Keakuratan transaksi yang diproses dapat dipastikan dengan memastikan semua transaksi yang
dimasukkan melalui pemeriksaan validasi data, baik yang berasal dari layar online, antarmuka dari aplikasi lain,
atau dihasilkan oleh sistem. Program yang secara otomatis menghasilkan transaksi (yaitu, program yang dipicu
waktu) harus memiliki pengeditan bawaan yang memvalidasi akurasi transaksi yang serupa dengan transaksi
yang dimasukkan oleh pengguna. Penting juga untuk melacak volume dan frekuensi transaksi terhadap tren
yang diharapkan untuk memastikan bahwa transaksi dipicu dengan benar. Pemeriksaan yang hilang dan
duplikat juga harus diprogram jika terjadi kesalahan dalam logika pemicu.
Rutinitas edit dan validasi umumnya unik untuk sistem aplikasi yang digunakan, meskipun beberapa
rutinitas tujuan umum dapat digabungkan. Exhibit 9.2 daftar edit dan validasi rutin pemeriksaan atau
kontrol saat memasukkan data. Rutinitas edit dan validasi ditempatkan dalam sistem untuk membantu
memastikan kelengkapan dan akurasi data. Oleh karena itu, mengesampingkan rutinitas edit tidak boleh
dianggap enteng. Di sebagian besar sistem, pengguna tidak diberikan kemampuan ini. Mengganti
rutinitas edit hanya diperbolehkan untuk manajer atau supervisor departemen pengguna yang memiliki
hak istimewa, dan dari terminal master. Override harus dicatat secara otomatis oleh aplikasi sehingga
tindakan ini dapat dianalisis untuk kesesuaian dan kebenarannya.
Kelengkapan
Kelengkapan menegaskan bahwa semua data yang diperlukan untuk memenuhi kebutuhan bisnis saat ini dan
masa depan benar-benar siap dan tersedia. Memiliki data lengkap untuk bekerja dengan membantu manajemen
saat membuat keputusan bisnis yang berdampak pada organisasi. Data lengkap, dalam bentuk laporan
keuangan, daftar vendor, laporan piutang pelanggan, laporan pinjaman, dll., mencerminkan status organisasi
yang akurat dan bagaimana organisasi tersebut menghadapi pesaing dan tren serta pola industri. Kelengkapan
dipastikan, misalnya, melalui prosedur penanganan kesalahan yang menyediakan pencatatan, pelaporan, dan
koreksi kesalahan.
Kontrol Keterangan
cek lapangan Mengonfirmasi bahwa karakter dalam bidang adalah tipe yang tepat.
Tanda centang Memvalidasi bahwa data dalam bidang memiliki positif atau negatif yang sesuai
tanda.
Batas atau jangkauan Memverifikasi bahwa jumlah numerik yang dimasukkan berada dalam nilai minimum dan
memeriksa maksimum yang dapat diterima.
cek ukuran Memeriksa apakah ukuran data yang dimasukkan sesuai dengan bidang tertentu.
Kelengkapan Mengkonfirmasi bahwa semua data yang diperlukan dan diperlukan dimasukkan.
memeriksa
Pemeriksaan validitas Membandingkan data dari file transaksi dengan file master untuk memverifikasi
adanya.
Periksa angka Menghitung ulang digit cek untuk memverifikasi kesalahan entri data belum dilakukan.
verifikasi
256◾ Kontrol dan Audit Teknologi Informasi
Kontrol Pemrosesan
Kontrol pemrosesan mencegah, mendeteksi, dan/atau memperbaiki kesalahan saat pemrosesan data (batch atau
online) berlangsung. Kontrol ini membantu memastikan bahwa data diproses secara akurat dan lengkap melalui aplikasi
(misalnya, tidak ada data yang ditambahkan, hilang, atau diubah selama pemrosesan, dll.).
Pekerjaan yang dijadwalkan dalam aplikasi harus ditinjau untuk memastikan bahwa perubahan yang
dilakukan sesuai dan tidak menimbulkan risiko. Sebagai contoh, dalam sistem aplikasi ERP, aStruktur
Bahasa Kueriprogram dapat ditulis untuk memodifikasi data secara langsung terhadap database,
menghindari kontrol dalam aplikasi dan beroperasi terhadap database dengan hak administrator sistem.
Namun, dari layar, program ini dapat terlihat seperti laporan jika kode dasarnya tidak dievaluasi.
A&C juga dapat dicapai dengan menyeimbangkan transaksi batch yang masuk dengan transaksi yang keluar dari
pendahulunya. Langkah-langkah penyeimbangan harus terjadi di titik pemrosesan pekerjaan utama. Titik kontrol
berikut adalah contoh titik pemrosesan pekerjaan utama:
◾ Poin masukan.Program yang menerima transaksi dari pemrosesan input (misalnya, antarmuka pengguna, dll.)
◾ Modul pemrosesan utama.Program yang mengubah data (misalnya, melakukan perhitungan, dll.)
◾ Titik-titik percabangan.Program yang memisahkan atau menggabungkan data (misalnya, program yang menggabungkan data dari
dua atau lebih sumber input yang berbeda ke dalam satu file; file tersebut kemudian digunakan sebagai umpan data untuk sistem
◾ Poin keluaran.Hasil pengolahan data (misalnya, laporan keuangan atau operasional, cek tercetak,
file data keluaran, dll.)
Dirancang dengan benar, keseimbangan total untuk jumlah dan jumlah transaksi dapat mendeteksi transaksi
yang hilang atau duplikat (lihat Tampilan 9.3, bagian A). Selain itu, penyeimbangan dan rekonsiliasi harus terjadi
antara aplikasi yang berbagi data umum. Ini dapat dicapai dengan membuat laporan rekonsiliasi yang
mencantumkan data dari semua sistem aplikasi yang terlibat, dan melaporkan perbedaan apa pun untuk grup
pengguna untuk meninjau dan menindaklanjuti pengecualian apa pun. Tampilan 9.3, bagian B digunakan untuk
menggambarkan contoh rekonsiliasi antara sistem Penagihan, Pembayaran, dan Piutang Usaha. Perhatikan
bagaimana sistem Piutang Usaha mengkonfirmasi (atau merekonsiliasi) semua 17 catatan yang terlibat dan,
yang paling penting, saldo $400 tertunda setelah tagihan dikirim dan koleksi (atau pembayaran) diterima.
Menyeimbangkan total juga harus mencakup hitungan transaksi (kuantitas), total untuk semua
bidang jumlah untuk setiap jenis transaksi, dan total lintas kaki untuk bidang detail ke bidang total.
Perhatikan di Tampilan 9.4 bagaimana jumlah total diverifikasi, dan bagaimana jumlah total per bagian
Sistem Aplikasi: Risiko dan Kontrol◾ 257
(sebuah)
Hitung = 10 Hitung = 10
Jumlah = $1.250 Jumlah = $1.250
(b)
Piutang
sistem
(rekonsiliasi dari
faktur dan
pembayaran):
Jumlah catatan = 17
Jumlah catatan = $400
Tampilan 9.3 Total balancing batch (A) dan rekonsiliasi lintas aplikasi (B).
hasil dari cross-footing Kuantitas dan Harga Satuan. Dalam file di mana tidak ada total yang berarti, hash total
dapat dibuat yang menambahkan semua angka dalam kolom untuk memverifikasi bahwa total yang sama
diterima oleh proses selanjutnya. Misalnya, menjumlahkan nomor bagian tidak memberikan arti apa pun.
Namun, jumlah ini dapat digunakan untuk memverifikasi bahwa semua nomor bagian yang benar telah
diterima. Arus transaksi harus diseimbangkan setiap hari dan secara kumulatif ke pekerjaan bulanan sebelum
daftar ditutup. Menyeimbangkan total juga harus mempertimbangkan baik kesalahan transaksi yang keluar
maupun yang memasuki alur pemrosesan. Pada Tampilan 9.5, misalnya, 10 total transaksi (dengan jumlah
$1.250) dikurangi 2 transaksi yang ditulis ke file kesalahan (dengan jumlah $250) diproses dalam Sistem Piutang
Usaha. Jumlah dan jumlah total yang direkonsiliasi/seimbang dalam Sistem Piutang Usaha sekarang masing-
masing adalah delapan dan $1.000.
Contoh umum lainnya dari kontrol pemrosesan meliputi:
◾ Pencocokan data. Mencocokkan dua atau lebih item sebelum menjalankan perintah atau tindakan tertentu (misalnya,
mencocokkan faktur dengan pesanan pembelian dan laporan penerimaan sebelum melakukan pembayaran, dll.).
◾ Label file. Pastikan bahwa file yang benar dan terbaru sedang digunakan.
◾ Lintasan pijakan. Membandingkan dua cara alternatif untuk menghitung total yang sama untuk memverifikasi
keakuratannya (misalnya, menambahkan menurut baris dan kolom dalam spreadsheet, dll.).
258◾ Kontrol dan Audit Teknologi Informasi
Sumber:Diadaptasi dari Senft, S., Gallegos, F., dan Davis, A. 2012.Kontrol Teknologi Informasi
dan Audit. Boca Raton: CRC Press/Taylor & Francis.
Hitung = 10 Hitung = 2
Jumlah = $1.250 Jumlah = $250
Piutang
sistem
(faktur masuk—kesalahan):
Hitung = 8
Jumlah = $1.000
◾ Tes keseimbangan nol. Periksa apakah rekening tertentu (misalnya, rekening kliring penggajian, dll.)
mempertahankan saldo nol. Tes ini membantu organisasi dalam menghilangkan kelebihan saldo di akun
terpisah dan mempertahankan kontrol yang lebih besar atas pengeluaran.
◾ Mekanisme perlindungan tulis. Perlindungan terhadap penimpaan atau penghapusan data.
◾ Kontrol pembaruan bersamaan. Mencegah kesalahan dua atau lebih pengguna memperbarui catatan yang sama pada
waktu yang sama.
Kontrol Keluaran
Kontrol output dirancang untuk mendeteksi dan memperbaiki kesalahan setelah pemrosesan selesai,
memastikan integritas output yang dihasilkan. Secara khusus, pengendalian keluaran meliputi: (1) prosedur
untuk memverifikasi apakah data akurat dan lengkap (yaitu, dicatat dengan benar) dan (2) prosedur untuk
distribusi dan penyimpanan laporan yang memadai. Jika output diproduksi secara terpusat, maka kontrol
konvensional, seperti memiliki petugas keamanan dan mendistribusikan log mungkin sesuai. Jika keluaran
Sistem Aplikasi: Risiko dan Kontrol◾ 259
didistribusikan melalui jaringan komunikasi data, penekanan kontrol bergeser ke kontrol akses untuk
masing-masing workstation. Untuk menjaga kerahasiaan, akses ke laporan harus didasarkan pada dasar
“perlu-untuk-tahu”.
Karena ruang penyimpanan (online atau fisik) mahal, periode penyimpanan dan persyaratan penyimpanan
harus ditentukan untuk program, data, dan laporan. Informasi penting harus disimpan dengan aman (yaitu,
dienkripsi) dan penghancurannya harus permanen dan dilakukan sedemikian rupa untuk mencegah
penayangan yang tidak sah. Organisasi harus mempertimbangkan undang-undang dan peraturan apa pun yang
mungkin mengatur durasi periode retensi.
Keterlibatan Auditor TI
Auditor TI dapat membantu organisasi dengan meninjau sistem aplikasi mereka untuk memastikan
mereka mematuhi strategi dan standar organisasi, serta menyediakan fungsi otomatis untuk mendukung
proses bisnis secara efektif. Aplikasi perlu dinilai risikonya untuk menentukan tingkat keterlibatan audit.
Jenis penilaian juga akan bervariasi tergantung pada risiko aplikasi tertentu. Aplikasi menimbulkan risiko
bagi organisasi dalam bentuk peningkatan biaya, hilangnya integritas data, kelemahan dalam
kerahasiaan, kurangnya ketersediaan, kinerja yang buruk, dan lain-lain. Risiko-risiko ini harus ditangani
dengan pemilihan dan penerapan pengendalian yang memadai.
260◾ Kontrol dan Audit Teknologi Informasi
Mengaudit sistem aplikasi memerlukan pengetahuan khusus tentang risiko dan pengendalian aplikasi. Memahami
hal tersebut memungkinkan auditor TI untuk mengidentifikasi area utama yang akan mendapat manfaat dari verifikasi
independen. Selain itu, memahami kontrol aplikasi memungkinkan auditor TI untuk mengevaluasi dan
merekomendasikan yang akan memastikan pemrosesan transaksi yang lengkap dan akurat.
Seperti yang dinyatakan sebelumnya, auditor TI dapat dilibatkan sebagai konsultan kontrol atau peninjau
independen. Tingkat keterlibatan ditentukan dengan menyelesaikan penilaian risiko. Hasil dari penilaian risiko
juga meminta jumlah waktu yang diperlukan untuk mengalokasikan ke aplikasi tertentu, sumber daya yang
diperlukan, dll. Kemudian, persiapan rencana audit menyusul. Rencana tersebut menjelaskan tujuan dan
prosedur audit yang harus dilakukan untuk memastikan aplikasi diterapkan secara memadai, dan menjaga
informasi. Auditor TI akhirnya mengomunikasikan temuan yang diidentifikasi selama audit ditambah
rekomendasi kepada manajemen.
Tugas beresiko
Auditor TI mungkin tidak memiliki cukup waktu untuk menilai setiap sistem aplikasi tertentu dalam
organisasi. Keterlibatan dalam aplikasi tertentu akan tergantung pada penilaian risiko aplikasi. Risiko
aplikasi berhubungan dengan kompleksitas dan besarnya aplikasi, staf yang tidak berpengalaman,
kurangnya keterlibatan pengguna akhir, dan kurangnya komitmen manajemen. Tingkat risiko mungkin
merupakan fungsi dari kebutuhan akan informasi yang tepat waktu, kompleksitas aplikasi, tingkat
ketergantungan terhadap keputusan penting, lama waktu aplikasi akan digunakan, dan jumlah orang
yang akan menggunakannya. Penilaian risiko menentukan aspek aplikasi tertentu yang akan dicakup
oleh audit. Ruang lingkup audit dapat bervariasi tergantung pada risiko yang diidentifikasi.
Rencana Audit
Rencana audit merinci langkah-langkah dan prosedur untuk memenuhi tujuan audit. Seperti dalam
audit lainnya, audit sistem aplikasi dimulai dengan analisis awal lingkungan pengendalian dengan
meninjau standar, kebijakan, dan prosedur yang ada. Selama audit, standar, kebijakan, dan
prosedur ini harus dinilai untuk kelengkapan dan efisiensi operasional. Analisis awal harus
mengidentifikasi strategi organisasi dan tanggung jawab untuk mengelola dan mengendalikan
aplikasi. Mendokumentasikan pemahaman tentang sistem aplikasi juga merupakan keharusan
pada tahap ini.
Rencana audit selanjutnya akan mendokumentasikan prosedur yang diperlukan untuk melakukan
pemeriksaan untuk memastikan bahwa sistem aplikasi dirancang dan diimplementasikan secara efektif, serta
beroperasi secara konsisten dengan kebijakan dan prosedur organisasi. Prosedur yang dilakukan oleh auditor TI
harus memberikan jaminan yang wajar bahwa aplikasi telah dirancang dan diterapkan secara memadai, dan:
Publikasi Khusus NIST 800-53A, Revisi 4, Menilai Kontrol Keamanan dan Privasi dalam
Sistem dan Organisasi Informasi Federal (2014), memberikan penilaian menyeluruh
Sistem Aplikasi: Risiko dan Kontrol◾ 261
prosedur untuk memeriksa kontrol keamanan dan privasi dalam sistem dan organisasi informasi federal.
*Penting untuk dicatat bahwa prosedur ini juga berlaku untuk sistem aplikasi non-federal.
Komunikasi
Area pertama yang dikomunikasikan adalah ruang lingkup keterlibatan auditor TI. Sangat penting untuk
memastikan bahwa ekspektasi manajemen terhadap peran auditor TI dipahami dan dikomunikasikan
kepada semua peserta. Auditor TI harus mengembangkan jalur komunikasi terbuka dengan manajemen
dan pengguna. Jika hubungan yang baik antara kelompok-kelompok ini tidak ada, informasi mungkin
disembunyikan dari auditor TI. Meskipun auditor TI harus membina hubungan kerja yang baik dengan
semua kelompok dengan tanggung jawab desain, auditor TI harus tetap independen.
Sepanjang audit, auditor TI akan membuat rekomendasi kontrol yang dihasilkan dari temuan
yang diidentifikasi. Tergantung pada budaya organisasi, rekomendasi ini mungkin perlu ditangani
secara informal dengan setiap pemilik aplikasi yang bertanggung jawab atas area atau proses yang
kurang, atau secara formal dengan mempresentasikannya kepada komite pengarah. Dalam kedua
kasus tersebut, auditor TI harus selalu mempertimbangkan nilai rekomendasi pengendalian versus
biaya pelaksanaan pengendalian. Rekomendasi harus spesifik. Mereka harus mengidentifikasi
masalah dan bukan gejala, dan memungkinkan kontrol yang tepat untuk diterapkan dan diuji.
Temuan, risiko sebagai akibat dari temuan tersebut, dan rekomendasi audit biasanya
didokumentasikan dalam surat resmi (yaitu, Management Letter). Lihat Pameran 3.
Kesimpulan
Aplikasi sangat penting bagi organisasi dalam menjalankan bisnisnya. Mereka mewakili investasi yang
signifikan bagi banyak organisasi karena mereka menyediakan fungsi otomatis untuk mendukung proses
bisnis secara efektif. Aplikasi juga memperkenalkan risiko bagi organisasi. Risiko-risiko ini harus diatasi
dengan pemilihan dan penerapan kontrol aplikasi yang memadai.
EUD melibatkan penggunaan aplikasi yang dikembangkan departemen, seperti spreadsheet dan database,
yang sering digunakan sebagai alat dalam melakukan pekerjaan sehari-hari. Spreadsheet dan database ini pada
dasarnya merupakan perpanjangan dari lingkungan TI dan output yang dihasilkan darinya dapat digunakan
dalam membuat keputusan bisnis yang berdampak pada perusahaan. Tingkat risiko dan kontrol yang
diperlukan untuk diterapkan bergantung pada kekritisan aplikasi EUD.
Auditor, manajemen, pengembang, dan konsultan keamanan perlu menyadari risiko bisnis yang
terkait dengan sistem pertukaran informasi bisnis elektronik. Pertukaran elektronik dokumen bisnis
antara mitra bisnis (atau perdagangan) dengan menggunakan format standar disebut sebagai EDI.
Contoh umum dari informasi bisnis yang dipertukarkan melalui EDI termasuk faktur dan pesanan
pembelian, dan risiko seperti hilangnya kelangsungan bisnis, meningkatnya ketergantungan pada
sistem, hilangnya kerahasiaan informasi sensitif, dan peningkatan eksposur terhadap penipuan adalah
beberapa di antaranya. Beberapa standar yang memberikan dasar untuk penilaian audit EDI termasuk
ASC X12 ANSI (Amerika Utara) dan EDIFACT (Internasional).
Penggunaan aplikasi Web telah menjadi kunci arah bagi banyak perusahaan. Perusahaan dapat
menggunakan aplikasi Web untuk tujuan pemasaran, dan lainnya untuk menggantikan aplikasi
clientserver tradisional mereka. Aplikasi web mencakup penggunaan browser Web di sisi klien yaitu:
* http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar4.pdf.
262◾ Kontrol dan Audit Teknologi Informasi
biasanya platform independen, dan membutuhkan daya komputasi yang lebih sedikit. Beberapa manfaat dari aplikasi
Web termasuk pengurangan waktu ke pasar, peningkatan kepuasan pengguna, dan pengurangan biaya yang berkaitan
dengan pemeliharaan dan dukungan. Aplikasi web juga tunduk pada risiko yang serupa dengan sistem aplikasi
tradisional yang terpapar.
Karena risiko ini, kontrol perlu diterapkan untuk memastikan bahwa aplikasi terus
memenuhi kebutuhan bisnis secara efektif dan efisien. Kontrol aplikasi bersifat spesifik dan
unik untuk aplikasi. Mereka memperhatikan keakuratan, kelengkapan, validitas, dan otorisasi
data yang ditangkap, dimasukkan, diproses, disimpan, dikirim, dan dilaporkan. Kontrol
aplikasi dipecah menjadi kontrol input, pemrosesan, dan output.
Auditor TI dapat membantu organisasi dengan meninjau sistem aplikasi mereka untuk memastikan
bahwa mereka mematuhi strategi dan standar organisasi, serta menyediakan fungsi otomatis untuk
mendukung proses bisnis secara efektif. Aplikasi perlu dinilai risikonya untuk menentukan tingkat
keterlibatan audit. Hasil dari penilaian risiko juga meminta jumlah waktu yang diperlukan untuk
mengalokasikan ke aplikasi tertentu, sumber daya yang diperlukan, dll. Persiapan rencana audit
kemudian menjelaskan tujuan dan prosedur audit yang akan dilakukan. Terakhir, auditor TI
mengomunikasikan temuan yang diidentifikasi selama audit ditambah rekomendasi kepada manajemen.
Tinjau Pertanyaan
1. Jelaskan mengapa akses jarak jauh yang tidak sah menimbulkan risiko bagi aplikasi.
2. Jelaskan bagaimana pemrosesan yang tidak lengkap, duplikat, dan tidak tepat waktu dapat berdampak negatif pada aplikasi.
3. Sebutkan tujuh risiko umum yang terkait dengan sistem aplikasi EUD.
4. Bagaimana aplikasi EUD bisa menjadi sistem yang tidak kompatibel?
5. Dalam lingkungan saat ini, ancaman virus komputer tinggi karena jumlah sumber yang tidak
terbatas dari mana mereka dapat diperkenalkan. Virus komputer dapat disalin dari disk,
diunduh dari halaman Web yang terinfeksi, menyebar di antara komputer yang terhubung
dalam jaringan, dll. Jelaskan risiko atau masalah yang mungkin timbul dari virus komputer.
6. Jelaskan apa yang dimaksud dengan EDI. Jelaskan implikasi potensial yang dihasilkan dari risiko yang
terkait dengan sistem aplikasi yang bertukar informasi bisnis elektronik.
7. Sebutkan dan jelaskan lima prinsip dan praktik pengkodean aman menurut OWASP untuk
aplikasi Web.
8. Kontrol aplikasi dapat digambarkan sebagai teknik yang digunakan untuk mengontrol input, pemrosesan, dan output
informasi dalam suatu aplikasi. apa yang harus dilakukanmemasukkankontrol mengacu pada? Jelaskan secara singkat apa
yang dipastikan oleh kontrol input.
9. Kontrol aplikasi dapat digambarkan sebagai teknik yang digunakan untuk mengontrol input, pemrosesan, dan output
informasi dalam suatu aplikasi. apa yang harus dilakukanpengolahankontrol mengacu pada? Jelaskan secara singkat apa
yang dipastikan oleh kontrol pemrosesan.
10. Kontrol aplikasi dapat digambarkan sebagai teknik yang digunakan untuk mengontrol input, pemrosesan, dan output
informasi dalam suatu aplikasi. apa yang harus dilakukankeluarankontrol mengacu pada? Jelaskan secara singkat apa
yang dipastikan oleh kontrol output.
Latihan
1. Perusahaan mengizinkan pesanan ditempatkan langsung melalui situs Web-nya. Jelaskan tiga risiko sistem
aplikasi yang paling menonjol yang dapat berkontribusi pada akses tidak sah ke informasi pesanan
pelanggan. Identifikasi kontrol yang harus diterapkan untuk mengurangi risiko tersebut.
Sistem Aplikasi: Risiko dan Kontrol◾ 263
2. Departemen penggajian memiliki aplikasi lembar waktu dimana karyawan memasukkan jam kerja mereka.
Jelaskan dua risiko sistem aplikasi yang paling menonjol dan kontrol yang akan membantu mengurangi
risiko tersebut.
3. Departemen dalam perusahaan memiliki orang dukungan teknis mereka sendiri yang membuat dan
memelihara aplikasi. Jelaskan tiga risiko yang terkait dengan praktik ini. Kontrol apa yang akan Anda
rekomendasikan untuk membantu meminimalkan risiko tersebut?
4. Jelaskan pentingnya pengendalian aplikasi dan berikan contoh bagaimana pengendalian tersebut digunakan
untuk mengamankan masukan, pemrosesan, dan keluaran informasi.
KASUS—APLIKASI EUD
INSTRUKSI:Sebuah perusahaan menggunakan aplikasi EUD, khususnya, spreadsheet untuk mempertahankan
anggarannya. Spreadsheet digunakan untuk meminta anggaran dari masing-masing departemen perusahaan.
Departemen anggaran kemudian mengkompilasi spreadsheet individual ke dalam lembar induk, meninjau dan
merevisi anggaran berdasarkan batasannya, dan kemudian menggunakannya untuk memuat nilai anggaran ke
dalam sistem keuangan perusahaan di mana departemen kemudian dapat melihat anggaran finalnya.
TUGAS:Sebutkan dan jelaskan setidaknya tujuh risiko aplikasi utama yang terkait dengan penggunaan
sistem spreadsheet. Anda juga diminta untuk menjelaskan bagaimana setiap risiko yang Anda daftarkan
dapat berdampak pada sistem spreadsheet. Cari di luar bab untuk contoh spesifik, literatur TI, dan/atau
sumber eksternal valid lainnya untuk mendukung tanggapan Anda. Kirim file kata dengan halaman
sampul, tanggapan untuk tugas di atas, dan bagian referensi di bagian akhir. File yang dikirimkan harus
antara 5 dan 7 halaman (spasi baris ganda), termasuk halaman sampul dan referensi. Bersiaplah untuk
mempresentasikan pekerjaan Anda di depan kelas.
KASUS—KONTROL INPUT
INSTRUKSI:Sebuah perusahaan memiliki sistem akuntansi terpusat. Setiap departemen individu
saat ini mengkompilasi transaksi kertas akuntansi dari sistem akuntansi lokal. Untuk
menghilangkan kertas dan meningkatkan efisiensi, Manajer Audit perusahaan baru saja meminta
Anda, auditor TI, untuk membantunya membuat rencana untuk mengimplementasikan antarmuka
dari sistem akuntansi masing-masing departemen ke sistem akuntansi terpusat.
TUGAS:Siapkan memo kepada Manajer Audit yang menyebutkan dan menjelaskan kontrol paling kritis
yang akan Anda rekomendasikan dalam kasus khusus ini. Anda diminta untuk mencari di luar bab (yaitu,
literatur TI dan/atau sumber eksternal lain yang valid) untuk mendukung tanggapan Anda. Sertakan
contoh, jika sesuai, untuk membuktikan poin kasus Anda. Kirim file kata dengan halaman sampul,
tanggapan untuk tugas di atas, dan bagian referensi di bagian akhir. Berkas yang dikirimkan harus
sepanjang 5 halaman (spasi baris ganda), termasuk halaman sampul dan referensi. Bersiaplah untuk
mempresentasikan pekerjaan Anda di depan kelas.
2. Baker, S., Waterman, S., dan Ivanov, G. (2010).In the Crossfire: Infrastruktur Kritis di Era
Perang Cyber, McAfee.
3. Keamanan dan Kebijakan Informasi Berkeley. Pedoman praktik pengkodean yang aman. https://security.berkeley.
edu/secure-coding-practice-guidelines (diakses Juli 2017).
4. Biro Investigasi Federal (FBI),Laporan Tindak Pidana Keuangan kepada Masyarakat Tahun Anggaran 2007
sampai dengan 2011, Departemen Kehakiman, Amerika Serikat. www.fbi.gov/stats-services/publications/
financial-crimes-report-2010-2011
5.Panduan Audit Teknologi Global (GTAG) 8: Kontrol Aplikasi Audit. Institut Auditor Internal.
https://na.theiia.org/standards-guidance/recommended-guidance/practice-guides/Pages/
GTAG8.aspx (diakses Juli 2017).
6. GS1 EDI. GS1. www.gs1.org/edi (diakses Juli 2017).
7. ISACA. (2017).COBIT dan Kontrol Aplikasi: Panduan Manajemen, www.isaca.org/knowledgecenter/
research/researchdeliverables/pages/cobit-and-application-controls-a-management-guide.aspx
8. ISACA. (2017).Keamanan Aplikasi Web: Pertimbangan Bisnis dan Risiko, www.isaca.org
9. Jones, DC, Kalmi, P., dan Kauhanen, A. (2011). Efek perusahaan dan karyawan dari sistem informasi
perusahaan: Bukti mikro-ekonomi.Int. J.Prod. Ekonomi, 130(2), 159–168.
10. Prediksi ancaman McAfee Labs 2017, laporan dikeluarkan pada November 2016. www.mcafee.com/au/
resources/reports/rp-threats-predictions-2017.pdf
11. Laporan ancaman McAfee Labs––Desember 2016 www.mcafee.com/ca/resources/reports/rp-
quarterlythreats-dec-2016.pdf
12. Morella, R. (Agustus 2015). Mengaudit aplikasi web. Strategi audit TI untuk aplikasi web. Pekan Geek ISACA.
www.isaca.org/chapters3/Atlanta/AboutOurChapter/Documents/GW2015/081115-10AM-
WebAppSecurity.pdf
13. Institut Standar dan Teknologi Nasional. Publikasi Khusus 800-53A, Revisi 4, Menilai kontrol
keamanan dan privasi dalam sistem dan organisasi informasi federal, Desember 2014. http://
nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar4.pdf
14. Odet. dasar EDI. www.edibasics.com/edi-resources/document-standards/odette/ (diakses Juli 2017).
15. Otero, AR (2015). Metodologi penilaian kontrol keamanan informasi untuk informasi keuangan
organisasi.Int. J.Ak. Memberitahukan. Sistem, 18(1), 26–45.
16. Otero, AR (2015). Dampak keterlibatan auditor TI dalam audit keuangan.Int. J. Re. Bis. teknologi.,
6(3), 841–849.
17. Otero, AR, Tejay, G., Otero, LD, dan Ruiz, A. (2012). Penilaian kontrol keamanan informasi berbasis logika
fuzzy untuk organisasi, Konferensi IEEE tentang Sistem Terbuka. 21–24 Oktober 2012, Kuala Lumpur,
Malaysia.
18. Otero, AR, Otero, CE, dan Qureshi, A. (2010). Evaluasi multi-kriteria dari kontrol keamanan informasi
menggunakan fitur Boolean.Int. J. Jaringan Aman. aplikasi, 2(4), 1–11.
19. OWASP. (2013). 10–2013 teratas OWASP: 10 risiko keamanan aplikasi web paling kritis. www.
owasp.org/index.php/Top_10_2013-Risk
20. OWASP. Praktik pengkodean yang aman—Panduan referensi cepat. www.owasp.org/index.php/OWASP_
Secure_Coding_Practices_-_Quick_Reference_Guide (diakses Juni 2017).
21. Romney, MB dan Steinbart, PJ (2015).Sistem Informasi Akuntansi, Edisi ke-13. Pendidikan Pearson,
Membaca, Inggris.
22. Keamanan dan Kebijakan Informasi Berkeley. Pedoman praktik pengkodean yang aman. https://security.berkeley.
edu/secure-coding-practice-guidelines (diakses Juni 2017).
23. Senft, S., Gallegos, F., dan Davis, A. (2012).Kontrol dan Audit Teknologi Informasi, CRC Press/ Taylor
& Francis: Boca Raton.
24. Tradacom. dasar EDI. www.edibasics.co.uk/edi-resources/document-standards/tradacoms/ (diakses Juli
2017).