Tugas SIA Bab 10

SISTEM INFORMASI AKUNTANSI PENGENDALIAN SISTEM INFORMASI UNTUK SISTEM KEANDALAN BAGIAN 3: PROSES INTEGRITAS DAN KETERSEDIAAN

 Disusun Oleh

Kelompok II : 1. 2. 3. 4.

Amir Hasan Doni Kasmon Hikalmi Liza Aulia Rizki

ANGKATAN XX PROGRAM MAGISTER AKUNTANSI PASCA SARJANA UNIVERSITAS SYIAH KUALA DARUSSALAM, BANDA ACEH 2012

BAB 10 PENGENDALIAN SISTEM INFORMASI UNTUK SISTEM KEANDALAN BAGIAN 3: PROSES INTEGRITAS DAN KETERSEDIAAN

PROSES INTEGRITAS

Prinsip Proses Integritas dari Kerangka kerja Pelayanan keyakinan (trust service) menyatakan bahwa sistem yang andal adalah salah satunya menghasilkan informasi yang akurat, komplit, tepat waktu, dan valid. Seperti yang dibahas dalam tujuan pengendalian COBIT DS 11.1, hal ini membutuhkan pengendalian atas input, proses, dan output data. Tabel 10-1 menyajikan 6 katagori dasar penerapan pengendalian yang dibahas dalam COBIT framework untuk memastikan proses integritas. Tabel 10-1 Penerapan Pengendalian yang Dibahas dalam COBIT untuk memastikan Proses Integritas Tahapan Proses dan Katagori COBIT Input:  AC1 –persiapan dan otoriasasi sumber data  AC2 – mengumpulkan dan memasukkan sumber data  AC3 – mengecek ketepatan ketepatan (akurasi), kelengkapan dan kebenaran Proses:  AC4 – Proses Integritas dan  Validitas 



Ancaman/Resiko Datanya : Tidak valid Tidak diotorisasi Tidak lengkap Tidak Akurat    





Output:  AC5 – output review, rekonsiliasi dan kesalahan 

Pengendalian Bentuk desain, pembatalan dan penyimpanan dokumen, otorisasi dan pemisahan tugas pengendalian, visual scanning, pengendalian data masukan.

Kesalahan (eror) pada Pencocokan data, label output dan data yang berkas (file), jumlah tersimpan. kumpulan (batch), menguji penjumlahan mendatar (cross footing), zero balance (saldo nol), menulis mekanisme perlindungan, pengendalian database proses integritas. Meninjau kembali dan Menggunakan laporan yang tidak  merekonsiliasi, enkripsi akurat atau tidak  dan pengendalian akses, 

SIA BAB 10

2

penanganan  AC6 – Kebenaran dan Integritas Transaksi







komplit memeriksa kesamaan Pengungkapan tidak  (parity), teknik pesan sah dari informasi pengakuan. sensitif (peka) Kerugian, perubahan atau pengungkapan informasi dalam perjalanan

Pengendalian Input (Input Control)

Frase sampah masuk, sampah keluar menyoroti pentingnya pengendalian input. Jika data yang masuk ke dalam sistem tidak akurat, tidak komplit, atau tidak valid, output yang dihasilkan juga demikian. Karenanya, dokumen-dokumen sumber seharusnya dipersiapkan hanya oleh personil yang berwenang dalam mengotorisasinya. Di samping itu, bentuk desain, pembatalan dan penyimpanan sumber-sumber data, dan pengendalian data masukan otomastis dibutuhkan untuk memverifikasi validitas data input. BENTUK DESAIN. Dokumen-dokumen sumber dan bentuk lainnya didesain untuk  meminimalisasi peluang bagi kesalahan dan kelalaian. Dua bentuk pengendalian desain yang sangat penting yaitu urutan pra-penomoran dokumen-dokumen sumber dan menggunakan dokumen turnaround. 1. Setiap dokumen sumber seharusnya diberikan nomor secara berurutan. Prapenomoran

meningkatkan

pengendalian

dengan

memungkinkannya

untuk 

memverifikasi bahwa tidak ada dokumen-dokumen yang hilang. (untuk memahami ini, pertimbangkanlah kesulitan yang akan anda dapatkan dalam menyeimbangkan akun yang diperiksa jika tidak satupun akun yang diperiksa diberi nomor.) Ketika urutan pra-penomoran sumber data dokumen digunakan, sistem harus diprogram untuk mengidentifikasi dan melaporkan kehilangan atau menduplikat dokumen sumber. 2. Dokumen Turnaround adalah record (catatan) data perusahaan yang dikirim ke pihak  eksternal dan kemudian dikembalikan oleh pihak eksternal ke sistem sebagai SIA BAB 10

3

masukan (input). Dokumen turnaround disiapkan dalam mesin pembaca bentuk  untuk memfasilitasi proses berikutnya sebagai record input. Sebagai contoh Utility Bill  yang dapat dibaca dengan perangkat scanning khusus ketika bill terebut dikembalikan dengan pembayaran. Dokumen turnaround memastikan ketelitian dengan mengeliminasi potensi kesalahan input ketika memasukkan data secara manual. PEMBATALAN DAN PENYIMPANAN DOKUMEN SUMBER. Dokumen sumber yang sudah dimasukkan ke dalam sistem harus dapat dibatalkan sehingga dokumen tersebut tidak  dapat secara tidak sengaja atau menipu (fraud) masuk kembali ke dalam sistem. Contohnya dokumen kertas dapat dihancurkan, atau dicap “lunas”. Dokumen elektronik 

dapat juga dibatalkan dengan pengaturan flag field  yang mengindikasikan bahwa dokumen sudah siap untuk diproses. Catatan: pembatalan tidak diartikan sebagai pembuangan. Dokumen sumber yang asli (atau gambar elektronik) harus ditahan sampai dengan dibutuhkan untuk memenuhi syarat hukum dan regulasi dan menyiapkan audit trial.

PENGENDALIAN DATA ENTRY. Dokumen-dokumen sumber harus di scan untuk  menjamin kewajaran dan kebenaran sebelum dimasukkan ke dalam sistem. Bagaimanapun, pengendalian manual ini harus dilengkapi dengan pengendalian data entry otomatis, seperti hal berikut: 

Field Check (cek filed) menentukan apakah karakter dalam field dari jenis yang tepat. Sebagai contoh, mengecek pada field yang seharusnya berisi hanya nilai angka, seperti pada US zip code, yang menunjukkan suatu kesalahan jika itu berisi karakter huruf abjad.



Sign check (cek sign) menentukan apakah data dalam field memiliki tanda sesuai aritmatika. Sebagai contoh, field pesanan kuantitas agar tidak boleh negatif.



Limit check (cek batasan) menguji jumlah angka terhadap nilai tetap. Sebagai contoh, field jam bekerja regular dalam input pembayaran upah mingguan harus

SIA BAB 10

4

kurang dari atau sama dengan 40 jam. Sama halnya dengan field upah harian harus lebih besar dari atau sama dengan upah minimum. 

Range check (cek ring) menguji apakah jumlah angka jatuh diantara batas bawah dan atas dari yang ditetapkan. Sebagai contoh, promosi pemasaran mungkin diarahkan hanya untuk prospek dengan laba $ 50.000 dan $ 99.999.



Size check (cek ukuran) memastikan bahwa data input akan cocok ke dalam filed tugas. Sebagai contoh nilai 458.976.253 akan tidak cocok dengan field digit delapan.



Completeness check (cek kelengkapan) pada setiap input yang direkam menentukan apakah semua item data yang dibutuhkan sudah dimasukkan. Sebagai contoh, catatan (rekaman) transaksi penjualan tidak harus diterima untuk diproses kecuali melengkapinya dengan alamat pengiriman dan penagihan pelanggan.



 Validity check (cek validitas) membandingkan kode ID atau nomor rekening (akun) pada transaksi data dengan data yang sama dalam file master untuk memverifikasi bahwa akun ada. Sebagai contoh, jika nomor produk 65432 dimasukkan pada pesanan penjualan, komputer harus memverifikasinya bahwa produk tersebut benar bernomor 65432 dalam database inventory.



Reasonableness check (cek kewajaran) menentukan kebenaran dari hubungan logis antara dua item. Sebagai contoh, jam lembur harus dibuat nol untuk seseorang yang tidak bekerja maksimum pada jam kerja regular dalam periode pembayaran.



Nomor ID resmi (seperti nomor pekerja) dapat berisi suatu cek digit yang dihitung dari digit lainnya. Sebagai contoh, sistem dapat menetapkan setiap karyawan baru dengan nomor Sembilan digit, lalu menghitung digit sepuluh dari Sembilan digit aslinya dan menambahkannya dengan jumlah yang dihitung dengan Sembilan digit aslinya untuk membentuk nomor ID sepuluh digit. Perangkat data entry kemudian dapat diprogram untuk melakukan verifikasi cek digit dengan menggunakan digit Sembilan pertama untuk menghitung digit kesepuluh setiap kali nomor ID tersebut dimasukkan. Jika kesalahan dibuat dalam memasukkan salah satu dari sepuluh digit, perhitungan dilakukan pada Sembilan digit pertama tidak akan cocok dengan yang kesepuluh atau cek digit.

SIA BAB 10

5

Pengujian data entry terdahulu (preceding) digunakan dua metode yaitu batch processing dan online real-time processing. Pengendalian data input tambahan berbeda dengan kedua metode proses tersebut.

PENGENDALIAN BATCH PROCESSING DATA ENTRY TAMBAHAN 

Batch processing bekerja lebih efisien jika transaksi disortir (diurutkan) sehingga akun-akun yang terpengaruh berada pada urutan yang sama seperti rekaman dalam master file. Sebagai contoh, keakuratan batch processing transaksi penjualan untuk  memperbarui

saldo

rekening

pelanggan

terlebih

dahulu

dilakukan

dengan

mengurutkan nomor rekening pelanggan. Menguji sequent check (cek urutan) apakah batch data input berada dalam angka atau huruf yang berurut. 

Error log menunjukkan review terhadap kesalahan data input (tanggal, sebab, masalah) yang tepat waktu dan pengajuan transaksi yang tidak dapat diproses.



Batch total meringkas nilai penting untuk rekaman batch input. Berikut ini adalah tiga batch total yang umumnya digunakan: 1. Total jumlah keuangan adalah field yang berisikan nilai-nilai moneter, seperti  jumlah total seluruh penjualan dalam dolar untuk sebuah batch transaksi penjualan. 2. Total jumlah Hash adalah field angka non keuangan, seperti filed total kuantitas yang dipesan pada batch transaksi penjualan. 3. Record count adalah jumlah rekaman dalam batch.

Batch total ini dihitung dan disimpan oleh sistem ketika data awalnya dimasukkan. Data tersebut kemudian akan di kalkulasi ulang untuk memverifikasi apakah seluruh input diproses dengan benar. PENGENDALIAN DATA ENTRY ONLINE TAMBAHAN 

Prompting, dimana sistem meminta setiap item data input dan menunggu respon yang diterima, memastikan bahwa semua data yang diperlukan dimasukkan (dengan kata lain, prompting adalah cek kelengkapan online). SIA BAB 10

6



 Verifikasi closed-loop memeriksa akurasi data input dengan menggunakannya untuk  mengambil dan menampilkan nama akun sehingga pengguna dapat membuktikan bahwa nomor akun yang benar sudah dimasukkan.



Log transaksi meliputi rician rekaman seluruh transaksi, termasuk mengidentifikasi transaksi unik, tanggal dan waktu entry, dan siapa yang memasukkan transaksi. Jika sebuah file online rusak log transaksi dapat digunakan untuk memastikan bahwa transaksi tersebut tidak hilang atau dimasukkan dua kali.

Pengendalian Proses (Processing Control)

Pengendalian juga dibutuhkan untuk memastikan bahwa data diproses dengan benar. Pengendalian proses yang penting sebagai berikut: 

Data Matching. Pada kasus tertentu, dua atau lebih item data harus dicocokkan terlebih dahulu sebelum terjadinya suatu tindakan. Sebagai contoh, sebelum membayar penyedia (vendor), sistem harus memverifikasi informasi bahwa faktur vendor cocok dengan informasi pesanan pembelian dan laporan penerimaan.



File Labels. File label membutuhkan pemeriksaan untuk memastikan bahwa file-file yang benar di perbaharui (update). Eksternal label yang dapat dibaca oleh manusia dan internal label yang ditulis dalam bentuk yang dapat dibaca oleh mesin pada media data record keduanya harus digunakan. Dua tipe penting dari internal label adalah header  dan trailer  record . Header record terletak pada awal setiap file dan berisikan nama file, tanggal kadaluarsa dan identitas data lainnya. Trailer record terletak pada akhir file dan berisikan total batch yang dihitung selama input. Program-Program harus didesain untuk membaca header record sebelum diproses, untuk memastikan file yang benar sedang diperbaharui. Program-program tersebut  juga harus didesain untuk membaca informasi dalam trailer record setelah diproses, untuk memastikan bahwa semua rekaman input sudah diproses dengan benar.



Perhitungan ulang dari batch total. Batch total harus dihitung kembali sebagai setiap transaksi yang diproses, dan total untuk batch kemudian harus dibandingkan dengan niali dalam trailer record. Setiap perbedaan mengindikasikan suatu kesalahan proses. Seringkali. Sifat perbedaan tersebut memberikan petunjuk tentang jenis kesalahan SIA BAB 10

7

yang terjadi. Sebagai contoh, jika saat dihitung ulang jumlah record nya lebih kecil dari yang aslinya, satu atau lebih transaksi record tidak diproses. Sebaliknya, jika saat dihitung ulang jumlah recordnya lebih besar dari yang aslinya, ada tambahan transaksi yang tidak sah diproses, atau beberapa transaksi record diproses dua kali. Jika perbedaan total keuangan atau hash dibagi merata dengan 9, kemungkinan penyebabnya adalah kesalahan transposisi (perubahan), dimana dua digit yang berdekatan secara tidak sengaja terbalik (seperti 46 menjadi 64). Kesalahan transposisi mungkin muncul karena dianggap sepele tapi bias memiliki konsekuensi keuangan yang sangat besar. Sebagai contoh, efek dari salah mencatat tingkat bunga pinjaman sebesar 6.4% menjadi 4.6%. 

Cross footing dan zero balance test. Jumlah total dapat dihitung dalam berbagai cara. Sebagai contoh, di dalam kertas kerja, grand total dapat dihitung salah satunya dengan menjumlah total kolom atau baris atau dengan menjumlahkan baris dari total kolom. Kedua metode ini harus menghasilkan hasil yang sama. Cross footing balance test membandingkan hasil yang diproduksi oleh setiap metode untuk memverifikasi keakuratan. Zero balance test menerapkan logika yang sama untuk mengendalikan akun. Sebagai contoh, akun kliring upah di debit untuk pembayaran bruto semua pekerja dalam periode waktu tertentu. Kemudian meng-kredit jumlah alokasi biaya seluruh pekerja untuk berbagai katagori beban. Akun kliring upah harus memiliki saldo nol setelah keduanya di jurnal (di entri); apabila tidak bersaldo nol mengindikasikan kesalahan proses.



Write-protection

mechanisms.

Pengendalian

ini

untuk

melindungi

terhadap

tertimpanya atau terhapusnya data file yang tersimpan pada media magnetic. Writeprotection mechanisms telah lama digunakan untuk melindungi master file dari kerusakan yang tidak disengaja. Invoasi teknologi juga mengharuskan penggunaan Write-protection mechanisms untuk melindungi integritas data transaksi. Sebagai contoh, tag identifikasi frekuensi radio (RFID) digunakan untuk melacak kebutuhan persediaan dengan perlindungan catatan (jumlah harga) agar pelanggan tidak dapat merubah harga barang.

SIA BAB 10

8



Pengendalian update bersamaan (Concurrent update control). Kesalahan dapat terjadi ketika dua atau lebih pengguna berusaha untuk memperbaharui record yang sama secara bersamaan. Pengendalian update bersamaan mencegah kesalahan tersebut dengan mengunci satu pengguna sampai sistem telah selesai memproses transaksi yang dimasukkan oleh pengguna yang lain.

Pengendalian Output (Output Control)

Pemeriksaan output sistem memberikan tambahan pengendalian atas proses integritas. Berikut merupakan Pengendalian output yang penting : 

Pengguna mereview output. Pengguna harus secara hati-hati memeriksa output sistem untuk memverifikasi bahwa output tersebut layak, lengkap, dan bahwa mereka adalah penerima yang dimaksud.



Prosedur rekonsiliasi. Secara periodik, seluruh transaksi dan update sistem lainnya harus direkonsiliasi (dicocokan) dengan laporan pengendalian, status file/laporan update, atau mekanisme pengendalian lainnya. Tambahan, akun buku besar harus direkonsiliasi dengan total akun buku pembantu secara teratur (regular). Sebagai contoh, saldo pengendalian akun persediaan pada buku besar harus sama dengan  jumlah saldo item pada database persediaan. Hal yang sama berlaku pada pengendalian akun piutang, modal aset dan utang.



Rekonsiliasi data eksternal. Total database secara periodik harus direkonsiliasi (dicocokan) dengan data yang dikelola di luar sistem. Sebagai contoh, jumlah pekerja yang direcord pada file upah dapat dibandingkan dengan total jumlah pekerja pada database sumber daya manusia untuk mendeteksi upaya untuk  menambah karyawan fiktif pada database upah. Demikian pula, persediaan di tangan harus dihitung secara fisik dan membandingkannya dengan kuantiti yang direcord di tangan dalam database.



Pengendalian transmisi data. Organisasi juga butuh untuk menerapkan desain pengendalian agar memperkecil resiko kesalahan transmisi (pengiriman) data. Setiap kali perangkat penerima mendeteksi kesalahan transmisi data, perangkat pengirim meminta untuk mengirim kembali data tersebut. Umumnya, hal ini terjadi secara SIA BAB 10

9

otomatis dan pengguna baru menyadarinya

setelah terjadi. Sebagai contoh,

Transmission Control Protocol (TCP) yang dibahas pada Bab 8 memberikan nomor urut untuk setiap paket dan menggunakan informasi tersebut untuk memverifikasi bahwa seluruh paket sudah diterima dan memasang kembali dalam urutan yang benar. Ada dua pengendalian lain yang umumnya digunakan dalam transmisi data yaitu checksums dan parity bits. 1. Checksums. Ketika data ditransmisikan (dikirim), perangkat pengirim dapat menghitung file hash, yang disebut checksums . Perangkat penerima melakukan perhitungan yang sama dan mengirim hasilnya ke perangkat pengirim. Jika dua hash setuju, transmisi dianggap akurat. Jika tidak file dikirim ulang. 2. Parity bits. Komputer merepresentasikan karakter sebagai kumpulan digit berpasangan yang disebut bit. Setiap bit memiliki dua kemungkinan nilai: 0 atau 1. Banyak komputer menggunakan skema pengkodean tujuh digit, yang mewakili lebih dari 26 huruf dalam abjad inggris (huruf besar dan kecil), nomor 0 sampai 9 dan variasi symbol khusus ($, % dan sebagainya). Parity bit adalah suatu tambahan ekstra digit untuk setiap karakter awal yang dapat digunakan untuk  memeriksa akurasi transmisi. Dua skema dasarnya yang disebut sebagai even parity (parity genap) dan odd parity (parity ganjil). Pada parity genap (Even Parity), parity bit diset agar masing-masing karakter memiliki bit angka genap dengan nilai 1; pada parity ganil (Odd Parity) parity bit diset agar jumlah ganjil bit dalam karakter memiliki nilai 1. Untuk contoh, digit 5 dan 7 dapat direpresentasikan dengan pola tujuh digit masing-masing 0000101 dan 0000111. Sistem Parity genap (even parity) akan mengeset parity bit dari 5 sampai 0, sehingga akan ditransmisikan sebagai 00000101 (karena kode binary dari 5 sudah memiliki dua bit dengan nilai 1). Parity bit untuk 7 akan diatur ke 1, sehingga akan ditransmisikan sebagai 10000111 (karena kode binary untuk 7 memiliki 3 bit dengan nilai 1). Perangkat penerima melakukan pemeriksaan pairy (parity checking), mencakup verifikasi bahwa jumlah yang tepat dari bit diatur ke angka 1 pada masing-masing karakter yang diterima

SIA BAB 10

10

Contoh Ilustrasi : Proses Penjualan Kredit

Kita sekarang menggunakan penjualan kredit untuk menjelaskan berapa banyak  pengendalian aplikasi yang telah dibahas berdasarkan fungsinya. Data transaksi berikut yang digunakan yaitu: nomor pesanan penjualan, nomor rekening pelanggan, nomor item persediaan, kuantitas yang terjual, harga jual, dan tanggal pengiriman. Jika pembelian pelanggan lebih dari satu produk, akan ada item persediaan dengan nomor ganda, kuantitas yang terjual dan harga terkait dengan setiap transaksi penjualan. Proses transaksi ini meliputi langkah-langkah berikut: (1) memasukkan dan mengedit data transaksi; (2) mengupdate record (catatan) pelanggan dan persediaan (jumlah pembelian kredit ditambahkan pada saldo pelanggan; untuk setiap item persediaan, kuantitas terjual

dikurangi dari kuantitas di tangan); dan (3) mempersiapkan dan

mendistribusikan pengiriman dan/atau dokumen penagihan. Contohnya untuk batch dan proses online disajikan. PENGENDALIAN BATCH PROCESSING INTEGRITY. Gambar 10-1 menunjukkan pengendalian aplikasi yang seharusnya diterapkan pada setiap langkah proses batch transaksi penjualan kredit: 1. Menyiapkan batch total . Jumlah dari seluruh penjualan dihitung sebagai total keuangan dan dicatat (direcord) pada batch form yang menyertai setiap kelompok  dokumen penjualan. 2. Memberikan transaksi ke departemen operasi komputer untuk proses . Setiap batch diperiksa untuk otorisasi yang tepat dan direcord dalam control log. 3. Masukkan data transaksi kedalam sistem . Sebagai data yang dimasukkan, sistem melakukan beberapa pengujian validitas awal. Check digit memverifikasi identifikasi transaksi-transaksi dengan nomor-nomor akun yang tidak sah (invalid) atau nomor item persediaan yang tidak sah. Field check memverifikasi bahwa kuantitas yang dipesan dan price field (field harga) mengandung angka dan tanggal field mengikuti yang format benar MM/DD/YYYY. Sequent check (cek urutan) pada nomor urut order penjualan dan rekonsiliasi total batch dihitung dalam langkah 1 memverifikasi bahwa tidak ada transaksi yang hilang. SIA BAB 10

11

Laporan pengendalian menggambarkan seluruh kesalahan entri data. Kesalahan entri data terjadi karena operator membaca sumber dokumen yang tidak  benar atau secara tidak sengaja menekan tombol yang salah, biasanya dapat diperbaiki segera setelah terdeteksi. Sumber data yang tidak benar, seperti transaksi penjualan yang diotorisasi atau nomor akun yang tidak valid, seluruh masalah dan harus dikembalikan ke departemen penjualan untuk koreksi. 4. Menyortir dan mengedit file transaksi . File transaksi disortir (diurutkan) dengan nomor rekening pelanggan. Pemeriksaan validasi tambahan dilakukan, termasuk melakukan sign check terhadap kuantitas pesanan dan field harga memuat nomor positif, dan range check pada tanggal pengiriman yang dijanjikan untuk memverifikasi bahwa tidak lebih awal dari tanggal pemesanan atau selambatlambatnya dari kebijakan perusahaan untuk mengiklankan. Transaksi-transaksi yang ditolak terdaftar pada laporan pengendalian bersama dengan total batch yang dihitung. Data control menyesuaikan dengan total batch, menyelidiki dan mengoreksi seluruh kesalahan, dan menyampaikan transaksi yang dikoreksi untuk  diproses. 5. Memperbaharui master file . File transaksi penjualan diproses terhadap database pelanggan (akun piutang) dan persediaan atau master file. Operator membaca label eksternal dan program membaca record internal header untuk memastikan bahwa master file yang benar sedang di perbaharui (update). Transaksi penjualan dengan nomor pelanggan atau nomor-nomor item yang tidak ada dalam master file yang sesuai tidak diproses; sebagai gantinya, nomor-nomor tersebut dimasukkan pada laporan kesalahan (error). Setelah transaksi penjualan diproses, sign check bekerja untuk memastikan field kuantitas di tangan pada master record tidak negatif. Pengujian juga dilakukan untuk memastikan bahwa harga jual jatuh dalam batas normal, pesanan tersebut tidak melebihi batas kredit pelanggan dan kuantitas yang dipesan wajar mengingat dan riwayat pesanan pelanggan. Memeriksa data yang berlebihan  – untuk contoh, perbandingan jumlah item persediaan dan deskripsi  – digunakan untuk memastikan bahwa master file record yang benar diperbaharui (update). Perubahan total dalam saldo pelanggan dihitung; total keuangan ini SIA BAB 10

12

dibandingkan dengan total jumlah penjualan seluruh transaksi yang sedang diproses. 6. Mempersiapkan dan mendistribusikan output . Output termasuk penagihan dan/atau dokumen-dokumen pengiriman dan laporan pengendalian. Laporan pengendalian berisikan akumulasi total batch selama file update run dan daftar transaksi yang ditolak oleh program update. 7. Review Pengguna . Pengguna pada departemen pengiriman dan penagihan melakukan review terbatas terhadap dokumen-dokumen yang datanya tidak  lengkap atau kekurangan. Mereka juga membandingkan sistem yang dihasilkan total batch dengan yang dihitung pada langkah 1 untuk memverifikasi seluruh transaksi yang diproses. PENGENDALIAN ONLINE PROCESSING INTEGRITY. Online real-time processing merekord setiap transaksi penjualan kredit secara sendiri-sendiri. Hal i ni memungkinkan untuk mendeteksi ketepatan waktu dan mengoreksi kesalahan. Berbagai pengendalian aplikasi yang dibahas pada bab ini diterapkan pada setiap tahapan (input, proses, output) proses transaksi online, sebagai berikut.

Pengendalian Data Entry Online 

Ketika seseorang mengakses sistem online, logical access controls mengkonfirmasi identitas dari perangkat data entry (personal computer, terminal) dan validitas karyawan pengguna nomor ID dan password.



Uji Kompatabilitas memastikan bahwa karyawan berwenang untuk melakukan tugas itu.



Sistem secara otomatis memberikan nomor transaksi yang telah dirancang secara otomatis, sesuai dengan nomor urut dan tanggal pembuatan faktur.



Sistem mengharuskan untuk mengisi data yang harus dimasukkan, dan setelah itu sistem akan memberikan konfirmasi.



Setiap respon diuji menggunakan satu atau lebih dengan cara: cheks validitas (validitas pelanggan dan nomor barang), daftar isian pada kolom dan tanda ceklis SIA BAB 10

13

yang sudah diberikan (hanya possitive, karakter numerik dalam jumlah, tanggal, dan bidang harga), dan batas pengisian limit yang sudah diisikan (tanggal pengiriman dibandingkan tanggal sekarang). 

Bila memasukkan nomor pelanggan, sistem mengambil nama pelanggan yang sesuai dari database dan menampilkannya di layar. Operator visual memeriksa nama pelanggan. Jika sesuai dengan nama dalam dokumen pesanan penjualan, operator sistem, transaksi dapat dilanjutkan, jika tidak maka sistem meminta untuk  dilakukan data yang benar.



Bila jumlah item persediaan yang dimasukkan, sistem akan melakukan hal yang sama seperti ketika memasukkan data nomor pelanggan.

Pengendalian Proses Online

Karena pengupdetan file akan mengakses pelanggan dan barang yang dimasukkan, hal ini memerlukan penginputan data dengan melakukan uji validasi tambahan dengan membandingkan data dalam setiap record transaksi dengan data dalam catatan database yang sesuai. Yang termasuk dalam tes ini adalah : 

Mengecek kevalidan pada pelanggan dan nomor persediaan barang.



Memastikan bahwa saldo persediian di gudang telah sesuai (setelah dikurangi  jumlah dijual).



Beri batasan kredit dan kelompokkan pelanggan sesuai dengan batas kredit yang diberikan.



Beri batasan harga disesuaikan dengan batas yang dibolehkan.



Lakukan tes kenormalan yang berhubungan dengan jumlah barang yang terjual, dan jenis barang yang dikeluarkan secara online.

Pengendalian Output Online

Output (keluaran) dari proses ini termasuk di dalamnya dokumen tagihan dan dokumen pengiriman. Kontrol Output berikut digunakan untuk: •

Penagihan dan pengiriman akan diporses secara elektronik hanya untuk pengguna yang sudah dioutorisasi. SIA BAB 10

14

•

Pengguna di département pengiriman dan penagihan melakukan penelaahan terbatas dari dokumen dengan melakukan pemeriksaan data yang belum lengkap, atau kesalahan lainnya.

•

Laporan pengecekan ini dikirim ke penerima secara otomatis, jika sistem meragukan keabsahan, maka akan mengkonfirmasi identitas yang meminta data dengan memvalidasi terlebih dahulu nomor identitas dan password pengguna.

Contoh berikut menggambarkan penggunaan kontrol aplikasi untuk Memastikan integritas pemrosesan sebuah transaksi di sebuah Universitas di Belanda. Saat ini banyak organisasi menerapkan dan merasakan manfaat dari sistem pengadaan secara elektronik. Di antara penghematan tersebut adalah penghematan biaya yang begitu besar. Sebuah studi oleh Komisi Eropa menunjukkan penghematan sekitar 40% sampai dengan 75%. Untuk meningkatkan efisiensi dan keandalan dari proses pengadaan, Universitas di Belanda ini mengaplikasikan sistem BasWare Enterpise untuk melakukan pengadaan dan untuk pembayaran sebagai solusi manajemen keuangan. Universitas memproses sekitar 10.000 faktur per bulan. Namun, faktur kebanyakan berbentuk surat, Faktur tersebut di-scan dan kemudian baru diproses dengan karakter optik, kemudian secara otomatis tersambung ke pesanan pembelian atau kontrak dalam modul Contolling. Setelah memverifikasi bahwa penerima menerima barang jasabagian anggaran menerima email yang meminta dia untuk memverifikasi faktur dalam waktu lima hari kerja. Bagian anggaran memiliki kemampuan untuk melihat faktur asli dan dengan mudah dapat mengotorisasi. Oleh karena itu,jika bagian anggaran belum menyetujui faktur dalam sistem BasWare,maka pada hari itu juga mengirim faktur pengganti setelah tujuh hari. Setelah faktur menyetujui harga pada sistem BasWare, maka akan menghasilkan jurnal, dan secaraotomatis masuk dalam sistem yang pada gilirannya, SAP FI / Co membuat file berkelompok, misal secara mingguan. File ini kemudian diimpor oleh sebuah aplikasi keuangan online banking , kemudian manajer keuangan dan / atau direktur dapat mengotorisasi pembayaran.

SIA BAB 10

15

Universitas menerapkan sejumlah kontrol dalam proses untuk menjamin integritas faktur pengolahan mereka. Legalitas dari pembayaran, dan pengarsipan dengan software elemen dalam faktur penting dalam kelengkapan kontrol, dengan persyaratan dari Komisi Eropa dan otoritas pajak setempat. Pengontrolan ini meliputi : •

pemisahan tugas (Otorisasi);

•

membuat otomasi kepada pihak yang berkepentingan;

•

membuat otomasi akun dalam buku besar dan pusat-pusat biaya;

•

mengontrol transmisi data antara sistem IT yang berbeda;

•

memeberi tanda data yang sudah discan dan file pembayaran.

Pengolahan yang Terintegrasi pada Pengolah Data

Pentingnya spreadsheet pelaporan keuangan tercermin dalam kenyataan bahwa ISACA (Information Systems Audit and Control Association )

 – 

asosiasi di bidang audit

sistem informas, dokumen IT pengontrolan secara objektif untuk  Sarbanes-Oxley  berisi lampiran terpisah yang khusus membahas kontrol integritas pengolahan yang harus digunakan

dalam

spreadsheet.

Namun,

karena

spreadsheet

hampir

selalu

dikembangkan oleh pengguna akhir, mereka jarang mengandung contols aplikasi yang memadai. Oleh karena itu, tidak mengherankan bahwa banyak organisasi mengalami masalah serius disebabkan oleh kesalahan spreadsheet. Sebagai contoh, pada tanggal 17 Agustus 2007, artikel di majalah CIO mengambarkan bagaimana kesalahan spreadsheet menyebabkan perusahaan kehilangan uang, mengeluarkan pengumuman pembagian dividen yang keliru, dan kesalahan melaporkan hasil keuangan. Hal ini merupakan kesalahan yang fatal yang bisa dicegah dengan pengujian cermat spreadsheet sebelum digunakan. Walaupun software spreadsheet mengandung fitur "audit" yang dapat dengan mudah mendeteksi kesalahan umum, spreadsheet dimaksudkan untuk mendukung keputusan untuk mendeteksi kesalahan-kesalahan kecil. Namun demikian, survei profesional di bidang keuangan menunjukkan bahwa hanya 2% perusahaan menggunakan beberapa orang untuk memeriksa setiap sel spreadsheet, yang merupakan satu-satunya cara yang dapat diandalkan untuk  mendeteksi kesalahan Efektif spreadsheet. SIA BAB 10

16

Ketersediaan (Availability)

Interupsi proses bisnis karena tidak tersedianya atau jika sistem informasi dapat menyebabkan kerugian keuangan secara signifikan. Akibatnya, COBIT bagian DS 4 membahas pentingnya memastikan bahwa sistem dan informasi yang tersedia bisa digunakan. Tujuan utama adalah untuk meminimalkan resiko tidak bekerjanya sistem. Hal ini tidak mungkin, namun demikian, untuk benar-benar risiko tidak bekerjanya sistem. Oleh karena itu, organisasi juga perlu kontrol yang dirancang untuk  memungkinkan dimulainya kembali operasi normal secara cepat setelah terjadinya permasalahan pada sistem. Tabel 10-2 merangkumcara mengontrol tujuan dengan dua cara. Tabel 10-2 Tujuan dan Kontrol Kunci

Objective 1. meminimalisir

Key Controls risiko

kegagalan



sistem

2. Memulihkan dan membuat asumsi atas kegiatan normal

tindakan

pencegahan

dengan

melakukan perawatan 

toleransi kesalahan



pusat data, dan desain



pelatihan



software antivirus



Prosedur membackup



Disaster recovery plan  (DRP)



Business continuity plan (BCP)

SIA BAB 10

17

Meminimalkan Risiko Kegagalan Sistem

Organisasi dapat memahami mengambil berbagai tindakan untuk meminimalkan risiko COBIT dalam objektif DS 13.5 mengidentifikasihal yang perlu dilakukan dengan melakukan tindakan pencegahan, kontrol dan benar menyimpan media yang magnetic dan optik, untuk mengurangi risiko kegagalan hardware dan software. Sebagai contoh, banyak organisasi menggunakan redundant arrays if independent drives  (RAID) bukan hanya satu disk drive. Dengan RAID, data ditulis ke dirives beberapa disk hampir bersamaan. Jadi, jika salah satu disk drive gagal, data dapat dengan mudah diakses dari yang lain.

COBIT bagian DS 12 membahas pentingnya menemukan dan merancang pusat data untuk meminimalkan risiko yang terkait dengan bencana alam dan kesalahan manusia. Fitur desain secara umum adalah sebagai berikut: •

•

memperluas lantai penyimpanan, sebagai bentuk perlindungan kalau terjadi banjir. Deteksi kebakaran dengan pendeteksi kebakaran untuk mengurangi kemungkinan kerusakan akibat kebakaran.

•

Sistem pendingin udara yang memadai untuk mengurangi kemungkinan overheating peralatan komputer.

•

Kabel dengan rancangan khusus yang tidak dapat dengan mudah dicabut, mengurangi risiko mencabut sistem karena kerusakan yang disengaja.

•

Perlindungan untuk arus yang tidak stabil.

•

Uninterruptible Power Supply  (UPS) sistem menyediakan perlindungan dalam hal

terjadi pemadaman listrik berkepanjangan, menggunakan daya baterai untuk  memungkinkan sistem untuk beroperasi secara fukup dalam proses untuk  membuat cadangan data penting dan aman. (Namun, penting untuk secara teratur memeriksa dan menguji baterai dalam UPS Untuk memastikan bahwa hal itu akan berfungsi bila diperlukan). •

Kontrol akses fisik mengurangi risiko pencurian atau kesalahan.

SIA BAB 10

18

Dengan melakukan pelatihan dapat mengurangi resiko kegagalan sistem. Melatih operator dengan membuat simulasi seolah-olah terjadi kegagalan sistem, kemudian melakuan bagaimana memulihkan, dengan kerusakan minimal. Itulah sebabnya COBIT mengontrol objektif DS 13.1 menekankan pentingnya mendefinisikan dan prosedur untuk memastikan bahwa staf TI memahami tanggung jawab mereka. Kegagalan sistem dapat disebabkan oleh adanya malware komputer (virus dan worm). Oleh karena itu, penting untuk menginstal, menjalankan, dan menjaga antivirus saat ini dan anti-spyware program. Program ini harus secara otomatis dipakai tidak hanya untuk memindai e-mail, tetapi juga semua media penyimpanan (CD, DVD, USB perangkat, dll) yang ada dalam perusahaan.

Pemulihan dan Permulaan Awal Operasional Normal

Pencegahan

kontrol

yang

didiskusikan

pada

bagian

proses

dapat

diminimalisir,tidak seluruhnya dieliminasi, pada resiko sistem downtime. Kesalahan penggunaan

hardware,masalah

software

atau

kesalahan

manusia

dapat

menyebabakan data menjadi tidak dapat diakses. Oleh karena itu mengapa back up prosedur dibutuhkan. Sebuah back up adalah salinan yg jelas dari versi terbaru dari sebuah database,file, atau program software yang dapat digunakan pada sebuah kejadian, originalnya tidak lama lagi tersedia. Kejadian bencana alam dan terorisme dapat menghancurkan tidak hanya data tapi juga keseluruhan informasi sistem. Oleh karena itu mengapa organisasi juga membutuhkan pemulihan bencana dan perencanaan bisnis secara berkelanjutan. Prosedur back up suatu organisasi dan pemulihan bencana serta perencanaan bisnis secara berkelanjutan mencerminkan jawaban manajemen terhadap dua pertanyaan fundamental: 1. Seberapa banyak data yang sedang akan diciptakan kembali dari sumber dokumen (jika tersedia) atau berpotensi hilang (jika tidak ada sumber dokumen yang tersedia)? 2. Seberapa lama organisasi dapat berfungsi tanpa informasi sistemnya?

SIA BAB 10

19

Gambar 10-3 menunjukkan hubungan antara dua pertanyaan tersebut.ketika masalah terjadi, data tentang semua kejadian yang telah terjadi sejak back up terakhir dihilangkan kecuali data tersebut dapat dienter kembali kedalam sistem. Jadi, jawaban manajemen untuk pertanyaan pertama menentukan recovery point obejective (RPO) atau sasaran poin pemulihan sebuah organisasi yang mewakili jumlah maksimal data yang berpotensi hilang. Jawaban atas pertanyaan kedua menentukan

recovery time

objective (RTO) atau sasaran waktu pemulihan organisasi yang mewakili jangka waktu yang berusaha untuk berfungsi tanpa sistem informasinya.

Bagi beberapa organisasi,jawaban atas kedua pertanyaan tersebut mendekati nol. Contohnya Penerbangan dan institusi finansial tidak dapat beroperasi tanpa sistem informasi mereka,mereka juga dapat kehilangan informasi tentang transaksi. pada organisasi seperti itu, tujuannya tidak pada pemulihan cepat atas masalah,tapi resiliency. Solusinya adalah dengan memperkerjakan real-time mirroring. Real-time mirroring termasuk maintaining dua salinan dari dua database pada dua pust data yg terpisah pada semua waktu dan mengaupdate setiap salinan dalam real-time seperti setiap transaksi yang terjadi.jika suatu saat terjadi sesuatu pada satu pusat data,organisasi dapat secara cepat mengganti semua kegiatan sehari2 dengan yang lainnya. Walaubagaimanapun, Bagi organisasi lainnya penerimaan RPO dan RTO mungkin dapat diukur dalam ukuran jam atau bahkan berhari-hari.penerimaan tujuan-tujuan tersebut memerlukan prosedur back up data ditambah pemulihan bencana dan kelancaran perencanaan bisnis.

SIA BAB 10

20

Prosedur Backup Data

Prosedur data backup dirancang untuk sesuai dengan situasi dimana informasi tidak selalu dapat diakses karena file-file yang relevan atau database telah menjadi corrupted sebagai hasil dari kegagalan hardware,masalah software,atau human eror, tapi sistem informasi itu sendiri masih berfungsi. Beberapa perbedaan prosedur backup tersedia. A full backup atau backup penuh adalah salinan nyata dari keseluruhan database. Full backup adalah time-consuming,jadi kebanyakan organisasi hanya melakukan full backup perminggu dan mensupplai mereka dengan backup partial harian. Gambar 10-4 membandingkan dua tipe dari backup partial harian. 1. Incremental backup  termasuk hanya salinan data item yang telah berubah sejak  backup partial terakhir. Hal tersebut menghasilkan seperangkat incremental backup  file,yang setiap file terdiri dari

setiap file terdiri dari hasil transaksi satu hari.

Restoration atau Perbaikan termasuk loading pertama dan full backup terakhri dan kemudian diinstal tiap kelanjutan incremental backup dari rangkaian yang cocok. 2. Differential backup . Semua Salinan differential backup atau backup berbeda berubah dibuat sejak full backup atau backup penuh terakhir. Jadi setiap file  differential backup  yang baru terdiri dari pengaruh kumulatif dari semua aktivitas

sejak full backup terakhir. Dengan demikian, kecuali dari hari pertama mengikuti full backup , diffrential backup  harian memiliki waktu yang lebih lama daripada incremental backup . Akan tetapi, restolution atau Perbaikan lebih simpel, karena full  backup  terakhir membutuhkan untuk disuplemen dengan hanya differential backup 

terbaru,daripada seperangkat file incremental backup harian.

SIA BAB 10

21

Tidak masalah prosedure backup mana yang digunakan, salinan berlipat ganda seharusnya diciptakan. Satu salinan dapat disimpan pada on-site , untuk penggunaan suatu kejadian dari masalah minor yang relativ terjadi, seperti kerusakan hard drive. Pada kejadian dari masalah yang lebih serius lagi, seperti kebakaran atau banjir, setiap salinan backup disimpan on-site akan lebih mudah hancur atau tidak dapat diakses. Oleh karena itu, salinan backup kedua perlu untuk disimpan off-site . File-file backup tersebut dapat dipindahkan pada site penyimpanan yang jauh baik secara fisik ataupun elektronik. pada kasus yang lain, kontrol keamanan yang sama perlu untuk  diaplikasikan untuk backup file yang digunakan untuk melindungi salinan asli dari informasi. Hal itu berarti salinan backup dari data sensitif harus dienkripsikan diantara tempat penyimpanan dan selama transmisi elektronik. Akses ke backup file juga perlu dikontrol dan dimonitori secara hati-hati. Penting juga untuk melatih sistem penyimpanan secara periode dari backupnya. hal tersebut berverifikasi bahwa prosedur backup bekerja dengan benar dan bahwa media backup (tape atau disk) dapat dibaca dengan sukses oleh hardware yang digunakan. Backup dipakai hanya selama periode waktu yang relativ singkat. Sebagai contoh,banyak organisasi bertahan hanya beberapa bulan dari backup. Bagaimanapun, beberapa informasi harus disimpan lebih lama. sebuah arsip adalah salinan dari database, master file, atau software yang dipakai secara tidak langsung sebagai catatan historis, yang biasanya legal dan memerlukan pengaturan. Sebagai backup, salinan arsip yang berlipat ganda seharusnya dibuat dan disimpan pada lokasi yang berbeda. Tidak seperti halnya backup, arsip jarang dienkripsikan karena mereka memiliki rentetan waktu yang lama yang meningkatkan resiko kehilangan kunci decryption.  Akibatnya, kontrol akses secara fisik dan logis adalah alat pokok untuk melindungi arsip file. Media apa yang seharusnya digunakan untuk backup dan arsip-arsip, tape atau disk? Disk backup lebih cepat dan disk mudah hilang. Tape lebih murah, lebih mudah untuk dibawa, dan lebih berdurasi lama. Dengan demikan, banyak organisasi

SIA BAB 10

22

menggunakan kedua media tersebut. Pertama data diback up ke disk, untuk cepat, kemudian ditransfer ke tape. Perhatian spesial perlu dibayar untuk backup dan pengarsipan e-mail, karena telah menjadi repositori penting dari tingkah laku organisasi dan informasi. Alih-alih, email sering terdiri dari solusi-solusi untuk masalah yang spesifik. E-mail juga biasanya terdiri dari informasi yang relevan terhadap lowsnit. seharusnya menarik untuk sebuah organisasi untuk menyadari suatu polis dari penghapusan semua e-mail secara periode, untuk mencegah gugatan pengacara dari penemuan suatu "smoking gun" dan untuk  mencegah biaya penemuan e-mail yang diminta oleh partai lainnya. Kebanyakan para ahli, menyarankan melawan seperti politisi-politisi, karena ada beberapa hampir menjadi salinan-salinan dari e-mail yang disimpan di arsip-arsip luar organisasi. Oleh karena itu, sebuah kewenangan menghapus secara regular seluruh e-mail yang berarti bahwa organisasi tidak akan dapat untk mengatakan bagian dalam cerita; pengadilan (dan hakim) hanya akan membaca e-mail yang diciptakan oleh polis lainnya untuk  dipeselisihkan. Pernah juga ada kasus dimana pengadilan telah mendenda organisasi  jutaan dolar karena gagal memberikan e-mail yang diminta. Oleh karena itu, organisasi perlu untuk mengbackup dan mengarsip e-mail penting ketika purging secara periode sejumlah volume rutin, sisa-sisa e-mail.

Pemulihan Bencana Alam dan Perencanaan Kelanjutan Bisnis (Disaster Recovery and Business Continuity Planning)

Backup dirancang untuk masalah mitigasi ketika satu atau lebih file atau database menjadi di karena hardware, software, atau human error. Pemulihan Bencana  Alam dan Perecanaan Kelanjutan Bisnis dirancang untuk mitigasi masalah yang lebih serius. Perencanaan pemulihan bencana atau Disaster Recovery Plan  (DRP) outline prosedur untuk menyimpan kembali fungsi organisasi IT pada suatu kejadian yang pusat datanya terusak oleh bencana alam atau akibat dari terorisme. Organisasi memiliki tiga pilihan dasar untuk menggantikan IT infrastruktur mereka yang tidak  hanya termasuk komputer,tapi juga jaringan komponen seperti routers  dan switches, SIA BAB 10

23

software, data, akses internet, printer, dan supplies. Pilihan pertama adalah untuk  mengontrak untuk kegunaan dari cold site . Yaitu sebuah gedung kosong diprewired untuk keperluan akses telepon dan internet, ditambah sebuah kontrak dengan satu atau lebih vendor untuk menyediakan semua perlengkapan yang perlu dalam periode waktu yg spesifik. Cold site  masih meninggalkan organisasi tanpa penggunaan dari sistem informasi selama periode waktu,jadi sesuai jika hanya ketika organisasi RTO pada satu hari atau lebih. Pilihan waktu kedua adalah untuk mengontrak untuk  penggunaan dari hot site , yaitu sebuah fasilitas yang tidak hanya prewired untuk akses telepon dan internet tapi juga tetdiri dari semua perlengkapan kantor dan komputer organisasi yang perlu untuk menampilkan aktivitas esensi bisnis . Hot site  secara tipikal berhasil dalam RTO hitungan jam. Masalah antara cold  dan hot site  adalah penyedia site secara tipikal menjual berlebihan kapasitasnya, dibawah asumsi bahwa dalam sekali waktu hanya sedikit klien yang akan perlu untuk menggunakan fasilitas. Asumsi tersebut biasany dibenarkan. Pada kejadian bencana pada umumnya, seperti badai katrina, mempengaruhi semua organisasi dalam area geografik, bagaimanapun juga beberapa organisasi dapat menemukan bahwa mereka tidak dapat meraih akses ke cold  dan hot site  mereka.  Akibatnya, pilihan ketiga pergantian infrastruktur bagi organisasi dengan jangka pendek  RTO

adalah

untuk

membangun

pusat

data

kedua

sebagai

back

up

dan

menggunakannya untuk implementasikan real-time mirroring. Business

continuity

plan  (BCP)

atau

kelanjutan

perencanaan

bisnis

menspesifikasikan bagaimana cara untuk meringkas tidak hanya operasional IT tapi semua proses bisnis, termasuk pemindahan ke kantor baru dan menyewa tempat sementara, jikambencana besar tidak hanya menghancurkan pusat data organisasi tapi  juga pusat kepala bagian. Perencanaan seperti itu sangat penting karena lebih dari setengah organisasi tanpa DRP dan BCP tidak pernah buka kembali setelah ditekan untuk tutup lebih dari beberapa hari karena bencana. Maka, memiliki DRP dan BCP dapat berarti perbedaan antara bertahan atas major catastrophe seperti badai katrina atau 9/11 dan bangkrut.

SIA BAB 10

24

Memiliki DRP dan BCP bagaimanapun juga tidaklah cukup. Kedua perencanaan harus didokumentasikan dengan baik. Dokumentasi tersebut seharusnta tidak hanya termasuk instruksi untuk notifikasi kesesuaian staf dan langkah-langkah untuk  mengambil ringkasan operasional, tapi juga dokumentasu vendor dari semua hardware dan software. penting khususnya untuk mendokumentasikan modifikasi numerous yang dibuat untuk konfigurasi default, sehingga pergantian sistem memiliki fungsi yang sama sebagai aslinya. Kegagalan melakukan hal tersebut dapat menciptakan biaya substansial dan menunda implementasi proses pemulihan. Instruksi operasional secara rinci juga dibutuhkan, khususnya jika pergantian sementara telah disewa. Akhirnya, salinan dari seluruh dokumen perlu untuk disimpan anatara on-site  dan off-site  sehingga dapat tersedia ketika dibutuhkan. Pengetesan secara periode dan revisi kemungkinan adalah komponen yang paling penting dan efektif terhapa pemulihan bencana dan kelancaran perencanaan bisnis. Kebanyakan perencanaan gagal meinisialkan tes mereka karena tidak mungkin untuk memenuhi segala antisipasi yang bisa saja salah. Waktu untuk menemukan masalah seperti itu tidak selama emergenci aktual, tapi lebih pada pengaturan yang mana kelemahan dapat dengan hati-hati dan melalui analisa dan perubahan yang sesuai pada prosedur yang dibuat. Oleh karena itu pemulihan bencana dan kelancaran perencanaan bisni perlu untuk dites pada akhir dasar annual untuk meyakinkan bahwa mereka dengan akurat mencerminkan perubahan terbaru pada perlengkapan dan prosedur. sangat penting khususnya untuk mengetes prosedur termasuk dalam mentransfer operasi aktual pada cold dan hot site. Akhirnya, dokumentasi DRP dan BCP Perlu untuk diperbaharui untuk merefleksikan setiap perubahan dalam prosedur yang dibuat dalam merespon untuk identifikasi masalah selama pengujian rencana-rencana tersebut.

Pengaruh Virtualisasi dan Cloud Computing (Effects of Virtualization and Cloud Computing)

Mesin virtual hanya koleksi dari file software. Oleh karena itu, jika server fisik  ditempatkan bahwa mesin gagal, file-file dapat diinstal pada host mesin dalam hitungan SIA BAB 10

25

menit. Maka, virtualisasi secara signifikan mengurangi waktu yang diperlukan untuk  memulihkan (RTO) dari masalah hardware. Catat bahwa virtualisasi tidak mengeliminasi keperluan selama backup; organisasi masih perlu untuk menciptakan periode "snapshots" dari dekstop dan jaringan mesin virtual dan kemudian menyimpan snapshots pada network drive sehingga mesin dapat diciptakan kembali. Virtualisasi dapat juga digunakan untuk mendukung real-time mirroring yang mana dua salinan dari setiap mesin virtual dijalankan berurutan di dua fisik host yang terpisah. Setiap transaksi diproses disetiap mesin virtual. Jika satu gagal, yang lainnya diambil tanpa  jeda pada jaringan. Cloud computing  memiliki pengaruh positif dan negatif dalam ketersediannya. Cloud computing  secara tipikal memanfaatkan bank dari jaringan yang redunda pada

lokasi yang berlipatganda, dengan demikan dapat mengurangi resiko bahwa bencana tunggal dapat membawa pada sistem downtime dan kehilangan seluruh data. Walaubagaimanapun, jika penyedia publik  cloud  bangkrut, akan sulit, jika tidak  mungkin, untuk menyelamatkan setiap data disimpan pada cloud . Oleh karena itu, sebuah polis membuat backup regular dan menyimpan backup tersebut dimanapun tempat lain daripada dengan penyedia cloud secara kritik. Sebagai tambahan, akuntan perlu untuk menilai kelangsungan keuangan orang banyak dalam jangka panjang dari penyedia cloud  sebelum organisasi menjalankan untuk sumber luar disetiap data atau aplikasinya untuk sebuah cloud public.

Control perubahan

 Alamat COBIT bagian AI 6, AI 7 , dan Ds 9 merupakan aspek yang berbeda dari topik penting perubahan kontrol. Organisasi memodifikasi sistem informasi untuk  mencerminkan praktek-praktek bisnis baru dan mengambil keuntungan dari kemajuan teknologi informasi. Perubahan kontrol adalah proses formal yang digunakan untuk  memastikan bahwa modifikasi hardware, software, atau proses tidak mengurangi keandalan sistem. Bahkan, perubahan kontrol yang baik sering menyebabkan kinerja operasional secara keseluruhan menjadi lebih baik: pengujian dilakukan secara hati-hati SIA BAB 10

26

sebelum pelaksanaan untuk mengurangi kemungkinan membuat perubahan yang menyebabkan

sistem

downtime,

dokumentasi

yang

menyeluruh

akan

cepat

memfasilitasi "pemecahan masalah" dan resolusi dari setiap masalah yang memang terjadi. Perusahaan dengan proses kontrol yang baik juga kurang memungkinan untuk  menderita kerugian keuangan atau reputasi dari insiden keamanan. Prosedur perubahan yang efektif memerlukan control teratur untuk pemantauan perubahan yang tidak sah dan sanksi bagi siapa saja yang sengaja memperkenalkan perubahan tersebut. Prinsip-prinsip lain dari proses kontrol yang dirancang dengan perubahan yang baik meliputi: 

Semua permintaan perubahan harus didokumentasikan dan mengikuti format standar yang jelas dengan mengidentifikasi sifat perubahan, alasan permintaan, tanggal permintaan, dan hasil dari permintaan.



Semua perubahan harus disetujui oleh tingkat manajemen yang tepat. Persetujuan harus didokumentasikan secara jelas untuk memberikan jejak audit. Manajer harus berkonsultasi dengan CISO atau manajer IT tentang efek atau perubahan yang diajukan terhadap keandalan sistem.



Untuk menilai dampak dari perubahan yang diusulkan pada kelima prinsip keandalan sistem, perubahan harus benar-benar diuji sebelum pelaksanaan di lingkungan, Nonproduksi harus terpisah, sistem harus benar-benar digunakan un tuk  proses bisnis sehari-hari. (teknologi virtualisasi dapat digunakan untuk mengurangi biaya dalam membuat pengujian terpisah dan pengembangan sistem). Data database dari file lama dimasukkan ke dalam struktur data baru, kontrol percakapan diperlukan untuk memastikan bahwa media penyimpanan data baru bebas dari kesalahan. Sistem lama dan baru harus dijalankan secara paralel setidaknya sekali dan hasilnya dibandingkan untuk mengidentifikasi perbedaan.  Auditor Internal harus meninjau proses konversi data untuk akurasi.



Semua dokumentasi (Program petunjuk, deskripsi sistem, backup dan rencana pemulihan bencana, dll) harus diperbarui untuk mencerminkan perubahan berwenang untuk sistem. SIA BAB 10

27



Perubahan "darurat"

atau penyimpangan dari kebijakan standar operasi harus

didokumentasikan dan dikenakan tinjauan formal serta proses persetujuan sesaat setelah implementasi sebagai praktis. Semua perubahan darurat perlu dicatat untuk  menyediakan jejak audit. 

rencana "backout" memerlukan pengembangan untuk kembali kepada kasus konfigurasi sebelumnya dalam kasus. Perubahan tersebut memerlukan persetujuan untuk terganggu atau ditinggalkan.



Pengguna hak dan keistimewaan harus dipantau dengan teliti pada proses perubahan untuk memastikan bahwa pemisahan tugas yang tepat bisa dipertahankan

Mungkin kontrol perubahan yang paling penting adalah pemantauan yang memadai dan mereview atas tindakan manajemen untuk memastikan bahwa perubahan yang diusulkan dan yang dilaksanakan berjalan konsisten dengan rencana multiyear strategis organisasi. Tujuan dari pengawasan ini adalah untuk memastikan bahwa sistem informasi organisasi terus efektif untuk mendukung strategi. Banyak organisasi IT menciptakan komite kemudi untuk melakukan pemantauan fungsi penting in i.

Ringkasan dan kesimpulan kasus

Laporan Jason dirancang untuk menilai efektivitas kontrol Northwest industri dan memastikan

integritas

pengolahannya.

Untuk

meminimalkan

entri

data,

dan

kesempatan dalam membuat kesalahan, Northwest industri mengirimkan dokumen turnaround kepada pelanggan, yang kembali dengan pembayaran mereka. Semua entri data dilakukan secara online, dengan penggunaan luas dari rutinitas dan memasukkan validasi untuk memastikan keakuratan dari komponen kunci laporan keuangan secara teratur lintas-divalidasi dengan sumber independen. Misalnya, persediaan dihitung secara triwulanan, dan hasil penghitungan fisik didamaikan dengan jumlah yang disimpan didalam sistem.

SIA BAB 10

28

Jason prihatin tentang efektivitas pengendalian yang dirancang untuk memastikan ketersediaan sistem, namun. Dia mencatat bahwa meskipun Northwest industri telah mengembangkan pemulihan bencana dan rencana kelangsungan bisnis, rencana tersebut belum ditinjau atau diperbarui selama tiga tahun. Perhatian yang lebih besar adalah fakta bahwa banyak bagian dari rencana, termasuk pengaturan untuk situs dingin yang terletak di California, belum pernah diuji. Keprihatinan Jason yang terbesar adalah bagaimanapun itu berkaitan dengan prosedur cadangan. Semua file mingguan pada hari Sabtu dimasukkan ke DVD, backup incremental tidak dienkripsi, dan satu salinan tersebut disimpan di tempat ruang server utama. Jason juga mendokumentasikan bukti kelemahan tersebut terkait dengan perubahan kendali. Salah satu titik perhatian adalah temuan bahwa perubahan "darurat" yang dibuat selama setahun terakhir tidak didokumentasikan. Fakta Lainnya adalah fakta bahwa untuk menghemat uang, Northwest industri memberikan programmer akses ke sistem pemrosesan transaksi untuk membuat perubahan, daripada menggunakan pengujian terpisah dan pengembangan sistem. Jason menyimpulkan laporannya dengan laporan rekomendasi khusus untuk mengatasi kelemahan yang telah ditemukan. Dia merekomendasikan bahwa Northwest industri segera menguji cadangan prosedur restorasi dan mengenkripsi file cadangan. Jason  juga dianjurkan menguji rencana DRP dan CBP. Rekomendasi lain adalah untuk  membeli sebuah server yang akan menggunakan perangkat lunak virtualisasi untuk  membuat sebuah sistem pengujian dan pengembangan serta membatasi akses programmer hanya pada sistem virtual. Akhirnya, ia disarankan harus menetapkan seseorang CIO untuk memperbarui dokumentasi untuk merekam efek "perubahan darurat" yang dibuat selama tahun lalu dan menerapkan prosedur untuk memastikan bahwa semua perubahan masa depan dapat didokumentasikan. Jason merasa yakin sekali bahwa mereka dapat melaksanakan rekomendasi, manajemen sangat yakin bahwa sistem informasi Northwest industri telah memenuhi kriteria AICPA trust, kerangka layanan dan prinsip-prinsip keandalan sistem.

SIA BAB 10

29