Aplikasi pengendalian bertujuan untuk memastikan bahwa hanya data yang lengkap, akurat, dan valid yang diinput dan diupdate ke sistem komputer, pemrosesan dilakukan dengan benar, dan hasil pemrosesan memenuhi kebutuhan pengguna serta data telah terlindungi. Pengendalian mencakup input controls, process controls, dan output controls.
5. 2. Metodologi Pengembangan
Metodologi pengembangan yang terstruktur
memberikan manfaat bagi auditor untuk:
•Memperluas keterlibatan Auditor
•Mereview dan melaporkan ke manajemen
•Mengidentifikasi bagian-bagian tertentu
•Evaluasi penerapan metode dan teknik pengembangan
6. Risiko tidak memadainya metodologi SDLC
• Tidak memenuhi kebutuhan user
– Tidak dimanfaatkan
– Tidak dipelihara
– Usang dalam tempo singkat
• Melampaui batas anggaran
• Terlambat
• Posisi organisasi tidak kompetitif
• Kehilangan kesempatan bisnis
• Mengurangi kredibilitas
• Menurunkan motivasi karyawan
10. Pengujian
Jenis-jenis Pengujian:
•Pilot Testing -> aspek sistem yang spesifik
•Unit Testing -> program/modul
•Interface Testing -> hardware/software, koneksi antar komponen
•System Testing -> interaksi dengan komponen sistem lainnya
•Recovery Testing -> pemulihan kegagalan software/hardware
•Security Testing -> keamanan sistem
•Stress/Volume Testing -> memasukan data dlm jumlah besar
•Performance Testing -> kinerja sistem, benchmark
•Function/Validity Testing -> fungsionalitas sistem
•Regression Testing -> perubahan sistem tidak membawa error lain
•Parallel Testing -> membandingkan sistem baru & alternatif (lama)
•Acceptance Testing -> untuk mendapatkan persetujuan user
11.
12. 3. Alternatif Metodology Pengembangan
• Data Oriented System Development (DOSD)
• Database sebagai basis untuk laporan yang sifatnya adhoc
• Object Oriented System Development (OOSD)
• Proses spesifikasi dan pembuatan model solusi
• Keuntungan:
• Beragam tipe data
• Menyediakan sarana untuk hubungan yg kompleks
• Mudah menyesuaikan dengan perubahan sistem
• kemampuan menggunakan kembali object yg sudah ada
13. •Prototyping
•Proses membangun sistem dengan trial and error
Keuntungan:
Dev
Prototype
Review
Prototype
Accept
Prototype?
Refine &
Modify
N
Develop
User dapat segera melihat bentuk
sistem yang diajukan
Kerugian:
•Tekanan untuk segera
mengimplementasikan prototype
•Fungsi extra yang tidak ada dalam
kebutuhan semula
•Pengendaliannya cenderung
lemah
14. •Rapid Application Development (RAD)
Pengembangan aplikasi secara cepat, menggunakan;
•Pengembang yang terlatih
•Prototype yang evolusioner
•Tool yg kuat dan terintegrasi yg mendukung:
•Modeling, prototyping dan penggunaan
komponen yg berulang
•Tempat penyimpanan terpusat
•Batas kerangka waktu yg tegas
16. Computer Aided Software Engineering (CASE)
•Upper CASE
Kebutuhan bisnis dan aplikasi
•Middle CASE
Desain detail
•Lower CASE
Pembuatan Kode Program dan definisi database
17. Fourth Generation Language (4GLs)
Karakteristik:
•Non Procedural Languages
•Independen terhadap lingkungan (Portability)
•Fasilitas perangkat lunak
•Konsep meja kerja (work bench)
•Integrated Development Environment (IDE)
20. What Does COBIT
Stand For?
What Does COBIT
Stand For?
C Control
OB OBjectives
I for Information
T and Related Technology
21. Control versi COBIT
Control adalah suatu kebijakan, prosedur,
praktek dan struktur organisasi yang
diciptakan untuk memberikan keyakinan
yang memadai bahwa tujuan
organisasi/perusahaan akan tercapai, dan
hal-hal atau kejadian-kejadian yang tidak
dikehendaki, dapat dicegah (prevent),
didetekksi(detect), atau dikoreksi (correct)
22. Control versi COBIT
Pengendalian Umum
Pervasive Information System Control
Detail Information System Control
Pengendalian Aplikasi
27. Information Criteria
effectiveness - deals with information being relevant and pertinent to the
business process as well as being delivered in a timely, correct, consistent
and usable manner.
efficiency - concerns the provision of information through the optimal
(most productive and economical) usage of resources.
confidentiality - concerns protection of sensitive information from
unauthorized disclosure.
integrity - relates to the accuracy and completeness of information as well
as to its validity in accordance with the business' set of values and
expectations.
availability - relates to information being available when required by the
business process, and hence also concerns the safeguarding of resources.
compliance - deals with complying with those laws, regulations and
contractual arrangements to which the business process is subject; i.e.,
externally imposed business criteria.
reliability of information - relates to systems providing management with
appropriate information for it to use in operating the entity, in providing
financial reporting to users of the financial information, and in providing
information to report to regulatory bodies with regard to compliance with
laws and regulations.
29. Isu dan Eksposure Lingkungan
•Kebakaran
•Bencana Alam
•Kegagalan Listrik
•Kegagalan Pendingin Ruangan
•Kegagalan Peralatan
•Serangan Bom
30. Pengendalian Eksposure Lingkungan
•Pendeteksi Air
•Pemadam Kebakaran yg dapat digenggam
•Alarm Kebakaran
•Pendeteksi Asap
•Sistem Pengendali Kebakaran
•Water-based Systems (springkler systems)
•Dry-pipe
•Fully Charged
•Halon Systems
•Carbon Dioxide
•Penempatan Ruang Komputer yang strategis
•Inspeksi dari Departemen Pemadam Kebakaran
•Dinding, Lantai dan Langit2 tahan api
•Pelindung Arus Listrik
•Uninterruptable Power Supply (UPS)/Generator
•Emergency Switch Power Off
•Rencana Evakuasi Keadaan Darurat yg terdokumentasi dan teruji
31.
32. Pengendalian Akses Logik
Pengamanan utama bagi sekuriti software dan
data. Melindungi software komputer dan data
files dari akses, pengungkapan, manipulasi
serta perusakan oleh pihak yang tidak
berwenang.
33. Komponen kunci kebijakan sekuriti
•Dukungan dan Komitmen Manajemen
•Filosofi Akses (Need to know, need to do)
•Ketaatan pada peraturan yg terkait
•Otorisasi Akses
•Review atas Otorisasi Akses
•Kesadaran Sekuriti
•Distribusi kebijakan sekuriti tertulis
•Pelatihan pegawai
•Pernyataan non-disclosure dilakukan oleh pegawai
•Penggunaan media berbeda untuk mengumumkan sekuriti
•Pelaksanaan nyata
•Simulasi insiden
•Penghargaan bagi pegawai yg melaporkan kejadian yg
mencurigakan
•Audit secara periodik
34. Kejahatan Komputer
•Data diddling
•Trojan Horses
•Rounding Down
•Salami Techniques
•Virus
•Worms
•Logic Bombs
•Trap Doors
•Asynchronous Attack
•Data Leakage
•Wire-tapping (eavesdropping)
•Piggybacking
•Shutdown of the Computer
•Denial of Service
35. Dampak Kejahatan Komputer
•Financial Loss
•Legal Repercussions
•Loss of Credibility or Competitive edge
•Blackmail/Industrial Espionage
•Disclosure of Confidential, Sensitive or
Embarassing Information
•Sabotage
36. Pelaku Kejahatan Komputer
•Hacker
•Employees
•IS Personnel
•End Users
•Former Employees
•Interested or Educated Outsiders
•Pesaing
•Pihak Asing
•Kerjahatan terorganisasi
•Chrackers
•Phreakers
•Part-time and Temporary Personnel
•Vendors and Consultans
•Accidental Ignorant
37. Pemulihan dari Bencana dan
Kontinuitas Usaha
usaha untuk melanjutkan operasi
perusahaan yang diakibatkan oleh
terganggunya kegiatan dukungan sistem
informasi dan untuk dapat tetap bertahan
walaupun terjadi malapetaka.
38. Pemeringkatan Risiko Sistem
•Critical
•tidak dpt dilakukan kecuali jika digantikan dengan
kemampuan lain yang sama
•Vital
•bisa dilakukan secara manual untuk jangka pendek
•Sensitive
•bisa dilakukan secara manual
•Non-Critical
•Dapat terhenti untuk waktu yang lama
39. Off-Site Backup
• HOT SITE
• Fasilitas yang telah dikonfigurasi secara lengkap .
• WARM SITE
• Fasilitas yang telah dikonfigurasi sebagian.
• COLD SITE
• Hanya memiliki lingkungan dasar untuk beroperasi.
Belum menyediakan peralatan.
43. Authentication
What you know
user id, PIN, password
What you have
Electronic Card, Swipt Card, Smart Card
Who you are
Biometrik -> Sidik jari, telapak tangan, Retina, Suara
Two factor authentication, contohnya ATM
menggunakan Kartu ATM (what you have) dan PIN (what you know)
44. PASSWORD
Password harus unik bagi pemiliknya
Tidak terlalu panjang
Jika password salah dientri beberapa kali (mis: 3x), login id di-
deactivated untuk periode tertentu
Sistem otomatis log off jika tidak terjadi aktivitas selang waktu tertentu
Langsung merubah password setelah diterima
Secara periodik diubah
Password baru jangan menggunakan password yg sudah digunakan
sebelumnya
Terdiri dari huruf, angka dan tanda baca lainnya
Merahasiakan password
Jangan menggunakan nama, tgl lahir ataupun hal lain yang mudah
ditebak
Password dienkrip
48. APPLICATION CONTROLS
Memastikan bahwa:
•Hanya data yg lengkap, akurat, dan valid
yang di input dan di update dalam sistem
komputer
•Pemrosesan dilakukan dengan benar
•Hasil pemrosesan memenuhi kebutuhan
•Data telah dipelihara
51. PROCESS CONTROLS
•Before and After Image Reporting
•Pemeliharaan Pelaporan dan Penanganan Kesalahan
•Penyimpanan Dokumen Sumber
•Pelabelan Internal dan Eksternal
•Versi yang digunakan
•Sekuriti File data
•Pengujian One for One
•Input yang telah dicatat sebelumnya
•Log Transaksi
•Otorisasi pemeliharaan dan pemutakhiran file
•Parity Check
52. OUTPUT CONTROLS
•Pencatatan (logging) dan penyimpanan formulir yang
dapat dinegosiasi, sensitif dan kritis pada tempat yg
aman
•Pembuatan instrumen melalui komputer
•Distribusi laporan
•Pencocokan dan rekonsiliasi control totals
•Penanganan kesalahan output
•Retensi laporan output
•Verifikasi penerimaan laporan
57. Contoh: MATCH with prev dataContoh: MATCH with prev data
Untuk meyakinkan bahwa DATA yang diinput
BERKORELASI dengan data sebelumnya
SIN-CHAN (007)
Cicilan
05-FEB $ 25
SIN-CHAN (007)
Saldo Awal
05-JAN $ 100
58. Contoh: RUN to RUN ControlContoh: RUN to RUN Control
ATM machine
Silahkan ambil uang Anda
Transaksi
19/09/2001
09.53.25
Atm: SIAM125
Saldo
Rp800.000
Penarikan
Rp200.000
simpan bukti transaksi ini
59. Contoh: RELIANCE on anotherContoh: RELIANCE on another
aplicationaplication
Payroll System
Salary: Oct-2001
USD 50,000
DAFTAR-GAJI
Salary: Oct-2001
USD 50,000
GL-system
Salary: 50,000 (Dr)
Bank: 50,000 (Cr)
61. Contoh: Review of OUTPUTContoh: Review of OUTPUT
Surat Pengantar LAPORAN
Transaksi Penjualan
per: 15 Sept 2001
=============================
Jumlah transakri: 250 transaksi
TOTAL Rp 1.000.000
------------------------------------------
user: KaDiv Marketing
Tanda tangan: ...... / tgl........
62. Contoh: PREContoh: PRE--RECORDED inputRECORDED input
Untuk meyakinkan bahwa data SUDAH pernah dikenal,
atau BELUM sama sekali dikenal oleh sistem
BAMBANG
ex: Bank BEKU
a/c: 125
complaint
15-JAN 2001
BAMBANG
ex: Bank BEKU
a/c: 125
DESI
ex: Bank BEKU
a/c: 405
63. Contoh: Data CONVERTIONContoh: Data CONVERTION
EXCELL
dBASE
ID NAMA SALDO
1125 suneo 2.000
1145 sizuka 1.500
1150 nobita 5.000
65. Tugas Auditor dalam pengembangan SI
•Menentukan komponen utama, tujuan-tujuan
dan kebutuhan user terhadap sistem
•Menentukan dan membuat peringkat risiko
•Mengidentifikasikan Pengendalian
•Memberi saran kepada tim proyek
•Memonitor proses pengembangan sistem
66. 1. Manajemen proyek
2. Studi kelayakan
3. Definisi kebutuhan
4. Proses pengadaan
5. Tahap pemrograman dan desain detail
6. Tahap pengujian
7. Fase implementasi
8. Reviu pasca implementasi
9. Proses migrasi
69. ERP sebagai Strategic Tool
ERP merupakan alat bantu strategis untuk
memenangkan persaingan melalui
penggabungan (integrasi) seluruh proses bisnis
dan pengoptimalan sumber daya yang tersedia di
dalam perusahaan
71. Sejarah ERP
1. EOQ (Economic Order Quantity)
2. MRP (Material Requirements Planning)
3. MRP II (Manufacturing Resources Planning)
4. ERP (Enterprise-wide Resources Planning)
5. ERP II (Enterprise-wide Resources Planning)
+ e-commerce
72. Lima alasan utama mengapa perlu ERP
•Mengintegrasi informasi keuangan
•Mengintegrasi Informasi pesanan pelanggan
•Standarisasi dan peningkatan kecepatan
proses manufacturing
•Menurunkan tingkat persediaan barang
•Standarisasi informasi kepegawaian
73. Instalasi ERP
•The Big Bang
Melakukan perubahan terhadap perusahaan secara
keseluruhan sekaligus
•Franchising Strategy
ERP yang independen dipasang di setiap unit, tapi tetap
menghubungkan proses2 bisnis yang umum, seperti
pembukuan keuangan
•Slam dunk
Penerapan ERP difokuskan pada beberapa proses kunci
saja, misalnya Modul Financial