2. LANDASAN TEORI. 6 Universitas Kristen Petra

(1)

6

Universitas Kristen Petra

2. LANDASAN TEORI

2.1 Sistem Informasi Akuntansi

Sistem Informasi adalah serangkaian prosedur formal dimana data dikumpulkan, diproses menjadi informasi, dan didistribusikan ke para pengguna (Hall 2008:6).

Sistem Informasi Akuntansi adalah sebuah sistem yang memproses data dan transaksi yang nantinya dapat menghasilkan informasi sesuai dengan yang dibutuhkan oleh pengguna informasi untuk merencanakan, mengontrol, dan mengoperasikan aktivitas bisnis mereka (Romney dan Steinbart 2009:28).

Sistem Informasi Akuntansi terdiri dari enam komponen yang saling berkaitan, yaitu (Romney dan Steinbart 2009:28):

1. Orang yang mengoperasikan sistem dan melakukan fungsi tersebut

2. Prosedur dan petunjuk, baik manual dan otomatis, terlibat dalam mengumpulkan, memproses, dan menyimpan data tentang aktivitas organisasi.

3. Data-data tentang proses bisnis organisasi

4. Penggunaan software dalam pemrosesan data organisasi

5. Infrastruktur teknologi informasi, termasuk komputer, perangkat pendukung, dan perangkat komunikasi jaringan yang digunakan untuk mengumpulkan, menyimpan, mengolah, dan mengirimkan data dan informasi.

6. Pengendalian internal dan langkah-langkah keamanan yang menjaga data dalam SIA.

Keenam komponen memungkinkan SIA memenuhi tiga fungsi bisnis yang penting, yaitu:

1. Mengumpulkan dan menyimpan data tentang aktivitas organisasi, sumber daya, dan personil.

2. Mengubah data menjadi informasi yang berguna untuk membuat keputusan sehingga manajemen dapat merencanakan, melaksanakan, mengendalikan, dan mengevaluasi kegiatan, sumber daya, dan personel.

(2)

7

3. Menyediakan pengendalian yang memadai untuk menjaga aset organisasi, termasuk data, untuk memastikan bahwa aset dan data tersedia saat dibutuhkan dan data tersebut akurat dan dapat diandalkan.

2.2 Keuntungan dan Resiko Sistem Informasi Berbasis Komputer

Penerapan teknologi informasi dalam sistem informasi perusahaan memberikan keuntungan bagi perusahaan dalam hal (Arens, Elder, & Beasley 2008:372):

1. Kontrol komputer menggantikan kontrol manual

Sistem terkomputerisasi mampu menangani transaksi bisnis dengan jumlah besar sehingga dari segi biaya lebih efektif. Sistem terkomputerisasi dapat mengurangi kesalahan dengan mengganti prosedur manual dengan kontrol terprogram yang menggunakan check and balance untuk setiap transaksi yang diproses. Hal ini mengurangi kesalahan manusia yang sering terjadi di pengolahan transaksi manual.

2. Tersedianya informasi berkualitas tinggi

Kegiatan TI yang kompleks sering diberikan secara efektif karena kompleksitas membutuhkan organisasi, prosedur, dan dokumentasi yang efektif.

Ini berakibat pada menyediakan manajemen dengan informasi berkualitas lebih tinggi, lebih cepat dari kebanyakan sistem manual.

Meskipun TI memberikan manfaat bagi perusahaan, namun TI juga menciptakan risiko dalam melindungi perangkat keras dan data, serta memperkenalkan kesalahan potensial yang baru. Salah saji juga mungkin menjadi tidak terdeteksi dengan peningkatan penggunaan TI karena hilangnya jejak audit (dokumen sumber). Penerapan teknologi juga mengurangi keterlibatan manusia, komputer menggantikan otorisasi tradisional di banyak sistem TI. Selain itu, sistem TI mengurangi pemisahan tugas (otorisasi, pencatatan, dan penjagaan) dan menciptakan kebutuhan perusahaan untuk memiliki personil yang memiliki pengalaman TI (Arens, Elder, & Beasley 2008).

(3)

8

2.3 Ancaman Terhadap Sistem Informasi

Beberapa ancaman yang mungkin timbul terhadap sistem informasi, yaitu (Romney dan Steinbart 2009:165):

1. Kerusakan akibat bencana alam dan situasi politik, contoh: banjir, gempa bumi, kebakaran, perang.

2. Software error dan equipment malfunction, contoh: kegagalan hardware, error pada transmisi data yang tidak terdeteksi.

3. Unintentional acts, contoh: kesalahan yang tidak disengaja, kehilangan data, kecelakaan yang disebabkan kecerobohan manusia, kegagalan untuk mengikuti prosedur yang ada, personel yang kurang terlatih, sistem yang tidak memenuhi kebutuhan perusahaan atau tidak dapat menangani tugas tertentu.

4. Intentional acts (computer crime) contoh: sabotase, computer fraud, emblezzement (penggelapan).

2.4 Pengertian Audit Sistem Informasi

Definisi auditing menurut American Accounting Association adalah suatu proses yang sistematik dengan tujuan mendapatkan dan mengevaluasi bukti berdasarkan asersi mengenai kejadian dan tindakan ekonomi untuk meyakinkan derajat kesesuaian antara asersi dengan kriteria-kriteria yang telah ditetapkan dan mengkomunikasikan hasilnya kepada pihak yang berkepentingan (Romney dan Steinbart 2009:352).

Information system audit adalah peninjauan pengendalian umum dan aplikasi dari audit sistem informasi untuk menilai kesesuaian terhadap kebijakan dan prosedur pengendalian internal serta efektivitas dalam menjaga aset (Romney dan Steinbart 2009:356).

Audit sistem informasi pada umumnya dibagi menjadi tiga tahap, yaitu (Hall 2008:747):

1. Perencanaan audit

Sebelum auditor dapat menentukan sifat dan tingkat dari pengujian yang dilakukan, auditor harus memperoleh pemahaman menyeluruh terhadap bisnis klien. Bagian utama dari tahap audit ini adalah analisis resiko audit. Tujuannya adalah untuk mendapatkan informasi yang cukup tentang perusahaan untuk

(4)

9

merencanakan tahap audit selanjutnya. Analisis resiko mencakup gambaran umum internal kontrol organisasi. Selama peninjauan kontrol, auditor berusaha memahami kebijakan, praktek, dan struktur perusahaan. Pada tahap audit ini, auditor juga mengidentifikasi aplikasi finansial yang signifikan dan berusaha memahami pengendalian transaksi utama yang diproses aplikasi tersebut. Teknik pengumpulan bukti pada tahap ini meliputi kuestioner, wawancara dengan manajemen, mereview sistem dokumentasi, and observasi kegiatan-kegiatan.

Selama proses ini, audior harus mengidentifikasi ancaman yang paling penting dan pengendalian yang ada untuk mengurangi ancaman tersebut.

2. Pengujian pengendalian

Tujuan dari tahap ini adalah untuk menentukan apakah pengendalian internal sudah sesuai dan berfungsi dengan baik. Untuk mencapai hal ini, auditor melakukan berbagai pengujian kontrol. Teknik pengumpulan bukti dalam fase ini meliputi teknik manual dan teknik khusus audit komputer. Pada akhir tahap ini, auditor harus menilai kualitas pengendalian internal. Tingkat kepercayaan auditor terhadap pengendalian internal menentukan sifat dan tingkat pengujian substantif.

3. Pengujian substantif

Tahap ini berfokus pada data keuangan, yang melibatkan pemeriksaan saldo akun dan transaksi melalui pengujian substantif. Beberapa pengujian substantif merupakan aktivitas fisik, seperti menghitung uang tunai, menghitung persediaan di gudang, dan memverifikasi keberadaan sertifikat saham yang aman.

Dalam lingkungan TI, informasi yang dibutuhkan untuk melakukan pengujian substantif terkandung dalam file data yang sering harus diekstrak menggunakan alat audit yang dibantu komputer dan teknik software.

Pada penelitian ini, penulis hanya melakukan tahap 1 dan 2 karena penulis tidak melakukan pemeriksaan pada data keuangan, seperti yang dimaksud pada tahap ke-3.

2.5 Pengendalian Umum

Pengendalian internal adalah sebuah proses yang dirancang untuk memberikan kepastian yang memadai tentang pencapaian tujuan manajemen dalam hal keandalan laporan keuangan, efektivitas dan efisiensi operasi, dan

(5)

10

kepatuhan terhadap hukum dan peraturan yang berlaku (Arens, Elder, Beasley 2008:290).

Pengendalian internal dalam sistem informasi yang terkomputerisasi dapat diklasifikasikan menjadi pengendalian umum dan pengendalian aplikasi. Tujuan pengendalian aplikasi adalah untuk memastikan validitas, kelengkapan, dan akurasi transaksi keuangan. Contohnya, menghitung pengeluaran sejumlah kas, mengecek angka cek piutang, dan memeriksa batas sistem penggajian.

Pengendalian umum termasuk kontrol atas tata kelola TI, infrastruktur IT, keamanan dan akses ke sistem operasi dan database, aplikasi akuisisi dan pengembangan, serta perubahan program (Hall 2008:726).

Pengendalian umum adalah sistem pengendalian yang dirancang untuk memastikan lingkungan pengendalian organisasi stabil dan dikelola dengan baik (Romney dan Steinbart 2009:222).

2.6 Pengendalian Umum Sistem Informasi Terkomputerisasi

Pengendalian Umum pada sistem informasi terkomputerisasi terdiri dari komponen berikut ini (Hall 2008:352):

1. Pengendalian atas Struktur Organisasi

2. Pengamanan dan Pengendalian atas Pusat Komputer 3. Disaster Recovery Planning

4. Pengendalian atas Sistem Operasi

5. Pengendalian atas Sistem Manajemen Data 6. Pengendalian atas Jaringan

7. Pengendalian atas Electronic Data Interchange (EDI) 8. Pengendalian atas Pengembangan Sistem

Pengendalian umum atas Electronic Data Interchange (EDI) dan Disaster Recovery Planning (DRP) tidak dibahas karena tidak diterapkan oleh Rumah Sakit “X”.

2.6.1 Pengendalian atas Struktur Organisasi

Pemisahan tugas berarti tanggung jawab untuk otorisasi, pemeliharaan, dan penjagaan catatan untuk penanganan dan pengolahan transaksi dipisahkan.

(6)

11

Pemisahan tugas dalam pengolahan data berarti pengolahan data komputer seharusnya tidak memiliki perwalian maupun otoritas atas aset selain dari aset pengolahan data (Bodnar & Hopwood 2010:149).

Tujuan audit atas pengendalian struktur organisasi adalah memverifikasi bahwa para individu dalam daerah yang berbeda dipisahkan sesuai dengan tingkat resiko potensialnya dan dengan cara yang meningkatkan lingkungan kerja (Hall 2008:485).

Ada dua model sistem organisasi, yaitu sistem komputer terpusat atau sentralisasi dan sistem komputer dengan distribusi data atau desentralisasi. Dalam model pengolahan data terpusat, semua pemrosesan data dilakukan oleh satu atau lebih server yang ditempatkan di lokasi pusat yang melayani pengguna di seluruh organisasi (Hall 2008:21).

Berikut ini adalah gambar yang menggambarkan bagan struktur organisasi dalam suatu sistem terkomputerisasi yang mencakup kunci-kunci utama, yaitu :

Gambar 2.1 Bagan Struktur Organisasi Dalam Sistem Terkomputerisasi

1. System Development, adalah sebuah fungsi yang diminta untuk mengajukan usulan sistem secara umum, membuat rencana sistem secara detail, membuat program-program komputer dan melakukan uji coba sistem (Purwono 2004:11).

Dalam suatu fungsi tersebut haruslah mencapai suatu kebutuhan dari sistem informasi para pengguna itu sendiri. Kebutuhan sistem informasi para pengguna dipenuhi melalui dua fungsi di bawah ini yang saling berhubungan, yaitu:

a. New System Development, adalah fungsi yang bertanggungjawab menganalisis berbagai kebutuhan pengguna dan mendesain sistem baru yang dapat memenuhi kebutuhan tersebut (Hall 2008:22). Para partisipan yang terlibat adalah para praktisi sistem, pengguna akhir, dan pemegang kepentingan.

(7)

12

Praktisi sistem disini meliputi analisis sistem, desainer basis data, dan programmer yang yang mendesain dan membangun sistem. Praktisi sistem mengumpulkan fakta tentang masalah pengguna, menganalisa masalah tersebut, dan merumuskan berbagai macam solusi. Hasil dari usaha tersebut adalah terciptanya sistem informasi yang baru. Pengguna akhir adalah pihak untuk siapa sistem ini dibuat. Mereka adalah manajer yang menerima laporan dari sistem dan personel yang mengoperasikan yang bekerja secara langsung dengan sistem sebagai bagian dari tanggung jawab mereka sehari-hari.

Pemegang kepentingan adalah individu yang berada di dalam atau di luar perusahaan yang memiliki kepentingan terhadap sistem, namun bukan pengguna akhir. Mereka termasuk manajer, auditor internal, dan konsultan yang mengawasi pengembangan sistem.

b. System Maintenance, adalah fungsi yang bertugas untuk meneruskan tanggung jawab untuk menjaga sistem baru yang telah didesain dan diimplementasikan agar tetap sesuai dengan kebutuhan pengguna (Hall 2008:23).

2. Database Administrator, adalah fungsi yang bertanggung jawab untuk sejumlah pekerjaan penting yang berkaitan dengan keamanan basis data, termasuk membuat skema basis data, menciptakan tampilan pengguna (subschemas), menetapkan wewenang akses kepada pengguna, mengawasi penggunaan basis data, dan merencakan untuk ekspansi di masa depan (Hall 2008:730). DBA bertanggung jawab untuk menjaga keamanan dan integritas data.

3. Data Processing, adalah fungsi yang bertugas untuk melaksanakan pekerjaan pengolahan data (Purwono 2004:60). Data Processing mengatur sumber daya komputer yang digunakan untuk melakukan pemrosesan transaksi harian. Bagian dari pemrosesan data ini terdiri dari :

a. Data Control, adalah fungsi yang bertanggung jawab menerima kumpulan dokumen transaksi untuk pengolahan dari pengguna akhir dan kemudian mendistribusikan output komputer (dokumen dan laporan) kembali ke pengguna. Saat ini fungsi tersebut biasanya otomatis dan didistribusikan kembali ke pengguna akhir (Hall 2008:21).

(8)

13

b. Data Conversion, adalah fungsi yang menuliskan data transaksi dari dokumen sumber (kertas) ke media digital (tape atau disk) yang cocok untuk pengolahan perusahaan oleh komputer pusat (Hall 2008:22).

c. Computer Operations, adalah fungsi yang mengelola file transaksi yang dihasilkan dari komputer pusat (Hall 2008:22). Aplikasi akuntansi biasanya juga dijalankan berdasarkan jadwal yang ketat dan dikendalikan oleh sistem operasi komputer pusat.

d. Data Library, adalah ruangan yang berdekatan dengan pusat komputer yang menyediakan penyimpanan yang aman untuk file data offline, seperti pita magnetis (tape) dan removable disk. Data librarian yang bertanggung jawab atas penerimaan, penyimpanan, penarikan, dan pengamanan file data mengendalikan akses ke perpustakaan tersebut. Petugas itu mengeluarkan file data bagi operator komputer dan mengamankan file ketika pemrosesannya telah selesai.

Ada beberapa pemisahan tugas dalam sistem sentralisasi, yaitu : 1. Memisahkan Systems Development dari Computer Operations

Pemisahan personel yang melakukan pengembangan sistem (new system development dan system maintenance) dengan orang yang menjalankan operasi perlu dilakukan karena dengan pengetahuan rinci dari logika aplikasi dan parameter pengendalian beserta akses ke operasi komputer, seseorang bisa membuat perubahan yang tidak sah terhadap logika aplikasi selama pelaksanaan.

Hal ini akan mengundang terjadinya kecurangan (Hall 2008:729).

2. Pemisahan Personel Database Administrator dari Fungsi-Fungsi Lainnya Mendelegasikan tanggung jawab kepada orang lain yang melakukan tugas yang saling berkepentingan dapat mengancam integritas database.

 Pemisahan Database Administrator dari System Development.

Programmer membuat aplikasi yang mengakses, memperbarui, dan mengambil data dari database. Untuk mencapai akses database, programmer dan DBA harus sepakat mengenai tampilan pengguna untuk menyediakan aplikasi tersebut. Hal ini memungkinkan dan membutuhkan tinjauan resmi dari kebutuhan data pengguna dan masalah keamanan permintaan tersebut.

Menetapkan tanggung jawab penentuan user view kepada individu dengan

(9)

14

tanggung jawab pemrograman menghilangkan kebutuhan untuk mencari kesepakatan tersebut dan dengan demikian mengikis kontrol akses ke DBMS (Hall 2008:730).

3. Pemisahan fungsi New System Development dari fungsi Maintenance.

Beberapa perusahaan mengelola fungsi pengembangan sistem mereka dalam dua kelompok, yaitu analisis dan pemrograman sistem. Analisis sistem bekerja dengan pengguna untuk menghasilkan desain rinci sistem yang baru.

Programmer mengkode program sesuai spesifikasi desain. Dalam pendekatan ini, programmer juga memelihara program selama fase systems development life cycle (SDLC). Pendekatan ini mendorong dua masalah potensial, yaitu (Hall 2008:730):

 Dokumentasi yang tidak memadai

Ketika sebuah sistem kurang didokumentasikan, maka akan sulit untuk menafsirkan, menguji, dan men-debug. Oleh karena itu, programmer yang mengerti sistem menjaga kekuatan persetujuan dan menjadi sangat diperlukan.

Ketika programmer keluar dari perusahaan, maka seorang programmer baru mewarisi tanggung jawab pemeliharaan untuk sistem yang tidak tercatat.

 Penipuan program

Ketika programmer pertama dari sebuah sistem juga bertanggung jawab memelihara sistem, maka potensi kecurangan akan meningkat. Kecurangan program melibatkan perubahan tidak sah terhadap modul program dengan tujuan untuk melakukan tindakan ilegal. Melalui otoritas pemeliharaan, programmer dapat dengan bebas mengakses sistem, menonaktifkan penipuan kode selama audit dan mengembalikan kode kembali. Penipuan ini dapat terus berlanjut selama bertahun-tahun tanpa terdeteksi.

Struktur organisasi yang unggul memisahkan fungsi pengembangan sistem menjadi dua kelompok independen, yaitu new systems development dan system maintenance. New systems development bertanggung jawab untuk merancang, memrogram, dan pelaksanaan proyek-proyek sistem baru. Setelah implementasi berhasil, system maintenance bertanggung jawab untuk pemeliharaan sistem tersebut. Struktur ini membantu menyelesaikan dua masalah kontrol di atas.

Pertama, standar dokumentasi ditingkatkan karena kelompok maintenance akan memerlukan dokumentasi yang memadai untuk melakukan tugas pemeliharaan

(10)

15

mereka. Kedua, menolak akses masa mendatang programmer asli ke kode aplikasi dapat menghalangi penipuan program.

Berdasarkan hal-hal yang dijelaskan di atas, pengendalian atas struktur organisasi yang memadai harus mempunyai aspek-aspek berikut:

1. Adanya pemisahan tugas systems development dengan computer operations 2. Adanya pemisahan database administrator dengan fungsi-fungsi lainnya

3. Adanya pemisahan fungsi new systems development dengan fungsi maintenance

2.6.2 Pengamanan dan Pengendalian Pusat Komputer

Keamanan fisik yang berhubungan dengan teknologi informasi mengacu pada pengamanan perangkat keras, bangunan, dan media yang berisi data dan program, serta infrastruktur yang digunakan untuk mendukung pengolahan data.

Keamanan fisik meliputi tindakan pengendalian untuk mengurangi resiko kejadian alam (banjir, gempa bumi, kondisi cuaca buruk) serta masalah buatan manusia (kebakaran, kerusakan, pencurian, kerusuhan sipil). Keamanan lingkungan meliputi struktur pendukung yang merupakan dasar dari lingkungan fisik termasuk listrik, AC, pemanas, dan pencahayaan (Cascarino 2007:330).

Tujuan audit pengendalian atas pusat komputer adalah untuk mengevaluasi pengendalian yang mengatur keamanan pusat komputer serta untuk memastikan bahwa:

a. Kontrol keamanan fisik memadai untuk melindungi organisasi dari pembongkaran fisik.

b. Pertanggungan asuransi yang cukup atas peralatan untuk mengkompensasi organisasi untuk kehancuran atau kerusakan pada pusat komputernya.

c. Dokumentasi operator cukup untuk menangani operasi rutin serta kegagalan sistem (Hall 2008:736).

Berbagai bencana alam yang terjadi dapat merusak fasilitas pemrosesan data organisasi dan menghentikan fungsi-fungsi yang dijalankan dengan bantuan komputer. Jika suatu kerusakan terjadi, organisasi tidak hanya kehilangan investasinya dalam fasilitas pemrosesan datanya, tetapi juga dapat kehilangan kemampuannya untuk menjalankan bisnis (Hall 2008:734). Untuk meminimalisasi

(11)

16

hal tersebut dibutuhkan kontrol terhadap pusat komputer, yaitu:

1. Pengendalian atas pusat komputer

Berikut ini adalah beberapa fitur kontrol yang secara langsung ikut menentukan keamanan lingkungan pusat komputer:

a. Lokasi Fisik

Pusat komputer harus terletak jauh dari bahaya buatan manusia dan alam yang berbahaya, seperti pabrik pengolahan, listrik gas dan air, bandara, daerah kejahatan berat, dataran banjir, dan kesalahan geologi.

b. Konstruksi

Idealnya, pusat komputer harus terletak di sebuah bangunan berlantai satu dari konstruksi padat. Utilitas (listrik dan telepon) dan saluran komunikasi harus berada di bawah tanah. Sistem penyaringan udara harus mampu mengeluarkan serbuk-serbuk, debu, dan kutu debu.

c. Akses

Akses ke pusat komputer harus dibatasi untuk operator dan karyawan lain yang bekerja di sana. Programmer dan analis yang kadang perlu memperbaiki kesalahan program harus diminta untuk masuk dan keluar. Pusat komputer harus memelihara catatan akurat dari semua peristiwa untuk memverifikasi fungsi kontrol akses. Pintu masuk utama ke komputer harus melalui satu pintu, meskipun pintu darurat kebakaran dengan alarm yang diperlukan. Untuk mencapai tingkat keamanan yang lebih tinggi, sistem kamera tersembunyi dan perekam video harus memantau akses.

d. Pendingin udara

Komputer berfungsi baik dalam kisaran temperatur 70 sampai 75 derajat farenheit dan kelembapan relatif 50% (persen).

e. Pemadam api, umumnya harus mempunyai:

 Alarm otomatis dan manual harus ditempatkan pada lokasi strategis di sekitar instalasi. Alarm ini harus dihubungkan secara permanen dengan stasiun pemadam kebakaran

 Pemadam api harus diletakkan pada lokasi yang strategis di sekeliling lokasi. Alat ini harus diinspeksi dan dipelihara secara berkala paling sedikit setiap tahun.

(12)

17

 Gedungnya harus dibangun dengan konstruksi yang kuat untuk menahan kerusakan air yang disebabkan alat pencegah kebakaran.

 Pintu darurat untuk kebakaran harus diberi tanda dengan jelas dan diberi penerangan saat terjadi kebakaran.

f. Pengendalian toleransi kesalahan

Pengendalian toleransi kesalahan adalah kemampuan sistem untuk melanjutkan operasi ketika sebagian sistem gagal karena kegagalan perangkat lunak, kesalahan program aplikasi, atau kesalahan operator (Hall 2008:736).

 Redundant array disk independen (RAID) meliputi penggunaan disk paralel yang mengandung unsur data dan aplikasi yang berlebih. Jika salah satu disk gagal, kehilangan data secara otomatis direkonstruksi dari komponen berlebih yang disimpan pada disk lain.

 Uninterruptible power supplies (UPS) membantu mencegah hilangnya data dan korupsi sistem. Jika terjadi kegagalan pasokan listrik, listrik cadangan jangka pendek disediakan untuk memungkinkan sistem dimatikan secara terkendali.

2. Jaminan Asuransi

Perusahaan memiliki jaminan asuransi organisasi atas hardware, software, dan fasilitas fisik komputer. Semua akuisisi yang baru telah tercatat di dalam kebijakan dan peralatan usang dan perangkat lunak telah dihapus. Polis asuransi harus mencerminkan kebutuhan manajer dalam hal luasnya cakupan (Hall 2008:737). Rumah Sakit “X” tidak menggunakan jaminan asuransi atas hardware, software, dan fasilitas fisik komputernya. Jaminan asuransi tidak signifikan terhadap keamanan sistem operasi komputer di rumah sakit ini, karena jumlah komputer yang tidak terlalu banyak.

3. Kecukupan Dokumentasi oleh Operator Dokumentasi

Operator komputer menggunakan dokumentasi yang disebut run manual untuk menjalankan aspek sistem tertentu. Kumpulan sistem yang besar sering membutuhkan perhatian khusus dari operator. Selama hari itu, operator komputer dapat menjalankan puluhan program komputer yang memproses beberapa file dan menghasilkan beberapa laporan. Untuk mencapai operasi pengolahan data yang efektif, run manual harus cukup rinci untuk membimbing operator dalam tugas-

(13)

18

tugas mereka. Run manual harus lengkap dan akurat. Dan sistem dokumentasi tertentu, seperti diagram alur sistem, diagram alur logika, dan listing kode program, bukan merupakan bagian dari dokumentasi operator (Hall 2008:737).

Berdasarkan hal-hal yang dijelaskan di atas, suatu pengamanan dan pengendalian atas pusat komputer yang memadai harus mempunyai aspek-aspek berikut:

1. Pengendalian Pusat Komputer a. Lokasi fisik

Pusat komputer harus jauh dari bahaya buatan manusia atau alam.

b. Konstruksi

Pusat komputer harus terletak dalam bangunan berlantai satu dari konstruksi yang padat dengan akses yang dikontrol. Utilitas dan saluran komunikasi harus berada di bawah tanah. Jendela jangan terbuka. Memiliki sistem penyaringan udara yang baik.

c. Akses

Akses ke pusat komputer harus dibatasi pada operator dan karyawan lain yang bekerja di sana. Memiliki catatan peristiwa sebagai kontrol akses. Pintu masuk utama ke komputer harus melalui satu pintu.

d. Pendingin udara

Kisaran temperatur 70 sampai 75 derajat farenheit dan kelembaban relatif 50%.

e. Pemadam api

- Adanya alarm otomatis dan manual

- Alat pemadam kebakaran diletakkan pada lokasi strategis di sekeliling lokasi.

- Gedungnya dibangun dengan konstruksi yang kuat untuk menahan kerusakan air.

- Pintu darurat untuk kebakaran harus diberi tanda dengan jelas..

f. Toleransi kesalahan

- Ada RAID meliputi penggunaan disk paralel.

- Ada UPS sebagai baterai cadangan daya listrik.

3. Kecukupan Dokumentasi oleh Operator Dokumentasi - Adanya run manual yang cukup rinci, lengkap, dan akurat.

(14)

19

2.6.3 Pengendalian atas Sistem Operasi

Sistem operasi adalah program pengendali komputer. Sistem operasi mengijinkan para pemakai dan aplikasi-aplikasinya untuk membagikan dan mengakses sumber daya umum komputer, seperti prosesor, memori utama, database, dan printer (Hall 2008:760).

1. Pengamanan Sistem Operasi

Keamanan sistem operasi mencakup kebijakan, prosedur, dan pengendalian yang menentukan siapa yang dapat mengakses sistem operasi, sumber daya (file, program, printer) mana yang dapat mereka akses, dan tindakan apa yang dapat mereka ambil. Pengamanan sistem operasi ini meliputi:

a. Prosedur log-on

Prosedur log-on formal merupakan pengamanan pertama sistem operasi terhadap akses yang tidak memiliki otorisasi. Ketika pengguna memulai proses, ia disajikan sebuah kotak dialog yang meminta ID dan password pengguna.

Sistem ini membandingkan ID dan password untuk database pengguna yang valid. Jika sistem menemukan kecocokan, upaya log-on dikonfirmasi. Jika, password atau ID yang dimasukkan salah, upaya log-on gagal dan pesan dikembalikan ke pengguna. Pesan seharusnya tidak mengungkapkan password atau ID yang disebabkan oleh kegagalan itu. Sistem seharusnya mengijinkan pengguna untuk memasukan kembali informasi log-on. Setelah sejumlah upaya (biasanya tidak lebih dari lima), sistem harus mengunci pengguna dari sistem.

b. Access token

Jika upaya log-on berhasil, sistem operasi membuat access token yang berisi informasi penting tentang user, termasuk ID, password, kelompok user, dan hak istimewa yang diberikan kepada user. Informasi dalam access token digunakan untuk menyetujui semua tindakan yang dicoba user selama sesi.

c. Daftar kontrol akses

Daftar kontrol akses berisi informasi yang menjelaskan hak akses semua pengguna sumber daya yang sah. Ketika pengguna mencoba untuk mengakses sumber daya, sistem membandingkan ID dan hak istimewa di access token dengan yang tercantum dalam daftar kontrol akses. Jika cocok, pengguna diberi akses.

(15)

20

2. Pengendalian Sistem Operasi

a. Pengendalian hak istimewa untuk akses (access privileges)

Tujuan auditor adalah untuk memastikan bahwa hak akses diberikan dengan cara yang konsisten dengan kebutuhan untuk memisahkan fungsi yang berbeda dan sesuai dengan kebijakan organisasi (Hall 2008:762).

Hak ini diberikan kepada individu-individu dan seluruh kelompok kerja yang diotorisasi untuk menggunakan sistem. Keistimewaan ini menentukan daftar, file, aplikasi, dan sumber daya lainnya yang dapat diakses individual atau kelompok. Mereka juga menentukan jenis-jenis tindakan yang dapat diambil.

Administrator sistem atau pemilik sumber daya dapat mengalihkan hak istimewa.

Manajemen harus peduli bahwa individu tidak diberikan hak istimewa yang tidak sesuai dengan tugas mereka. Privileges access harus diperintah dengan hati-hati dan diawasi secara ketat agar sesuai dengan kebijakan organisasi dan prinsip kontrol internal.

b. Pengendalian password

Tujuan auditor adalah untuk memastikan bahwa organisasi memiliki kebijakan password yang memadai dan efektif untuk mengendalikan akses ke sistem operasi (Hall 2008:764).

Password adalah kode rahasia yang dimasukkan oleh pengguna agar dapat mengakses sistem, aplikasi, file data, atau server jaringan. Jika pengguna tidak dapat memberikan password yang benar, sistem operasi harus menolak akses.

Kualitas keamanan password yang dapat digunakan kembali tergantung pada kualitas dari password itu sendiri. Jika password berkaitan dengan sesuatu tentang pribadi pengguna, seperti nama anak, nama hewan peliharaan, tanggal lahir, atau warna rambut, penjahat komputer sering dapat menyimpulkan hal itu. Bahkan jika password berasal dari data nonpersonal juga kemungkinan masih lemah.

Password yang berisi huruf dan angka acak lebih sulit untuk dipecahkan, tetapi juga lebih sulit bagi pengguna untuk mengingatnya.

Untuk meningkatkan kontrol akses, manajemen harus meminta password diubah secara teratur dan melarang password yang lemah. Tersedia sofware yang otomatis mengamati file password dan memberitahu pengguna bahwa password mereka telah kadaluwarsa dan perlu diubah. Sistem ini juga menggunakan

(16)

21

database yang luas dalam mengetahui password yang lemah untuk mengesahkan password baru dan melarang yang lemah.

c.Pengendalian terhadap virus dan program destruktif lainnya

Tujuan auditor adalah untuk memastikan bahwa kebijakan dan prosedur manajemen yang efektif ada untuk mencegah masuknya dan penyebaran program perusak, termasuk virus, worms, back doors, logic bombs, dan Trojan horses (Hall 2008:765).

Program berbahaya dan merusak bertanggung jawab atas kerugian perusahaan yang diukur dalam hal korupsi data dan kehancuran, kinerja komputer yang rusak, kerusakan hardware, pelanggaran privasi, dan waktu personil yang ditujukan untuk memperbaiki kerusakan. Penggolongan program ini termasuk virus, worm, logic bombs, back doors, dan trojan horses.Ancaman dari program yang merusak dapat dikurangi melalui kombinasi kontrol teknologi dan prosedur administrasi. Versi terbaru perangkat lunak antivirus harus terinstal di server dan di-upgrade secara teratur ke komputer user.

d. Sistem pengendalian jejak audit

Tujuan auditor adalah untuk memastikan bahwa jejak sistem audit yang dibentuk cukup untuk mencegah dan mendeteksi pelanggaran, merekonstruksi peristiwa penting yang mendahului kegagalan sistem, serta merencanakan alokasi sumber daya (Hall 2008:767).

Sistem jejak audit adalah catatan yang mencatat aktivitas aplikasi dan tingkat pengguna. Sistem operasi memungkinkan manajemen untuk memilih tingkat audit untuk dicatat dalam catatan. Kebijakan audit yang efektif akan menangkap semua peristiwa penting tanpa mengacaukan catatan dengan aktivitas sepele. Audit biasanya terdiri dari dua jenis audit log, yaitu rincian log keystroke individu dan peristiwa yang berorientasi pada log:

- Pemantauan keystroke

Pemantauan keystroke meliputi pencatatan keystroke pengguna dan respon sistem. Bentuk log ini dapat digunakan sebagai kendali untuk mencegah gangguan yang tidak sah. Pemantauan keystroke sama dengan penyadapan telepon. Beberapa situasi mungkin membenarkan tingkat pengawasan ini, namun pemantauan keystroke juga dapat dianggap sebagai pelanggaran privasi.

(17)

22

Sebelum menerapkan jenis kontrol, manajemen dan auditor harus mempertimbangkan kemungkinan hukum, etika, dan perilaku.

- Pemantauan peristiwa

Pemantauan peristiwa merangkum kegiatan kunci yang terkait dengan sumber daya sistem. Event log biasanya mencatat ID semua pengguna yang mengakses sistem, waktu dan durasi sesi pengguna, program yang dieksekusi selama sesi, dan file, database, printer, dan sumber daya lain yang diakses.

Berdasarkan hal-hal yang dijelaskan di atas, suatu pengendalian atas sistem operasi yang memadai harus mempunyai aspek-aspek berikut:

1. Prosedur Log-On

Memiliki prosedur log-on dalam sistem operasi dan aplikasi. Apabila user gagal dalam prosedur log-on (tidak lebih dari lima kali), sistem harus mengunci sistem.

2. Access Token

Memiliki informasi penting tentang user, termasuk ID, password, kelompok user, dan hak istimewa yang diberikan kepada user saat user berhasil log-on.

3. Daftar Kontrol Akses

Memiliki daftar kontrol akses berisi informasi yang menjelaskan hak akses semua pengguna sumber daya yang sah.

4. Pengendalian Hak Istimewa untuk Akses

Terdapat pembagian hak istimewa yang diberikan untuk memisahkan fungsi yang berbeda serta sesuai dengan kebijakan organisasi.

5. Pengendalian Password

Password yang digunakan berisi huruf dan angka acak. Password juga harus diubah secara teratur.

6. Pengendalian Terhadap Virus dan Program Dekstruktif Lainnya

Menggunakan versi terbaru anti virus dan meng-upgrade anti virus secara teratur.

7. Sistem Pengendalian Jejak Audit

Memiliki sistem audit trail untuk memonitor dan mencatat semua aktivitas dalam sistem operasi

(18)

23

2.6.4 Pengendalian atas Sistem Manajemen Data

Sebuah sistem manajemen data (DBMS) biasanya terdiri dari rangkaian program yang digunakan untuk mendefinisikan, menanyakan, mengamankan, dan umumnya mengelola data dengan volume besar (Champlan 2003:9).

Pengendalian atas manajemen data dibagi menjadi dua kategori, yaitu:

Access Controls (pengendalian akses) dan Backup Controls (pengendalian pendukung). Pengendalian akses didesain untuk mencegah orang yang tidak terotorisasi untuk melihat, mengambil, merusak, atau menghancurkan data perusahaan (Hall 2008:767). Pengendalian pendukung memastikan bahwa jika terjadi kehilangan data akibat akses yang tidak sah, kegagalan peralatan, atau bencana fisik, organisasi dapat memulihkan file dan databasenya (Hall 2008:767).

1. Access Controls (Pengendalian Akses)

Tujuan audit atas akses database adalah untuk memverifikasi bahwa individu yang berwenang untuk menggunakan database dibatasi untuk mengakses hanya data yang diperlukan untuk melakukan tugas mereka dan individu yang tidak sah tidak diberi akses ke database (Hall 2008:769).

Risiko terhadap database perusahaan meliputi korupsi, pencurian, penyalahgunaan, dan kerusakan data berasal dari penyusup yang tidak sah dan pengguna yang berwenang yang melebihi hak istimewa akses mereka. Beberapa pengendalian database yang mengurangi resiko ini, yaitu:

a. User view

User view atau subschema adalah kumpulan dari database total yang mendefinisikan wewenang data pengguna dan membatasinya mengakses ke database yang sesuai. Database administrator (DBA) biasanya bertanggung jawab untuk menentukan user view. Auditor khawatir bahwa hak akses seperti itu sepadan dengan kebutuhan yang sah pengguna. Meskipun user view dapat membatasi akses pengguna ke sekumpulan data yang terbatas, mereka tidak menentukan tugas hak istimewa seperti membaca, menghapus, atau menulis.

Seringkali, beberapa pengguna dapat berbagi user view tunggal tetapi tingkat kewenangannya berbeda.

(19)

24

b. Database authorization table

Tabel otorisasi database berisi aturan yang membatasi tindakan yang dapat diambil pengguna. Setiap user diberikan hak istimewa tertentu yang dikodekan dalam tabel otoritas yang digunakan untuk memverifikasi permintaan tindakan pengguna.

c. User-defined procedures

User-defined procedures mengijinkan pengguna untuk membuat program keamanan pribadi untuk memberikan identifikasi pengguna yang lebih daripada yang bisa dilakukan password. Misalnya, selain password, prosedur keamanan mengajukan serangkaian pertanyaan pribadi (seperti nama ibu pengguna), yang hanya diketahui pengguna yang sah. Pengguna dalam Rumah Sakit “X” tidak membuat program keamanan pribadi.

d. Data encryption

Banyak sistem database menggunakan prosedur enkripsi untuk melindungi data yang sangat sensitif, seperti rumus produk, tarif pembayaran personil, file password, dan data keuangan tertentu. Enkripsi data menggunakan algoritma untuk mengacak data yang dipilih, sehingga membuatnya tidak terbaca bagi penyusup yang menelurusi database. Selain untuk melindungi data yang tersimpan, enkripsi digunakan untuk melindungi data yang dikirimkan melalui jaringan.

e. Biometric devices

Biometric devices digunakan untuk mengukur berbagai karakteristik pribadi seperti sidik jari, suara, retina, atau karakteristik tanda tangan.

Karakteristik pengguna didigitalkan dan disimpan permanen di file keamanan database atau kartu identifikasi yang dibawa pengguna. Saat seseorang mencoba mengakses database, perangkat pemindaian khusus menangkap karakteristik biometriknya yang dibandingkan dengan data profil yang disimpan internal atau pada kartu ID. Jika data tidak cocok, akses ditolak.

Perusahaan tidak memiliki biometric devices dalam pengendaliannya.

(20)

25

2. Backup Controls (Pengendalian Pendukung)

Tujuan audit atas backup database adalah untuk memverifikasi pengendalian backup database cukup untuk memfasilitasi pemulihan data yang hilang, hancur, atau rusak (Hall 2008:771).

Untuk pulih dari bencana-bencana seperti tindakan berbahaya dari hacker eksternal, karyawan yang tidak puas, kegagalan disk, kesalahan program, kebakaran, banjir, dan gempa bumi, organisasi perlu membangun kembali database ke status sebelum kerusakan. Karena itu, organisasi harus menerapkan kebijakan, prosedur, dan teknik yang sistematis dan rutin menyediakan salinan cadangan data penting. Sistem manajemen database skala besar menyediakan empat fitur backup dan pemulihan, yaitu (Hall 2008:770):

a. Database backup

Fitur ini membuat backup secara periodik untuk seluruh database. Hal ini merupakan prosedur otomatis yang harus dilakukan minimal sekali sehari.

Salinan cadangan harus disimpan di tempat terpisah yang aman.

b.Transaction log (journal)

Fitur ini menyediakan jejak audit dari semua transaksi yang diproses.

Mendaftarkan transaksi dalam file transcation log dan mencatat perubahan yang dihasilkan ke database ke dalam perubahan log database yang terpisah.

c. Checkpoint feature

Fitur ini menunda semua pengolahan data saat sistem menyatukan transaction log dan log perubahan database terhadap database. Checkpoint terjadi secara otomatis beberapa kali dalam satu jam. Jika kerusakan terjadi, biasanya memulai kembali pemrosesan dari checkpoint terakhir. Dengan demikian, hanya beberapa menit dari proses transaksi yang harus diulang.

Rumah Sakit “X” tidak melakukan checkpoint feature dalam pengendaliannya.

d. Recovery model

Model pemulihan menggunakan log dan backup file untuk memulai kembali sistem setelah kerusakan.

Berdasarkan hal- hal yang dijelaskan diatas, suatu pengendalian atas manajemen data yang memadai harus mempunyai aspek aspek berikut:

(21)

26

1. Harus adanya suatu Kontrol Akses

Beberapa kontrol akses ke dalam database antara lain:

a. User View

Terdapat user view yang mendefinisikan data yang domain bagi pengguna dan menyediakan akses database.

b. Tabel Otorisasi Database

Ada Tabel Otorisasi Database yang berisi peraturan peraturan yang membatasi tindakan- tindakan pemakai sistem.

c. Data Encryption

Ada enksripsi untuk penyimpanan di database dan pengiriman melalui jaringan.

2. Harus adanya Backup Control

Berikut ini beberapa fiktur backup dan recovery yang disediakan database management system :

a. Database Backup

Melakukan prosedur backup minimal sehari sekali. Salinan cadangan harus disimpan di tempat terpisah yang aman.

b. Transaction log (journal)

Terdapat audit trail untuk semua transaksi yang diproses.

c. Recovery Model

Model pemulihan menggunakan log dan backup file untuk memulai kembali sistem setelah kerusakan.

2.6.5 Pengendalian atas Jaringan

Dalam jaringan, aplikasi perangkat lunak dan file data yang digunakan untuk transaksi proses tersebut tersedia pada beberapa komputer yang terhubung bersama-sama. Akses ke aplikasi dari komputer mikro atau workstation dikelola oleh perangkat lunak server jaringan. Local area networks (LAN) menghubungkan peralatan dalam satu kelompok atau sekelompok kecil bangunan dan hanya digunakan dalam perusahaan (Arens, Elder, & Beasley 2008:387).

Teknologi jaringan komunikasi dibagikan menjadi dua bentuk umum resiko, yaitu:

(22)

27

1. Mengendalikan Risiko dari Ancaman Subversif

Tujuan audit atas ancaman subversif adalah untuk memverifikasi keamanan dan integritas transaksi keuangan dengan menentukan bahwa pengendalian jaringan dapat mencegah dan mendeteksi akses ilegal baik secara internal maupun dari internet, membuat data yang berhasil ditangkap pelaku menjadi tidak berguna, dan menjaga integritas dan keamanan fisik dari data yang terhubung ke jaringan (Hall 2008:779).

Hal ini termasuk penjahat komputer menyadap pesan yang dikirimkan antara pengirim dan penerima, hacker komputer mendapat akses tidak sah ke jaringan organisasi, dan penolakan serangan layanan dari lokasi yang jauh dari internet.

a. Firewalls

Organisasi yang terhubung ke Internet atau jaringan publik lain sering menerapkan firewall elektronik untuk mengisolasi Intranet mereka dari penyusup luar. Firewall adalah sebuah sistem yang memberlakukan kontrol akses antara dua jaringan untuk mencapai hal di bawah ini (Hall 2008:771):

 Semua lintasan antara jaringan luar dan intranet organisasi harus melewati firewall

 Hanya lintasan yang terotorisasi antara organisasi dan pihak luar, seperti kebijakan keamanan resmi yang ditentukan, diperbolehkan melewati firewall

 Firewall harus kebal terhadap pembobolan dari luar dan dalam organisasi Firewall dapat digunakan untuk otentikasi pengguna di luar jaringan, memverifikasi tingkat otoritas aksesnya, dan kemudian mengarahkan pengguna kepada program, data, atau layanan yang diminta. Selain mengisolasi jaringan organisasi dari jaringan eksternal, firewall juga dapat digunakan untuk melindungi bagian-bagian dari intranet organisasi dari akses eksternal. Semakin banyak keamanan yang disediakan firewall, maka semakin kurang nyaman pengguna yang berwenang untuk melewatinya untuk melakukan bisnis. Seluruh komputer di dalam Rumah Sakit “X” tidak menggunakan firewall, karena hanya ada satu komputer yang dapat terhubung dengan internet, dimana hal tersebut tidak berpengaruh signifikan bagi rumah sakit. Seluruh komputer hanya menggunakan jaringan Local Area Network (LAN) di dalam rumah sakit.

(23)

28

b. Pengendalian serangan penolakan layanan

Sebagai balasan terhadap serangan DDos, banyak organisasi telah berinvestasi dalam System Intrusion Prevention (IPS) yang menggunakan deep packet imspection (DPI) untuk menentukan kapan sebuah serangan sedang berlangsung. DPI menggunakan berbagai teknik analisis dan statistik untuk mengevaluasi isi dari paket pesan. DPI mencari paket-paket individual yang melanggar protokol dan menggunakan kriteria yang telah ditetapkan untuk memutuskan apakah sebuah paket dapat melanjutkan ke tujuannya. Rumah Sakit “X” tidak melakukan pengendalian atas serangan penolakan layanan.

c. Encryption

Enkripsi adalah konversi data menjadi kode rahasia untuk penyimpanan di database dan pengiriman melalui jaringan. Pengirim menggunakan algoritma enkripsi untuk mengkonversi pesan asli yang disebut cleartext menjadi kode yang disebut ciphertext. Pada sisi penerima, ciphertext diterjemahkan (dekripsi) kembali ke dalam cleartext. Algoritma enkripsi menggunakan kunci, yang merupakan bilangan biner yang biasanya adalah 56-128 bit panjangnya.

Semakin banyak bit dalam kunci, semakin kuat metode enkripsinya. Saat ini, tidak kurang dari 128-bit algoritma dianggap benar-benar aman.

d. Message Transaction Log

Seorang penyusup dapat berhasil menembus sistem dengan mencoba password yang berbeda dan kombinasi pengguna. Oleh karena itu, semua pesan masuk dan keluar, serta akses usaha (yang gagal), harus dicatat dalam message transaction log. Log harus mencatat ID pengguna, waktu akses, dan lokasi terminal atau nomor telepon dari mana akses berasal.

e. Call-Back Devices

Perangkat call-back memerlukan dial-in pengguna untuk memasukkan password dan diidentifikasi. Sistem kemudian merusak koneksi untuk melakukan otentikasi. Jika penelepon sah, perangkat call-back memanggil pemanggil untuk membuat sambungan baru. Hal ini membatasi akses ke terminal resmi atau nomor telepon dan mencegah penyusup menyamar sebagai pengguna yang sah. Rumah Sakit “X” tidak menggunakan call-back devices sebagai pengendalian atas jaringannya.

(24)

29

2. Pengendalian Resiko dari Kerusakan Peralatan

Tujuan audit atas kerusakan peralatan adalah untuk memverifikasi integritas dari transaksi perdagangan elektronik dengan menentukan bahwa pengendalian berada di tempat untuk mendeteksi dan memperbaiki pesan yang hilang karena kegagalan peralatan (Hall 2008:781).

Masalah yang paling umum dalam komunikasi data adalah kehilangan data karena line error. Struktur bit pesan dapat rusak melalui kebisingan pada jalur komunikasi. Kebisingan terdiri dari sinyal acak yang dapat mengganggu sinyal pesan ketika mereka mencapai tingkat tertentu. Electric motors, kondisi atmosfer, kabel yang rusak, komponen cacat dalam peralatan, atau kebisingan dari saluran komunikasi yang berdekatan dapat menyebabkan sinyal-sinyal acak. Jika tidak terdeteksi, perubahan struktur bit data yang dikirimkan dapat menjadi bencana besar bagi perusahaan. Berikut dua teknik biasanya digunakan untuk mendeteksi dan memperbaiki kesalahan data sebelum mereka diproses:

a. Echo check

Echo check meliputi penerima pesan yang mengembalikan pesan ke pengirim. Pengirim membandingkan pesan yang dikembalikan itu dengan simpanan salinan yang asli. Jika ada ketidaksesuaian antara kedua pesan tersebut, maka menyatakan kesalahan transmisi dan pesan dikirimkan kembali.

Rumah Sakit “X” tidak melakukan echo cek dalam pengendalian resiko atas kerusakan peralatannya.

b. Parity check

Parity check menggabungkan bit tambahan (parity bit) ke dalam struktur tali bit ketika dibuat atau dikirimkan. Parity check dapat mendeteksi kesalahan pada penerima akhir.

Berdasarkan hal-hal yang dijelaskan diatas, suatu pengendalian atas jaringan yang memadai harus mempunyai aspek aspek berikut:

1. Pengendalian Risiko dari Ancaman Subversif a. Encryption

Terdapat enksripsi untuk pengiriman melalui jaringan.

(25)

30

b. Message Transaction Log

Log harus mencatat ID pengguna, waktu akses, dan lokasi terminal atau nomor telepon dari mana akses berasal.

2. Pengendalian Risiko dari Kerusakan Peralatan a. Parity check

Parity check menggabungkan bit tambahan ke dalam struktur tali bit ketika dibuat atau dikirimkan.

2.6.6 Pengendalian atas Pengembangan Sistem

Pengembangan sistem biasanya dilakukan oleh sebuah tim proyek yang terdiri dari sistem analis, programmer, akuntan, dan orang lain dalam organisasi yang memiliki pengetahuan tentang atau dipengaruhi oleh proyek. Setiap proyek pengembangan sistem berjalan melalui dasar systems development life cycle (SDLC) yang sama, yaitu perencanaan dan analisis, desain, dan implementasi (Bodnar & Hopwood 2010:383).

Audit pengembangan sistem diarahkan pada kegiatan sistem analis dan programmer yang mengembangkan dan memodifikasi program aplikasi, file, dan prosedur terkait (Bodnar & Hopwood 2010:504).

1. Pengendalian Kegiatan Pengembangan Sistem Tujuan audit untuk memastikan bahwa:

a. Sistem kegiatan pengembangan diterapkan secara konsisten dan sesuai dengan kebijakan manajemen untuk semua proyek pengembangan sistem

b. Sistem yang diterapkan bebas dari kesalahan material dan penipuan

c. Sistem dinilai perlu dan dibenarkan di berbagai pos pemeriksaan di seluruh SDLC.

d. Dokumentasi sistem cukup akurat dan lengkap untuk memfasilitasi kegiatan audit dan pemeliharaan (Hall 2008:800).

Bagian ini memeriksa beberapa kegiatan yang dapat dikontrol yang membedakan proses pengembangan sistem yang efektif. Enam kegiatan yang dibahas menangani otorisasi, pengembangan, dan implementasi sistem baru.

Kontrol atas pemeliharaan sistem, yaitu:

(26)

31

a. System authorization activities

Semua sistem harus diotorisasi untuk memastikan pembenaran ekonomi dan kelayakannya. Hal ini memerlukan lingkungan formal di mana pengguna mengajukan permintaan untuk sistem profesional dalam bentuk tertulis.

b. User specification activities

Pengguna harus secara aktif terlibat dalam proses pengembangan sistem.

Pengguna harus membuat deskripsi rinci tertulis atas kebutuhannya. Penciptaan dokumen spesifikasi pengguna sering melibatkan upaya bersama dari pengguna dan profesional sistem. Dokumen ini harus menggambarkan pandangan masalah pengguna, bukan pandangan dari professional sistem.

c. Technical design activities

Technical design activities menerjemahkan spesifikasi pengguna menjadi spesifikasi rinci teknis untuk sistem yang memenuhi kebutuhan pengguna.

Ruang lingkup kegiatan ini termasuk sistem analisis, analisis kelayakan, dan desain rinci sistem. Kecukupan kegiatan ini diukur oleh kualitas dokumentasi yang muncul dari setiap tahap. Dokumentasi merupakan kontrol dan bukti kontrol serta sangat penting bagi keberhasilan jangka panjang sistem.

d. Internal audit participation

Departemen audit internal organisasi harus independen, objektif, dan secara teknis memenuhi kebutuhan. Auditor internal dapat berfungsi sebagai penghubung antara pengguna dan para profesional sistem untuk memastikan transfer pengetahuan yang efektif. Auditor internal harus terlibat secara formal pada saat dimulainya proses pembangunan sistem untuk mengawasi definisi syarat kebutuhan pengguna persyaratan dan mengendalikan dengan tepat.

Keterlibatan ini harus terus melalui semua fase kegiatan pembangunan dan pemeliharaan. Rumah Sakit “X” tidak memiliki auditor internal.

e. Program testing

Semua modul program harus diuji secara menyeluruh sebelum dilaksanakan. Hasil uji tersebut kemudian dibandingkan hasil terhadap resiko yang telah ditentukan untuk mengidentifikasi pemrograman dan kesalahan logika. Untuk memverifikasi logika internal modul, programmmer membandingkan hasil aktual yang diperoleh dari pengujian dengan hasil yang

(27)

32

telah ditentukan. Beberapa aspek pengujian kontrol aplikasi membutuhkan data uji. Untuk memenuhi tujuan audit masa depan yang efisien, data uji yang disusun selama pelaksanaan sistem harus dipertahankan. Hal ini akan memberi auditor sebuah kerangka acuan untuk merancang dan mengevaluasi tes pemeriksaan masa depan. Jika terjadi perubahan, data uji asli dapat memberikan garis dasar untuk menilai dampak dari perubahan. Sehingga auditor dapat konsentrasi pada uji kontrol aplikasi di area dimana logika komputer diubah.

f. User test and acceptance procedures

Sebelum sistem diimplementasi, modul individu dari sistem harus secara formal dan ketat diuji secara keseluruhan. Tim uji harus terdiri dari personel pengguna, profesional sistem, dan auditor internal. Rincian tes yang dilakukan beserta hasilnya perlu secara resmi didokumentasikan dan dianalisis. Setelah tim uji puas bahwa sistem memenuhi persyaratan tersebut, sistem dapat ditransfer ke pengguna. Rumah Sakit “X” tidak melakukan uji program yang dilakukan oleh tim uji, namun langsung memberikan hasil program yang telah dibuat kepada user.

2. Pengendalian Kegiatan Perubahan Program

Setelah diimplementasi, sistem informasi memasuki fase pemeliharaan.

Pemeliharaan akses ke sistem meningkatkan risiko bahwa logika akan rusak, baik oleh kecelakaan atau niat untuk menipu. Untuk meminimalkan risiko, semua tindakan pemeliharaan harus membutuhkan empat kontrol, yaitu otorisasi formal, spesifikasi teknis, pengujian, dan perbaruan dokumentasi. Kegiatan pemeliharaan harus diberi perlakuan yang sama dengan perkembangan baru. Tingkat perubahan dan dampak potensial terhadap sistem harus mengatur tingkat kontrol yang diterapkan. Bila pemeliharaan menyebabkan perubahan luas terhadap logika program, diperlukan pengendalian tambahan, seperti keterlibatan auditor internal dan uji pengguna tambahan, serta prosedur penerimaan (Hall 2008).

 Kontrol Source Program Library (SPL)

Dalam sistem komputer yang lebih besar, modul-modul program aplikasi disimpan dalam bentuk kode sumber dalam kaset magnetis yang disebut source program library (Hall 2008:801). Untuk mengontrol SPL, diperlukan SPL

(28)

33

management system (SPLMS) yang mengontrol empat fungsi penting, yaitu menyimpan program di SPL, mengambil program untuk tujuan perawatan, menghapus program usang dari perpustakaan, dan mendokumentasikan perubahan program untuk menyediakan jejak audit atas perubahan. SPL memerlukan perencanaan khusus dan teknik pengendalian untuk memastikan integritas program. Teknik pengendalian yang dibahas dibawah ini mengatasi wilayah yang paling rentan yang harus dipertimbangkan memiliki kontrol SPL (Hall 2008).

a. Pengendalian password

Setiap program keuangan yang signifikan disimpan dalam SPL dapat memiliki password yang terpisah. Seperti yang sudah dijelaskan sebelumnya, password memiliki kelemahan. Ketika lebih dari satu orang diberi wewenang untuk mengakses program, menjaga kerahasiaan password yang dipakai bersama dengan orang lain merupakan suatu masalah karena tanggung jawab atas kerahasiaan password tersebut berbagi terletak pada kelompok (Hall 2008).

b. Pemisahan test libraries

Dengan konsep ini, pemisahan yang ketat dipertahankan antara program produksi yang memiliki pemeliharaan dalam SPL dan program yang sedang dikembangkan. Program produksi disalin ke perpustakaan programmer untuk pemeliharaan dan tujuan pengujian saja. Akses langsung ke SPL produksi dibatasi pada kelompok pustakawan khusus yang harus menyetujui semua permintaan untuk mengubah, menghapus, dan menyalin program (Hall 2008:803).

c. Audit trail dan laporan manajemen

Salah satu fitur penting dari perangkat lunak SPLMS adalah pembuatan laporan yang meningkatkan pengendalian manajemen dan mendukung fungsi audit. Kegunaan utama fitur ini adalah laporan modifikasi program, yang secara rinci menjelaskan semua perubahan program (penambahan dan penghapusan) untuk setiap modul. (Hall 2008:804).

d. Nomor versi program

SPLMS menetapkan nomor versi secara otomatis untuk setiap program yang disimpan pada SPL. Ketika program pertama kali ditempatkan dalam perpustakaan (saat implementasi), mereka diberikan nomor versi nol (Hall 2008:804).

(29)

34

Berdasarkan hal-hal yang dijelaskan di atas, suatu pengendalian atas pengembangan sistem yang memadai harus mempunyai aspek-aspek berikut:

1. Pengendalian Kegiatan Pengembangan Sistem Kontrol atas pemeliharaan sistem, yaitu:

a. System Authorization activities

Semua sistem harus diotorisasi untuk memastikan pembenaran ekonomi dan kelayakannya.

b. User specification activities

Pengguna harus membuat deskripsi rinci tertulis mengenai kebutuhannya atas sistem.

c. Technical design activities

Menerjemahkan spesifikasi pengguna menjadi spesifikasi rinci teknik untuk sistem yang memenuhi kebutuhan pengguna.

d. Program testing

Semua modul program harus diuji secara menyeluruh sebelum dilaksanakan.

2. Pengendalian Kegiatan Perubahan Program

Teknik teknik kontrol Source Program Library sebagai berikut:

a. Adanya Pengendalian kata sandi b. Adanya Pemisahan test libraries c. Audit trail dan laporan manajemen

Membuat laporan memodifikasi program, yang secara rinci menjelaskan semua perubahan program untuk setiap modul.

d. Nomor Versi Program

Menetapkan sebuah nomor versi secara otomatis untuk setiap program yang disimpan pada source program library.