Otero Chapter 9.en - Id

Diterjemahkan dari bahasa Inggris ke bahasa Indonesia - www.onlinedoctranslator.
com
Bab 9
Sistem Aplikasi:
Risiko dan Kontrol
TUJUAN PEMBELAJARAN
1. Diskusikan risiko umum yang terkait dengan sistem aplikasi.
2. Diskusikan risiko umum yang terkait dengan sistem aplikasi pengembangan pengguna akhir.
3. Diskusikan risiko sistem pertukaran informasi bisnis dan jelaskan standar umum untuk
penilaian audit mereka.
4. Jelaskan aplikasi Web, termasuk praktik pengkodean aman terbaik dan risiko umum.
5. Menjelaskan pengendalian aplikasi dan bagaimana pengendalian tersebut digunakan untuk mengamankan masukan, pemrosesan,
dan keluaran informasi.
6. Membahas keterlibatan auditor TI dalam pemeriksaan sistem aplikasi.
Sistem aplikasi menyediakan fungsi otomatis untuk mendukung proses bisnis secara efektif. Aplikasi juga
menimbulkan risiko bagi organisasi dalam bentuk peningkatan biaya, hilangnya integritas data, kelemahan
dalam kerahasiaan, kurangnya ketersediaan, dan kinerja yang buruk, antara lain. Selanjutnya, setelah
diimplementasikan, aplikasi dapat dimodifikasi secara berkala untuk memperbaiki kesalahan atau hanya
mengimplementasikan peningkatan dan peningkatan (pemeliharaan). Pemeliharaan tersebut perlu konsisten
dengan strategi bisnis atau TI; jika tidak, ini dapat menyebabkan masalah kinerja dan penggunaan sumber daya
yang tidak efisien.
Bab ini membahas risiko umum untuk berbagai jenis sistem aplikasi dan memberikan
contoh risiko potensial tersebut. Ini juga menyentuh kontrol aplikasi yang relevan yang dapat
diterapkan oleh organisasi untuk mengurangi risiko yang dibahas. Terakhir, keterlibatan
auditor TI saat memeriksa aplikasi dibahas.
Risiko Sistem Aplikasi

Sistem aplikasi menyertakan data terkonsentrasi dalam format yang dapat diakses dengan mudah. Konsentrasi data seperti itu
meningkatkan risiko dengan menempatkan ketergantungan yang lebih besar pada satu bagian data atau pada
241
242◾ Kontrol dan Audit Teknologi Informasi
file komputer tunggal atau pada tabel database. Jika data yang dimasukkan salah, dampak kesalahan akan
signifikan karena aplikasi bergantung pada data tersebut. Demikian pula, semakin tinggi jumlah aplikasi yang
menggunakan data terkonsentrasi, semakin besar dampaknya ketika data tersebut menjadi tidak tersedia
karena masalah perangkat keras atau perangkat lunak. Contoh yang baik untuk diskusi lebih lanjut tentang
sistem aplikasi adalah sistem Enterprise Resource Planning (ERP).
Sistem ERP menyediakan fungsionalitas bisnis standar dalam sistem lingkungan TI yang
terintegrasi (misalnya, pengadaan, inventaris, akuntansi, dan sumber daya manusia). Sistem ERP
memungkinkan banyak fungsi untuk mengakses database umum—mengurangi biaya
penyimpanan dan meningkatkan konsistensi dan akurasi data dari satu sumber. Faktanya, memiliki
satu database meningkatkan kualitas dan ketepatan waktu informasi keuangan. Namun, kesalahan
pemrosesan dapat dengan cepat memengaruhi banyak fungsi karena informasi dibagikan tetapi
bersumber dari database yang sama. Menurut Apps Run the World edisi Juni 2016, sebuah
perusahaan riset pasar teknologi yang dikhususkan untuk ruang aplikasi, pasar aplikasi ERP di
seluruh dunia akan mencapai $84,1 miliar pada tahun 2020 versus $82,1 miliar pada tahun 2015.
Beberapa pemasok ERP utama saat ini termasuk SAP, FIS Global, Oracle, Fiserv,
Meskipun banyak keuntungan dari sistem ERP, mereka bukannya tanpa risiko. Sistem
ERP tidak jauh berbeda dari sistem aplikasi yang dibeli atau dikemas, dan karena itu
mungkin memerlukan modifikasi ekstensif untuk proses bisnis baru atau yang sudah
ada. Modifikasi ERP (yaitu, rilis perangkat lunak) memerlukan pemrograman yang cukup
besar untuk memperbaiki semua kode khusus organisasi. Karena sistem paket bersifat
generik, organisasi mungkin perlu memodifikasi operasi bisnis mereka agar sesuai
dengan metode pemrosesan vendor, misalnya. Perubahan dalam operasi bisnis mungkin
tidak sesuai dengan budaya organisasi atau proses lainnya, dan mungkin juga mahal
karena pelatihan. Selain itu, beberapa integrasi mungkin diperlukan untuk fungsionalitas
yang bukan merupakan bagian dari ERP, tetapi memberikan informasi integral ke fungsi
ERP. Lebih-lebih lagi,
Risiko lain dengan sistem ERP adalah sifat khusus dari sumber daya yang diperlukan untuk menyesuaikan dan
mengimplementasikan. Di sebagian besar organisasi, sumber daya khusus ini harus diperoleh dari perusahaan
konsultan dengan harga tinggi. Untuk mengurangi ketergantungan pada konsultan mahal, organisasi perlu berinvestasi
dalam mendidik staf mereka sendiri untuk mengambil alih tanggung jawab untuk memelihara sistem ERP. Karena
sumber daya ini sangat dibutuhkan, tantangannya adalah mempertahankan sumber daya ini setelah mereka
sepenuhnya terlatih.
Sistem ERP bisa sangat kompleks dengan basis data, modul aplikasi, dan antarmuka yang
mendasarinya dengan aplikasi pihak ketiga dan lama. Kompleksitas sistem ERP sebenarnya mungkin
lebih mahal daripada lingkungan beberapa aplikasi yang dimaksudkan untuk diganti.
Sistem aplikasi seperti sistem ERP sering terkena berbagai jenis risiko. Risiko umum
tambahan yang terkait dengan sistem aplikasi meliputi:
◾ Keamanan informasi yang lemah

◾ Akses tidak sah ke program atau data
◾ Akses jarak jauh yang tidak sah
◾ Informasi yang tidak akurat
◾ Input data yang salah atau dipalsukan
◾ Pemrosesan tidak lengkap, duplikat, dan tidak tepat waktu
◾ Kegagalan sistem komunikasi
◾ Output tidak akurat atau tidak lengkap
◾ Dokumentasi tidak memadai
Sistem Aplikasi: Risiko dan Kontrol◾ 243
Keamanan Informasi yang Lemah
Keamanan informasi harus menjadi perhatian TI, pengguna, dan manajemen. Namun, itu belum menjadi
prioritas utama yang konsisten bagi banyak organisasi. Survei dan laporan sebelumnya menunjukkan
bahwa organisasi lebih memperhatikan anggaran dan kekurangan staf daripada keamanan informasi.
Responden survei tersebut masih terus mengidentifikasi hambatan untuk mengurangi risiko keamanan
informasi, seperti kurangnya sumber daya manusia, dana, kesadaran manajemen, serta alat dan solusi.
Sementara itu, teknologi canggih dan peningkatan akses pengguna akhir ke informasi penting dan
sensitif terus meningkatkan risiko keamanan informasi.
Akses Tidak Sah ke Program atau Data

Sistem aplikasi harus dibangun dengan berbagai tingkat otorisasi untuk pengajuan dan
persetujuan transaksi. Setelah aplikasi masuk ke produksi, programmer seharusnya tidak lagi
memiliki akses ke program dan data. Jika programmer diberikan akses, akses tersebut harus
berupa akses "hanya-baca" untuk tujuan memahami masalah yang dilaporkan oleh pengguna.
Demikian pula, akses pengguna harus dibatasi pada dasar "perlu-tahu". Ini berarti bahwa informasi yang
tersedia bagi pengguna, apakah itu "hanya-baca" atau dengan akses terbuka untuk dimodifikasi, harus sesuai
dengan fungsi dan tanggung jawab pekerjaan pengguna. Misalnya, petugas penggajian membutuhkan akses ke
sistem penggajian, tetapi tidak ke sistem penagihan.
Akses Jarak Jauh Tidak Sah

Semakin banyak pengguna menuntut akses jarak jauh ke sumber daya komputer organisasi. Akses jarak jauh
memungkinkan pengguna dalam suatu organisasi untuk mengakses jaringan dan sumber daya komputernya
dari lokasi di luar lokasi organisasi. Akses jarak jauh, jika tidak sah, memang merupakan risiko karenaperangkat
klien(digunakan untuk akses jarak jauh) cenderung memiliki perlindungan yang lebih lemah daripada perangkat
klien standar atau berbasis organisasi. Perangkat ini mungkin belum tentu dikelola oleh organisasi dan, oleh
karena itu, tidak ditentukan di bawah aturan firewall dan antivirus, misalnya.
Komunikasi akses jarak jauh dapat dilakukan melalui jaringan yang tidak dipercaya, membuat
komunikasi tersebut dipantau, hilang, atau dimanipulasi tanpa izin. Dengan kata lain, jika pengguna di
dalam (atau di luar) jaringan organisasi mendapatkan akses tidak sah:
◾ informasi sensitif dan rahasia mungkin berisiko dan terkena dampak negatif; dan
◾ virus komputerdapat diperkenalkan mempengaruhi file perusahaan, kinerja sistem komputer,
atau hanya memperlambat jaringan dan sumber dayanya.
Untuk memerangi akses jarak jauh yang tidak sah, minimal, ID pengguna dan kata sandi harus
digunakan enkripsiketika ditransmisikan melalui jalur publik. Selanjutnya, data rahasia yang dikirimkan
melalui jalur publik juga harus dienkripsi. Solusi keamanan enkripsi tergantung pada sensitivitas data
yang dikirimkan. Terakhir, tinjauan akses pengguna harus dilakukan secara berkala oleh personel
keamanan IS, dan disetujui oleh manajemen, untuk memastikan akses jarak jauh yang diberikan akurat
dan konsisten dengan tugas dan tanggung jawab pekerjaan.
Informasi Tidak Akurat

Informasi yang akurat harus dipastikan apakah pengguna akhir mengakses data dari aplikasi,
database departemen, atau informasi di cloud. Pengguna akhir mungkin diminta untuk membuat
laporan untuk analisis dan pelaporan tanpa sepenuhnya memahami informasi yang diunduh. departementempat
penyimpanan data(misalnya, database, awan data, dll.) mungkin memiliki informasi yang berlebihan dengan kerangka
waktu yang berbeda. Hasilnya adalah pemborosan waktu dalam merekonsiliasi repositori ini untuk menentukan data
mana yang akurat. Bidang perhatian utama lainnya adalah bahwa manajemen mungkin gagal menggunakan informasi
dengan benar karena kegagalan dalam mengidentifikasi informasi penting; menafsirkan makna dan nilai informasi yang
diperoleh; dan/atau mengkomunikasikan informasi penting kepada manajer yang bertanggung jawab atau pembuat
keputusan utama secara tepat waktu.
Input Data yang Salah atau Dipalsukan
Kesalahan input data adalah ketika data yang tidak akurat dimasukkan ke dalam sistem aplikasi secara
tidak sengaja karena kesalahan manusia. Tindakan pencegahan termasuk kontrol aplikasi bawaan,
seperti digit cek dan entri ganda. Input data yang salah, di sisi lain, adalah ketika data yang tidak akurat
dimasukkan ke sistem aplikasi dengan sengaja untuk menipu organisasi atau pemangku
kepentingannya. Dalam hal ini, tindakan pencegahan dapat mencakup pengamanan akses ke program
dan data melalui otentikasi pengguna dan mekanisme otorisasi.
Pemrosesan Tidak Lengkap, Duplikat, dan Tidak Tepat Waktu
Pemrosesan yang tidak lengkap terjadi ketika transaksi atau file tidak diproses karena kesalahan. Ini mungkin
terjadi dipemrosesan batchketika file tidak ada, atau selamapemrosesan onlineketika permintaan atau pemicu
gagal untuk memulai transaksi. Pemrosesan transaksi duplikat termasuk mengeksekusi transaksi lebih dari
sekali. Ini dapat terjadi selama pemrosesan batch jika file dieksekusi beberapa kali, atau selama pemrosesan
online ketika pemicu transaksi memulai transaksi lebih dari sekali. Pemrosesan duplikat juga dapat terjadi ketika
pekerjaan berhenti secara tidak normal (berlebihan), tetapi beberapa catatan yang telah diproses tidak diatur
ulang. Pemrosesan yang tidak tepat waktu termasuk pemrosesan yang tertunda karena masalah produksi atau
hilangnya batas waktu. Misalnya, proses keuangan harus terjadi pada penutupan akhir bulan untuk memastikan
bahwa detail transaksi yang diproses dalam satu sistem aplikasi sesuai dengan posting transaksi denganjurnal
umum. Selain itu, ketika sistem online memposting transaksi ke sistem batch, biasanya ada batas waktu di mana
pemrosesan berakhir pada hari pertama dan dimulai pada hari kedua.
Kegagalan Sistem Komunikasi

Saat ini, sistem aplikasi dalam lingkungan TI bertanggung jawab atas banyak layanan penting, termasuk
layanan komunikasi (misalnya, email, intranet, Internet, pesan instan, dll.). Karena ketergantungan yang
meningkat pada layanan komunikasi TI ini, potensi kegagalan layanan ini menghadirkan sumber risiko
yang meningkat bagi organisasi. Informasi yang dirutekan dari satu lokasi ke lokasi lain melalui jalur
komunikasi rentan terhadap kegagalan yang tidak disengaja, intersepsi yang disengaja, dan/atau
modifikasi oleh pihak yang tidak berwenang.
Output Tidak Akurat atau Tidak Lengkap
Jika tidak dijaga dengan baik, laporan keluaran mungkin mengandung kesalahan setelah diproses
(mengganggu integritasnya) dan juga didistribusikan secara tidak benar. Kontrol keluaran harus ada,
misalnya, untuk memverifikasi bahwa data akurat dan lengkap (yaitu, dicatat dengan benar), dan bahwa
distribusi laporan dan prosedur penyimpanan efektif. Contoh pengendalian keluaran melibatkan kinerja
review, rekonsiliasi, dan verifikasi untuk transmisi data. Selain itu, akses ke laporan harus
didasarkan pada dasar "perlu-untuk-tahu" untuk menjaga kerahasiaan.
Dokumentasi Tidak Memadai

Pengguna akhir biasanya fokus pada pemecahan kebutuhan bisnis dan mungkin tidak menyadari
pentingnya dokumentasi. Setiap sistem aplikasi yang digunakan oleh banyak pengguna atau memiliki
manfaat jangka panjang harus didokumentasikan, terutama jika pengembang atau pemrogram asli tidak
lagi tersedia. Dokumentasi memberikan informasi yang cukup bagi pemrogram untuk memahami cara
kerja aplikasi, dan membantu memecahkan masalah untuk memastikan analisis perubahan program dan
pemecahan masalah yang efektif dan efisien. Dokumentasi harus diperbarui saat sistem aplikasi
dimodifikasi.
Dokumentasi lebih lanjut memastikan pemeliharaan sistem dan komponennya dan meminimalkan
kemungkinan kesalahan. Dokumentasi harus didasarkan pada standar yang ditetapkan dan terdiri dari
deskripsi prosedur, instruksi kepada personel, diagram alur, diagram aliran data, tata letak tampilan atau
laporan, dan materi lain yang menggambarkan sistem aplikasi.
Risiko Aplikasi Pengembangan Pengguna Akhir

Pengembangan pengguna akhir (EUD) (juga dikenal sebagai komputasi pengguna akhir) umumnya melibatkan
penggunaan aplikasi yang dikembangkan departemen, seperti spreadsheet dan database, yang sering
digunakan sebagai alat dalam melakukan pekerjaan sehari-hari. Spreadsheet dan database ini pada dasarnya
merupakan perpanjangan dari lingkungan TI dan output yang dihasilkan darinya dapat digunakan dalam
membuat keputusan bisnis yang berdampak pada perusahaan. Akibatnya, penggunaan EUD telah memperluas
cakupan audit di luar lingkungan SI pusat. Tingkat risiko dan kontrol yang diperlukan untuk diterapkan
bergantung pada kekritisan aplikasi EUD. Misalnya, aplikasi EUD yang mengkonsolidasikan data dari beberapa
departemen yang nantinya akan menjadi input ke dalam sistem pelaporan keuangan menjadi target utama
untuk diaudit.
Risiko penerapan EUD tidak mudah diidentifikasi karena kurangnya kesadaran dan tidak adanya sumber
daya yang memadai. Misalnya, komputer pribadi atau PC, notebook, laptop, dan perangkat seluler yang
menampung spreadsheet dan/atau database yang dikembangkan departemen terkait dapat dianggap sebagai
alat produktivitas pribadi, dan dengan demikian sebagian besar diabaikan oleh organisasi. Demikian pula,
banyak organisasi memiliki prosedur formal yang terbatas atau tidak sama sekali terkait dengan EUD. Kontrol
atau tinjauan laporan yang dihasilkan oleh aplikasi EUD mungkin terbatas atau tidak ada sama sekali. Risiko
yang terkait adalah bahwa manajemen mungkin mengandalkan laporan dan informasi yang dikembangkan
pengguna akhir pada tingkat yang sama seperti yang dikembangkan di bawah lingkungan SI terpusat
tradisional. Manajemen harus mempertimbangkan tingkat risiko yang terkait dengan aplikasi EUD dan
menetapkan tingkat kontrol yang sesuai.
◾ Biaya organisasi yang lebih tinggi

◾ Sistem yang tidak kompatibel
◾ Sistem redundan
◾ Implementasi yang tidak efektif
◾ Tidak adanya pemisahan tugas
◾ Analisis sistem tidak lengkap
◾ Akses tidak sah ke data atau program
◾ Pelanggaran hak cipta

◾ Kurangnya opsi pencadangan dan pemulihan
◾ Penghancuran informasi oleh virus komputer
Biaya Organisasi Lebih Tinggi

EUD mungkin pada awalnya tampak relatif murah dibandingkan dengan pengembangan TI tradisional. Namun,
sejumlah biaya tersembunyi terkait dengan EUD yang harus dipertimbangkan oleh organisasi. Selain biaya
operasi, biaya dapat meningkat karena kurangnya pelatihan dan dukungan teknis. Kurangnya pelatihan
pengguna akhir dan pengalaman mereka juga dapat mengakibatkan pembelian perangkat keras yang tidak
sesuai dan implementasi solusi perangkat lunak yang tidak sesuai dengan arsitektur sistem organisasi.
Pengguna akhir juga dapat meningkatkan biaya organisasi dengan membuat aplikasi yang tidak efisien atau
berlebihan.
Sistem yang tidak kompatibel
Sistem aplikasi yang dirancang pengguna akhir yang dikembangkan secara terpisah mungkin tidak kompatibel dengan
arsitektur TI organisasi yang ada atau yang akan datang. Pengembangan sistem TI tradisional memverifikasi
kompatibilitas dengan perangkat keras yang ada dan aplikasi perangkat lunak terkait. Tidak adanya standar perangkat
keras dan perangkat lunak dapat mengakibatkan ketidakmampuan untuk berbagi data dengan aplikasi lain dalam
organisasi.
Sistem yang Berlebihan
Selain mengembangkan sistem yang tidak kompatibel, pengguna akhir mungkin mengembangkan aplikasi atau
database yang berlebihan karena kurangnya komunikasi antar departemen. Karena kurangnya komunikasi ini,
departemen pengguna akhir dapat membuat database atau aplikasi baru yang mungkin telah dibuat oleh
departemen lain. Proses implementasi yang lebih efisien memiliki departemen pengguna akhir yang
mengoordinasikan proyek pengembangan sistem mereka dengan TI dan bertemu dengan departemen
pengguna akhir lainnya untuk membahas proyek yang mereka usulkan.
Implementasi yang Tidak Efektif

Pengguna akhir biasanya menggunakan bahasa pemrograman generasi keempat, seperti database atau alat
pengembangan Web Internet untuk mengembangkan aplikasi. Dalam kasus ini, pengguna akhir biasanya
belajar sendiri. Namun, mereka kekurangan pelatihan formal dalam pengembangan aplikasi terstruktur, tidak
menyadari pentingnya dokumentasi, dan cenderung mengabaikan tindakan pengendalian yang diperlukan
untuk implementasi yang efektif. Selain itu, tidak ada pemisahan tugas. Karena analisis, dokumentasi, dan
pengujian yang tidak memadai, sistem yang dikembangkan pengguna akhir mungkin tidak memenuhi harapan
manajemen.
Tidak adanya Pemisahan Tugas

Pengembangan sistem aplikasi tradisional dipisahkan berdasarkan fungsi, dan diuji serta diselesaikan oleh para ahli
terlatih di setiap area. Dalam banyak proyek EUD, satu individu bertanggung jawab untuk semua fase, seperti
menganalisis, merancang, membangun, menguji, dan mengimplementasikan siklus hidup pengembangan. Ada risiko
yang melekat, seperti mengabaikan kesalahan, ketika orang yang sama membuat dan menguji
sebuah program. Lebih mungkin bahwa tinjauan independen akan menangkap kesalahan yang dibuat oleh pengembang
pengguna akhir, dan tinjauan semacam itu membantu memastikan integritas sistem aplikasi yang baru dirancang.
Analisis Sistem Tidak Lengkap

Departemen pengguna akhir menghilangkan banyak langkah yang ditetapkan oleh departemen TI pusat. Misalnya, fase
analisis pengembangan mungkin tidak lengkap dan tidak semua aspek masalah diidentifikasi dengan tepat. Selain itu,
dengan spesifikasi yang tidak lengkap, sistem yang telah selesai mungkin tidak memenuhi tujuan atau memecahkan
masalah bisnis. Pengguna akhir harus menentukan tujuan mereka untuk aplikasi tertentu sebelum mereka memutuskan
untuk membeli perangkat lunak yang ada, meminta TI mengembangkan aplikasi, atau menggunakan keahlian terbatas
mereka untuk mengembangkan aplikasi. Spesifikasi yang tidak lengkap kemungkinan akan menyebabkan kekurangan
sistem.
Akses Tidak Sah ke Data atau Program

Kontrol akses menyediakan garis pertahanan pertama terhadap pengguna yang tidak sah yang mendapatkan akses ke
program dan data sistem aplikasi. Penggunaan kontrol akses, seperti ID pengguna dan kata sandi, biasanya lemah
dalam sistem yang dikembangkan pengguna. Dalam beberapa kasus, ID pengguna dan kata sandi bahkan mungkin
tidak diperlukan, atau akan sangat sederhana dan mudah ditebak. Pengawasan ini dapat menyebabkan aplikasi
mengalami perubahan atau penghapusan yang tidak disengaja atau disengaja yang mengancam keandalan informasi
apa pun yang dihasilkan. Sistem memerlukan perlindungan tambahan untuk mencegah perubahan yang tidak terduga.
Untuk mencegah perubahan yang tidak disengaja, pengguna harus dibatasi untuk mengeksekusi saja.
Pelanggaran Hak Cipta

Organisasi bertanggung jawab untuk mengendalikan lingkungan komputasi untuk mencegahpembajakan perangkat
lunakdan pelanggaran hak cipta. Namun, beberapa organisasi mungkin tidak secara khusus menangani pembajakan
perangkat lunak dalam pelatihan, dalam kebijakan dan prosedur, atau dalam penerapan pengendalian internal umum.
Karena program perangkat lunak dapat dengan mudah disalin atau diinstal pada banyak komputer, banyak organisasi
melanggar undang-undang hak cipta dan bahkan tidak menyadari potensi risikonya.
Organisasi menghadapi sejumlah risiko tambahan ketika mereka menoleransi pembajakan perangkat lunak.
Perangkat lunak yang disalin mungkin tidak dapat diandalkan dan membawa virus. Litigasi yang melibatkan
pelanggaran hak cipta sangat dipublikasikan, dan organisasi berisiko kehilangan potensi niat baik. Lebih jauh lagi,
menoleransi pembajakan perangkat lunak mendorong kemerosotan etika bisnis yang dapat merembes ke area lain
dalam organisasi.
Organisasi harus memberi tahu pengguna akhir tentang undang-undang hak cipta dan potensi konsekuensi yang
diakibatkan oleh pelanggaran undang-undang tersebut. Untuk mencegah instalasi perangkat lunak yang tidak sah, organisasi
dapat membatasi kemampuan pengguna untuk menginstal perangkat lunak dengan menonaktifkan akses administratif ke PC
mereka. Selain itu, ketika pengguna diberi akses ke komputer pribadi atau desktop, mereka harus menandatangani pengakuan
yang mencantumkan perangkat lunak yang diinstal, tanggung jawab individu, dan tindakan disipliner apa pun atas pelanggaran.
Prosedur tertulis harus secara jelas mendefinisikan tanggung jawab pengguna untuk memelihara inventaris perangkat lunak,
mengaudit kepatuhan, dan menghapus perangkat lunak yang tidak berlisensi.
Kurangnya Opsi Pencadangan dan Pemulihan

Organisasi yang gagal mempertahankan salinan data mereka benar-benar meminta masalah. Saat ini, sangat mudah untuk
kehilangan data dan hampir tidak mungkin untuk membangun kembali data tersebut jika backup belum dilakukan
dilakukan. Aplikasi EUD sering disimpan di PC seseorang dan tidak dicadangkan dengan benar. Jika
terjadi bencana atau serangan virus, aplikasi ini (dan datanya) mungkin tidak dapat dipulihkan karena
kurangnya cadangan. Oleh karena itu, pengguna akhir mungkin tidak dapat membuat ulang aplikasi dan
datanya dalam jangka waktu yang wajar.
Tidak adanya strategi pencadangan dan pemulihan mengakibatkan hilangnya data komputer. Data yang
tidak dicadangkan selalu berisiko, seperti penghapusan file secara tidak sengaja, virus dan malware yang
merusak, kegagalan hard drive, kegagalan daya atau crash, pencurian komputer, kerusakan air, kebakaran, dan
banyak lainnya.
Penghancuran Informasi oleh Virus Komputer

Sebagian besar pengguna akhir memiliki pengetahuan tentang serangan virus komputer, tetapi efek virus tetap
hanya ancaman sampai mereka benar-benar mengalami kerugian. Berdasarkan Laporan Ancaman McAfee Labs
untuk Desember 2016, jumlah serangan diperkirakan mencapai 650 juta. Untuk perangkat seluler, angka untuk
2016 juga signifikan, hampir mendekati angka 13,5 juta. Lebih lanjut, dalam laporan Prediksi Ancaman 2017,
McAfee Labs memprediksi hal berikut, antara lain:
◾ Penyerang akan terus mencari peluang untuk mendobrak sistem komputer tradisional (non-seluler), dan
mengeksploitasi kerentanan. Penyerang mampu mengeksploitasi sistem yang firmwarenya (perangkat
lunak permanen yang diprogram ke dalam memori hanya-baca) mengontrol operasi input dan output,
serta firmware lainnya, sepertisolid-state drive, kartu jaringan, dan perangkat Wi-Fi. Jenis eksploitasi ini
kemungkinan besar menunjukkan kesamaanperangkat lunak perusakserangan.
◾ Ransomwarepada perangkat seluler akan melanjutkan pertumbuhannya meskipun penyerang kemungkinan akan
menggabungkan kunci perangkat seluler ini dengan bentuk serangan lain, seperti pencurian kredensial, yang
memungkinkan mereka mengakses hal-hal seperti rekening bank dan kartu kredit.
Virus adalah istilah umum yang digunakan untuk menggambarkan program yang bereproduksi sendiri,
cacing,tahi lalat,lubang, Kuda Troya, danbom waktu. Di lingkungan saat ini, ancamannya tinggi karena
jumlah sumber yang tidak terbatas dari mana virus dapat diperkenalkan. Misalnya, virus dapat disalin
dari disk atau diunduh dari halaman Web yang terinfeksi. Mereka menyebar ke file lain, file-file itu pada
gilirannya menyebar ke file lain, dan seterusnya. Itusektor bootdisk adalah salah satu yang paling rentan
terhadap infeksi virus karena diakses setiap kali komputer dihidupkan, memberikan replikasi virus yang
mudah. Ketika virus diaktifkan, ia menyalin kode ke hard drive, dan dapat menyebar ke media tambahan
dengan menjalankan aplikasi umum seperti pengolah kata atau program email. Media yang berisi virus
akan terus menginfeksi komputer lain dan menyebarkan virus ke seluruh organisasi.
Virus juga dapat menyebar di antara komputer yang terhubung dalam jaringan (lokal, Internet, dll.). Mereka
dapat menyebar ketika file atau program yang terinfeksi diunduh dari komputer umum melalui lampiran email,
kode tersembunyi di dalam hyperlink, dan sebagainya. Virus dapat menyebabkan berbagai masalah seperti:
◾ Menghancurkan atau mengubah data
◾ Menghancurkan perangkat keras
◾ Menampilkan pesan yang tidak diinginkan
◾ Menyebabkan keyboard terkunci dan menjadi tidak aktif

◾ Memperlambat jaringan dengan melakukan banyak tugas yang sebenarnya hanya pengulangan terus menerus
tanpa akhir atau resolusi
◾ Memproduksi spam
◾ Meluncurkan serangan penolakan layanan
Risiko bagi organisasi adalah waktu yang diperlukan untuk menghapus virus, membangun kembali sistem yang
terpengaruh, dan merekonstruksi data yang rusak. Organisasi juga harus memperhatikan pengiriman program yang
terinfeksi virus ke organisasi lain. Virus menyebabkan kerusakan finansial yang signifikan, dan penerima dapat
mengajukan tuntutan hukum terhadap organisasi yang melembagakannya.
Risiko terhadap Sistem Pertukaran Informasi Bisnis Elektronik

Electronic Data Interchange (EDI) mengacu pada pertukaran elektronik dokumen bisnis antara bisnis
(atau perdagangan) mitra menggunakan format standar. EDI memungkinkan organisasi untuk mengirim
dan menerima informasi secara elektronik dalam format standar sehingga komputer dapat membaca
dan memahami dokumen yang dipertukarkan. Format standar menjelaskan jenis, serta desain, gaya, atau
presentasi (misalnya, bilangan bulat, desimal, mmddyy, dll.) dari informasi yang diperdagangkan. Contoh
umum dari informasi bisnis yang dipertukarkan melalui EDI termasuk faktur dan pesanan pembelian.
Tampilan 9.1 menjelaskan risiko yang terkait dengan EDI atau sistem yang bertukar informasi bisnis
elektronik.
Tampilan 9.1 Risiko terhadap EDI atau Sistem Pertukaran Informasi Bisnis Elektronik
Mempertaruhkan Keterangan
Kehilangan bisnis Korupsi yang tidak disengaja atau disengaja dari aplikasi terkait EDI
kesinambungan/kelangsungan- dapat mempengaruhi setiap transaksi EDI yang dilakukan oleh suatu organisasi,
masalah keprihatinan mempengaruhi kepuasan pelanggan, hubungan pemasok, dan kemungkinan
kelangsungan bisnis pada akhirnya.
Saling ketergantungan Ada peningkatan ketergantungan pada sistem mitra dagang,

yang berada di luar kendali organisasi.
Kehilangan kerahasiaan Informasi sensitif mungkin secara tidak sengaja atau sengaja dibocorkan
sensitif di jaringan atau di sistem penyimpanan kotak surat kepada pihak yang tidak
informasi berwenang, termasuk pesaing.
Peningkatan paparan Akses ke sistem komputer dapat memberikan peluang yang lebih besar
tipuan untuk mengubah catatan komputer dari satu organisasi dan mitra
dagangnya oleh staf pihak perdagangan atau oleh staf jaringan
pihak ketiga. Ini dapat mencakup pengenalan transaksi tidak sah
oleh organisasi pengguna atau personel pihak ketiga.
Manipulasi dari Situasi di mana jumlah yang dibebankan atau dibayarkan kepada pemasok tidak
pembayaran ditinjau sebelum transmisi. Oleh karena itu, terdapat risiko bahwa
pembayaran dapat dilakukan untuk barang yang tidak diterima, jumlah
pembayaran yang berlebihan, atau pembayaran ganda dapat terjadi.
Kerugian transaksi Transaksi dapat hilang sebagai akibat dari gangguan pemrosesan di
situs jaringan pihak ketiga atau dalam perjalanan ke organisasi penerima, yang
dapat menyebabkan kerugian dan pelaporan keuangan yang tidak akurat.
(Lanjutan)
Tampilan 9.1 (Lanjutan) Risiko terhadap EDI atau Sistem Pertukaran Informasi Bisnis Elektronik
Mempertaruhkan Keterangan
Kesalahan dalam informasi Kesalahan dalam sistem pemrosesan dan komunikasi, seperti:
dan komunikasi perbaikan pesan yang salah, dapat mengakibatkan pengiriman
sistem informasi perdagangan yang salah atau pelaporan yang tidak akurat
kepada manajemen.
Hilangnya jejak audit EDI menghilangkan kebutuhan akan hard copy. Akan ada lebih sedikit kertas untuk
auditor untuk memeriksa. Pengguna EDI tidak boleh memberikan bukti
audit yang memadai atau sesuai, baik dalam bentuk cetak maupun media
elektronik. Vendor pihak ketiga mungkin tidak menyimpan jejak audit untuk
jangka waktu yang signifikan, atau jejak audit bisa hilang saat pesan
diteruskan melalui beberapa jaringan.
konsentrasi dari Akan ada peningkatan ketergantungan pada kontrol komputer di mana mereka
kontrol mengganti kontrol manual, dan mereka mungkin tidak cukup tepat waktu. Penggunaan
EDI dengan ketergantungan yang lebih besar pada sistem komputer memusatkan
kontrol di tangan staf yang lebih sedikit, meningkatkan ketergantungan pada orang-
orang kunci, dan meningkatkan risiko.
Kegagalan aplikasi Kegagalan aplikasi atau komponen EDI dapat memiliki dampak yang signifikan
dampak negatif terhadap organisasi mitra dalam siklus bisnis
masing-masing, terutama untukInventaris Tepat Waktu
manajemen, produksi, dan sistem pembayaran. Selain itu, ada
kemungkinan penyebaran kesalahan di seluruh sistem lain karena
integrasi dengan aplikasi bisnis lain.
Potensi kewajiban hukum Situasi di mana kewajiban tidak didefinisikan dengan jelas dalam mitra dagang
perjanjian, tanggung jawab hukum dapat timbul karena kesalahan di luar kendali
organisasi atau oleh karyawannya sendiri. Masih ada ketidakpastian yang cukup
besar tentang status hukum dokumen EDI atau ketidakmampuan untuk
menegakkan kontrak dalam keadaan yang tidak terduga.
Pengisian yang berlebihan oleh Pemasok pihak ketiga mungkin secara tidak sengaja atau sengaja menagih terlalu mahal
layanan pihak ketiga organisasi yang menggunakan layanan mereka.
penyedia
Manipulasi dari Informasi yang tersedia untuk pemilik pihak ketiga
organisasi jaringan dapat memungkinkan mereka atau pesaing untuk mengambil
keuntungan yang tidak adil dari suatu organisasi.
Tidak mencapai Terjadi di mana penghematan biaya diantisipasi dari investasi di

biaya yang diantisipasi EDI tidak direalisasikan karena suatu alasan oleh suatu organisasi.
tabungan
Sumber:Diadaptasi dari Senft, S., Gallegos, F., dan Davis, A. 2012.Kontrol Teknologi Informasi
dan Audit. Boca Raton: CRC Press/Taylor & Francis.
Implikasi yang timbul dari risiko tersebut antara lain:
◾ Potensi KEHILANGAN jejak audit transaksi, sehingga mempersulit atau tidak mungkin untuk merekonsiliasi,
merekonstruksi, dan meninjau catatan. Ini mungkin bisa menjadi pelanggaran undang-undang dan
mengakibatkan penuntutan dan denda.
◾ Peningkatan paparan tebusan, pemerasan, atau penipuan melalui potensi gangguan layanan atau
peningkatan peluang untuk mengubah catatan komputer dalam organisasi dan IS mitra
dagangnya.
◾ Gangguan arus kas ketika transaksi pembayaran dihasilkan karena kesalahan atau dialihkan atau
dimanipulasi.
◾ Kehilangan profitabilitas yang terjadi melalui peningkatan biaya bunga atau pesanan ke
pesaing karena kurangnya penerimaan pesan EDI.
◾ Kerusakan reputasi melalui hilangnya pelanggan utama, terutama jika masalah EDI dipublikasikan
secara luas.
Standar untuk Penilaian Audit EDI

Auditor, manajemen, pengembang, dan konsultan keamanan harus menyadari risiko bisnis
yang terkait dengan sistem EDI. Beberapa standar terkenal yang memberikan dasar untuk
penilaian audit EDI meliputi:Komite Standar Terakreditasi (ASC) X12kelompok standar yang
didukung oleh American National Standards Institute (ANSI) Amerika Utara danPertukaran
Data Elektronik untuk Administrasi, Perdagangan dan Transportasi (EDIFACT)standar
internasional yang didukung oleh Komisi Ekonomi PBB untuk Eropa.
◾ Standar ASC X12 memfasilitasi pertukaran elektronik transaksi bisnis, seperti menempatkan dan
memproses pesanan, pengiriman, penerimaan, pembuatan faktur, dan pembayaran. Secara
khusus, standar ASC X12 mengidentifikasi data yang digunakan dalam transaksi, urutan
kemunculan data tersebut, apakah data wajib atau opsional, kapan data dapat diulang, dan
bagaimana loop, jika berlaku, disusun dan digunakan.
◾ Standar EDIFACT menyediakan seperangkat standar internasional umum untuk
transmisi elektronik data komersial. Standar internasional EDIFACT berurusan dengan
pertukaran elektronik data terstruktur, seperti perdagangan barang dan jasa antara
sistem informasi komputerisasi independen.
Standar utama umum lainnya untuk penilaian EDI meliputi:
◾ Standar Tradacoms, yang dominan di sektor ritel Inggris. Standar saat ini
disebut sebagai GS1 UK.
◾ Standar Organization for Data Exchange by Tele Transmission (ODETTE), yang
mewakili kepentingan industri otomotif di Eropa. ODETTE menciptakan standar,
mengembangkan praktik terbaik, dan menyediakan layanan yang mendukung
manajemen logistik, komunikasi e-bisnis, dan pertukaran data teknik di seluruh
industri otomotif Eropa.
◾ Standar dan praktik terbaik Verband der Automobilindustrie (VDA) juga berlaku
untuk industri otomotif Eropa. Standar VDA terutama berfokus pada melayani
kebutuhan perusahaan otomotif Jerman.
◾ Standar internasional Health Level-7 (HL7) berhubungan dengan pertukaran elektronik data klinis
dan administratif di antara penyedia layanan kesehatan. Standar HL7 telah diadopsi oleh badan
penerbit standar lainnya seperti ANSI dan Organisasi Internasional untuk Standardisasi.
◾ Standar global GS1 EDI memandu komunikasi elektronik dan otomatisasi transaksi
bisnis yang biasanya terjadi di seluruh rantai pasokan. Standar ini berlaku untuk
pengecer, produsen, pemasok material, dan penyedia layanan logistik, misalnya.
Risiko Aplikasi Web

PC Magazine mendefinisikan aplikasi Web sebagai "aplikasi di mana semua atau sebagian perangkat lunak
diunduh dari Web setiap kali dijalankan."*Penggunaan aplikasi Web telah menjadi strategi kunci untuk arah bagi
banyak perusahaan. Beberapa perusahaan hanya menggunakan aplikasi Web untuk tujuan pemasaran, tetapi
kebanyakan menggunakannya untuk menggantikan aplikasi client-server tradisional. Karakteristik lain dari
aplikasi Web termasuk penggunaan browser Web di sisi klien yang biasanya platform independen, dan
membutuhkan daya komputasi yang lebih sedikit. Beberapa manfaat lain dari aplikasi Web termasuk
pengurangan waktu ke pasar, peningkatan kepuasan pengguna, dan pengurangan biaya yang berkaitan dengan
pemeliharaan dan dukungan.
Dari sudut pandang pengembangan, aplikasi Web harus dirancang untuk melakukan tugas-tugas spesifik
yang disepakati dan didokumentasikan sebagai bagian dari persyaratan fungsional. Saat mengembangkan
aplikasi Web, tim harus memahami bahwa kontrol sisi klien seperti validasi input, bidang tersembunyi, dan
kontrol antarmuka, misalnya, tidak sepenuhnya dapat diandalkan untuk tujuan keamanan. Penyerang dapat
dengan mudah melewati kontrol sisi klien ini dan mendapatkan akses untuk menganalisis atau memanipulasi
lalu lintas aplikasi, mengirimkan permintaan, dll. Praktik terkenal yang dirujuk saat mengembangkan sistem
atau aplikasi aplikasi Web termasuk 10 Praktik Pengkodean Aman Teratas, yang dikeluarkan pada Maret 2011
oleh Tim Kesiapan Darurat Komputer Amerika Serikat (US-CERT). Praktik umum lainnya termasuk prinsip
pengkodean aman yang dijelaskan dalam Panduan Pengkodean Aman Open Web Application Security Project
(OWASP). Sementara prinsip-prinsip pengkodean aman OWASP berikut secara khusus merujuk pada aplikasi
Web, prinsip-prinsip ini juga dapat berlaku untuk aplikasi non-Web.
◾ Validasi masukan
◾ Pengkodean keluaran
◾ Otentikasi dan manajemen kata sandi
◾ Manajemen sesi
◾ Kontrol akses
◾ Praktik kriptografi
◾ Penanganan kesalahan dan pencatatan
◾ Perlindungan data
◾ Keamanan komunikasi
◾ Sistem konfigurasi
◾ Keamanan basis data
◾ Manajemen file
◾ Manajemen memori
◾ Praktik pengkodean umum
OWASP menawarkan daftar periksa praktiskanyang berfokus pada penerapan praktik dan prinsip pengkodean yang
aman. Daftar periksa dirancang untuk berfungsi sebagai alat awal pengkodean yang aman untuk membantu tim
pengembangan memahami (dan mematuhi) praktik pengkodean yang aman.
Risiko yang terkait dengan aplikasi Web, sebagaimana dinyatakan dalam 10 Risiko Keamanan Aplikasi Web
Paling Kritis OWASP 2017,kantermasuk:
* www.pcmag.com/encyclopedia/term/54272/web-application.
kan www.owasp.org/images/0/08/OWASP_SCP_Quick_Reference_Guide_v2.pdf.
kan www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=OWASP_Top_10_for_2017_Release_
Calon.
◾ Injeksi
◾ Otentikasi rusak dan manajemen sesi
◾ Skrip lintas situs
◾ Kontrol akses rusak
◾ Kesalahan konfigurasi keamanan
◾ Paparan data sensitif
◾ Perlindungan serangan tidak memadai
◾ Pemalsuan permintaan lintas situs
◾ Menggunakan komponen dengan kerentanan yang diketahui
◾ Di bawah antarmuka program aplikasi yang dilindungi
Daftar periksa prinsip dan praktik pengkodean aman OWASP adalah salah satu cara efektif untuk meminimalkan
risiko dan memastikan bahwa organisasi mengembangkan aplikasi Web yang sukses. Namun, auditor,
manajemen, pengembang, dan konsultan keamanan harus mempertimbangkan tingkat risiko yang terkait
dengan semua jenis aplikasi untuk merancang dan menerapkan kontrol aplikasi yang sesuai.
Kontrol Aplikasi
Ada dua kelompok besar kontrol komputer yang membantu mengurangi risiko aplikasi yang
dibahas di atas, dan sangat penting untuk memastikan pengoperasian sistem aplikasi yang tepat
dan berkelanjutan. Mereka adalah: Kontrol Komputer Umum dan Kontrol Aplikasi. Kontrol
komputer umum ("kontrol umum" atau "ITGC") mencakup pemeriksaan kebijakan dan prosedur
yang berhubungan dengan banyak aplikasi dan mendukung fungsi kontrol aplikasi yang efektif.
Kontrol umum mencakup infrastruktur TI dan layanan dukungan, termasuk semua sistem dan
aplikasi. Pengendalian umum biasanya mencakup pengendalian atas (1) operasi sistem informasi;
(2) keamanan informasi; dan (3) manajemen kontrol perubahan (yaitu, akuisisi perangkat lunak
sistem, perubahan dan pemeliharaan, perubahan program, dan akuisisi, pengembangan, dan
pemeliharaan sistem aplikasi).
Kontrol aplikasi memeriksa prosedur yang spesifik dan unik untuk aplikasi. Kontrol aplikasi juga
disebut sebagai "kontrol otomatis." Mereka memperhatikan keakuratan, kelengkapan, validitas,
dan otorisasi data yang ditangkap, dimasukkan, diproses, disimpan, dikirim, dan dilaporkan.
Contoh kontrol aplikasi termasuk memvalidasi input data, memeriksa akurasi matematis catatan,
dan melakukan pemeriksaan urutan numerik, antara lain. Kontrol aplikasi cenderung efektif ketika
kontrol umum efektif. Tampilan 1.3 dari Bab 1 mengilustrasikan kontrol umum dan aplikasi, dan
bagaimana kontrol tersebut harus diterapkan untuk mengurangi risiko dan mengamankan
aplikasi. Perhatikan dalam pameran bahwa sistem aplikasi selalu dikelilingi oleh risiko. Risiko
diwakili dalam pameran dengan simbol ledakan. Risiko ini bisa dalam bentuk akses yang tidak sah,
kehilangan atau pencurian atau peralatan dan informasi, shutdown sistem, dll. Kontrol umum,
yang ditunjukkan dalam simbol segi enam, juga mengelilingi aplikasi dan memberikan "perisai
pelindung" terhadap risiko. Terakhir, ada aplikasi atau kontrol otomatis yang berada di dalam
aplikasi dan memberikan perlindungan langsung atas input, pemrosesan, dan output informasi.
Kontrol aplikasi yang diterapkan di organisasi dapat mencakup, antara lain, kontrol konfigurasi sistem dan/
atau aplikasi; kontrol terkait keamanan yang memberlakukan akses pengguna, peran, dan pemisahan tugas;
dan kontrol notifikasi otomatis untuk memperingatkan pengguna bahwa transaksi atau proses sedang
menunggu tindakan mereka. Kontrol aplikasi juga memeriksa perhitungan matematis, penyeimbangan
total antara pekerjaan, kewajaran terhadap volume atau nilai yang diharapkan, rekonsiliasi antara sistem,
dan distribusi output yang terkontrol untuk memastikan akurasi dan kelengkapan transaksi. Kontrol
aplikasi dapat digambarkan sebagai teknik yang digunakan untuk mengontrol input, pemrosesan, dan
output informasi dalam suatu aplikasi. Mereka dipecah menjadi tiga kategori utama: input, pemrosesan,
dan kontrol output.
Kontrol Masukan
Kontrol input dimaksudkan untuk meminimalkan risiko yang terkait dengan input data ke dalam sistem aplikasi.
"Antarmuka pengguna" adalah sarana di mana pengguna berinteraksi dengan sistem. Dalam kebanyakan kasus, ini
adalah layar komputer, mouse, dan keyboard. Antarmuka yang efektif bagi pengguna akan membantu mengurangi
biaya meja dan meningkatkan akurasi dan efisiensi. Juga, antarmuka pengguna harus menyediakan sarana bagi
pengguna untuk mendapatkan bantuan peka konteks.
Mendefinisikan persyaratan input memastikan bahwa metode pengambilan data sesuai untuk jenis data
yang dimasukkan dan bagaimana selanjutnya digunakan. Masalah kinerja dan masalah akurasi dapat
diperkenalkan dengan metode yang tidak tepat untuk menangkap data. Persyaratan input harus menentukan
semua sumber yang valid untuk data serta metode untuk memvalidasi data. Kontrol input mencegah transaksi
yang tidak valid dimasukkan dan mencegah data yang tidak valid dalam transaksi yang valid. Mereka secara
khusus memastikan keaslian, keakuratan, dan kelengkapan data yang dimasukkan ke dalam suatu aplikasi.
Keaslian
NIST mendefinisikan keaslian sebagai "properti yang asli dan dapat diverifikasi dan dipercaya."*Keaslian
memastikan bahwa hanya pengguna yang berwenang yang memiliki akses untuk memasuki transaksi. Selama
proses pengembangan sistem aplikasi, pengguna yang berwenang harus ditentukan bersama dengan tingkat
keamanan mereka untuk akses data. Informasi ini dapat digunakan saat mendesain layar input untuk
membatasi layar atau bidang ke grup pengguna tertentu. Kontrol juga dapat dirancang untuk menegakkan
pemisahan tugas. Misalnya, pengguna mungkin dapat memasukkan transaksi, tetapi supervisor mungkin perlu
menyetujui transaksi sebelum diserahkan untuk diproses.
Otentikasi juga harus dipertimbangkan ketika aplikasi otomatis berinteraksi dengan aplikasi
lain. Otentikasi, menurut NIST, memverifikasi "identitas pengguna, proses, atau perangkat sering
kali sebagai prasyarat untuk memungkinkan akses ke sumber daya dalam sistem informasi."*
Seringkali, pekerjaan batch terjadwal beroperasi di bawah otoritas dengan hak akses tertentu ke
database. Risiko yang terkait dengan akun akses ini serta hak akses perlu ditinjau.Akun umum
tidak boleh digunakan. Pekerjaan batch harus diberikan hak istimewa minimal dan akun tingkat
sistem tidak boleh digunakan.
Ketepatan
Akurasi dipastikan melalui pemeriksaan edit yang memvalidasi data yang dimasukkan sebelum menerima transaksi
untuk diproses. Akurasi memastikan bahwa informasi yang dimasukkan ke dalam aplikasi konsisten dan sesuai dengan
kebijakan dan prosedur. Hal ini dicapai dengan merancang layar input dengan pengeditan dan validasi yang memeriksa
data yang dimasukkan terhadap aturan atau nilai yang telah ditentukan sebelumnya.
* http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar4.pdf.
Keakuratan transaksi yang diproses dapat dipastikan dengan memastikan semua transaksi yang
dimasukkan melalui pemeriksaan validasi data, baik yang berasal dari layar online, antarmuka dari aplikasi lain,
atau dihasilkan oleh sistem. Program yang secara otomatis menghasilkan transaksi (yaitu, program yang dipicu
waktu) harus memiliki pengeditan bawaan yang memvalidasi akurasi transaksi yang serupa dengan transaksi
yang dimasukkan oleh pengguna. Penting juga untuk melacak volume dan frekuensi transaksi terhadap tren
yang diharapkan untuk memastikan bahwa transaksi dipicu dengan benar. Pemeriksaan yang hilang dan
duplikat juga harus diprogram jika terjadi kesalahan dalam logika pemicu.
Rutinitas edit dan validasi umumnya unik untuk sistem aplikasi yang digunakan, meskipun beberapa
rutinitas tujuan umum dapat digabungkan. Exhibit 9.2 daftar edit dan validasi rutin pemeriksaan atau
kontrol saat memasukkan data. Rutinitas edit dan validasi ditempatkan dalam sistem untuk membantu
memastikan kelengkapan dan akurasi data. Oleh karena itu, mengesampingkan rutinitas edit tidak boleh
dianggap enteng. Di sebagian besar sistem, pengguna tidak diberikan kemampuan ini. Mengganti
rutinitas edit hanya diperbolehkan untuk manajer atau supervisor departemen pengguna yang memiliki
hak istimewa, dan dari terminal master. Override harus dicatat secara otomatis oleh aplikasi sehingga
tindakan ini dapat dianalisis untuk kesesuaian dan kebenarannya.
Kelengkapan
Kelengkapan menegaskan bahwa semua data yang diperlukan untuk memenuhi kebutuhan bisnis saat ini dan
masa depan benar-benar siap dan tersedia. Memiliki data lengkap untuk bekerja dengan membantu manajemen
saat membuat keputusan bisnis yang berdampak pada organisasi. Data lengkap, dalam bentuk laporan
keuangan, daftar vendor, laporan piutang pelanggan, laporan pinjaman, dll., mencerminkan status organisasi
yang akurat dan bagaimana organisasi tersebut menghadapi pesaing dan tren serta pola industri. Kelengkapan
dipastikan, misalnya, melalui prosedur penanganan kesalahan yang menyediakan pencatatan, pelaporan, dan
koreksi kesalahan.
Tampilan 9.2 Kontrol Edit dan Validasi Saat Memasukkan Data
Kontrol Keterangan
cek lapangan Mengonfirmasi bahwa karakter dalam bidang adalah tipe yang tepat.
Tanda centang Memvalidasi bahwa data dalam bidang memiliki positif atau negatif yang sesuai
tanda.
Batas atau jangkauan Memverifikasi bahwa jumlah numerik yang dimasukkan berada dalam nilai minimum dan
memeriksa maksimum yang dapat diterima.
cek ukuran Memeriksa apakah ukuran data yang dimasukkan sesuai dengan bidang tertentu.
Kelengkapan Mengkonfirmasi bahwa semua data yang diperlukan dan diperlukan dimasukkan.
memeriksa
Pemeriksaan validitas Membandingkan data dari file transaksi dengan file master untuk memverifikasi
adanya.
Kelayakan Memeriksa kebenaran hubungan logis antara dua item data.

memeriksa
Periksa angka Menghitung ulang digit cek untuk memverifikasi kesalahan entri data belum dilakukan.
verifikasi
Kontrol Pemrosesan
Kontrol pemrosesan mencegah, mendeteksi, dan/atau memperbaiki kesalahan saat pemrosesan data (batch atau
online) berlangsung. Kontrol ini membantu memastikan bahwa data diproses secara akurat dan lengkap melalui aplikasi
(misalnya, tidak ada data yang ditambahkan, hilang, atau diubah selama pemrosesan, dll.).
Pekerjaan yang dijadwalkan dalam aplikasi harus ditinjau untuk memastikan bahwa perubahan yang
dilakukan sesuai dan tidak menimbulkan risiko. Sebagai contoh, dalam sistem aplikasi ERP, aStruktur
Bahasa Kueriprogram dapat ditulis untuk memodifikasi data secara langsung terhadap database,
menghindari kontrol dalam aplikasi dan beroperasi terhadap database dengan hak administrator sistem.
Namun, dari layar, program ini dapat terlihat seperti laporan jika kode dasarnya tidak dievaluasi.
Akurasi dan Kelengkapan

Untuk memastikan akurasi dan kelengkapan data (A&C), program harus dibangun dengan logika untuk mencegah, mendeteksi,
dan/atau memperbaiki kesalahan. Prosedur penanganan kesalahan harus mencakup:
◾ Aktivitas kesalahan pencatatan
◾ Persetujuan koreksi kesalahan dan pengiriman ulang

◾ Tanggung jawab yang ditetapkan untuk file ketegangan
◾ Laporan kesalahan yang belum terselesaikan
◾ Penuaan dan prioritas kesalahan yang belum terselesaikan
A&C juga dapat dicapai dengan menyeimbangkan transaksi batch yang masuk dengan transaksi yang keluar dari
pendahulunya. Langkah-langkah penyeimbangan harus terjadi di titik pemrosesan pekerjaan utama. Titik kontrol
berikut adalah contoh titik pemrosesan pekerjaan utama:
◾ Poin masukan.Program yang menerima transaksi dari pemrosesan input (misalnya, antarmuka pengguna, dll.)
◾ Modul pemrosesan utama.Program yang mengubah data (misalnya, melakukan perhitungan, dll.)
◾ Titik-titik percabangan.Program yang memisahkan atau menggabungkan data (misalnya, program yang menggabungkan data dari
dua atau lebih sumber input yang berbeda ke dalam satu file; file tersebut kemudian digunakan sebagai umpan data untuk sistem
pelaporan keuangan, dll.)
◾ Poin keluaran.Hasil pengolahan data (misalnya, laporan keuangan atau operasional, cek tercetak,
file data keluaran, dll.)
Dirancang dengan benar, keseimbangan total untuk jumlah dan jumlah transaksi dapat mendeteksi transaksi
yang hilang atau duplikat (lihat Tampilan 9.3, bagian A). Selain itu, penyeimbangan dan rekonsiliasi harus terjadi
antara aplikasi yang berbagi data umum. Ini dapat dicapai dengan membuat laporan rekonsiliasi yang
mencantumkan data dari semua sistem aplikasi yang terlibat, dan melaporkan perbedaan apa pun untuk grup
pengguna untuk meninjau dan menindaklanjuti pengecualian apa pun. Tampilan 9.3, bagian B digunakan untuk
menggambarkan contoh rekonsiliasi antara sistem Penagihan, Pembayaran, dan Piutang Usaha. Perhatikan
bagaimana sistem Piutang Usaha mengkonfirmasi (atau merekonsiliasi) semua 17 catatan yang terlibat dan,
yang paling penting, saldo $400 tertunda setelah tagihan dikirim dan koleksi (atau pembayaran) diterima.
Menyeimbangkan total juga harus mencakup hitungan transaksi (kuantitas), total untuk semua
bidang jumlah untuk setiap jenis transaksi, dan total lintas kaki untuk bidang detail ke bidang total.
Perhatikan di Tampilan 9.4 bagaimana jumlah total diverifikasi, dan bagaimana jumlah total per bagian
(sebuah)
Sistem pembayaran- Sistem piutang—

faktur keluar: faktur di:
Hitung = 10 Hitung = 10
Jumlah = $1.250 Jumlah = $1.250
(b)
Sistem pembayaran- Sistem pembayaran-

faktur keluar: pembayaran di:
Jumlah catatan = 10 Jumlah rekaman = 7

Jumlah catatan = $1.250 Jumlah rekaman = $850
Piutang
sistem
(rekonsiliasi dari
faktur dan
pembayaran):
Jumlah catatan = 17
Jumlah catatan = $400
Tampilan 9.3 Total balancing batch (A) dan rekonsiliasi lintas aplikasi (B).
hasil dari cross-footing Kuantitas dan Harga Satuan. Dalam file di mana tidak ada total yang berarti, hash total
dapat dibuat yang menambahkan semua angka dalam kolom untuk memverifikasi bahwa total yang sama
diterima oleh proses selanjutnya. Misalnya, menjumlahkan nomor bagian tidak memberikan arti apa pun.
Namun, jumlah ini dapat digunakan untuk memverifikasi bahwa semua nomor bagian yang benar telah
diterima. Arus transaksi harus diseimbangkan setiap hari dan secara kumulatif ke pekerjaan bulanan sebelum
daftar ditutup. Menyeimbangkan total juga harus mempertimbangkan baik kesalahan transaksi yang keluar
maupun yang memasuki alur pemrosesan. Pada Tampilan 9.5, misalnya, 10 total transaksi (dengan jumlah
$1.250) dikurangi 2 transaksi yang ditulis ke file kesalahan (dengan jumlah $250) diproses dalam Sistem Piutang
Usaha. Jumlah dan jumlah total yang direkonsiliasi/seimbang dalam Sistem Piutang Usaha sekarang masing-
masing adalah delapan dan $1.000.
Contoh umum lainnya dari kontrol pemrosesan meliputi:
◾ Pencocokan data. Mencocokkan dua atau lebih item sebelum menjalankan perintah atau tindakan tertentu (misalnya,
mencocokkan faktur dengan pesanan pembelian dan laporan penerimaan sebelum melakukan pembayaran, dll.).
◾ Label file. Pastikan bahwa file yang benar dan terbaru sedang digunakan.
◾ Lintasan pijakan. Membandingkan dua cara alternatif untuk menghitung total yang sama untuk memverifikasi
keakuratannya (misalnya, menambahkan menurut baris dan kolom dalam spreadsheet, dll.).
Tampilan 9.4 Contoh Total Balancing
Memesan Kuantitas Nomor Bagian Patokan harga Total
Bagian A 100 1288543 $1,20 $120.00
Bagian B 80 0982374 $0,60 $48,00
Bagian C 200 5436682 $0,45 $90.00
Total 380 $258,00
Sumber:Diadaptasi dari Senft, S., Gallegos, F., dan Davis, A. 2012.Kontrol Teknologi Informasi
dan Audit. Boca Raton: CRC Press/Taylor & Francis.
Sistem pembayaran- File kesalahan—

faktur keluar: faktur:
Hitung = 10 Hitung = 2
Jumlah = $1.250 Jumlah = $250
Piutang
sistem
(faktur masuk—kesalahan):
Hitung = 8
Jumlah = $1.000
Tampilan 9.5 Menyeimbangkan total dengan kesalahan transaksi.
◾ Tes keseimbangan nol. Periksa apakah rekening tertentu (misalnya, rekening kliring penggajian, dll.)
mempertahankan saldo nol. Tes ini membantu organisasi dalam menghilangkan kelebihan saldo di akun
terpisah dan mempertahankan kontrol yang lebih besar atas pengeluaran.
◾ Mekanisme perlindungan tulis. Perlindungan terhadap penimpaan atau penghapusan data.
◾ Kontrol pembaruan bersamaan. Mencegah kesalahan dua atau lebih pengguna memperbarui catatan yang sama pada
waktu yang sama.
Kontrol Keluaran
Kontrol output dirancang untuk mendeteksi dan memperbaiki kesalahan setelah pemrosesan selesai,
memastikan integritas output yang dihasilkan. Secara khusus, pengendalian keluaran meliputi: (1) prosedur
untuk memverifikasi apakah data akurat dan lengkap (yaitu, dicatat dengan benar) dan (2) prosedur untuk
distribusi dan penyimpanan laporan yang memadai. Jika output diproduksi secara terpusat, maka kontrol
konvensional, seperti memiliki petugas keamanan dan mendistribusikan log mungkin sesuai. Jika keluaran
didistribusikan melalui jaringan komunikasi data, penekanan kontrol bergeser ke kontrol akses untuk
masing-masing workstation. Untuk menjaga kerahasiaan, akses ke laporan harus didasarkan pada dasar
“perlu-untuk-tahu”.
Akurasi dan Kelengkapan

Keluaran harus diverifikasi terhadap sumber independen untuk memverifikasi keakuratan dan
kelengkapannya. Tiga jenis kontrol output yang umum terkait dengan akurasi dan kelengkapan
adalah tinjauan pengguna, rekonsiliasi, dan kontrol transmisi data. Ulasan pengguna memastikan
keluaran (laporan) yang dihasilkan aman, rahasia, dan pribadi melalui penyeimbangan dan
pemeriksaan kelengkapan; perbandingan bidang data utama; memeriksa informasi yang hilang;
dan rekreasi dokumen. Rekonsiliasi mencakup prosedur untuk merekonsiliasi laporan
pengendalian. Misalnya, total transaksi yang diposting ke buku besar harus direkonsiliasi dengan
saldo terinci dalam piutang usahabuku besar pembantu. Contoh lain termasuk rekonsiliasi data
eksternal, seperti rekonsiliasi rekening bank/kas. Seperti disebutkan sebelumnya, data yang umum
untuk dua atau lebih aplikasi harus direkonsiliasi untuk memverifikasi konsistensi. Kontrol
transmisi data diimplementasikan untuk melindungi transfer fisik data melalui saluran komunikasi
point-to-point atau point-to-multipoint. Contoh di sini adalah penerapan teknik enkripsi atas data
yang ditransmisikan.
Distribusi dan Retensi

Distribusi output harus didefinisikan dengan jelas, dan akses fisik dan logis harus dibatasi untuk personel yang
berwenang. Kebutuhan akan keluaran harus ditinjau secara teratur karena laporan mungkin diminta pada saat
aplikasi dikembangkan, tetapi mungkin tidak lagi berguna. Juga, informasi yang sama dapat digunakan untuk
lebih dari satu sistem dengan pandangan, organisasi, dan penggunaan yang berbeda. Misalnya, departemen
pemasaran dapat menggunakan informasi penjualan untuk membayar komisi dan memantau kuota penjualan,
sedangkan departemen akuntansi menggunakan informasi yang sama untuk menyiapkan laporan dan laporan
keuangan. Kedua sistem ini harus direkonsiliasi untuk memastikan bahwa jumlah yang dilaporkan untuk
membayar staf penjualan sama dengan jumlah yang dilaporkan dalam laporan keuangan dan laporan.
Karena ruang penyimpanan (online atau fisik) mahal, periode penyimpanan dan persyaratan penyimpanan
harus ditentukan untuk program, data, dan laporan. Informasi penting harus disimpan dengan aman (yaitu,
dienkripsi) dan penghancurannya harus permanen dan dilakukan sedemikian rupa untuk mencegah
penayangan yang tidak sah. Organisasi harus mempertimbangkan undang-undang dan peraturan apa pun yang
mungkin mengatur durasi periode retensi.
Keterlibatan Auditor TI
Auditor TI dapat membantu organisasi dengan meninjau sistem aplikasi mereka untuk memastikan
mereka mematuhi strategi dan standar organisasi, serta menyediakan fungsi otomatis untuk mendukung
proses bisnis secara efektif. Aplikasi perlu dinilai risikonya untuk menentukan tingkat keterlibatan audit.
Jenis penilaian juga akan bervariasi tergantung pada risiko aplikasi tertentu. Aplikasi menimbulkan risiko
bagi organisasi dalam bentuk peningkatan biaya, hilangnya integritas data, kelemahan dalam
kerahasiaan, kurangnya ketersediaan, kinerja yang buruk, dan lain-lain. Risiko-risiko ini harus ditangani
dengan pemilihan dan penerapan pengendalian yang memadai.
Mengaudit sistem aplikasi memerlukan pengetahuan khusus tentang risiko dan pengendalian aplikasi. Memahami
hal tersebut memungkinkan auditor TI untuk mengidentifikasi area utama yang akan mendapat manfaat dari verifikasi
independen. Selain itu, memahami kontrol aplikasi memungkinkan auditor TI untuk mengevaluasi dan
merekomendasikan yang akan memastikan pemrosesan transaksi yang lengkap dan akurat.
Seperti yang dinyatakan sebelumnya, auditor TI dapat dilibatkan sebagai konsultan kontrol atau peninjau
independen. Tingkat keterlibatan ditentukan dengan menyelesaikan penilaian risiko. Hasil dari penilaian risiko
juga meminta jumlah waktu yang diperlukan untuk mengalokasikan ke aplikasi tertentu, sumber daya yang
diperlukan, dll. Kemudian, persiapan rencana audit menyusul. Rencana tersebut menjelaskan tujuan dan
prosedur audit yang harus dilakukan untuk memastikan aplikasi diterapkan secara memadai, dan menjaga
informasi. Auditor TI akhirnya mengomunikasikan temuan yang diidentifikasi selama audit ditambah
rekomendasi kepada manajemen.
Tugas beresiko
Auditor TI mungkin tidak memiliki cukup waktu untuk menilai setiap sistem aplikasi tertentu dalam
organisasi. Keterlibatan dalam aplikasi tertentu akan tergantung pada penilaian risiko aplikasi. Risiko
aplikasi berhubungan dengan kompleksitas dan besarnya aplikasi, staf yang tidak berpengalaman,
kurangnya keterlibatan pengguna akhir, dan kurangnya komitmen manajemen. Tingkat risiko mungkin
merupakan fungsi dari kebutuhan akan informasi yang tepat waktu, kompleksitas aplikasi, tingkat
ketergantungan terhadap keputusan penting, lama waktu aplikasi akan digunakan, dan jumlah orang
yang akan menggunakannya. Penilaian risiko menentukan aspek aplikasi tertentu yang akan dicakup
oleh audit. Ruang lingkup audit dapat bervariasi tergantung pada risiko yang diidentifikasi.
Rencana Audit
Rencana audit merinci langkah-langkah dan prosedur untuk memenuhi tujuan audit. Seperti dalam
audit lainnya, audit sistem aplikasi dimulai dengan analisis awal lingkungan pengendalian dengan
meninjau standar, kebijakan, dan prosedur yang ada. Selama audit, standar, kebijakan, dan
prosedur ini harus dinilai untuk kelengkapan dan efisiensi operasional. Analisis awal harus
mengidentifikasi strategi organisasi dan tanggung jawab untuk mengelola dan mengendalikan
aplikasi. Mendokumentasikan pemahaman tentang sistem aplikasi juga merupakan keharusan
pada tahap ini.
Rencana audit selanjutnya akan mendokumentasikan prosedur yang diperlukan untuk melakukan
pemeriksaan untuk memastikan bahwa sistem aplikasi dirancang dan diimplementasikan secara efektif, serta
beroperasi secara konsisten dengan kebijakan dan prosedur organisasi. Prosedur yang dilakukan oleh auditor TI
harus memberikan jaminan yang wajar bahwa aplikasi telah dirancang dan diterapkan secara memadai, dan:
◾ Mematuhi standar, kebijakan, dan prosedur

◾ Mencapai operasi yang efisien dan ekonomis
◾ Sesuai dengan persyaratan hukum
◾ Sertakan kontrol yang diperlukan untuk melindungi dari kehilangan atau kesalahan serius
◾ Menyediakan kontrol dan jejak audit yang diperlukan untuk manajemen, auditor, dan untuk tujuan tinjauan
operasional
Publikasi Khusus NIST 800-53A, Revisi 4, Menilai Kontrol Keamanan dan Privasi dalam
Sistem dan Organisasi Informasi Federal (2014), memberikan penilaian menyeluruh
prosedur untuk memeriksa kontrol keamanan dan privasi dalam sistem dan organisasi informasi federal.
*Penting untuk dicatat bahwa prosedur ini juga berlaku untuk sistem aplikasi non-federal.
Komunikasi
Area pertama yang dikomunikasikan adalah ruang lingkup keterlibatan auditor TI. Sangat penting untuk
memastikan bahwa ekspektasi manajemen terhadap peran auditor TI dipahami dan dikomunikasikan
kepada semua peserta. Auditor TI harus mengembangkan jalur komunikasi terbuka dengan manajemen
dan pengguna. Jika hubungan yang baik antara kelompok-kelompok ini tidak ada, informasi mungkin
disembunyikan dari auditor TI. Meskipun auditor TI harus membina hubungan kerja yang baik dengan
semua kelompok dengan tanggung jawab desain, auditor TI harus tetap independen.
Sepanjang audit, auditor TI akan membuat rekomendasi kontrol yang dihasilkan dari temuan
yang diidentifikasi. Tergantung pada budaya organisasi, rekomendasi ini mungkin perlu ditangani
secara informal dengan setiap pemilik aplikasi yang bertanggung jawab atas area atau proses yang
kurang, atau secara formal dengan mempresentasikannya kepada komite pengarah. Dalam kedua
kasus tersebut, auditor TI harus selalu mempertimbangkan nilai rekomendasi pengendalian versus
biaya pelaksanaan pengendalian. Rekomendasi harus spesifik. Mereka harus mengidentifikasi
masalah dan bukan gejala, dan memungkinkan kontrol yang tepat untuk diterapkan dan diuji.
Temuan, risiko sebagai akibat dari temuan tersebut, dan rekomendasi audit biasanya
didokumentasikan dalam surat resmi (yaitu, Management Letter). Lihat Pameran 3.
Kesimpulan
Aplikasi sangat penting bagi organisasi dalam menjalankan bisnisnya. Mereka mewakili investasi yang
signifikan bagi banyak organisasi karena mereka menyediakan fungsi otomatis untuk mendukung proses
bisnis secara efektif. Aplikasi juga memperkenalkan risiko bagi organisasi. Risiko-risiko ini harus diatasi
dengan pemilihan dan penerapan kontrol aplikasi yang memadai.
EUD melibatkan penggunaan aplikasi yang dikembangkan departemen, seperti spreadsheet dan database,
yang sering digunakan sebagai alat dalam melakukan pekerjaan sehari-hari. Spreadsheet dan database ini pada
dasarnya merupakan perpanjangan dari lingkungan TI dan output yang dihasilkan darinya dapat digunakan
dalam membuat keputusan bisnis yang berdampak pada perusahaan. Tingkat risiko dan kontrol yang
diperlukan untuk diterapkan bergantung pada kekritisan aplikasi EUD.
Auditor, manajemen, pengembang, dan konsultan keamanan perlu menyadari risiko bisnis yang
terkait dengan sistem pertukaran informasi bisnis elektronik. Pertukaran elektronik dokumen bisnis
antara mitra bisnis (atau perdagangan) dengan menggunakan format standar disebut sebagai EDI.
Contoh umum dari informasi bisnis yang dipertukarkan melalui EDI termasuk faktur dan pesanan
pembelian, dan risiko seperti hilangnya kelangsungan bisnis, meningkatnya ketergantungan pada
sistem, hilangnya kerahasiaan informasi sensitif, dan peningkatan eksposur terhadap penipuan adalah
beberapa di antaranya. Beberapa standar yang memberikan dasar untuk penilaian audit EDI termasuk
ASC X12 ANSI (Amerika Utara) dan EDIFACT (Internasional).
Penggunaan aplikasi Web telah menjadi kunci arah bagi banyak perusahaan. Perusahaan dapat
menggunakan aplikasi Web untuk tujuan pemasaran, dan lainnya untuk menggantikan aplikasi
clientserver tradisional mereka. Aplikasi web mencakup penggunaan browser Web di sisi klien yaitu:
* http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar4.pdf.
biasanya platform independen, dan membutuhkan daya komputasi yang lebih sedikit. Beberapa manfaat dari aplikasi
Web termasuk pengurangan waktu ke pasar, peningkatan kepuasan pengguna, dan pengurangan biaya yang berkaitan
dengan pemeliharaan dan dukungan. Aplikasi web juga tunduk pada risiko yang serupa dengan sistem aplikasi
tradisional yang terpapar.
Karena risiko ini, kontrol perlu diterapkan untuk memastikan bahwa aplikasi terus
memenuhi kebutuhan bisnis secara efektif dan efisien. Kontrol aplikasi bersifat spesifik dan
unik untuk aplikasi. Mereka memperhatikan keakuratan, kelengkapan, validitas, dan otorisasi
data yang ditangkap, dimasukkan, diproses, disimpan, dikirim, dan dilaporkan. Kontrol
aplikasi dipecah menjadi kontrol input, pemrosesan, dan output.
Auditor TI dapat membantu organisasi dengan meninjau sistem aplikasi mereka untuk memastikan
bahwa mereka mematuhi strategi dan standar organisasi, serta menyediakan fungsi otomatis untuk
mendukung proses bisnis secara efektif. Aplikasi perlu dinilai risikonya untuk menentukan tingkat
keterlibatan audit. Hasil dari penilaian risiko juga meminta jumlah waktu yang diperlukan untuk
mengalokasikan ke aplikasi tertentu, sumber daya yang diperlukan, dll. Persiapan rencana audit
kemudian menjelaskan tujuan dan prosedur audit yang akan dilakukan. Terakhir, auditor TI
mengomunikasikan temuan yang diidentifikasi selama audit ditambah rekomendasi kepada manajemen.
Tinjau Pertanyaan
1. Jelaskan mengapa akses jarak jauh yang tidak sah menimbulkan risiko bagi aplikasi.
2. Jelaskan bagaimana pemrosesan yang tidak lengkap, duplikat, dan tidak tepat waktu dapat berdampak negatif pada aplikasi.
3. Sebutkan tujuh risiko umum yang terkait dengan sistem aplikasi EUD.
4. Bagaimana aplikasi EUD bisa menjadi sistem yang tidak kompatibel?
5. Dalam lingkungan saat ini, ancaman virus komputer tinggi karena jumlah sumber yang tidak
terbatas dari mana mereka dapat diperkenalkan. Virus komputer dapat disalin dari disk,
diunduh dari halaman Web yang terinfeksi, menyebar di antara komputer yang terhubung
dalam jaringan, dll. Jelaskan risiko atau masalah yang mungkin timbul dari virus komputer.
6. Jelaskan apa yang dimaksud dengan EDI. Jelaskan implikasi potensial yang dihasilkan dari risiko yang
terkait dengan sistem aplikasi yang bertukar informasi bisnis elektronik.
7. Sebutkan dan jelaskan lima prinsip dan praktik pengkodean aman menurut OWASP untuk
aplikasi Web.
8. Kontrol aplikasi dapat digambarkan sebagai teknik yang digunakan untuk mengontrol input, pemrosesan, dan output
informasi dalam suatu aplikasi. apa yang harus dilakukanmemasukkankontrol mengacu pada? Jelaskan secara singkat apa
yang dipastikan oleh kontrol input.
informasi dalam suatu aplikasi. apa yang harus dilakukanpengolahankontrol mengacu pada? Jelaskan secara singkat apa
yang dipastikan oleh kontrol pemrosesan.
informasi dalam suatu aplikasi. apa yang harus dilakukankeluarankontrol mengacu pada? Jelaskan secara singkat apa
yang dipastikan oleh kontrol output.
Latihan
1. Perusahaan mengizinkan pesanan ditempatkan langsung melalui situs Web-nya. Jelaskan tiga risiko sistem
aplikasi yang paling menonjol yang dapat berkontribusi pada akses tidak sah ke informasi pesanan
pelanggan. Identifikasi kontrol yang harus diterapkan untuk mengurangi risiko tersebut.
2. Departemen penggajian memiliki aplikasi lembar waktu dimana karyawan memasukkan jam kerja mereka.
Jelaskan dua risiko sistem aplikasi yang paling menonjol dan kontrol yang akan membantu mengurangi
risiko tersebut.
3. Departemen dalam perusahaan memiliki orang dukungan teknis mereka sendiri yang membuat dan
memelihara aplikasi. Jelaskan tiga risiko yang terkait dengan praktik ini. Kontrol apa yang akan Anda
rekomendasikan untuk membantu meminimalkan risiko tersebut?
4. Jelaskan pentingnya pengendalian aplikasi dan berikan contoh bagaimana pengendalian tersebut digunakan
untuk mengamankan masukan, pemrosesan, dan keluaran informasi.
KASUS—APLIKASI EUD
INSTRUKSI:Sebuah perusahaan menggunakan aplikasi EUD, khususnya, spreadsheet untuk mempertahankan
anggarannya. Spreadsheet digunakan untuk meminta anggaran dari masing-masing departemen perusahaan.
Departemen anggaran kemudian mengkompilasi spreadsheet individual ke dalam lembar induk, meninjau dan
merevisi anggaran berdasarkan batasannya, dan kemudian menggunakannya untuk memuat nilai anggaran ke
dalam sistem keuangan perusahaan di mana departemen kemudian dapat melihat anggaran finalnya.
TUGAS:Sebutkan dan jelaskan setidaknya tujuh risiko aplikasi utama yang terkait dengan penggunaan
sistem spreadsheet. Anda juga diminta untuk menjelaskan bagaimana setiap risiko yang Anda daftarkan
dapat berdampak pada sistem spreadsheet. Cari di luar bab untuk contoh spesifik, literatur TI, dan/atau
sumber eksternal valid lainnya untuk mendukung tanggapan Anda. Kirim file kata dengan halaman
sampul, tanggapan untuk tugas di atas, dan bagian referensi di bagian akhir. File yang dikirimkan harus
antara 5 dan 7 halaman (spasi baris ganda), termasuk halaman sampul dan referensi. Bersiaplah untuk
mempresentasikan pekerjaan Anda di depan kelas.
KASUS—KONTROL INPUT
INSTRUKSI:Sebuah perusahaan memiliki sistem akuntansi terpusat. Setiap departemen individu
saat ini mengkompilasi transaksi kertas akuntansi dari sistem akuntansi lokal. Untuk
menghilangkan kertas dan meningkatkan efisiensi, Manajer Audit perusahaan baru saja meminta
Anda, auditor TI, untuk membantunya membuat rencana untuk mengimplementasikan antarmuka
dari sistem akuntansi masing-masing departemen ke sistem akuntansi terpusat.
TUGAS:Siapkan memo kepada Manajer Audit yang menyebutkan dan menjelaskan kontrol paling kritis
yang akan Anda rekomendasikan dalam kasus khusus ini. Anda diminta untuk mencari di luar bab (yaitu,
literatur TI dan/atau sumber eksternal lain yang valid) untuk mendukung tanggapan Anda. Sertakan
contoh, jika sesuai, untuk membuktikan poin kasus Anda. Kirim file kata dengan halaman sampul,
tanggapan untuk tugas di atas, dan bagian referensi di bagian akhir. Berkas yang dikirimkan harus
sepanjang 5 halaman (spasi baris ganda), termasuk halaman sampul dan referensi. Bersiaplah untuk
mempresentasikan pekerjaan Anda di depan kelas.
Bacaan lebih lanjut

1. Sebuah survei konsep kunci dan isu-isu untuk pencatatan elektronik. (2003).Pertukaran Data Elektronik.
www.ctg.albany.edu/publications/reports/key_concepts?chapter=3&PrintVersion=2
2. Baker, S., Waterman, S., dan Ivanov, G. (2010).In the Crossfire: Infrastruktur Kritis di Era
Perang Cyber, McAfee.
3. Keamanan dan Kebijakan Informasi Berkeley. Pedoman praktik pengkodean yang aman. https://security.berkeley.
edu/secure-coding-practice-guidelines (diakses Juli 2017).
4. Biro Investigasi Federal (FBI),Laporan Tindak Pidana Keuangan kepada Masyarakat Tahun Anggaran 2007
sampai dengan 2011, Departemen Kehakiman, Amerika Serikat. www.fbi.gov/stats-services/publications/
financial-crimes-report-2010-2011
5.Panduan Audit Teknologi Global (GTAG) 8: Kontrol Aplikasi Audit. Institut Auditor Internal.
https://na.theiia.org/standards-guidance/recommended-guidance/practice-guides/Pages/
GTAG8.aspx (diakses Juli 2017).
6. GS1 EDI. GS1. www.gs1.org/edi (diakses Juli 2017).
7. ISACA. (2017).COBIT dan Kontrol Aplikasi: Panduan Manajemen, www.isaca.org/knowledgecenter/
research/researchdeliverables/pages/cobit-and-application-controls-a-management-guide.aspx
8. ISACA. (2017).Keamanan Aplikasi Web: Pertimbangan Bisnis dan Risiko, www.isaca.org
9. Jones, DC, Kalmi, P., dan Kauhanen, A. (2011). Efek perusahaan dan karyawan dari sistem informasi
perusahaan: Bukti mikro-ekonomi.Int. J.Prod. Ekonomi, 130(2), 159–168.
10. Prediksi ancaman McAfee Labs 2017, laporan dikeluarkan pada November 2016. www.mcafee.com/au/
resources/reports/rp-threats-predictions-2017.pdf
11. Laporan ancaman McAfee Labs––Desember 2016 www.mcafee.com/ca/resources/reports/rp-
quarterlythreats-dec-2016.pdf
12. Morella, R. (Agustus 2015). Mengaudit aplikasi web. Strategi audit TI untuk aplikasi web. Pekan Geek ISACA.
www.isaca.org/chapters3/Atlanta/AboutOurChapter/Documents/GW2015/081115-10AM-
WebAppSecurity.pdf
13. Institut Standar dan Teknologi Nasional. Publikasi Khusus 800-53A, Revisi 4, Menilai kontrol
keamanan dan privasi dalam sistem dan organisasi informasi federal, Desember 2014. http://
nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53Ar4.pdf
14. Odet. dasar EDI. www.edibasics.com/edi-resources/document-standards/odette/ (diakses Juli 2017).
15. Otero, AR (2015). Metodologi penilaian kontrol keamanan informasi untuk informasi keuangan
organisasi.Int. J.Ak. Memberitahukan. Sistem, 18(1), 26–45.
16. Otero, AR (2015). Dampak keterlibatan auditor TI dalam audit keuangan.Int. J. Re. Bis. teknologi.,
6(3), 841–849.
17. Otero, AR, Tejay, G., Otero, LD, dan Ruiz, A. (2012). Penilaian kontrol keamanan informasi berbasis logika
fuzzy untuk organisasi, Konferensi IEEE tentang Sistem Terbuka. 21–24 Oktober 2012, Kuala Lumpur,
Malaysia.
18. Otero, AR, Otero, CE, dan Qureshi, A. (2010). Evaluasi multi-kriteria dari kontrol keamanan informasi
menggunakan fitur Boolean.Int. J. Jaringan Aman. aplikasi, 2(4), 1–11.
19. OWASP. (2013). 10–2013 teratas OWASP: 10 risiko keamanan aplikasi web paling kritis. www.
owasp.org/index.php/Top_10_2013-Risk
20. OWASP. Praktik pengkodean yang aman—Panduan referensi cepat. www.owasp.org/index.php/OWASP_
Secure_Coding_Practices_-_Quick_Reference_Guide (diakses Juni 2017).
21. Romney, MB dan Steinbart, PJ (2015).Sistem Informasi Akuntansi, Edisi ke-13. Pendidikan Pearson,
Membaca, Inggris.
22. Keamanan dan Kebijakan Informasi Berkeley. Pedoman praktik pengkodean yang aman. https://security.berkeley.
edu/secure-coding-practice-guidelines (diakses Juni 2017).
23. Senft, S., Gallegos, F., dan Davis, A. (2012).Kontrol dan Audit Teknologi Informasi, CRC Press/ Taylor
& Francis: Boca Raton.
24. Tradacom. dasar EDI. www.edibasics.co.uk/edi-resources/document-standards/tradacoms/ (diakses Juli
2017).

Otero Chapter 9.en - Id

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Otero Chapter 9.en - Id

Diunggah oleh

Hak Cipta:

Format Tersedia

Diterjemahkan dari bahasa Inggris ke bahasa Indonesia - www.onlinedoctranslator.

dan keluaran informasi.

6. Membahas keterlibatan auditor TI dalam pemeriksaan sistem aplikasi.

Risiko Sistem Aplikasi

◾ Keamanan informasi yang lemah

Keamanan Informasi yang Lemah

Akses Tidak Sah ke Program atau Data

Akses Jarak Jauh Tidak Sah

Informasi Tidak Akurat

Input Data yang Salah atau Dipalsukan

Pemrosesan Tidak Lengkap, Duplikat, dan Tidak Tepat Waktu

Kegagalan Sistem Komunikasi

Output Tidak Akurat atau Tidak Lengkap

Dokumentasi Tidak Memadai

Risiko Aplikasi Pengembangan Pengguna Akhir

◾ Biaya organisasi yang lebih tinggi

◾ Pelanggaran hak cipta

Biaya Organisasi Lebih Tinggi

Sistem yang tidak kompatibel

Sistem yang Berlebihan

Implementasi yang Tidak Efektif

Tidak adanya Pemisahan Tugas

Analisis Sistem Tidak Lengkap

Akses Tidak Sah ke Data atau Program

Pelanggaran Hak Cipta

Kurangnya Opsi Pencadangan dan Pemulihan

Penghancuran Informasi oleh Virus Komputer

◾ Menghancurkan atau mengubah data

◾ Menghancurkan perangkat keras

◾ Menampilkan pesan yang tidak diinginkan

◾ Menyebabkan keyboard terkunci dan menjadi tidak aktif

Risiko terhadap Sistem Pertukaran Informasi Bisnis Elektronik

Saling ketergantungan Ada peningkatan ketergantungan pada sistem mitra dagang,

Tidak mencapai Terjadi di mana penghematan biaya diantisipasi dari investasi di

Implikasi yang timbul dari risiko tersebut antara lain:

Standar untuk Penilaian Audit EDI

Standar utama umum lainnya untuk penilaian EDI meliputi:

Risiko Aplikasi Web

◾ Pemalsuan permintaan lintas situs

◾ Menggunakan komponen dengan kerentanan yang diketahui

◾ Di bawah antarmuka program aplikasi yang dilindungi

Tampilan 9.2 Kontrol Edit dan Validasi Saat Memasukkan Data

Kelayakan Memeriksa kebenaran hubungan logis antara dua item data.

Akurasi dan Kelengkapan

◾ Aktivitas kesalahan pencatatan

◾ Persetujuan koreksi kesalahan dan pengiriman ulang

◾ Laporan kesalahan yang belum terselesaikan

◾ Penuaan dan prioritas kesalahan yang belum terselesaikan

pelaporan keuangan, dll.)

Sistem pembayaran- Sistem piutang—

Sistem pembayaran- Sistem pembayaran-

Jumlah catatan = 10 Jumlah rekaman = 7

Tampilan 9.4 Contoh Total Balancing

Memesan Kuantitas Nomor Bagian Patokan harga Total

Bagian A 100 1288543 $1,20 $120.00

Bagian B 80 0982374 $0,60 $48,00

Bagian C 200 5436682 $0,45 $90.00

Total 380 $258,00

Sistem pembayaran- File kesalahan—

Tampilan 9.5 Menyeimbangkan total dengan kesalahan transaksi.

Akurasi dan Kelengkapan

Distribusi dan Retensi

◾ Mematuhi standar, kebijakan, dan prosedur