mis pengendalian etika

PENGELOLAAN PENGENDALIAN

POLITIK DAN ETIKA

Pengelolaan pengendalian (managing controls) merupakan kegiatan yang dilakukan oleh manajer sistem informasi untuk meyakinkan bahwa pengendalian di dalam sistem teknologi informasi masih tetap dilakukan dan masih efektif dalam mencegah gangguan-gangguan terhadap sistem informasi.Sistem teknologi informasi mempunyai dua kelompok pengendalian yang perlu dikelola terus menerus selama sistem tersebut masih dioperasikan di dalam organisasi. Pengendalian-pengendalian ini adalah pengendalian umum (general controls) dan pengendalian-pengendalian aplikasi (aplication controls).Untuk meyakinkan bahwa sistem-sistem teknologi informasi tersebut telah dikendalikan dan telah dioperasikan sebagaimana mestinya perlu diadakan cek rutin secara berkala. Pengecekan ini secara umum dikenal dengan istilah information systems audit.

Pengkategorian Gangguan Terhadap Sistem Informasi

Sifat Penyebab Gangguan

Note

Tidak Sengaja Kesalahan Pada Pemrograman (Syntax Error)

Perintah atau statemen yang diketikkan menyalahi aturan

pengkodean yang dimiliki oleh bahasa pemrograman yang

Anda gunakan->Auto Syntax Check.)

Tidak Sengaja Kesalahan Pada Pemrograman

(Run Time Error)

Terjadi ketika kode program melakukan sesuatu yang tidak dimungkinkan. Contohnya pada saat sebuah aplikasi mencoba mengakses file yang tidak ada, atau terjadi kesalahan alokasi memory->munculkan pesan

error pop up ketika ada errror dalam menjalankan aplikasi



Note

Tidak Sengaja Kesalahan Pada Pemrograman (Logical Error)

Jenis kesalahan yang cukup sulit untuk ditemukan penyebabnya.

Karena aplikasi yang mengandung eror ini berjalan tanpa pesan kesalahan, tetapi mengeluarkan hasil yang tidak diharapkan.->memeriksa alur

program dan nilai variabel yang dihasilkan.

Tidak Sengaja Gangguan Lingkungan

Misalnya petir, api, air, gempa bumi, temperatur, dan

sebagainyaTidak Sengaja Kesalahan Manusia Misalnya salah input data, salah

mengoperasikan program aplikasi dan basis data, ketidak sengajaan menghapus file/data



Note

Sengaja Computer Abused Kesengajaan untuk memberikan gangguan pada sistem-sistem

teknologi informasi di komputer. Sengaja Computer Fraud Salah satu bentuk kegiatan

computer abuse yang melanggar hukum, seperti membobolsistem

untuk mencuri dan merusak data.

Sengaja Computer Related Crime

Menggunakan komputer untuk aksi kriminal, misalnya

menggunakan internet untuk membeli barang dengan

menggunakan kartu kredit curian.

Metode computer abuse, computer fraud, dan computer related-crime Sistem informasi merupakan target dari kejahatanContohnya komputer atau data yang menjadi target pencurian atau pengrusakanKomputer menjadi alat untuk kejahatanContohnya belanja online menggunakan kartu kredit curianKomputer digunakan untuk mengintimidasiContohnya pemogram komputer mengancam akan merusak data atau peralatan komputer lainnya dengan cara menanamkan (logic time bomb) jika ia dipecat.Komputer menjadi perantara untuk melakukan kejahatanContohnya memasukkan data yang salah dengan tujuan negatif. Misalkan mengganti rekening nasabah dengan miliknya sehingga segala macam transaksi uang masuk kepada nasabah justru akan masuk ke rekeningnya

Pengelolaan gangguan terhadap sistem informasi

Membina Pelaku DalamMenerapkan standar dan prosedur yang jelas dari rekruitmen, pemindahan, dan penghentian karyawanPerusahaan harus hati-hati dalam menerima karyawan baru dan perlu untuk menyelidiki rekam jejak karir dan kejujurannya. Pemindahan karyawan harus diikuti dengan perubahan kode akses karyawan sehingga karyawan tersebut tidak memiliki akses sistem yang tidak diotoritaskan pada dirinya lagi.Melatih KaryawanMengedukasi karyawan tentang keamanan-keamanan dalam sistem informasi, memberikan pemahaman dan kesadaran untuk menjaganya bersama, meningkatkan moral dan etika karyawan, serta mengingatkan hukuman terkait kesengajaan menganggu sistem.Memberi Perhatian pada Karyawan yang Tidak Puas

Memasang Pengendalian di Sistem Informasi

Pengendalian UmumMerupakan pengendalian sistem informasi yang paling luar yang harus dihadapi terlebih dahulu oleh pemakai sistem informasinya. Jika pengendalian secara umum terlewati maka pengendalian aplikasi akan diaktifkan.Pengendalian umum terdiri dari-Pengendalian organisasi-Pengendalian dokumentasi-Pengendalian kerusakan perangkat keras-Pengendalian keamanan fisik-Pengendalian keamanan data

Pengendalian organisasi

Pengendalian organisasi dapat tercapai bila ada pemisahan tugas dan pemisahan tanggung jawab yang jelas. Pemisahan tugas dan tanggung jawab diantara departemen dapat berupa sebagai berikut:1.Pemisahan tugas dan tanggung jawab antar pemberi wewenang transaksi dengan bagian yang menyimpan aktiva yang bersangkutan.2.Pemisahan tugas dan tanggung jawab antara pemberi wewenang transaksi dengan bagian yang mengolah data3.Pemisahan tugas dan tanggung jawab antara bagian pelaksanaan dan pengolahan data4.Pemisahan tugas antara bagian penyimpanan aktiva dengan bagian pengolahan data5.Pemisahan tugas dan tanggung jawab antara yang melakukan koreksi kesalahan transaksi dengan bagian pengolahan data

Pengendalian organisasi

Pemisahan tanggung jawab fungsional sistem informasi :Bagian Pengontrol Data (Tugas menerima data dari departeen lain, membuat batch control, mengawasi jalannya pengolahan data, memonitor koreksi kesalahan selama pengolahan data, dan mendistribusikan output kepada pemakai yang berhak)Bagian Persiapan Data (Mempersiapkan data, melengkapi data dengan kode-kode tertentu, dan memverifikasi kebenarannya)Bagia Pemrosesan Data (Bagian yang berfungsi mengolah data sampai dihasilkan laporan)Bagian Penyimpan DataBagian Pengembangan SistemBagian Pusat Informasi (membantu manajer untuk membuat aplikasinya sendiri)

Pengendalian DokumentasiDokumen yang ada di departemen sistem nformasi meliputi diokumentasi dasar (seperti bukti transaksi, order penjualan, surat pengiriman barang, dll.), dokumentasi daftar`rekening, dokumentasi prosuder manual (menjelaskan bagian mana yang menyiapkan dokumen dasar dan bagian mana yang engarsikannya), dokumen prosedur, dokumentasi sisstem (bagan alir sistem), dokumentasi program, dokumentasi operasi, dan dokumentasi data

Pengendalian Perangkat KerasMeupakan pengendalian yang sudah dipasang di dalam komputer (builtin) oleh pabrik pembuatnya. Misalkan Anda sedang memindah data ke media penyimpanan data eksternal, maka dalam komputer menampilkan progressnya, dan secara otomatis akan memberitahukan kepada Anda jika proses penyimpanan telah selesai dilakukan

Pengendalian Keamanan FisikPengendalian keamanan fisik dapat dilakukan dalam bentuk pengawasan terhadap pengaksesan fisik (pembatasan akses terhadap orang-orang yang akan masuk ke bagian-bagian tertentu melalui penempatan satpam, penggunaan tanda pengenal, pemakaian kartu, dsb), pengaturan lokasi fisik (gedung yang terpisah, tersedianya fasilitas cadangan, dsb), penerapan alat-alat penanggulabfan bencana (saluran air, alat pemadam kebakaan, UPS-mencegah arus pendek, pendeteksi kebakaran, dsb), dan menjaga shu temperatur ruangan melalui AC

Pengendalian Keamanan DataMenjaga integritas dan keamanan data merupakan pencegahan terhadap keamanan data yang tersimpan di simpanan luar supaya tidak hilang, rusak, dan diakses orang yang tidak berhak. Pengendaian ini dapat berupa pembatasan pengaksesan, data backup, dsb

Memasang Pengendalian di Sistem Informasi

Pengendalian AplikasiMerupakan pengendalian sistem informasi yang terpasang pada aplikasinya yaitu pengendalian-pengendalian pada masukan, pengolahan dn keluaran.

- Pengendalian MasukanMempunyai untuk meyakinkan bahwa tujuan transaksi yang valid telah lengkap, terkumpul semuanya serta bebas dari kesalahan sebelum dilakukan proses pengolahan.Contoh penerapan exixtence check, transaksi penjualan dalam sebuah perusahaan hanya mempunyai dua jenis penjualan saja, tunai dan keredit, maka ketika dimasukkan kode T maka otomatis berarti tunai, dan jika memasukkan selain T dan K maka sistem akan menolak

Memasang Pengendalian di Sistem Informasi- Pengendalian PengolahanMempunyai tujuan untuk mencegah kesalahan-kesalahan yang terjadi selama proses pengolahan data dan dapat terjadi karena program aplikasi yang digunakan untuk mengolah mengandung kesalahan. Kesalahan yang umum terjadi akibat program aplikasiadalah :- Kesalahan Logika Program, bisa terjadi karena unsur kesengajaan ataupun ketidak sengajaan (contoh programmer yang membuat program dengan tujuan agar dirinya mengalami kenaikan tunjangan) - Logika Program yang tidak lengkap sehingga sistem tidak bisa dijalankan- Kesalahan di file acuan

Cara pengendalian dapat berupa total control check (melakukan pengecekan secara menyeluruh per batch)

Memasang Pengendalian di Sistem Informasi- Pengendalian KeluaranMempunyai tujuan untuk menghasilkan keluaran yang dapat dipercaya kebenaran dan akurasinya. Pengendalian keluaran dapat berupa pengendalian hardcopy dan softcopy.. Intinya dalam pengendalian keluaran ini organisasi ingin mengatur siapa saja yang berhak mencetak, memiliki data-data tertentu, dan mendistribusikan data ke bagian lain.

Memeriksa Kefektifan Pengendalian Yang Telah Dipasang

Cara yang paling sering digunakan untuk memeriksa sistem pengendalian yang telah ditetapkan oleh sebuah organisasi adalah dengan pengauditan sistem informasi (suatu proses mengumpulkan dan mengevaluasi bukti untuk menilai apakah suatu sistem telah meningkatkan keamanan dari aktiva-aktivanya, mampu untuk menjaga integritas data, serta mampu membuat sasaran organisasi dapat dicapai dengan efektif dengan menggunakan sumber daya yang efisien).

Memeriksa Keefektifan Pengendalian Yang Telah Dipasang

Disaster Recovery Planning

Akibat dari gangguan-gangguan yang telah terjadi atau yang telah dilakukan maka perusahaan harus sesegera mungkin memperbaiki sistem informasinya agar tidak mengganggu operasional perusaan. Selanjutnya, dengan terjadinya gangguan-gangguan tersebut menunjukkan perlunya perbaikan dalam pengendalian sistem-sistem informasi . Supaya perbaikan dapat dilakukan dengan lancar maka perlu adanya disaster recovery planning.

Penerapan disaster recovery planning berdasarkan standar ISO 27001 mencakup identifikasi risiko, proses manajemen keberlangsungan bisnis, serta pengujian berkala untuk memastikan BCM perusahaan selalu dalam kondisi paling mutakhir (tatakelola.co).

Disaster Recovery Planning ISO 27001

Analisa Ancaman(Disaster Recovery Risk Assessment)Perusahaan terlebih dahulu melakukan identifikasi terhadap ancaman-ancaman yang dapat mengganggu operasional perusahaan. Dalam tahap identifikasi ini, ancaman dapat dikategorikan menjadi dua kelompok besar, yang pertama yaitu ancaman dari dalam (internal threats), misalnya sabotase dari karwayan, pencurian data, dan spionase, sedangkan yang kedua adalah ancaman dari luar (external threats), misalnya kebakaran, gempa bumi, dan juga ancaman cyber. Hal-hal yang terkait dengan internal threatsbiasanya memiliki sifat masih dapat dikendalikan oleh perusahaan, sedangkan external threats bersifat tidak dapat dikendalikan. Perusahaan harus membuat prioritas dan peringkat kemungkinan (likelihood) dari berbagai ancaman tersebut. Dari peringkat ancaman, perusahaan harus membuat beberapa skenario kunci untuk kejadian bencana yang mungkin terjadi.

Analisa Ancaman(Disaster Recovery Risk Assessment)

The highest risk factor are the ones your disaster recovery plan should primarily aim to address.

Analisa Dampak BisnisSelanjutnya perusahaan melakukan identifikasi bagian bisnis yang bersifat kritis terhadap keberlangsungan perusahaan. Pendekatan ini biasa dilakukan dengan menggunakan pendekatan risiko (risk based analysis), perusahaan menentukan risiko-risiko terkait pada setiap kegiatan operasional perusahaan, contoh: risiko operasional, risiko finansial, dan risiko kepatuhan. Ditahap ini pula perusahaan menentukan waktu yang dibutuhkan untuk memulihkan layanan TI, disebut dengan Recovery Time Objective (RTO). Selain itu perusahaan juga harus menentukan berapa lama kehilangan data yang dapat diterima atau disebut dengan Recovery Point Objective (RPO).

Analisa Dampak Bisnis

A BIA attempts to relate specific risks to their potential impact on things such as business operations, financial performance, reputation, employees and supply

chains. The table below depicts the relationship between specific risks and business factors.

Risks can affect the entire company or just small parts of it. Operational and financial losses may be significant, and the impact of these events could affect the

firm’s competitive position and reputation, for example.

Setelah organisasi melakukan analisa dampak bisnis , langkah selanjutnya adalah menetapkan recovery time objectives (RTO) and recovery point objectives (RPO)

RTO : the duration of time and a service level within which a business process must be restored after a disaster in order to avoid unacceptable consequences associated with a break in continuity. “How much time did you take to recovery after notification of business process disruption?“ Atau jika didefinisikan dalam bahasa Indononesia yang sederhana RTO merupakan aktivitas perusahaan untuk menentukan lamanya waktu yang dibutuhkan untuk memulihkan layanan TI jika terjadi sebuah bencana.

RPO : the age of files that must be recovered from backup storage for normal operations to resume if a computer, system, or network goes down as a result of a hardware, program, or communications failure. “Up to what point in time could the Business Process’s recovery proceed tolerably given the volume of data lost during that interval?“ Atau jika didefinisikan dalam bahasa Indononesia yang sederhana RPO merupakan kesepakatan sebuah organisasi yang mengatur berapa lama data diperbolehkan untuk hilang ketika terjadinya bencana. A good example of setting an RPO is to imaging that you are writing an important, yet lengthy, report. Think to yourself that eventually your computer will crash and the content written after your last save will be lost. How much time can you tolerate having to try to recover, or rewrite that missing content? If your RPO is 4 hours, then you need to perform backup at least every 4 hours; every 24 hours would put you in a big danger, but if you do it every 1 hour, it might cost you too much.

Menyusun Business Continuity Plan (BCP)Perusahaan membuat strategi pemulihan bencana berdasarkan hasil analisis terhadap bisnis (Business Impact Analysis/BIA) serta skenario bencana yang mungkin terjadi. Hal ini mencakup relokasi pegawai inti ke kantor alternatif atau Business Continuity Center (BCC), pengaktifan perangkat cadangan, pemindahan server yang aktif, dan lain sebagainya. BCP yang dibuat harus dipastikan dapat memenuhi target pemulihan RTO dan RPO, seperti yang telah ditentukan dalam BIA. Terkait dengan keamanan informasi, harus dipastikan bahwa BCP dapat mencakup pemulihan layanan dan data jika terjadi serangan yang melumpuhkan server produksi aktif. Aspek yang perlu dipertimbangkan dalam pembuatan BCP, antara lain strategi dalam pemulihan bencana, struktur organisasi dalam keadaan darurat, keahlian yang harus dikuasai SDM dalam keadaan darurat, proses detil dan prosedur penetapan kondisi bencana, pemulihan serta restorasi ke kondisi semula (Disaster Recovery Plan/DRP), dan teknologi yang dibutuhkan untuk mendukung keberlangsungan bisnis

Menyusun Business Continuity Plan (BCP)

Menguji serta memperbaharui BCPSkenario BCP yang telah dibuat harus diuji coba secara berkala. Hal ini dilakukan untuk dapat memastikan bahwa rencana yang disusun dapat mencapai tujuan pemulihan sistem atau layanan yang diharapkan secara efektif. Biasanya ada dua cara untuk melakukan uji coba ini, yaitu pertama adalah menggunakan simulasi kejadian bencana. Uji coba ini menggunakan simulasi data serta kejadian bencana yang seakan-akan kejadian sesungguhnya. Cara kedua adalah dengan menggunakan uji coba secara langsung, yaitu melakukan kegiatan operasional pada satu hari yang dipilih dengan mengaktifkan kondisi bencana.

Sosialisasi ke seluruh pegawaiHal ini untuk memastikan bahwa seluruh pegawai mengerti hal-hal yang harus dilakukan dalam keadaan bencana, seperti siapa yang harus dihubungi, apa yang harus dilakukan dalam keadaan darurat, dan lain sebagainya.

Etika-Politik Dalam Sistem InformasiPermasalahan etika muncul berhubungan dengan legal atau belum diatur dalam hukum yang ada. Sedangkan permasalahan politik akan muncul pada saat informasi sangat dibutuhkan dan dapat merubah posisi kekuasaan dan kekuatan yang dimiliki oleh individu-individu di dalam organisasi.

Sebab munculnya permasalahan etika dalam sistem informasi Teknologi informasi mempunyai pengaruh yang mendalam di dalam kehidupan manusiaManajer menentukan bagaimana teknologi informasi digunakan di organisasi, sehingga mereka juga bertanggungjawab terhadap permasalahan etika akibat penerapan teknologi informasi tersebut.

Permasalahan Etika• Permasalahan Privasi

Privasi merupakan tuntutan seseorang untuk tidak dicampuri, diawasi atau diganggu oleh orang lain.Isu etika muncul karenateknologi informasi dapat menjajah privasi dan individual pekerja. Seperti memonitor email karyawan tanpa alasan yang jelas, memonitor perilaku pekerja, dan menjual informasi pribadi pelanggan atau karyawan. Website apa saja yang dibuka karyawan selama bekerja, kapan, berapa lama, dsb.? Solusi-> diukur berdasar kinerja

• Permasalahan Kepemilikan IntelektualIsu ini muncul karena dengan adanya teknologi informasi telah membuat informasi lebih mudah ditransmisikan, disalin sebagian atau keseluruhandan dapat dengan mudah dirubah isinya. Salah satu permasalahan etika terkait kepemilikan intelektual yang terjadi adalah pembajakan perangkat lunak. Faktor yang memotivasi pembajakan ini yaitu : menyalin perangkat lunak sangat mudah dilakukan dan dapat dilakukan dimanapun;,hasil menyalin kualitasnya tidak jauh berbeda dibandingkan dengan membeli; harga perangkat lunak yang asli sangat mahal; dan ola pikir yang salah dari pembajak (vendor sudah kaya shg tidak masalah jika dibajak).

Permasalahan Etika• Permasalahan Penghentian Kerja

Masalah etika yang muncul adalah penggantian manusia dengan teknologi informasi untuk alasan efisiensi.

• Permasalahan KeamananPermasalahan keamanan sistem informasi dapat menimbulkan masalah etika, permasalahan etika muncul ketika seorang dengan sengaja merusak keamanan dari sistem informasi.

• Permasalahan Akurasi SistemPermasalahan etika yang berhubungan dengan akurasi program muncul saat program tidak akurat karena pengetesan program yang dilakukan secara tidak optimal.

• Permasalahan KesehatanPemanfaatan teknologi informasi juga dapat menyebabkan suatu penyakit seperti gangguan kesehatan mata karena terlalu lama dan sering berhadapan denga monitor.

Pengelolaan Permasalahan EtikaBeberapa langkah yang dapat digunakan untuk mengelola isu etika yang muncul di dalam organisasi antara lain :

•Menyadari permasalahan etika yang akan muncul dari tindakan yang akan diambil;•Melakukan analisis dan pemecahan masalahan. Beberapa pendekatan yang digunakan untuk menganalisis permasalah etika adalah Golden Rule (perlakukan orang lain dengan cara yang kita senang sebagaimana jika kita senang orang lain memperlakukan demikian), utilitarian (pilihlah tindakan yang memberi kemanfaatan atau nilai yang lebih besar) , risk aversion ((pilihlah tindakan yang memberikan resiko kerugian paling kecil), dan no free lunch (segala tindakan selalu diiringi tuntutan timbal balik/kompensasi)•Memilih alternatif yang akan dipakai dalam mengelola permasalahan etika tersebut.

Politik Dalam Sistem InformasiSalah satu penyebab kegagalan dalan sistem informasi adalah politik informasi, informasi merupakan komoditi politik dalam suatu organisasi karena kepemilikan akan informasi akan menyebabkan kekuasaan dan kekuatan serta sistem informasi itu sendiri akan mempengaruhi distribusi kekuasaan dalam organisasi. Sistem informasi mempengaruhi distribusi kekuasaan karena beberapa alasan yaitu :1. Pemegang akses informasi dapat mempengaruhi hasil dari keputusan;2. Sistem informasi digunakan untuk alokasi sumber-sumber daya sistem yang dapat mempengaruhi perilaku masing-masing individu;3. Sistem informasi digunakan untuk pengendalian yang dapat mencegah dan membatasi kegiatan;4. Sistem informasi meyebabkan kekuasaan dan kekuatan karena memberikan kesan kemampuan untuk merubah hasil.

Permasalahan Politik Dalam Sistem InformasiPermasalah politik mayoritas terkait dengan sistem informasi adalah adanya sika[ menolak/sulit menerima perubahan. Suatu sistem informasi yang merubah disribusi kekuasaan dan kekuatan di dalam organisasi akan ditolak oleh mereka yang akan kehilangan kekuasaan atau kekuatannya. Kekuasan/kekuatan manajer akan berkurang jika suatu sistem informasi baru diterapkan dalam perusahaannya

Langkah dalam mengatasi sifat menolak perubahan :•Identifikasi siapa dan sebab penolakannya•Tentukan keputusan atau tindakan apa yang akan diambil•Sosialisasikan kepada seluruh pegawai

Permasalahan Politik Dalam Sistem Informasi

Identifikasi siapa yang melakukan penolakanCiri-ciri/Gejala orang yang menolak perubahan :•Selalu melakukan penundaan proyek sistem informasi•Mereka yang menyetujui proyek akan membuat sistem informasi yang rumit sehingga mengalami kegagalan dengan sendirinya pada saat diterapkan; dan•Mempersulit pemanfaatan sumber daya yang diperlukan untuk pengembangan sistem informasi dengan begitu proyek tersebut akan mengalami kegagalan.


Analisis sebab mereka melakukan penolakanTeori-teori penolakan perubahan :•Teori Orientasi SistemMenjelaskan bahwa yang menyebabkan mereka menolak adalah karena sistemnya. Pengguna tidak menyukai sistem yang diciptakan (misal justru menambah beban kerja bukan mengurangi, sering eror, dsb.). Jika benar alasan penolakan lebih disebabkan permasalahan sistem maka solusinya adalah lebih melibatkan pengguna dalam pengembangan sistem, pengetesan sistem harus tuntas, sosialisasi dan pelatihan penggunaan sistem,


Teori Orientasi ManusiaMenjelaskan bahwa yang menyebabkan mereka menolak adalah karena murni sikap manusianya. Untuk mengatsi hal ini sikap manusiannya perlu diperbaiki. Dapat dilakukan dengan cara lebih melibatkan pengguna dalam pengembangan sistem, sosialisasi manfaat yang akan didapat dari penggunaan sistem baru, sosialisasi tujuan dibentuknya sebuah sistem baru bukan untuk menggantikan posisi seseorang tetapi untuk membantu kinerja, dsb


Teori InteraksiTeori ini menyatakan bahwa penyebab penolakan perubahan adalah bukan manusia atau sistemnya akan tetapi lebih kepada interaksi diantaranya. Solusinya komunikasi dan involvement.

Model Adopsi Perubahan Lewin

Membuat Kebutuhan dan lingkungan yang aman

Menyediakan informasiYang diperlukan

Sosialisasi

Model Adopsi Perubahan Rogers

Fakultas Ekonomi – Manajemen Umsida

mis pengendalian etika

Documents