Rabu, 29 Juni 2011

PENGENDALIAN SISTEM INFORMASI BERBASIS KOMPUTER

PENGENDALIAN SISTEM INFORMASI
BERBASIS KOMPUTER


A.    PENGENDALIAN UMUM

            Pengendalian umum dirancang untuk menjamin bahwa seluruh system computer dapat berfungsi secara optimal dan pengolahan data dapat dilakukan secara lancar sesuai dengan yang direncanakan.

Pengendalian Umum dapat dilakukan dengan cara sbb:
1.      Penyusunan Rencana Pengamanan
Penyusunan dan pembaruan berkelanjutan sebuah rencana pengamanan adalah salah satu jenis pengendalian penting yang dapat diterapkan oleh sebuah perusahaan. Cara yang baik menyusun rencana adalah menentukan siapa yang membutuhkan akses ke informasi apa, kapan mereka membutuhkan informasi tersebut dan subsistem apa yang menghasilkan informasi tersebut. Informasi ini dapat digunakan untuk menentukan ancaman, risiko dan bentuk dan untuk memilih cara-cara pengamanan yang efektif. Dalam hal ini, manager puncak harus ditugasi untuk menyusun,mengawasi, dan menerapkan rencana. Rencaca tersebut harus di komunikasikan ke selurulh karyawan dan secara berkelanjutan dikaji dan diperbarui

2.      Pemisahan Tugas Dalam Fungsi Sistem
Untuk menanggulangi ancaman-ancaman, organisasi harus menerapkan prosedur pengendalian yang memadai seperti pemisahan tugas dalam fungsi system informasi, akuntansi. Wewenang dan tanggung jawab harus secara jelas dibagi diantara fungsi sbb:
a.       Analisis Sistem
Analisis system bekerjasama dengan para pemakai untuk menentukan informasi yang dibutuhkan dan kemudian merancang sebuah SIA untuk memenuhi kebutuhan tersebut. Analisis system harus dipisahkan dari pemograman untuk mencegah pengubahan secara tidak sah progam aplikasi atau data
b.      Pemrogaman
Para pemogram menindak lanjuti rancangan yang diterima dari analisis system dengan menulis progam computer. Organisasi atau perusahaan harus menentukan persyaratan otorisasi formal untuk melakukan pengubahan progam computer
c.       Operasi computer
Operator computer menjalankan software pada computer perusahaan. Mereka memastikan bahwa data telah dimasukkan secara tepat ke dalam computer, bahwa data telah diproses secara benar, dan bahwa output yang dibutuhkan telah dihasilkan
d.      Pengguna
Departemen-departemen pengguna adalah pihak yang mencatat transaksi, mengotorisasi data yang diproses, dan menggunakan output yang dihasilkan oleh system.
e.       Kepustakaan SIA.
Pustakawan SIA memelihara dan menjaga database, file, dan progam dengan menempatkannya di tempat penyimpanan terpisah, yaitu perpustakaan SIA. Untuk memisahkan fungsi operasi dan fungsi penjagaan, akses ke file dan progam harus dibatasi hanya operator computer yang tertera pada jadwal yang telah ditetapkan.
f.       Pengawas data
Kelompok pengawas data memberikan jaminan bahwa sumber data telah disetujui, memantau arus kerja di dalam computer, membandingkan input dan output, memelihara catatan kesalahan input untuk menjamin bahwa koreksi dilakukan dengan semestinya dan kemudian dimasukkan kembali ke system, dan mendistribusikan output system.



3.      Pengendalian Proyek Penyusunan Sistem Informasi
Untuk meminimumkan kegagalan penyusunan sebuah system informasi, prinsip-prinsip dasar akuntansi pertanggungjawaban harus diterapkan terhadap fungsi SIA. Penggunaan prinsip tersebut dapat mengurangi secara signifikan potensi pembengkakan biaya dan kegagalan proyek sekaligus memperbaiki secara subtansial efisiensi dan efektifitas SIA. Pengendalian proyek penyusunan system informasi melibatkan elemen-elemen sebagai berikut:
a.       Rencana induk jangka panjang
b.      Rencana proyek penyusunan system informasi
c.       Jadwal pengolahan data
d.      Penetapan tanggung jawab
e.       Penilaian kinerja periodic
f.       Kaji ulang pasca implementasi
g.      Pengukuran kinerja system

4.      Pengendalian Akses Fisik
Kemampuan untuk menggunakan peralatan computer disebut dengan akses fisik, sedangkan kemampuan untuk memperoleh akses data perusahaan disebut akses logis. Kedua akses ini harus dibatasi.
Pengamanan akses fisik dapat dicapai dengan pengendalian sebagai berikut:
1)      Penempatan computer dalam ruang terkunci dan akses hanya diizinkan untuk karyawan yang sah saja.
2)      Hanya menyediakan satu atau dua pintu masuk saja pada ruang computer. Pintu masuk harus senantiasa terkunci dan secara hati-hati dipantau oleh petugas keamanan dan kalau memungkinkan diawasi dengan menggunakan kamera pengawas
3)      mensyaratkan identitas karyawan yang jelas, seperti pemakaian badge untuk dapat lolos melalui pintu akses
4)      Mensyaratkan bahwa setiap pengunjung untuk membubuhkan  tanda tangan ditempat yang telah tersedia setiap akan masuk atau keluar dari lokasi pengolahan data
5)      Penggunaan system alarm untuk mendeteksi akses tidak sah diluar jam kantor
6)      Pembatasan akses ke saluran telepon pribadi, terminal atau PC yang sah
7)      Pemasangan kunci pada PC dan peralatan computer lainnya

5.      Pengendalian Akses Logis
Untuk membatasi akses logis, sebuah system harus membedakan antara pemakai yang sah dan pemakai yang tidak sah dengan cara mengecek apa yang dimiliki atau diketahui oleh para pemakai, dimana para pemakai mengakses system, atau dengan mengenali karakteristik pribadi.
Cara-cara untuk membatasi akses logis adalah sbb:
1)      Password
2)      Identifikasi pribadi. Misalnya:kartu identitas yang berisi nama, foto, dll
3)      Identifikasi biometric. Misalnya; sidik jari, pola suara, hasil rekaman retina, pola dan bentuk wajah, bau badan, dan pola tandatangan.
4)      Uji Kompatibilitas. Uji kompabilitas harus dilaksanakan untuk menentukan apakah pemakai tersebut memiliki hak untuk menggunakan komputer tersebut

6.      Pengendalian Penyimpanan Data
Informasi yang dimiliki perusahaan harus dilindungi dari pengrusakan dan penyajian secara tidak sah karena informasi mampu mengantarkan perusahaan sebagai leader dalam peta persaingan industri, namun sekaligus juga dapat mengantarkan perusahaan ke jurang kebangkrutan.
Label file dapat pula digunakan untuk melindungi file data dari penggunaan yang tidak tepat.
·         Label ekstern yaitu berupa tempelan secarik kertas di bagian luar disket, berisi nama file, isi, dan tanggal diproses.
·         Label intern yaitu label yang ditulis dengan bahasa mesin dan berada didalam computer.
Label intern ada 3 jenis, yaitu:
1)      label volume yang mengidentifikasi seluruh isi setiap file data yang terekam  dalam media penyimpanan seperti disket, hard disk atau pita.
2)      Label header terletak pada awal setiap file data, berisi nama file, tanggal ekspirasi dan identifikasi data lainnya
3)      Label trailer terletak pada ahir file berisi file total control.

7.      Pengawasan Transmisi data
Untuk mengurangi risiko kegagalan transmisi data, perusahaan harus memantau jaringan untuk mendeteksi titik lemah, memelihara cadangan komponen, dan merancang jaringan sedemikian rupa sehingga kapasitas yang tersedia cukup untuk menangani periode padat pemrosesan data

8.      Standar Dokumentasi
Prosedur dan standar dokumentasi untuk menjamin kejelasan dan ketepatan dokumentasi. Kualitas dokumentasi memudahkan komunikasi dan pengkajian kemajuan pekerjaan selama tahap penyusunan sisitem informasi dan dapat digunakan sebagai referensi dan sarana pelatihan bagi karyawan baru.
Dokumentasi dapat diklasifikasikan sebagai berikut:
  1. Dokumentasi administrative
  2. Dokumentasi Sistem
3.      Dokumentasi operasi
9.      Minimisasi Waktu Penghentian Sistem
Cara-cara untuk mencegah tidak berfungsinya hardware atau software yang akan mengakibatkan perusahaan akan menderita kerugian keuangan, yaitu:
1)      Pemeliharaan preventif, yaitu mencakup pengujian regular terhadap komponen system informasi, dan penggantian komponen-komponen yang usang.
2)      Uninteruptible power system, adalah alat tambahan yang berfungsi sebagai penyangga listrik sementara, jika aliran listrik regular (misalnya dari PLN) terhenti.
3)      Fault tolerance, yaitu kemampuan system untuk tetap melanjutkan kegiatannya ketika sebagian komponen system mengalami kegagalan melaksanakan fungsinya.
10.  Perencanaan Pemulihan dari Bencana
Ø  Tujuan rencana pemulihan ini adalah:
  1. meminimumkan derajat kerusakan dan kerugian
  2. menetapkan cara (darurat) untuk mengolah data
  3. meringkas prosedur operasi secepat mungkin
  4. melatih dan membiasakan karyawan dengan situasi darurat
Ø  Rencana pemulihan yang ideal harus mencakup elemen-elemen sbb:
  1. Prioritas bagi proses pemulihan
  2. Backup file data and progam
  3. Penugasan khusus
  4. Pembuatan dokumentasi
  5. Backup komputer dan fasilitas telekomunikasi
Ø  Aspek lain yang perlu dipertimbangkan dalam rencana pemulihan adalah:
  1. Pengujian rencana melalui simulasi
  2. Kaji ulang dan revisi terus menerus
  3. Memasukkan penutupan asuransi

11.  Perlindungan Terhadap PC dan Fasilitas Jaringan
Penggunaan computer pribadi dan jaringan lebih rentan terhadap resiko keamanan dibandingkan system computer mainframe karena hal-hal sebagai berikut:
1)      PC ada dimana-mana, hal ini bermakna bahwa pengawasan akses fisik menjadi lebih sulit dilakukan. Setiap PC akan menjadi sebuah alat yang harus dikendalikan. Semakin legitimate seorang pemakai, semakin besar risiko terhadap jaringan
2)      Pengguna PC tidak tidak menyadari pentingnya pengamanan dan pengendalian
3)      Semakin banyak orang yang mampu mengoperasikan computer dan terampil dalam menggunakan computer
4)      Pemisahan fungsi menjadi sulit dilakukan karena PC ditempatkan diruang masing-masing departemen pemakai dan seorang karyawan ditunjuk sebagai penanggung jawab untuk dua hal sekaligus yaitu menyusun system/progam sekaligus mengoperasikannya.
5)      Jaringan dapat diakses dari lokasi yang jauh dengan menggunakan modem, EDI, dan system komunikasi lain. Kondisi ini jelas meningkatkan risiko terhadap jaringan
6)      PC dapat dibawa kemana-mana (portable) dan system pengamanan yang paling canggih di dunia pun tidak dapat mengatasi kehilangan data apabila PC atau komputernya hilang, dicuri atau dipindah ke tempat lain.

Untuk mengatasi persoalan-persoalan diatas, tersedia beberapa prosedur dan kebijakan yang dapat diterapkan, antara lain:
1)      Melatih pengguna PC tentang konsep dan pentingnya pengawasan
2)      Membatasi akses dengan menggunakan kunci PC atau disk drive
3)      Menetapkan kebijakan dan prosedur untuk:
a)      mengendalikan data yang dapat di simpan / di-download PC
b)      meminimumkan potensi pencurian terhadap PC
c)      melarang karyawan untuk mengkopi file data dan software dari dank e disk pribadi / melarang penggunaan software yang bukan wewenangnya.
4)      Menyimpan data yang sensitive di tempat yang aman
5)      Memasang software yang secara otomatis akan mematikan (shut-down) sebuah terminal
6)      Membuat cadangan data secara regular
7)      Melindungi file dengan kata kunci (password) sehingga data yang dicuri menjadi tidak bermanfaat bagi pencurinya
8)      Menggunakan progam utility super erase yang mampu benar-benar menghapus disk secara bersih jika data penting/rahasia dihapus
9)      Menciptakan pelindung diseputar system operasi untuk mencegah para pemakai mengubah file system yang penting
10)  Karena umumnya PC tidak terlindungi ketika dihidupkan, maka sebaiknya proses booting dilakukan dengan menggunakan system pengamanan yang memadai
11)  Jika pemisahan tugas secara fisik sulit dilakukan, gunakan password berjenjang untuk membatasi akses ke data
12)  Lakukan pelatihan terhadap para pemakai tentang risiko virus computer, dan cara meminimumkan risiko tersebut.

Langkah-langkah strategi penyusunan sebuah pengendalian intern untuk PC:
1)      Identifikasi dan pendataan seluruh PC yang digunakan termasuk penggunanya
2)      Setiap PC harus diklasifikasikan sesuai dengan derajat risiko yang terkait dengan progam aplikasi yang digunakan
3)      Pemasangan progam pengamanan untuk setiap PC sesuai dengan derajat risiko dan karakteristik system aplikasinya

12.  Pengendalian Internet (Internet Control)
Hal-hal yang perlu dicermati tentang internet sebelum menggunakannya adalah:
1)      Kejelasan tentang ukuran dan kompleksitas internet
2)      Variabilitas yang sangat besar dalam kualitas, kompatibilitas, kelengkapan dan stabilitas jaringan produk dan jasa
3)      Sebelum sebuah pesan internet sampai ke tujuannya, pesan tersebut melalui 5-10 komputer
4)      Beberapa situs (web-site) memiliki kelemahan pengamanan
5)      Kemungkinan adanya pembajak
Untuk mengatasi persoalan-persoalan tersebut, dapat digunakan cara-cara tertentu dalam pengamanan aktivitas internet, seperti password, teknologi encryption dan prosedur verifikasi routing. Salah satu pendekatan lain yang dapat dilakukan adalah pemasangan firewall, yaitu gabungan antara perangkat keras komputer dan software yang mengendalikan komunikasi antara sebuah  jaringan internal perusahaan yang sering disebut dengan trusted network, dan jaringan eksternal (untrusted network) seperti internet.
Pengamanan internet dapat pula dicapai dengan menggunakan pendekatan yang disebut tunneling. Dalam tunneling, jaringan dihubungkan melalui internet-firewall ke firewall-dan didata dibagi ke dalam segmen-segmen yang disebut paket internet Protokol (IP), diringkas digabung  (dicampur) dengan jutaan paket dari ribuan  computer lain dan dikirim melalui internet.

B.     PENGENDALIAN APLIKASI
Tujuan utama pengendalian aplikasi adalah untuk menjamin akurasi dan validitas input. File, progam, dan output sebuah progam aplikasi. Pengendalian aplikasi dan pengendalian umum saling melengkapi satu sama lain, jadi keduanya penting dan perlu, karena pengendalian aplikasi akan jauh lebih efektif jika didukung oleh adanya pengendalian umum yang kuat. Jika pengendalian aplikasi lemah, output SIA akan mengandung kesalahan. Output yang mengandung kesalahan ini jika digunakan untuk membuat keputusan, akan menghasilkan keputusan yang tidak tepat/keliru dan dapat berpengaruh negative terhadap hubungan antara perusahaan dengan pelanggan, pemasok, dan pihak eksternal lainnya.
Dalam system pengolahan data secara kelompok, pengendalian input dilakukan dengan prosedur sebagai berikut:
1.      lakukan penjumlahan kelompok data baik penjumlahan angka moneter (financial total) atau penjumlahan angka non-moneter (hash total), atau penjumlahan transaksi (record count) sebelum data diproses dan tulisan angka jumlah tersebut ke dalam secarik kertas yang disebut batch control sheet.
2.      ketika data dimasukkan ke dalam computer, computer pertama-tama akan menjalankan progam untuk penghitungan kelompok data.
3.      Setelah entry data dan penjumlahan kelompok data selesai dilakukan, cetak hasil perhitungan pada langkah sebelumnya dan lakukan pencocokan.

Lima katagori pengendalian aplikasi, yaitu:
1.      Pengendalian Sumber Data (Source Data Controls)
Pengendalian sumber data adalah salah satu bentuk pengendalian terhadap input, guna memastikan bahwa input data yang dimasukkan kekomputer untuk diolah lebih lanjut, tidak mengandung kesalahan. Dalam melaksanakan pengendalian ini, perlu dibentuk sebuah fungsi yang disebut dengan fungsi pengawas data (data control function) yang memiliki tugas  antara lain: sebelum data diproses, fungsi pengawas data mengecek otorisasi pemakai dan mencatat nama, sumber transaksi dan total transaksi ke dalam sebuah file yang disebut control log. Setelah data mulai diproses fungsi ini memonitor setiap tahap pengolahan dan membandingkan total untuk setiap tahap dan melakukan koreksi jika ada kesalahan.
Jenis-jenis pengendalian sumber data yang berfungsi mengatur akurasi, validitas dan kelengkapan input, yaitu:
a)      Key verification, seperti: kode pelanggan, nilai transaksi, dan kuantitas barang yang dipesan oleh pelanggan.
b)      Check digit verification
c)      Pre-numbered form sequence test (pengujian nomor urut dokumen yang telah tercetak)
d)     Turnaround document
e)      Otorisasi
f)       Pembatalan dokumen
g)      Visual scanning
h)      Fungsi pengawas data

2.      Progam Validasi Input (Input Validation Routines)
Progam validasi input adalah sebuah progam yang mengecek validitas dan akurasi data input segera setelah data tersebut dimasukkan ke dalam system. Progam ini lebih sering disebut dengan progam edit, dan pengecekan akurasi yang dilaksanakan oleh progam disebut dengan edit check.
Beberapa contoh edit checks yang digunakan dalam progam validasi input:
a)      Cek urutan (sequence check)
b)      Cek tempat data (field checks)
c)      Uji batas (limit test)
d)     Uji kisaran (range test)
e)      Uji kewajaran (reasonableness test)
f)       Pengecekan data ulang (redundant data check)
g)      Pengecekan tanda (sign check)
h)      Pengecekan validitas (validity check)
i)        Pengecekan kapasitan (capacity check)

3.      Pengendalian Entry Data Secara On-Line. (One-Line Data Entry Controis)
Tujuan dilakukannya pengendalian semacam ini adalah untuk menjamin akurasi dan integritas data transaksi yang dimasukkan dari terminal on-line dan PC.
Pengendalian entry data on-line mencakup:
a)      Edit checks
b)      User ID dan passwords
c)      Compatibility tests
d)     Prompting
e)      Preformating
f)       Compieteness test
g)      Closed-loop verification
h)      Transaction log

4.      Pengendalian Pengolahan Data dan Pemeliharaan File
Cara-cara pengendalian yang dapat dilakukan adalah:
a)      Pengecekan keterkinian data (data currency check)
b)      Nilai standar (default value). Dalam field-field tertentu.
c)      Pencocokan data (data matching)
d)     Pelaporan perkecualian (exception reporting)
e)      Rekonsiliasi data eksternal (external data reconciliation)
f)       Rekonsiliasi rekening control (control account reconciliation)
g)      Pengamanan file (file security)
h)      Pengendalian konversi file (file conversion control)
i)        Tampungan kesalahan (error logs)
j)        Pelaporan kesalahan (error reporting)
5.      Pengendalian Output (Outpur Control)
Pengendalianl Output dilakukakn dengan membentuk fungsi pengawas data. Petugas pengawas data harus memeriksa ulang seluruh output untuk menjamin kelayakan dan ketepatan format output, dan harus membandingkan jumlah data output dan input. Pengawas juga bertugas mendistrubusikan output hanya kepada departemen yang berhak saja. Cara-cara khusus harus diterpkan untuk menangani cek dan dokumen/laporan yang sifatnya sensitive dan rahasia.
Dalam hal ini para pemakai output juga bertanggung jawab memeriksa ulang kelengkapan dan akurasi output computer yang diterimanya. Apabila ada dokumen yang tidak terpakai lagi, namun berisi data yang sifatnya rahasia, maka dokumen tersebut harus dihancurkan,