Senin, 22 November 2010

tujuan dan prosedur Pengendalian toleransi kegagalan sistem

Tujuan Audit dan Prosedurnya
1. Tujuan perencanaan pemulihan bencana
Romney (2000:298-301) berpendapat bahwa perencanaan pemulihan dari bencana bertujuan untuk mempermudahkan dan mempercepat kapasitas proses data sebelum, pada waktu dan sesudah bencana. tujuan dari perencanaan pemulihan adalah untuk mencegah perpanjangan interupsi proses data dan operasi bisnis akibat kebakaran, bencana alam, sabotase dan vandalisme. perencanaan pemulihandari bencana terdiri dari :
Backup data berfungsi menghindari kerusakan permanen pada files. semua program dan data harus sering di Backup secara teratur dan disimpan dalam tempat yang aman untuk menghindari penggandaan hardware dan software


Prosedur Pengendalian :

* Otorisasi manajemen atas pengembangan program dan persetujuannya untuk spesifikasi pemrograman
* –Persetujuan pemakai atas spesifikasi pemrograman
* –Pengujian keseluruhan atas program yang baru
* –Pengujian penerimaan oleh pemakai
* –Dokumentasi sistem yang lengkap

2. Pengendalian toleransi kegagalan sistem:
Berkaitan dengan keamanan system informasi, diperlukan tindakan berupa pengendalian terhadap sistem informasi. Kontrol-kontrol yang dapat dilakukan untuk pengamanan sistem informasi antara lain: 1. Kontrol Administratif
Kontrol administratif dimaksudkan untuk menjamin bahwa seluruh kerangka control dilaksanakan sepenuhnya dalam organisasi berdasarkan prosedur-prosedur yang jelas. Kontrol ini mencakup hal-hal berikut:
• Mempublikasikan kebijakan control yang membuat semua pengendalian sistem informasi dapat dilaksanakan dengan jelas dan serius oleh semua pihak dalam organisasi.
• Prosedur yang bersifat formal dan standar pengoperasian disosialisasikan dan dilaksanakan dengan tegas. Termasuk hal ini adalah proses pengembangan sistem, prosedur untuk backup, pemulihan data, dan manajemen pengarsipan data.
• Perekrutan pegawai secara berhati-hati yang diikuti dengan orientasi pembinaan, dan pelatihan yang diperlukan.
• Supervisi terhadap para pegawai. Termasuk pula cara melakukan control kalau pegawai melakukan penyimpangan terhadap yang diharapkan.
• Pemisahan tugas-tugas dalam pekerjaan dengan tujuan agar tak seorangpun yang dapat menguasai suatu proses yang lengkap. Sebagai contoh, seorang pemrogram harus diusahakan tidak mempunyai akses terhadap data produksi (operasional) agar tidak memberikan kesempatan untuk melakukan kecurangan.

2. Kontrol Pengembangan dan Pemeliharaan Sistem
Untuk melindungi kontrol ini, peran auditor sangat sistem informasi sangatlah penting. Auditor system informasi harus dilibatkan dari masa pengembangan hingga pemeliharaan system, untuk memastikan bahwa system benar-benar terkendali, termasuk dalam hal otorisasi pemakai system. Aplikasi dilengkapi dengan audit trail sehingga kronologi transaksi mudah untuk ditelusuri.

3. Kontrol Operasi
Kontrol operasi dimaksudkan agar system beroperasi sesuai dengan yang diharapkan. Termasuk dalam kontrol ini:
• Pembatasan akan akses terhadap data
Akses terhadap ruangan yang menjadi pusat data dibatasi sesuai dengan wewenang yang telah ditentukan. Setiap orang yang memasuki ruangan ini harus diidentifikasi dengan benar. Terkadang ruangan ini dipasangi dengan CTV untuk merekam siapa saja yang pernah memilikinya.
• Kontrol terhadap personel pengoperasi
Dokumen yang berisi prosedur-prosedur harus disediakan dan berisi pesoman-pedoman untuk melakukan suatu pekerjaan. Pedoman-pedoman ini arus dijalankan dengan tegas. Selain itu, [ara [ersonel yang bertugas dalam pengawasan operasi sistem perlu memastikan bahwa catatan-catatan dalam sistem komputer (system log) benar-benar terpelihara.
• Kontrol terhadap peralatan
Kontrol terhadap peralatan-peralatan perlu dilakukan secara berkala dengan tujuan agar kegagalan peralatan dapat diminimumkan.
• Kontrol terhadap penyimpanan arsip
Kontrol ini untuk memastikan bahwa setiap pita magnetic yang digunakan untuk pengarsipan telah diberi label dengan benar dan disimpan dengan tata cara yang sesuai.
• Pengendalian terhadap virus
Untuk mengurangi terjangkitnya virus, administrator sistem harus melakukan tiga kontrol berupa preventif, detektif, dan korektif.

3. Pengendalian Keseluruhan Sistem

Tujuan yaitu:

* Pengendalian keamanan fisik memadai untuk secara wajar melindungi perusahan dari eksposur fisik.
* jaminan atas perlengkapan telah memadai untuk dapat memberikan kompensasi pada perusahaan jika terjadi kehancuran atau kerusakan atas pusat komputer terkait.
* dokumentasi operator memadai untuk dapat menagani kegagalan sistem.

prosedur audit:

* Pengujian konstruksi fisik
* Pengujian Sistem deteksi kebakaran
* Pengujian pengendalian akses
* Pengujian pasokan listrik cadangan
* Pengujian cakupan asuransi
* Pengujian Pengendalian Dokumentasi operator

4. Kebijakan password/kata sandi:

1. memverifikasi bahwa semua pengguna diharuskan memiliki kata sandi.
2. memverifikasi bahwa semua pengguna diberikan arahan dalam penggunaan kata sandi mereka dan peran penting pengendalian kata sandi.
3. nilai kecukupan standar kata sandi seperti dalam hal panjangnya dan interval kadaluwarsanya.

5. Pengendalian jejak audit elektronik:
Daftar yang dapat didesain untuk mencatat berbagai aktivitas dalam tingkat sistem, aplikasi, dan pengguna. Jika diimplementasikan dengan benar, jejak audit memberikan pengendalian deteksi yang penting untuk membantu mewujudkan tujuan kebijakan keamanan. Jejak audit biasanya terdiri dari dua jenis data audit yaitu daftar terperinci mengenai tiap ketikan dan daftar yang berorientasi pada peristiwa.


6. Pengembang Sistem dan Prosedur Pemeliharaan yang tidak memadai
Tujuan:

* Memverifikasi bahwa ada pengendalian untuk melindungi data, program, dan komputer dari akses secara tidak sah, manipulasi penghancuran dan pencurian.
* Memverifikasi kecukupan supervisi dan prosedur operasi untuk mengimbangi kurangnya pemisahan berbagai pekerjaan antara pengguna, programer, dan operator.
* Memverifikasi bahwa prosedur pemilihan dan pengadaan sistem menghasilkan aplikasi yang berkualitas tinggi, dan melindungi dari perubahan yang tidak sah.
* Memverifikasi bahwa ada prosedur pembuatan cadangan untuk mencegah kehilangan data serta program karena kegagalan sistem, kesalahan, dan sebagainya.
* Memverifikasi bahwa sistem bebas dari virus dan cukup terlindungi untuk meminimalkan resiko terinfeksi virus atau objek yang hampir sama lainnya.

Prosedur Audit :

* Auditor harus memverifikasi bahwa mikrokomputer serta file-nya secara fisik terkendali. Komputer desktop seharusnya di buat permanen unutuk mengurangi peluang terjadinya pemindahan. kunci harus ada untuk menutup kemungkinan input dari keyboard dan drive A.
* Auditor harus mengkonfirmasikan bahwa laporan transaksi yang di proses, daftar akun yang diperbarui, dan total pengendalian dibuat, disebarluaskan, dan direkonsiliasi oleh pihak manajemen yang terkait secara reguler dan tepat waktu.
* Auditor harus memverifikasi dari struktur organisasi, deskripsi pekerjaan, dan observasinya bahwa para programer palikasi yang melakukan fungsi keuangan yang signifikan tidak mengoperasi pula berbagai sitem tersebut. Dalam unit perusahaan yang lebih kecil di mana pemisahan fungsi akan menjadi tidak praktis, auditor harus memverifikasi bahwa ada supervisi yang memadai atas berbagai pekerjaan ini.
* Jika dibutuhkan, auditor harus menentukan apakan pengendalian kata sandi multitingkat digunakan untuk membatasi akses ke data dan aplikasi.
* Jika digunakan hard drive yang dapat dipindahkan, auditor harus memverifikasi bahwa drive terkait dipindahkan dan disimpan dalam sebuah lokasi yang aman ketika digunakan.
* Dengan memilih satu sample file cadangan, auditor dapat memverifikasi bahwa prosedur pembuatan cadangan dapat ditaati. Degan memmbandingkan nilai data dan tanggal disket cadangan, untuk file produksi, auditor dapat menilai frekuensi dan kecukupan prosedur pembuatan cadangan.
* Auditor harus memverifikasi bahwa kode sumber aplikasi secara fisik aman (seperti disimpan dalam lemari besi) dan bahwa hanya versi kompilasinya saja yang disimpan di mikrokomputer.
* Dengan mengkaji pengendalian pemilihan dan pengendalian sistem, auditor harus memverifikasi bahwa peranti lunak komersial yang digunakan dalam mikrikomputer dibeli dari vendor yang bereputasi untuk memastikan bahwa kebutuhan pengguna telah dipertimbangkan penuh dan bahwa peranti lunak yang dibeli memenuhi kebutuhan tersebut.
* Auditor harus mengkaji berbagai teknik mengendalikan virus.

Tidak ada komentar:

Posting Komentar