Pengendalian khusus atau pengendalian aplikasi (application controls) adalah sistem pengendalian internal komputer yang berkaitan dengan pekerjaan atau kegiatan tertentu yang telah ditentukan (setiap aplikasi berbeda karakteristik dan kebutuhan pengendaliannya). Pengendalian aplikasi terdiri dari pengendalian batasan sistem aplikasi, pengendalian masukan, pengendalian proses, pengendalian keluaran,
pengendalian database, dan pengendalian komunikasi yang dapat dijabarkan sebagai berikut:
1. Pengendalian batasan sistem aplikasi (boundary controls)
Mengendalikan sifat dan fungsi pengendalian akses, penggunaan pengkodean dalam pengendalian akses, nomor identifikasi personal (PIN), digital signatures dan plastic cards.
Tujuan dari pengendalian batasan sistem aplikasi adalah:
a) Untuk menetapkan identitas dan otoritas user terhadap sistem komputer.
b) Untuk menetapkan identitas dan kebenaran sumber informasi yang akan digunakan user.
c) Untuk membatasi kegiatan user dalam mendapat sumber informasi berdasarkan kewenangan.
Jenis-jenis pengendalian dalam subsistem batasan, yaitu: a) Pengendalian Kriptografi
Kriptografi merupakan sistem untuk mentransformasikan data menjadi kode (cryptograms) sehingga tidak memiliki arti bagi yang tidak memiliki sistem untuk mengubah kembali data tersebut. Tujuannya untuk menjaga kerahasiaan informasi dengan mengacak data.
Terdapat tiga teknik kriptografi yaitu : 1. Transposition ciphers
Transposition ciphers menggunakan beberapa aturan untuk mengubah karakter menjadi rangkaian kata. Penggunaan
teknik ini adalah untuk mengamankan data dari pemakai biasa, jika integritas data merupakan hal yang sangat penting maka sebaiknya tidak menggunakan metode ini.
2. Substitution ciphers
Substitution ciphers tetap mempertahankan posisi karakter yang ada pada pesan tetapi menyembunyikan identitas karakter yang asli dengan cara menggunakan karakter pengganti sesuai dengan aturan yang telah ditetapkan.
3. Product ciphers
Product ciphers menggunakan gabungan antara metode transposition dan substitution dengan tingkat kesulitan yang lebih tinggi untuk dipecahkan.
b) Pengendalian Akses
Pengendalian akses berfungsi untuk membatasi penggunaan sumber daya sistem komputer, membatasi dan memastikan user untuk mendapatkan sumber daya yang mereka butuhkan. Langkah-langkah umum untuk menunjang fungsi tersebut, yaitu: 1) Mengesahkan user yang telah mengidentifikasikan dirinya ke
sistem.
2) Mengesahkan sumber daya yang diminta oleh user.
3) Membatasi aktivitas yang dilakukan oleh user terhadap sistem.
Fungsi Mekanisme Pengendalian Akses
Mekanisme pengendalian akses memproses permintaan user melalui tiga tahap yaitu:
1) User mengidentifikasikan dirinya untuk mengidentifikasikan bahwa user sungguh-sungguh melakukan permintaan terhadap sistem.
2) User mengautentifikasikan dirinya, begitu juga dengan mekanisme.
3) User meminta sumber daya khusus dan menjelaskan tindakan yang akan mereka lakukan terhadap sumber daya khusus tersebut.
Name, Account Identified user number
a. Identification Process
Remembered Information Valid/Invalid Possessed objects user Personal characteristics b. Authentication Process User X Identification data Authentication data Authorization data User X Identification data Authentication data Authorization data User X Access control mechanism Access control mechanism User X
Permitted/Denied actions Object resources Action requests c. Authorization Process
Gambar 2.1 Identification, Authentication and Authorization Process Sumber: Information System Control and Audit (Weber, 1999)
(1) Identifikasi dan Autentikasi
User mengidentifikasi dirinya pada mekanisme pengendalian akses dengan memberi informasi seperti nama atau nomor rekening. Informasi tersebut memungkinkan mekanisme untuk menentukan bahwa data yang masuk sesuai dengan informasi pada file autentikasi.
Terdapat tiga bagian yang dapat diisi oleh user untuk informasi autentikasi yaitu:
S User X Identification data Authentication data Authorization data
Pembagian informasi Contoh Informasi yang mudah diingat
Nama, tanggal lahir, no.account, password, PIN
Benda-benda yang dimiliki
Badge, finger ring, kunci kartu
Karakteristik pribadi Sidik jari, suara, ukuran tangan, tanda tangan, pola retina
Access control mechanism User X
Setiap bagian memiliki kelemahan masing-masing. Permasalahan pada bagian informasi yang mudah diingat user adalah lupa, akibatnya kebanyakan user memilih informasi yang mudah ditebak atau mencatatnya disuatu tempat yang kurang aman.
Beberapa masalah sehubungan dengan password dapat dilihat pada tabel 2.1
1 Untuk mengingat password, biasanya user mencatatnya di dekat komputernya
2 User memilih password yang mudah untuk ditebak, seperti nama keluarga atau bulan kelahiran
3 User tidak mengganti password pada jangka waktu yang lama
4 User kurang menyadari pentingnya password
5 User memberitahu passwordnya kepada teman atau teman kerjanya
6 Beberapa mekanisme pengendalian akses meminta user untuk mengingat beberapa password
7 Beberapa mekanisme pengendalian akses tidak menyimpan password dengan menggunakan enkripsi 8 Password tidak diganti ketika user keluar dari
9 Password ditransmisikan melalui jalur komunikasi dalam bentuk cleartext
Tabel 2.1 Permasalahan pada Password Sumber: Information System Control and Audit,
Weber (1999, p381)
The U.S. National Bureau of Standards (1985) dan the U.S. Department of Defense (1985) sebagaimana dikutip oleh Weber (1999, p382) mengusulkan langkah-langkah untuk mengatur password.
Prinsip mengatur password dengan baik dapat dilihat pada tabel 2.2
1 Jumlah password yang ada seharusnya dapat diterima oleh mekanisme pengendalian akses
2 Mekanisme pengendalian akses tidak menyetujui apabila panjang password kurang dari minimum
3 Mekanisme pengendalian akses tidak memperbolehkan user menggunakan password yang kata-katanya mudah dicari di kamus
4 User diharuskan mengganti passwordnya secara periodik
5 User tidak diperbolehkan menggunakan kembali password yang usianya lebih dari 12 bulan
6 Password harus dienkripsi ketika akan disimpan atau ditransmisikan
7 User harus diberi penjelasan mengenai pentingnya keamanan password, prosedur yang dapat digunakan untuk memilih password yang aman, dan prosedur untuk menjaga keamanan password
8 Password harus segera diganti apabila terdapat indikasi bahwa password telah dikompromikan
9 Mekanisme pengendalian akses membatasi user untuk memasukkan password yang salah
Tabel 2.2 Prinsip-prinsip Mengatur Password Sumber: Information System Control and Audit,
Weber (1999, p382)
Contoh identifikasi dan autentikasi yang dapat dilakukan oleh user ketika mengakses sistem diantaranya, yaitu:
a. Personal Identification Number (PIN)
PIN adalah suatu informasi yang mudah diingat dan digunakan untuk mengautentikasi user pada sistem transfer data elektronik.
b. Plastic Card
setiap individu yang akan menggunakan sistem komputer. c. Password
Menurut sumber yang dikutip dari website (www.mfgquote.com/resources_web_terms_P.cfm) yang diakses pada 16 September 2005 pukul 08.00 WIB, password is a secret series of characters that enables a user to access a file, computer or program. On multi-user systems, each user must enter a password before the computer will respond to commands. The password helps ensure that unauthorized users do not access the computer. Ideally, the password should be something that nobody could guess.
Password adalah sekumpulan karakter rahasia yang memungkinkan user untuk mengakses suatu file, komputer maupun program. Pada sistem multi-user, masing-masing pengguna harus memasukkan password sebelum komputer dapat meresponi perintah yang diberikan oleh user. Password memastikan bahwa user yang tidak memiliki otoritas, tidak dapat mengakses komputer. Sebaiknya password adalah karakter yang tidak diduga oleh orang lain.
(2) Sumber Daya Objek
Sumber daya yang digunakan oleh user untuk bekerja pada sistem informasi berbasiskan komputer dapat dibagi
menjadi empat, yaitu:
Klasifikasi Sumber Daya Contoh
Hardware Terminal, printer, processor, disk, jalur komunikasi
Software Program sistem aplikasi,
generalisasi software sistem Komoditi Kecepatan processor, tempat
penyimpanan
Data File, grup, data item
(termasuk gambar dan suara)
Setiap sumber daya harus diberi nama karena secara umum mekanisme pengendalian akses harus menyesuai-kannya dengan permintaan user.
(3) Action Privileges (Hak Istimewa)
Action Privileges diberikan kepada user berdasarkan pada tingkatan kewenangan user dan jenis sumber daya yang akan digunakan.
Kebijakan Pengendalian Akses
Mekanisme pengendalian akses digunakan untuk menghasilkan kebijakan pengendalian akses, yaitu:
1) Discretionary Access Control
Apabila sebuah organisasi menggunakan jenis ini, user diizinkan untuk menentukan kepada siapakah mekanisme pengendalian akses memberikan akses atas filenya. Dengan demikian user dapat memilih apakah digunakan sendiri atau akan berbagi dengan user lainnya.
2) Mandatory Access Control
Pada jenis ini baik user maupun sumber daya menggunakan keamanan atribut yang tetap. Mekanisme pengendalian akses menggunakan atribut tersebut untuk menentukan user manakah yang dapat mengakses sumber daya tertentu. Hanya system administrator yang dapat mengubah keamanan atribut user dan sumber daya.
3) Audit Trail
Audit trail merekam semua kejadian yang berhubungan dengan boundary system. Audit trail dapat digunakan untuk menganalisa suatu kesalahan, selain itu dapat dijadikan bukti ketidakefisienan dan ketidakefektifan penggunaan sumber daya.
2. Pengendalian masukan (input controls)
Menurut Weber (1999, pp420-450) komponen pada subsistem masukan bertanggungjawab dalam mengirimkan data dan instruksi ke dalam sistem aplikasi dimana kedua tipe input tersebut haruslah
divalidasi, selain itu banyaknya kesalahan yang terdeteksi harus dikontrol sehingga input yang dihasilkan akurat, lengkap, unik, dan tepat waktu.
Pengendalian masukan sangat diperlukan karena input merupakan salah satu tahap dalam sistem komputerisasi yang paling mengandung resiko. Resiko yang dihadapi misalnya:
a) Data transaksi yang ditulis oleh pelaku transaksi salah (error). b) Kesalahan pengisian dengan kesengajaan disalahkan.
c) Penulisan tidak jelas sehingga dibaca salah oleh orang lain.
Komponen pengendalian masukan ada delapan, yaitu mencakup: 1. Metode Data Input
Gambar 2.2 Input Methods
Sumber: Information System Control and Audit (Weber, 1999) 2. Perancangan Dokumen Sumber
Menurut sudut pandang pengendalian, perancangan dokumen sumber yang baik memiliki beberapa tujuan:
a. Mengurangi kemungkinan perekaman data yang error. b. Meningkatkan kecepatan perekaman data.
c. Mengendalikan alur kerja.
d. Memfasilitasi pemasukan data ke dalam sistem komputer. e. Dapat meningkatkan kecepatan dan keakuratan pembacaan
data.
f. Memfasilitasi pengecekan referensi berikutnya. 3. Perancangan Data Layar Entry
Jika data dimasukkan ke sistem melalui monitor, rancangan layar dengan kualitas tinggi sangat penting untuk meminimumkan error input dan mencapai keefektifan dan keefisiensian subsistem masukan. Auditor harus melakukan penilaian terhadap layout rancangan input pada layar komputer agar dapat membuat penilaian terhadap efektifitas dan efisiensi subsistem input ini. 4. Pengendalian Kode Data
Tujuan kode data yang unik yaitu untuk mengidentifikasi entitas sebagai anggota dalam grup atau set, dan lebih rapi dalam menyusun informasi yang dapat mempengaruhi tujuan integritas data, keefektifan serta keefisiensian.
Tipe-tipe dari sistem pengkodean adalah serial codes, block sequence codes, hierarchical codes, association codes yang dapat dijabarkan sebagai berikut:
a. Serial codes
Memberikan urutan nomor atau alfabet sebagai suatu obyek, terlepas dari kelompok obyek tersebut. Maka, dapat dikatakan bahwa serial codes secara unik mengidentifikasi suatu obyek.
b. Block sequence codes
Pengkodean dengan block sequence memberikan satu blok dari nomor-nomor sebagai suatu kategori khusus dari sebuah obyek.
c. Hierarchical codes
Hierarchical codes membutuhkan pemeliharaan serangkaian nilai kelompok dari suatu obyek yang akan dikodekan dan diurutkan berdasarkan tingkat kepentingannya.
d. Assosiation codes
Dengan assosiation codes, kelompok dari obyek yang akan diberi kode dipilih, dan kode yang unik diberikan untuk masing-masing nilai dari kelompok tersebut. Kode tersebut dapat berupa numerik, alfabet, atau alfanumerik.
5. Cek Digit
Cek digit digunakan dalam banyak aplikasi untuk mendeteksi kesalahan sebagai contoh: pengecekan pada tiket pesawat, proses kartu kredit dan proses rekening bank.
6. Pengendalian Batch
Batching merupakan proses pengelompokkan transaksi bersama-sama yang menghasilkan beberapa jenis hubungan antara yang satu dengan lainnya. Ada dua jenis batch yang digunakan yaitu batch fisik dan batch logis. Physical batches merupakan pengelompokkan berdasarkan unit fisik. Logical batches merupakan grup transaksi yang dikelompokkan berdasarkan
logika.
7. Validasi Input Data
Data yang dimasukkan pada aplikasi harus segera divalidasi setelah diinput. Jenis pengecekan validasi input data yaitu Field Checks, Record Checks, Batch Checks dan File Checks.
8. Instruksi Input
Dalam memasukkan instruksi ke dalam sistem aplikasi sering terjadi kesalahan karena adanya instruksi yang bermacam-macam dan kompleks. Karena itu perlu menampilkan pesan kesalahan. Pesan kesalahan yang ditampilkan harus dikomunikasikan pada user dengan lengkap dan jelas.
3. Pengendalian proses (process controls)
Pengendalian proses dilaksanakan setelah memasuki sistem dan program-program aplikasi mengolah data. Pengendalian ini dimaksudkan untuk memperoleh jaminan yang memadai bahwa:
a. Transaksi diolah sebagaimana mestinya oleh komputer.
b. Transaksi tidak hilang, ditambahkan, digandakan ataupun diubah tidak semestinya.
c. Transaksi yang keliru ditolak, dikoreksi dan jika perlu dimasukkan kembali secara tepat waktu.
4. Pengendalian keluaran (output controls)
fungsi yang menentukan isi dari data yang akan didistribusikan kepada user, cara-cara data dibentuk dan ditampilkan ke user dan cara-cara data dipersiapkan dan dikirimkan ke user.
Komponen utama dari sistem output adalah software dan personil yang menentukan isi, bentuk dan jangka waktu dari data yang disediakan bagi user dan peralatan hardware yang digunakan untuk menyalurkan data output yang telah terbentuk ke user (seperti printer dan monitor).
Pengendalian keluaran digunakan untuk memastikan bahwa data yang diproses tidak mengalami perubahan yang tidak sah oleh personil yang mengoperasi komputer dan memastikan hanya personil yang berwenang saja yang menerima output.
Pengendalian keluaran yang dapat dilakukan berupa :
a. Mencocokkan data output dengan data input yang diperoleh dalam siklus pemrosesan.
b. Mereview data output untuk melihat format yang tepat.
c. Mengendalikan data input yang ditolak oleh komputer selama pemrosesan dan mendistribusikan data yang ditolak tersebut ke personil yang tepat.
d. Mendistribusikan laporan-laporan output ke departemen pemakai tepat pada waktunya.
5. Pengendalian database (database controls)
membaca, mengubah dan menghapus data pada sistem informasi. Selain itu, subsistem database menyimpan data-data yang akan digunakan bersama-sama oleh pemakai database sehingga pengendalian database sangat diperlukan untuk menjaga integritas data dalam database.
6. Pengendalian komunikasi (communication controls)
Subsistem komunikasi bertanggungjawab untuk mengirim data ke seluruh sistem lainnya dalam suatu sistem dan untuk mengirim data dari sistem lainnya. Dalam hal ini pengendalian komunikasi bertujuan untuk mengurangi kerugian dari kegagalan pada komponen-komponen subsistem dari kegiatan yang disengaja dengan tujuan untuk merusak kebenaran dan rahasia data yang sedang dikirim melalui komponen-komponen tersebut.