pengendalian aplikasifti.uajm.ac.id/ajar/audit sistem informasi/07 pengendalian aplikasi.pdf · •...
TRANSCRIPT
4/10/2013
1
N. Tri Suswanto Saptadi
PENGENDALIAN
APLIKASI
PENGENDALIAN APLIKASI
Kategori Pengendalian Jenis-jenis Pengendalian
1. Boundary Control a. Otoritas akses ke sistem aplikasi
b. Identitas dan otentisitas pengguna
2. Input Control a. Otorisasi dan validasi masukan
b. Transmisi dan konversi data
c. Penanganan kesalahan
3. Process Control a. Pemeliharaan ketepatan data
4. Output Control a. Rekonsiliasi keluaran
b. Penelaahan dan pengujian hasil pengolahan
c. Distribusi keluaran
5. Database Control a. Akses
b. Integritas data
6. Communication Control a. Pengendalian kegagalan unjuk kerja
b. Gangguan komunikasi
b. Pengujian terprogram atas memadainya
pengolahan
4/10/2013
2
BATASAN SUBSISTEM DAN KONTROL
Disini terdapat dua pokok bahasan yang penting yakni batasan
subsistem dan kontrol.
Tujuan dari Batasan subsistem adalah menjamin bahwa:
1.Sistem memiliki user yang otentik
2.User memiliki sumber-sumber (data) yang otentik
3.User dibolehkan untuk menggunakan sumber data hanya
dengan jalur terbatas.
Hal yang paling penting untuk mencapai tiga tujuan di atas adalah minimal adanya dasar pengetahuan secara
umum mengenai user dan sistem guna mem-validasi antar keduanya
KONTROL AKSES
• Macam-macam access control yang diterima dalam bidang industry sebagai berikut:
Logon IDs dan passwords
• adalah salah satu jenis yang paling umum dari prosedur akses control yang mempunyai tingkat perbedaan antara sistem aplikasi dan akses ini di ijinkan setelah membuat identitas pengguna dan password yang unik dari tiap-tiap pengguna.
• Beberapa syarat control yang penting dari sistem tersebut dijelaskan dengan gambar di bawah ini:
4/10/2013
3
SIKLUS APLIKASI
KONTROL AKSES
Smart Card
• adalah perlengkapan berupa mikrocip, kartu pembayaran dapat berupa kartu kredit bank SIM kartu identitas elektronik, atau kombinasi dari kartu-kartu tersebut
Biometric System
• Biometrik didefinisikan sebagai metode otomatis dalam mengindentifikasikan identitas seseorang berdasarkan psikologi atau karakter kebiasaan
4/10/2013
4
JEJAK AUDIT DALAM BOUNDARY
SUBSYSTEM
1. Identitas dari user to-be the system
2. Keaslian dari informasi yang ada
3. Sumber permintaan
4. Waktu dimulai dan waktu berakhir
5. Nomor dari percobaan masuk - login
6. Hak membolehkan aksi
INPUT SUBSISTEM (1 DARI 5)
• Prosedur control input sebagai berikut:
1. Setiap transaksi yang diproses diterima, diproses, dan
dicatat secara akurat dan lengkap
2. Hanya informasi yang sah dan terdaftar yang bisa
masuk
3. Transaksi hanya diproses satu kali
4. Dalam sistem lingkungan yang telah ter-integrasi,
output yang dihasilkan akan menjadi input bagi sistem
lain maka edit cek, pengecekan dan akses control
harus di-review.
4/10/2013
5
INPUT SUBSISTEM (1 DARI 5)
• Pengendalian input dapat berbeda dalam hal tingkat- field, dan record.
• Field level input control
1. Sequence check
• Artinya dalam level ini proses pengecekan dilakukan tahap demi
tahap tidak langsung sekaligus.
• Sebagai contoh no faktur, dimana no nya di awali dari no
yang kecil dan terus berlanjut sampai no terakhir.
• Pengontrolan pengurutan database adalah hal yang sangat
penting untuk rangkaian pengecekan supaya lebih efektif
2. Limit Check •Sebagaimana dalam hal validasi, bahwasannya pengecekan harus bisa menjamin bahwa data tidak akan melebihi dari batas keterangan.
Sebagai contoh dasar (intinya) seseorang membayar tidak boleh melebihi dari batas keterangannya. (sesuai dengan jumlahnya)
3. Range Check
Artinya batas pengecekan atau daerah pengecekan.
Sebagai contoh kode produk bertipe yang boleh adalah dari 200 sampai 500, maka selain kode tersebut secara otomatis akan ditolak oleh system
4. Set Mapping
Artinya penyetingan atau pembuatan kode yang biasanya berbentuk kriteria dan hal ini berfungsi untuk memvalidasi.
Sebagai contoh F untuk Female dan M untuk Male
4/10/2013
6
5. Master reference
• Referensi master yang berfungsi menyimpan data yang sudah di validasi ketika di input yang kemudian disimpan di master database.
Sebagai contoh dalam kasus pemasukan nama bank untuk cek dalam proses pengiriman buat clearing, maka nama dan number kode dari bank mesti sudah di-validasi dari master databasenya.
6. Size cheque
• Artinya dalam pengontrolan harus bisa menjamin bahwa data yang dimasukan sesuai dengan ukuran areanya (digit).
Sebagai contoh mengenai umur manusia. Yakni diberikan digit sebanyak 4 (9999). Jika data yang dimasukan melebihi 4 digit maka data di tolak.
Record level input control
1. Reasonableness
Artinya dalam pengontrolan kelayakan harus bisa menjamin bahwa data merupakan kombinasi dari berbagai field dan sudah merupakan standar kelayakan dari sebuah organisasi,
Sebagai contoh dalam hal penggajian karyawan, dimana harus ada kelayakan artinya pemberian gaji yang kecil tidak boleh melebihi gaji yang besar sesuai dengan standar penggajiannya
2. Valid signs-numerik
Artinya dalam pengontrolan ini harus bisa menjamin bahwa tanda yang dikoreksi adalah digunakan dalam perekaman (record) data.
Sebagai contoh pengontrolan harus bisa menjamin bahwa field yang kosong tidak diisi dalam record adalah tidak ada yang kemudian dianggap sebagai nol.
4/10/2013
7
Tips penting bagi Auditor dalam control input
1. Kemungkinan kesalahan data input secara langsung di
sesuaikan dengan jumlah tangan manusia dalam proses
input.
2. Saat jeda antara mendeteksi adanya state atau even dan
input state atau even dalam aplikasi meningkat
kemungkinan terjadinya kesalahan juga meningkat.
3. Penggunaan peralatan input khusus atau subsistem input
dalam sistem input meningkatkan keabsahan data input.
DATA – ENTRY SCREEN DESIGN (1 DARI 2)
1. Screen Organisation • tampilan harus teratur dan simetris
• semua informasi yang diinginkan ditampilkan di dalam layer, atau semua
permintaan di tampilkan dalam beberapa layer dan ini mesti secara logik
berhenti di antara layer-layar tersebut
• mesti ada jarak di layer untuk beberapa tampilan pesan seperti : help, error,
dlll
• layer organisasi mesti konsisten
2. The Screen Caption • judul tampilan harus yang spesifik. Sebagai contoh untuk memasukan data
karyawan baru maka judul layernya adalah : “tambah karyawan baru”
• judul tampilan atau formulir untuk memasukan data tidak dibolehkan
dikosongkan
• judul mesti dengan huruf tebal dan dengan ukuran yang lebih besar di
bandingkan dengan yang lain
4/10/2013
8
3. Tabbing and Skipping
• pindah secara otomatis ke field yang baru dan mesti menghindari
petunjuk pindah yang salah.
4. Color
• menggunakan warna yang hemat (sederhana) dan konsisten
• menggunakan warna sedikit (transparan) yang luas dan lebar sepanjang
pandangan warna visual seperti : merah, kuning, hijau dan biru
• setiap aktivitas warna harus konsisten sebagai contoh dibedakan antara
warna untuk edit, input, dll
• beberapa warna yang normal digunakan dan sudah rutin pada setiap
kegiatan (tampilan) contoh pesan error dengan warna merah.
5. Prompting (kecepatan) and help facility
• Penjelasan “help” harus spesifik atau secara detail
• harus ada jarak di layer untuk tampilan bagian help
• biasanya help bisa di akses lewat tombol F1
• ada link yang disediakan pada bagian help yang ketika digunakan user
nantinya akan berelasi dengan topic (tulisan).
DATA – ENTRY SCREEN DESIGN (2 DARI 2)
AUDIT TRAIL CONTROL
• Jejak Audit dalam subsystem input
identitas seseorang (organisasi) yang memiliki sumber data
identitas seseorang (organisasi) yang memasukan data ke system
waktu dan tanggal memasukan data
detail dari transaksi
nomor setumpuk data fisik dan logic untuk transaksi
waktu pengambilan dari dalam sumber dokumen utama
• Existence Control
Dalam kasus data master yang salah, data master yang
sebelumnya di tambah file input dapat digunakan untuk
membangun atau meng-uptodate-kan data master.
4/10/2013
9
KONTROL KOMUNIKASI
• Kendali Kesalahan Transmisi: Adanya gangguan (noise) yang
mengakibatkan data yang dikirim salah. Untuk mendeteksi
kesalahan ini dilakukan teknik pantulan (echo technique). Echo
technique merupakan teknik deteksi kesalahan dengan cara
memantulkan data kembali ke pengirim.
• Keamanan (kerahasiaan) data transmisi: Untuk mengatasi
dan melindungi dari penyadapan data maka diperlukan sistem
untuk merubah data ke dalam bentuk kode rahasia yang tidak
dimengerti oleh orang lain – (Cryptography).
PROCESSING CONTROLS (1 DARI 4)
• Control proses menyediakan jaminan kebenaran dalam
memproses data yang telah di masukan. Dalam aplikasi tertentu
semua transaksi telah diproses dan telah di sahkan dan
transaksi yang tidak sah telah di hilangkan.
•
1. Print Run to Run Total
sebagai contoh data dalam hal mem-validasi transaksi. Dimana
ketika transaksi berjalan data terus di-validasi dan di-edit, bisa
berisi record control, yang ditampilkan jumlah record dan total
control dari file (data)
4/10/2013
10
PROCESSING CONTROLS (2 DARI 4)
2. Lost and Rejected Entries
Control ini meliputi data transaksi yang matching dengan data
yang ada di data master. Sedangkan transaksi yang ditolak
adalah ketika pengontrolan dilakukan secara otomatis terjadi
kesalahan karena data tersebut (tidak cocok).
Contoh: semestinya sebelum dilakukan inisialisasi pembayaran,
faktur vendor semestinya sudah match dengan data, yang
berisi rekaman-rekaman, barang-barang secara detail yang
telah diterima. Faktur tidak akan dibayar selama belum cocok
dengan data masternya.
3. Mid-process Data Correction
Proses control data digunakan untuk menjamin keakuratan
data, kelengkapannya (data) dan ketepatan waktunya selama
terjadi batch data, atau proses real-time dengan aplikasi
computer. Control ini digunakan untuk me-review program
aplikasi dan hubungannya dengan operasi-operasi computer,
untuk menjamin keakuratan data dari proses aplikasi yang
salah dan tidak ada data yang ditambah, hilang atau berubah
selama proses berlangsung.
4. Before and After Image Processing
Setiap saat data (file) di-update dan file yang sebelumnya
dicatat. Jika ada kegagalan transaksi maka dapat dikembalikan
ke kondisi sebelumnya.
PROCESSING CONTROLS (3 DARI 4)
4/10/2013
11
Audit trail control for Processing Subsystem
Di bawah ini adalah keterangan tentang formulir dari
accounting audit trail record of the Processing Subsystem,
diantaranya:
1. Identifikasi proses, nama dan nomor versi dari proses.
2. Identitas dari proses yang menjadi trigger transaksi dan
kondisi yang dihasilkan.
3. Hasil antara.
4. Nilai item input dan output data.
5. Tanggal dan waktu dari proses.
6. Nama user.
PROCESSING CONTROLS (4 DARI 4)
OUTPUT CONTROL (1 DARI 2)
1. Inference Control
Pengontrolan kesimpulan memiliki arti yaitu user bisa
mengakses pada item-item data, akan tetapi disana
terjadi pembatasan untuk mendapatkan kesimpulan
dengan menggunakan data tersebut.
2. Presentation Control
Pengontrolan presentasi yang memiliki tujuan
memberikan kepastian/jaminan kelayakan kepada user
bahwasannya data yang dipresentasikan pada user
adalah konsisten dan terjamin.
4/10/2013
12
OUTPUT CONTROL (2 DARI 2)
1. Laporan output harus dikeluarkan sesuai dengan parameter
yang sah.
2. Laporan yang sensitif tidak boleh di print.
3. Laporan yang disebarkan secara elektronik dapat di peroleh
oleh pengguna melalui peran mereka.
4. Prosedur dalam melaporkan dan mengontrol kesalahan dalam
aplikasi program output harus di tingkatkan. Laporan yang salah
harus di kirimkan ke departemen yang bisa mengoreksi
kesalahan itu.
5. Menyediakan jaminan bahwa laporan yang sensitive di
sebarkan seperlunya.
6. Saat memback-up laporan harus hati-hati begitu juga dalam
menge-print filenya.
OTHER OUTPUT CONTROL
• Audit trail control for Output Subsystem
Di bawah ini adalah keterangan yang penting dalam
formulir accounting audit trail, yaitu:
1. output apa yang dipresentasikan kepada user?
2. siapa yang menerima output tersebut?
3. kapan output tersebut diterima?
4. aksi apa yang kemudian diambil dari output tersebut ?
4/10/2013
13
KONTROL BASIS DATA
• File handling controls: pengendalian terhadap data
maupun media penyimpan data, sehingga jika terjadi
suatu kerusakan data akan dapat di-recovery dengan
back-up.
• Audit trail: rekam jejak kegiatan secara kronologis
berurutan.
• Adanya kelemahan dalam struktur database seperti
belum sempurna dalam normalisasi data.