Application Control in Computer Operation

Berikut adalah rangkuman/resume dari mata kuliah Audit Sistem Informasi: Application Control in Computer Operation.

• Strukturisasi fungsi Teknologi Informasi. Pengaturan fungsi teknologi informasi memiliki implikasi pada sifat pengendalian internal yang berimplikasi pada auditnya.
~ Pemrosesan Data Terpusat: semua pemrosesan data dilakukan oleh satu atau lebih komputer besar yang diletakkan di sebuah lokasi terpusat yang melayani berbagai pengguna di seluruh perusahaan. Fungsi layanan komputer biasanya diperlakukan sebagai pusat biaya.

~ Memisahkan Pekerjaan yang tidak saling Bersesuaian: Fokus pengendalian dengan pemisahan pekerjaan bergeser dari tingkat operasional ke hubungan organisasional; memisahkan pengembangan sistem dari operasi komputer, memisahkan administrasi basis data dari fungsi lainnya, memisahkan fungsi pengembangan sistem dari pemeliharaan sistem, dan memisahkan perpustakaan data dari operasional.
~ Model Terdistribusi: pemrosesan data terdistribusi meliputi komputasi pengguna akhir, piranti lunak komersial, dan otomatisasi kantor yang melibatkan reorganisasi fungsi layanan komputer menjadi beberapa unit TI kecil yang berada di bawah kendali para pengguna akhir.
~ Mengendalikan lingkungan DDP (distributed data processing): kebutuhan akan analisis yang cermat menekankan perlunya kehati-hatian bagi para pengambil keputusan dengan menilai berbagai kebaikan nyata DDP bagi perusahaan; mengimplementasikan fungsi TI perusahaan diharapkan dapat berguna untuk menangani masalah pengendalian dalam perusahaan.
• Pusat Komputer.
~ Beberapa fitur pengendalian: Lokasi fisik, konstruksi, akses, pengatur suhu udara, pemadam kebakaran, pasokan listrik.
~ Perencanaan pemulihan dari bencana: pernyataan komprehensif tentang semua tindakan yang harus dilakukan sebelum, selama, dan setelah adanya bencana. Tiga jenis peristiwa yang dapat mengganggu pusat komputer dan sistem informasinya yaitu; bencana alam, bencana akibat manusia, dan kegagalan sistem.
~ Toleransi kegagalan: kemampuan sistem untuk melanjutkan operasinya ketika sebagian dari sistem gagal karena adanya kegagalan peranti keras, kesalahan aplikasi, atau kesalahan operator.
• Pengendalian Sistem Operasi dan Pengendalian Keseluruhan Sistem. Sistem operasi harus mencapai lima tujuan pengendalian fundamental yaitu; melindungi dirinya dari pengguna, melindungi para pengguna dari sesama pengguna, melindungi pengguna dari diri mereka sendiri, melindungi dari dirinya sendiri, dan harus terlindung dari lingkungan sekitarnya.
~ Keamanan Sistem Operasi: melibatkan kebijakan, prosedur, dan pengendalian yang menentukan siapa saja yang dapat mengakses sistem operasi, sumber daya mana (file, program, printer) yang dapat diakses, dan tindakan apa yang dapat dilakukan, dalam bentuk; prosedur logon, acces token, daftar pengendalian akses, dan pengendalian akses mandiri.
~ Ancaman terhadap Integritas Sistem Operasi: personel dengan hak tertentu yang menyalahgunakan wewenangnya, orang-orang yang menjelajah sistem operasi untuk mengidentifikasi dan mengeksploitasi kelemahan keamanan, dan orang yang menyelipkan virus komputer atau progran penghancur ke dalam sistem operasi.
~ Mengendalikan hak Akses: pemberian hak akses harus diberikan secara hati-hati dan dilakukan pengawasan yang ketat terhadapnya agar sesuai dengan kebijakan perusahaan dan prinsip pengendalian internal.
~ Pengendalian Password: password adalah kode rahasia yang dimasukkan oleh pengguna untuk mendapatkan akses ke sistem, file data, atau server jaringan. Perilaku yang bertentangan dengan keamanan password berupa, lupa password, tidak sering mengubah password, sindrom post-it, dan kata sandi yang terlalu sederhana hingga mudah ditebak oleh pelaku kejahatan komputer.
~ Pengendalian objek yang merusak dan resiko e-mail: salah satu risiko yang signifikan bagi sistem perusahaan adalah infeksi dari sebuah virus yaitu program yang biasanya merusak yang melekatkan dirinya ke sebuah program yang sah untuk memasuki sistem operasi, atau worm yaitu program peranti lunak yang menyembunyikan diri ke dalam memori komputer dan mereplikasikan dirinya ke berbagai area memori yang tidak digunakan. Selain itu terdapat pula logic bomb (akan berjalan pada waktu yang telah ditentukan pembuat), back door (pintu rahasia bagi programer nakal untuk melakukan penipuan atau menyelipkan virus ke sistem), trojan horse (yang menangkap ID dan password pengguna dengan menampilkan prosedur logon yang didesain menyerupai prosedur logon asli/normal), spoofing, spamming, chain letters, cerita legenda, hoax/tipuan peringatan virus, dan flaming.
~ Mengendalikan jejak audit elektronik: Jejak audit (audit trail) adalah daftar yang dapat didesain untuk mencatat berbagai aktivitas dalam tingkat sistem, aplikasi, dan pengguna. Jika diimplementasikan dengan benar, jejak audit memberikan pengendalian deteksi yang penting untuk membantu mewujudkan tujuan kebijakan keamanan. Jejak audit biasanya terdiri dari dua jenis data audit yaitu daftar terperinci mengenai tiap ketikan dan daftar yang berorientasi pada peristiwa. Tujuan jejak audit adalah untuk mendeteksi akses tidak sah ke sistem, memfasilitasi rekonstruksi peristiwa, dan meningkatkan akuntabilitas personal.
• Sistem Komputer Pribadi. Sistem PC relatif sederhana, dikendalikan oleh pengguna akhir, pemrosesan data yang interaktif, menjalankan berbagai software aplikasi komersial, mendownload data dari mainframe dan klien-server, dan pengguna dapat mengembangkan sendiri softwarenya serta memelihara datanya.
~ Sistem Operasi PC: terdiri atas dua jenis perintah; System-resident commands (perintah yang berada dalam sistem) yang aktif di dalam memori utama sepanjang waktu untuk mengkoordinasikan permintaan input/output serta menjalankan program, dan Disk-Resident Command (perintah yang berada dalam disk/media penyimpan) yang akan berjalan ketika ada permintaan untuk menjalankan program utilitas bertujuan khusus ini.
~ Risiko dan pengendalian Sistem PC: berupa; risiko kerugian fisik, risiko kehilangan data, risiko pengguna akhir, risiko prosedur pembuatan cadangan yang tidak memadai, risiko yang berkaitan dengan infeksi virus, dan risiko pengembangan sistem dan prosedur pemeliharaan yang tidak memadai, serta pengendalian akses yang lemah, pemisahan pekerjaan yang tidak memadai dan pengendalian kata sandi multitingkat (multilevel password control).