Hakikat Pengendalian

Hakikat Pengendalian

Empower Your Auditor

Hakikat Pengendalian

  ƒ Pengendalian (Controls) Untuk menghindari terjadinya sesuatu yang tidak diinginkan:

  o Preventive o Detective o Corrective o Compensating

  ƒ Pengendalian Intern (Internal Controls) Untuk menghindari terjadinya sesuatu yang tidak diinginkan atas tujuan dan kegiatan organisasi

Hakikat Pengendalian

  ƒ Definition of Internal Control Internal control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories: o Effectiveness and efficiency of operations o Reliability of financial reporting o Compliance with applicable laws and regulations

  ƒ Key Concepts o Internal control is a process. It is a means to an end, not an end in itself. o Internal control is effected by people. It’s not merely policy manuals and forms, but people at every level of an organization. o Internal control can be expected to provide only reasonable assurance, not absolute assurance, to an entity’s management and board. o Internal control is geared to the achievement of objectives in one or more separate but overlapping categories.

Hakikat Pengendalian

  ƒ Pengendalian TI

Untuk menghindari terjadinya sesuatu yang tidak diinginkan atas

teknologi informasi sehubungan dengan tujuan & kegiatan organisasi

  o Basic

  ¾ Management/General ¾ Application

  o COBIT (Control Objectives for Information and Related Technology)

  ¾ Planning & Organization ¾ Acquistion & Implementation ¾ Delivery & Support ¾ Monitoring

  Hakikat Pengendalian Management Controls Onion Management Controls Onion Top Management

  IS Management System Development Management Programming Management Data Management Quality Assurance Management Security Management Operation Management Application System Control

  

Top Management &

Top Management &

  

IS Management

  IS Management

Empower Your Auditor

Top Management & IS Management Auditor dapat mengevaluasi Top Manajemen dengan memeriksa sebagaimana baik mereka melaksanakan keempat fungsi utamanya :

  ƒ Fungsi Perencanaan – menentukan tujuan fungsi SI dan maksud mencapai

  tujuan tsb

  ƒ Fungsi Pengorganisasian & Staffing – mendapatkan, mengalokasikan

  dan mengkoordinasikan sumberdaya yang dibutuhkan untuk mencapai tujuan

  ƒ Fungsi Kepemimpinan – memotivasi, memandu dan

  mengkomunikasikannya dengan personel

  ƒ Fungsi Pengendalian – membandingkan kinerja aktual dengan kinerja

  yang telah ditetapkan dalam perencanaan sebagai dasar untuk pengambilan tindakan koreksi yang dibutuhkan

Top Management & IS Management

  ƒ Fungsi Perencanaan o Aktivitas

  ¾ Kenali peluang dan permasalahan TI ¾ Identifikasi sumber daya yang dibutuhkan ¾ Susun strategi untuk memperoleh sumber daya yang dibutuhkan o Jenis-jenis Rencana

  ¾ Rencana Stratejik ¾ Rencana Operasional ƒ Peran Auditor

o Mengevaluasi apakah Top Manajemen telah memformulasikan

perencanaan SI yang berkualitas dan yang sesuai dengan kebutuhan perusahaan

Top Management & IS Management

  ƒ Fungsi Perencanaan o Model Perencanaan

  ¾ Mc Farlan’s Strategic Grid Model ¾ Sullivan’s Infusion-Diffusion Model o Komite TI

  ¾ IT Strategic Committee ¾ IT Security Committee ¾ IT Steering Committee

Top Management & IS Management McFarlan’s Strategic Grid Model

  Future System Low High Current System

  Support Turnaround Low Organization Organization

  (Small) (Moderate – Large) Factory Strategic High Organization Organization

  (Moderate) (Large)

Top Management & IS Management Sullivan’s Infusion-Diffusion Model

  Systems Infusion Low High Systems Diffusion

  Traditional Backbone Low Organization Organization

  (Small) (Moderate – Large) Federation Complex High Organization Organization

  (Moderate) (Large)

Top Management & IS Management

  ƒ Fungsi Pengorganisasian o Resourcing

  ¾ Hardware ¾ Software ¾ Personil ¾ Infrastruktur

  o Staffing

  ¾ Rekruitment ¾ Pengembangan personil ¾ Pemberhentian personil

  o Sentralisasi vs Desentralisasi

  ƒ Peran Auditor o Menanyakan apakah Top Manajer memiliki pemahamaan yang bagus atas peran fungsi SI yang harus dijalankan dalam perusahaan o Mengevaluasi sebagaimana bagusnya setiap aktivitas proses staffing dilakukan

  Decentralized Intermediate Centralized Function Location Control Dimension Option King’s Centralization & Decentralization Options Top Management & IS Management

Top Management & IS Management

  ƒ Fungsi

Pengorganisasian

  o Fungsi Utama TI ¾ Development

  ƒ Peran Auditor o Mengevaluasi apakah tanggung jawab setiap posisi pekerjaan yang terdapat dalam fungsi TI telah dirumuskan dan dipahami secara jelas oleh personel SI o Mengevaluasi pemisahan tugas (seperation of duties) atas pekerjaan fungsi SI yang terdapat conflict of interest

• System Analyst • Application Programmer • Systems Programmer • Quality Assurance

  ¾ Administrator

• Data Administrator • Database Administrator • Security Administrator • Network Administrator

  ¾ Operator

• Librarian • Data Entry

Top Management & IS Management

  ƒ Fungsi Kepemimpinan o Memotivasi personil

  ¾ There is no one best way of motivating people, the best way depends on individuals and their environmet o Menyesuaikan style kepemimpinan dengan personel dan pekerjaan sistem informasi o Komunikasi yang efektif

  ƒ Peran Auditor o Mengevaluasi sebagaimana baikanya Top Manajemen menjalankan fungsi kepemimpinan

Top Management & IS Management

  ƒ Fungsi Pengendalian o Pengendalian atas biaya dan manfaat o Pengendalian atas aktivitas TI

  ¾ Standar metode ¾ Standar kinerja ¾ Standar dokumentasi ¾ Project control standards - GANTT Chart, PERT Chart ¾ Post audit standards o Pengendalian atas pengguna

  ¾ Transfer pricing ƒ Peran Auditor o Mengevaluasi apakah fungsi SI efektif o Mengevaluasi sebagaimana baiknya Top Manajemen memonitor fungsi

  SI-nya o Mengevaluasi standar yang telah ditetapkan untuk pengendalian aktivitas sistem informasi o Mengevaluasi pilihan top manajemen atas pengendalian terhadap pengguna jasa

  

System Development Management

System Development Management

Empower Your Auditor

System Development Management

  ƒ System Development Life

Cycle (SDLC)

  o Perencanaan ¾ Feasibility study (studi Kelayakan) o Analisa

  ¾ Requirement definition (definisi kebutuhan) o Perancangan

  ¾ Merancang sistem (system design) o Pengembangan

  ¾ Pemrograman (programming) ¾ Pembuatan dokumen ¾ Uji penerimaan (acceptance testing) o Implementasi

  ¾ Konversi ¾ Operasi dan pemeliharaan ƒ Auditor o Auditor memerlukan model normatif o Membandingkan praktik aktual dengan model untuk mengidentifikasi ketidaksesuaian dan untuk menunjukkan pengendalian mana yang secara efektif atau tidak dalam pelaksanaan pengembangan

System Development Management

  ƒ Bagaimana audit atas pengembangan sistem o Concurrent Audit o Post Implementation Review o General Audit

System Development Management Studi

  Perencanaan Kelayakan Definisi Analisa Kebutuhan Perancangan

  Perancangan Sistem Pemrograman Pembuatan Pengembangan Dokumen Uji Penerimaan Konversi Pengimplementasian Operasi & Pemeliharaan

  ƒ

  o Kelayakan dilihat dari aspek: ¾ Technical ¾ Operational ¾ Economic ¾ Behavioral o Peran Auditor

  ¾ Concurrent

• Memastikan bahwa pilihan solusi yang ditetapkan oleh stakeholder

  bermanfaat

• Memastikan pendekatan yang memdai telah dipilih dan digunakan untuk

  analisis kelayakan ¾ Ex Post

• Mengevaluasi proses dan pendekatan yang digunakan oleh tim pengembang

  dalam penilaian kelayakan

• Mengevaluasi sebagaimana bagusnya penilaian kelayakan dilakukan
• Mengevaluasi dampak dari keputusan yang telah dibuat terhadap kualitas

  sistem yang dikembangkan ƒ Definisi kebutuhan o Auditor harus memeriksa dan mengevaluasi

  ¾ prosedur yang digunakan oleh stakeholder dalam mencapai kesepakatan atas kebutuhan stratejik ¾ Prosedur yang digunakan untuk membantu mengklarifikasi kebutuhan stratejik ^{Operasional Ekonomi Perilaku Proses Pengembangan Sistem Teknologi Berhenti Mulai Operasional Ekonomi Perilaku Proses Pengembangan Sistem Teknologi Berhenti Mulai}

  System Development Management

Studi kelayakan

System Development Management

  ƒ Perancangan sistem

  o Pengumpulan detil kebutuhan – auditor harus mengevaluasi pendekatan yang digunakan untuk mendiskripsikan kebutuhan dan kualitas dokumentasi yang dibuat atas diskripsi kebutuhan o Desain alur data dan informasi – auditor harus secara hati-hati mengevaluasi aktivitas yang dilakukan dalam tahap ini untuk menetukan apakah rancangan yang dihasilkan memenuhi kebutuhan yang ditetapkan untuk sistem tsb o Desain database – auditor harus mengevaluasi keputusan yang diambil dalam menetapkan scope dan struktur database dan auditor harus berusaha menemukan bukti bahwa suatu tool telah digunakan untuk memfasilitasi proses perancangan dan dokumentasi atas hasil proses rancangan o Desain interface – auditor mengevaluasi bahwa perancang telah mengikuti standar perancangan interface yang memadai, dan auditor harus menginvestigasi apakah perancang telah mem-prototype-kan penggunaan interface o Desain phisikal – auditor harus berusaha mencari bukti bahwa perancang mengikuti suatu pendekatan terstruktur dalam melakukan perancangan phisikal o Desain platform – auditor harus memastikan bahwa desain platform atas hardware/system software mendukung sistem aplikasi dikembangkan

  ƒ Pemrograman o Coding, compiling etc o Akuisisi atau mengembangkan o Peran auditor

  ¾ Akuisisi Æ kecukupan spesifikasi kebutuhan yang disediakan untuk vendor; kualitas prosedur yang digunakan untuk mengevaluasi software yang ditenderkan atas fungsionalitasnya, akurasinya dan kelengkapatnya; kualitas dokumentasi; kestabilan vendor dan dukungan vendor

  ¾ Mengembangkan Æ mengevaluasi prosedur yang dilakukan/diterapkan selama tahap perancangan, coding, compiling, pengujian dan dokumentasi

  ƒ Pembuatan dokumen

  o System documentation, user manual o Peran auditor ¾ Auditor harus menilai kualitas rancangan prosedur ¾ Audtor harus mengevaluasi apakah spesifikasi atas minimum prosedur telah dicakup ¾ Memeriksa tim perancang prosedur apakah terdiri atas perwakilan semua grup stakeholder ¾ Mengevaluasi pendekatan yang digunakan untuk menguji prosedur ¾ Mengevaluasi kualitas dokumentasi prosedur

  System Development Management

System Development Management

  ƒ Uji penerimaan

  o Unit testing ; System testing; & User testing o Peran auditor : ¾ Mengevaluasi pekerjaan yang dilakukan selama tahap pengujian penerimaan dengan menanyakan :

• Bagaimana proses pengujian direncanakan
• Bagaimana data uji dirancang dan dibuat
• Data uji apa yang digunakan
• Hasil uji apa yang diperoleh
• Tindakan apa yang diambil atas error/kelemahan yang teridentifikasi
• Modifikasi apa yang dibuat atas data uji berdasarkan pengalaman uji sebelumnya
• Bagaimana pengendalian diuji atas data uji dan proses pengujian penerimaan

System Development Management

  ƒ Konversi

  o Konversi ke sistem baru dapat dilakukan dengan 3 cara

  ¾ Abrupt Changeover ,Phased Changeover, & Parallel Changeover

  o Perpindahan ke sistem baru dapat melibatkan 4 aktivitas

  ¾ Pelatihan pengguna ¾ Instalasi hardware & software ¾ Konversi file dan program ¾ Pengoperasian

  o Auditor : ¾ gangguan yanng dapat terjadi dan berisiko pada pengemanan aset, integritas data, efektivitas dan efisien sistem ¾ Indikasi permasalah dengan penerimaan user ¾ Seringkali trade-off dibuat antara integritas data pada sistem baru dan kebutuhan untuk segera menjalankan sistem ¾ Perencanaan yang hati-hati atas aktivitas yang dilakukan selama tahap konversi.

  Pengendalian untuk mematikan pengamanan aset, integritas data, efektivitas dan efisiensi sistem harus dirancang dan diimplementasikan

  ƒ Operasi dan pemeliharaan

  o Tiga tipe perubahan yang dapat terjadi : ¾ Perbaikan (repair maintenance) – kekeliruan logik ¾ Penyesuaian (adaptive maintenance) – perubahan dalam lingkungan sistem dan pengguna ¾ Penyempurnaan (perfective maintenance) – meningkatkan efisiensi pemrosesan o Auditor harus mengevaluasi keberadaan proses perubahan yang formal Æ untuk mengidentifikasi, & mencatat perubahan; dan otorisasi dan pengendalian implementasi

  

Programming Management

Programming Management

Empower Your Auditor

Programming Management

  o Karakteristik utama program yang berkualitas

  PLANNING

  tinggi

  ¾ Berfungsi dengan benar dan lengkap ¾ Mempunyai interface pengguna yang

CONT DESIGN

  berkualitas tinggi ¾ Bekerja secara efektif ¾ Didesain dan didokumentasikan dengan baik

ROLS CODING

  ¾ Mudah dipelihara ¾ Tahan terhadap kondisi yang tidak normal TESTING OPERATION & MAINTENANCE HIGH-QUALITY PROGRAMS

Programming Management

  ƒ Planning

  ƒ Peran Auditor ƒ Teknik estimasi biaya

• Algorithmic Models ƒ Auditor harus mengevaluasi apakah
• Expert Judgment sifat dan sejauh mana/seluas apa
• Analogy

  perencanaan dilakukan pada

• Top-down Estimation software yang dikembangkan atau
• Bottom-up Estimation diakuisisi.

  ƒ Auditor harus mengevaluasi ƒ Aspek yang harus sebagaimana bagusnya pekerjaan

  diperhatikan perencanaan dilakukakan.

• Design Approach • Implementation Approach • Integration & Testing Approach • Project Team Organization

Programming Management

  ƒ Design

  ƒ Pendekatan desain berdasarkan bahasa pemrograman

• Programer berusaha untuk menspesifikasikan struktur dan operasi program yang akan memenuhi kebutuhan yang telah diidentifikasi selama tahap perancangan sistem pemrosesan informasi pada pengembangan sistem

  ƒ Peran Auditor ƒ Akan mencari tahu apakah programer telah menggunakan suatu tipe pendekatan yang sistematik untuk perancangan ƒ Auditor bisa mendapatkan bukti atas praktik-praktik perancangan yang digunakan dengan melakukan

  ƒ Interviu – menentukan apakah programer telah memahami perlunya suatu pendekatan perancangan yang sistematik ƒ Observasi

• – menetukan apakah programer menggunakan pendekatan sistematik untuk merancang program

  ƒ reviu atas dokumen – menentukan apakah dokumen tersebut berisi item spserti bagan struktur program sebgai bukti bahwa programer menggunakan pendekatan sistematik untuk perancangan

Programming Management

  ƒ Coding ƒ dilakukan saat software yang dikembangkan/diakuisisi dimodifikasi.

  ƒ Programer menulis dan mendokumentasikan source code kedalam bahasa pemrograman untuk mengimplementasikan rancangan program ƒ Implementasi modul dan strategi integrasi

• Auditor harus berusaha mencari bukti pada tingkat perhatian apa yang dilakukan oleh manajemen pemrograman dalam memilih strategi implementasi dan integrasi modul
• Auditor dapat melakukan interviu dan memeriksa dokumentasi program ƒ Strategi coding

  ƒ mekanisme “GO TO” - 3 struktur pengendalian dasar dalam coding

• Simple sequence SEQUENCE
• Selection based on a test

  IF-THEN-ELSE

• Conditional Repetition DO-WHILE
• Peran auditor>Harus berusaha menemukan bukti untuk menentukan apakah manajemen pemrograman memastikan bahwa konvensi pemrograman yang terstruktur diikuti oleh programer
• Interviu manajer dan programer, observasi pekerjaan programer, & periksa dokumentasi program

Programming Management

  ƒ Testing Æ dievaluasi untuk o Program yang dikembangkan/diakuisisi menentukan apakah program memenuhi kebutuhan yang telah dispesifikasikan

  o Untuk mengidentifikasi adanya erro r pada rancangan atau coding

  program

  o Langkah pengujian

  ¾Memilih batasan pengujian ¾Menentukan tujuan pengujian ¾Memilih pendekatan pengujian ¾Mengembangkan pengujian ¾Melakukan dan menilai pengujian ¾Mendokumentasikan pengujian

Programming Management

  ƒ Peran Auditor ƒ Unit Testing

  o Analysis Test

  o Unit testing Æ Auditor dapat melakukan interviu, observasi,

  ¾ Desk Checking

  dan pemeriksaan dokumen

  ¾ Structured Walk-Through

  untuk mengevaluasi

  ¾ Design & Code Inspections

  sebagaimana bagusnya

  o Dynamic Analytic Test

  pengujian dilakukan

  ¾ Black Box Testing

  o Integration testing Æ

  ¾ White Box Testing

  umumnya dilakukan hanya ketika program yang besar dan ƒ Integration Testing kompleks dikembangkan

  ƒ System Testing secara in house/vis kontraktor.

  o Function Test

  Auditor mengevaluasi kualitas

  o Performance Test

  pekerjaan pengujian integrasi

  o Acceptance Test

  dilakukan oleh personel SI

  o Installation Test

Programming Management

  ƒ Operation & Maintenance

  o Program menjadi bagian operasional saat program direlease untuk penggunaan operasi keseharian o Tipe pemeliharaan yang perlu dilakukan agar program tetap beroperasi :

  ¾ Perbaikan ¾ Penyesuaian ¾ Penyempurnaan o Peran auditor ¾ Penggunaan operasional atas programÆ apakah kinerja dimonitor secara memadai ¾ Mengevaluasi prosedur yang digunakan untuk melakukan pemeliharaan atas program ¾ Memastikan efektivitas dan ketepatan waktu pelaporan kebutuhan pemeliharaan dan memastikan pemeliharaan dilakukan dengan pengendalian yang memadai

  ¾ Berusaha menemukan bukti bahwa manajemen telah mengimplementasikan suatu sistem reviu dan memberikan/melimpahkan tanggungjawab untuk memonitor status program di operasional

  ¾ Auditor dapat melakukan interviu, observasi dab reviu dokumen

Programming Management

  ƒ Pengendalian pemrograman PLANNING

  o Monitoring kemajuan dibandingkan dengan rencana untuk menjamin efisiensi dan ketepatan waktu, misalnya Work Breakdown Structure, Gantt Charts, Program Evaluation & Review Techniques (PERT)

DESIGN CONT

  o Pengendalian akses untuk menjamin autentikasi, akurasi dan kelengkapan, misalnya Program Library

  ROLS Software CODING

  ƒ Peran Auditor

  o Mengevaluasi apakah sifat dari dan sejauh mana

  TESTING

  aktivitas pengendalian dilakukan secara memadai terhadap beberbagai tipe software yang dikembangkan dan di akuisisi

  OPERATION

  o Mengumpulkan bukti atas apakah prosedur

  &

  pengendalian yang dijalankan dapat diandalkan

  MAINTENANCE

Programming Management

  ƒ Sejumlah aspek pengendalian o Pekerjakan hanya staf programer yang berkualitas tinggi o Lakukan pemisahan fungsi seoptimal mungkin o Buat standar metode dan kinerja o Batasi kewenangan programer o Pelihara log manual dan machine log atas aktivitas programer o Mintakan jasa konsultan independen untuk menilai pekerjaan pemrograman

o Lakukan uji silang atas pekerjaan antar programer secara

berkala

  

Data Management

Data Management

Empower Your Auditor

Data Management

  ƒ Tujuan Data Management

Sharing

  o Sharability

Sumber daya

  ¾ Setiap pengguna berhak mengakses dan menggunakan data yang sama

  o Availability

  ¾ Setiap pengguna dapat mengakses dan

Konflik antar

  menggunakan data pada setiap saat, dimanapun dan dalam form yang mereka

Pengguna

  inginkan

  o Evolvalibity

  ¾ Data dan definisi data dapat dimodifikasi untuk Perlu merespon kebutuhan stakeholder

  Dilakukan

  o Integrity

  Mediasi ¾ Data harus otentik, akurat dan lengkap

  Kompromi

Data Administrator (DA) & Database Administrator (DBA)

• oriented) definition Strategic data planning; determining user needs; specifying conceptual & external schema (user-oriented) definition Defining Data

  Determining programmer requirement for database tools; determining database optimization tools; testing & evaluating programmer & database optimization tools. Determining end-user requirement for database tools, testing & evaluating end-user database tools Making Database

  Available to Users Implementing retirement schema Specifying retirement policies Retiring Data Specifying new internal schema definition; altering database to conform with new schema Specifying new conceptual & external schema definition; advising user to conform with new definition

  Redefining / Restructuring Data Preparing programs to create data; assistance in populating database

  Specifying data collection procedures and validation & editing criteria Creating Data

  Specifying internal schema (computer

  Tanggung Jawab DBA Tanggung Jawab DA Fungsi Data Management Monitoring programmer patterns of database use; collecting performance statistic; tuning the database

  Monitoring end-user patterns of database use Monitoring Operations

  Implementing database controls; assisting programmers to design & implement application controls Developing and promulgating organization-wide standards; assisting end-user to formulate application controls Maintaining

  Database Integrity Answering programmer queries; educating programmers; establishing & promulgating low- level policy information; providing internal schema information Answering end-user queries; educating end-user; establishing & promulgating high-level policy information; providing conceptual & external schema information

  Informing & Servicing User Tanggung Jawab DBA Tanggung Jawab DA Fungsi Data Administrator (DA) & Database Administrator (DBA) Data Management

Data Management Database Definition – Schemas & Mapping Individual user view External External External of the database Schema 1 Schema 2 Schema 3 Total logical view

  Conceptual of the database Schema Total storage structure

  Internal of the database Schema Instances of the

  Stored database definition Database

Data Management External Schema Person belongs Dept. Person paid has

  has Salary (empno) to (depno) (empno) to Conceptual Schema

Person

Dept. belongs paid has has Salary (empno) to (depno) to Internal Schema Person Dept. Salary (empno) (depno)

  

10 character 6 character 12 numeric

Data Management Pengendalian atas integritas database:

  o Pengendalian definisi o Pengendalian eksistensi o Pengendalian akses o Pengendalian update o Pengendalian concurrency o Pengendalian kualitas

  

Quality Assurance Management

Quality Assurance Management

Empower Your Auditor

Quality Assurance Management

  ƒ Mengapa Perlu Quality Assurance ?

  o Semakin banyak organisasi yang menghasilkan safety-critical systems o Pengguna semakin menuntut perangkat lunak yang berkualitas tinggi untuk mendukung pekerjaannya o Organisasi menjalankan proyek sistem informasi yang ambisius sehingga dituntut jaminan kualitas yang semakin kuat o Organisasi semakin memperhatikan kelangsungan hidupnya apabila mereka menghasilkan dan menjual perangkat lunak yang tidak sempurna o Pengendalian yang tidak memadai atas produksi, implementasi, operasi dan pemeliharaan perangkat lunak dapat mengakibatkan biaya tinggi o Peningkatan kualitas perangkat lunak merupakan bagian dari tren yang diterima luas di dunia untuk meningkatkan kualitas jasa dan produk yang mereka jual

Quality Assurance Management

  ƒ Fungsi Quality Assurance

o Mengembangkan sasaran kualitas bagi keseluruhan fungsi

sistem informasi dan membantu pengembangan sasaran kualitas bagi sistem informasi tertentu

o Mengembangkan, menyebarluaskan, dan memelihara standar

sistem informasi o Memonitor ketaatan terhadap standar o Mengidentifikasi area yang memerlukan peningkatan o Memberikan laporan kepada manajemen o Memberikan pelatihan kepada personil sistem informasi yang lain mengenai standar dan prosedur kualitas

Quality Assurance Management Karakteristik Kualitas Perangkat Lunak – ISO 9126 Karakteristik

Uraian

  Functionality Tingkatan yang harus dipenuhi oleh suatu software dalam mengakomodasi kebutuhan dari user software tersebut harus jelas Tingkatan performa minimum dari suatu software

Reliability

  selama kurun waktu tertentu Usability Tingkat kemampuan dari software untuk dapat digunakan oleh user

  Efficiency Tingkat sumber daya yang digunakan oleh software dalam melakukan tugasnya

  Maintainability Tingkatan usaha yang diperlukan untuk memodifikasi software

  Portability Kemampuan dari suatu software untuk bisa bekerja dalam berbagai hardware dan software yang tersedia

  

Security Management

Security Management

Empower Your Auditor

Security Management

  A A set dinyatakan set dinyatakan secure secure apabila kerugian yang diperkirakan akan apabila kerugian yang diperkirakan akan terjadi akibat kemungkinan ancaman dalam batas waktu tertentu terjadi akibat kemungkinan ancaman dalam batas waktu tertentu masih dalam tingkat yang dapat diterima masih dalam tingkat yang dapat diterima

  Aset Physical Logical Data/Information Software System Application Personnel Hardware Facilities Documentation Supplies Mainframes, minis, micros Peripherals online/offline Storage media

Security Management Implementing security program Prepare

  Prepare Identify Value Identify Probability Asses Adjust Project Security Assets Assets Threats of threats Exposure Controls Plan

  Report Objectives Personnel Who Values Source Statistical Identify current Is exposure History controls level is still Scope Hardware Internal How Lost acceptable Estimation : Tasks Facilities External Loss Period

  Asses the Managements Team Document Asset Age Nature Identify new reliability of Users controls controls Budget Supplies Accidental

  IT Functions Schedule Data and Deliberate Controls Information

  Evaluate the Adjustment probability that Applications a threat will Software successful Systems Software

  Assess the resulting loss

Security Management Jenis-jenis Ancaman Fire Hacking Damage Water Damage

  Virus & Worms Energy Variations Misuse of Software Data & Services Structural Damage

  Unauthorized Pollution Intrusion

Security Management

  ƒ Disaster Recovery Plan o Emergency Plan o Backup Plan

  ¾ Cold Site Æ Hanya fasilitas, tanpa hardware & software ¾ Hot Site Æ Semua hardware & software, data, perlengkapan ¾ Warm Site ÆFasilitas dan sejumlah hardware utama ¾ Reciprocal ÆPertukaran antara dua atau kebih organisasi o Recovery Plan

  ¾ Test Plan ƒ Asuransi

  

Operation Management

Operation Management

Empower Your Auditor

Operation Management

  ƒ Computer Operation Controls ƒ Network Operation Controls ƒ Data Preparation and Entry ƒ Production Controls ƒ File Library ƒ Documentation and Program Library ƒ Help Desk / Technical Support ƒ Capacity Planning and Performance Monitoring ƒ Management of Outsourced Operations

Operation Management – Computer Operation Controls

  ƒ Operation Controls

o Menentukan fungsi yang harus dilakukan oleh operator dan

fasilitas operasi otomasi

  ƒ Scheduling Controls

o Menentukan bagaimana pekerjaan dijadualkan dalam platform

hardware atau software

  ƒ Maintenance Controls

o Menentukan bagaimana hardware dipelihara dengan urutan

operasi yang baik

  

Operation Management – Computer Operation Controls

Maintenance Controls Graph Total Cost of Maintenance Cost of Preventive Maintenance Cost

  Cost of Remedial Maintenance Frequency of Maintenance Trade-off between preventive & remedial maintenance

  Operation Management – Network Operation Controls LAN Controls File Server Physical Barrier Workstation

  WAN Controls N.C.T Network Control Terminal

Operation Management – Network Operation Controls

Operation Management – Data Preparation & Entry

  ƒ Desain dokumen sumber ƒ Penyimpanan dokumen sumber ƒ Desain screen input ƒ Desain area entri data

  o Pencahayaan pada area keyboard – memadai dan tidak menyilaukan o Akustik pada lingkungan kerja – tidak terlalu sunyi atau gaduh o Layout lingkungan kerja – tidak semrawut o Desain ergonomik perlengkapan kantor – menekan luka

Operation Management – Production Controls

  ƒ Penerimaan dan pengiriman input dan output o Kertas & bentuk elektronik

  ƒ Penjadualan kerja o Manual atau otomatis

  ƒ Manajemen kesepakatan tingkat layanan dengan pengguna o Service level o Cost o Pinalti

  ƒ Harga transfer o Billing & collection

  ƒ Akuisisi perlengkapan komputer o Kertas printer, diskette, tape magnetik, toner cartridges dll

Operation Management – File Library

  ƒ Empat fungsi yang terkait:

  o Media penyimpan harus ditempatkan dalam fasilitas yang aman o Hanya digunakan dengan tujuan yang terotorisasi o Dipelihara dengan urutan yang baik o Ditempatkan pada lokasi yang memadai dan pemindahan dari dan ke fasilitas harus dikendalikan

  ƒ Penyimpanan media penyimpan ƒ Penggunaan media penyimpan ƒ Pemeliharaan dan penghancuran media penyimpan ƒ Lokasi media penyimpan

Operation Management – Documentation & Program Library

  ƒ Pustakawan dokumen

  o Mengelola dokumentasi yang mendukung fungsi sistem informasi o Mengelola persediaan perangkat lunak

  ƒ Beberapa permasalahan:

  o Tanggung jawab atas dokumentasi biasanya tersebar di lingkungan organisasi o Dokumentasi dalam bentuk dan lokasi yang beragam o Kesulitan untuk memastikan bahwa dokumentasi tetap up-to-date dan hanya dapat diakses oleh pengguna yang terotorisasi o Kesulitan untuk memastikan backup dokumentasi yang memadai

Operation Management – Helpdesk/Technical Support

  ƒ Syarat yang kritikal o Personil yang kompeten dan dapat dipercaya o Sistem manajemen permasalahan yang menyediakan inventory, logging, dan reporting

Operation Management – Capacity Planning & Performance Monitoring

  ƒ Menilai apakah profil kinerja mengindikasikan aktivitas yang tidak terotorisasi ƒ Menentukan apakah kinerja sistem pada tingkatan yang dapat diterima dibandingkan dengan yang diinginkan pengguna ƒ Menentukan kebutuhan pengguna akan perangkat keras dan perangkat lunak baru

  

Operation Management – Management of Outsourced Operations

ƒ Empat aspek pengendalian yang harus menjadi fokus manajemen: o Evaluasi terus menerus atas kemampuan finansial vendor o Memastikan ketaatan kepada kontrak o Memastikan secara terus menerus pegendalian yang memadai atas operasi vendor o Memelihara prosedur disaster recovery dengan vendor