Group I ( Kelompok 9) - Processing Integrity AND Availability Controls PDF

Preview

Summary

PROCESSING INTEGRITY ANDAVAILABILITY CONTROLSPertemuan 12PROCESSING INTEGRITY AND AVAILABILITY CONTROLSA. INTRODUCTIONPada bab-bab sebelumnya telah didskusikan mengenai Information Security, yang merupakan prinsip dasar system reliability. Trust prinsip dasar system reliability. Telah dijelaskan men...

Description

PROCESSING INTEGRITY AND AVAILABILITY CONTROLS Pertemuan 12

PROCESSING INTEGRITY AND AVAILABILITY CONTROLS

A. INTRODUCTION Pada bab-bab sebelumnya telah didskusikan mengenai Information Security, yang merupakan prinsip dasar system reliability. Trust prinsip dasar system reliability. Telah dijelaskan mengenai dua prinsip dasar reliable system pada Trust Service Frameork. Pada bab ini akan di bahas mengenai processing integrity and availability.

B. PROCESSING INTEGRITY Prinsip Proses Integritas dari trust service framework menyatakan bahwa sistem yang andal adalah sistem yang menghasilkan informasi yang akurat, komplit, tepat taktu, dan valid. Hal ini membutuhkan pengendalian atas input, proses, dan output data.

1. INPUT CONTROL Frase “garbage in, garbage out” menyoroti pentingnya pengendalian input. Jika data yang masuk ke dalam sistem adalah sampah, output yang dihasilkan juga demikian. Karenanya, dokumen sumber seharusnya dipersiapkan hanya oleh personil yang berwenang dalam mengotorisasinya.

Forms Design Dokumen sumber dan bentuk lainnya didesain untuk meminimalisasi peluang bagi kesalahan dan kelalaian. Dua bentuk pengendalian desain yang sangat penting yaitu: 

Prenumbered document yaitu pemberian nomor pada dokumen sumber secara berurutan.



Turnaround document adalah record data perusahaan yang dikirim ke pihak eksternal dan yang dikirim ke pihak eksternal dan kemudian dikembalikan oleh pihak eksternal ke sistem sebagai masukan.

Cancellation and Storage of Source Documents Dokumen sumber yang sudah dimasukkan ke dalam sistem harus dapat dibatalkan sehingga dokumen tersebut tidak dapat secara tidak sengaja atau fraud masuk kembali ke dalam sistem.

Data Entry Controls Dokumen sumber harus di-scan untuk menjamin kewajaran dan kebenaran sebelum dimasukkan ke dalam sistem. Pengendalian ini harus dilengkapi dengan pengendalian data entry otomatis, seperti hal berikut: 1. Field Check menentukan apakah karakter dalam field dari jenis yang tepat. 2. Sign check menentukan apakah data dalam field memiliki tanda sesuai aritmatika. 3. Limit check menguji jumlah angka terhadap nilai tetap. 4. Range check menguji apakah jumlah angka jatuh diantara batas bawah dan atas dari yang ditetapkan. 5. Size check memastikan bahha data input akan cocok ke dalam filed tugas 6. Completeness check pada setiap input yang direkam menentukan apakah semua item data yang dibutuhkan sudah dimasukkan 7. Validity check membandingkan kode ID atau nomor rekening akun pada transaksi data dengan data yang sama dalam file master untuk memverifikasi bahwa akun ada. 8. Reasonableness check menentukan kebenaran dari hubungan logis antara dua item. 9. Authorized ID Number dapat berisi suatu cek digit yang dihitung dari digit lainnya.

Additional Batch Prosessing Data Entry Control 1. Batch processing bekerja lebih efisien jika transaksi disortir (diurutkan) sehingga akunakun yang terpengaruh berada pada urutan yang sama seperti rekaman dalam master file. 2. Error log menunjukkan review terhadap kesalahan data input (tanggal, sebab, masalah) yang tepat waktu dan pengajuan transaksi yang tidak dapat diproses.

3. Batch total meringkas nilai penting untuk rekaman batch input. Berikut ini adalah tiga batch total yang umumnya digunakan: 

Total jumlah keuangan adalah field yang berisikan nilai-nilai moneter



Total jumlah hash adalah field angka non keuangan



Record count adalah jumlah rekaman dalam batch

Additional Online Data Entry Control a)

Prompting, dimana sistem meminta setiap item input data dan menunggu respon yang diterima, memastikan bahwa semua data yang diperlukan dimasukkan.

b) Verifikasi closed-loop memeriksa akurasi data input dengan menggunakannya untuk mengambil dan menampilkan informasi terkait lainnya. c)

Log transaksi meliputi rician rekaman seluruh transaksi, termasuk mengidentifikasi transaksi unik, tanggal dan waktu entry, dan siapa yang memasukkan transaksi.

2. PROCESSING CONTROLS Kontrol juga diperlukan untuk memastikan bahwa data diproses dengan benar. Processing controls yang penting mencakup hal-hal berikut:  Pencocokan data. Dalam kasus tertentu, dua atau lebih item data harus dicocokkan sebelum tindakan dapat dilakukan.  Label file. Label file perlu diperiksa untuk memastikan bahwa file yang benar dan terbaru sedang diperbarui. Baik label eksternal yang dapat dibaca oleh manusia maupun label internal yang ditulis dalam bentuk yang dapat dibaca mesin pada media perekaman data harus digunakan. Dua jenis label internal yang penting adalah “header record” (terletak di awal setiap file dan berisi nama file, tanggal kedaluwarsa, dan data identifikasi lainnya) dan “trailer record” (terletak di akhir file, dalam file transaksi berisi total batch yang dihitung selama input).  Perhitungan ulang total batch. Total batch harus dihitung ulang saat setiap catatan transaksi diproses, dan total batch kemudian harus dibandingkan dengan nilai dalam trailer header. Setiap perbedaan menunjukkan kesalahan pemrosesan. Jika perbedaan total keuangan atau hash habis dibagi 9, kemungkinan penyebabnya adalah “kesalahan transposisi”, di mana dua digit yang berdekatan secara tidak sengaja dibalik (misalnya, 46 ditulis 64).

 Cross-footing and Zero-balance Test. Seringkali total dapat dihitung dengan berbagai cara. Cross-footing test adalah kontrol pemrosesan yang memverifikasi akurasi dengan membandingkan dua cara alternatif untuk menghitung total yang sama. Zero-balance test adalah kontrol pemrosesan yang memverifikasi bahwa saldo akun kontrol sama dengan nol setelah semua entri ke dalamnya telah dibuat.  Write-Protection Mechanism. Mekanisme ini melindungi terhadap penimpaan atau penghapusan file data yang disimpan di media magnetik. Mekanisme ini telah lama digunakan untuk melindungi file master agar tidak rusak secara tidak sengaja. Inovasi teknologi juga mengharuskan penggunaan mekanisme ini untuk melindungi integritas data transaksi.  Kontrol pembaruan serentak. Kontrol yang mengunci pengguna untuk melindungi rekaman individual dari kesalahan yang dapat terjadi jika beberapa pengguna mencoba memperbarui rekaman yang sama secara bersamaan.

3. OUTPUT CONTROLS Pemeriksaan yang cermat terhadap output sistem memberikan kontrol tambahan atas integritas pemrosesan. Output controls yang penting mencakup hal-hal berikut:  Tinjauan pengguna terhadap output. Pengguna harus hati-hati memeriksa output sistem untuk memverifikasi bahwa itu masuk akal, lengkap, dan bahwa mereka adalah penerima yang dituju.  Prosedur rekonsiliasi. Secara berkala, semua transaksi dan pembaruan sistem lainnya harus direkonsiliasi dengan laporan kontrol, laporan status/pembaruan file, atau mekanisme kontrol lainnya. Selain itu, akun buku besar harus direkonsiliasi dengan total akun pembantu secara teratur.  Rekonsiliasi data eksternal. Total database harus direkonsiliasi secara berkala dengan data yang dipelihara di luar sistem. Demikian pula, persediaan yang ada harus dihitung secara fisik dan dibandingkan dengan jumlah yang ada di tangan yang tercatat dalam database.  Kontrol transmisi data. Organisasi juga perlu menerapkan kontrol yang dirancang untuk meminimalkan risiko kesalahan transmisi data. Setiap kali perangkat penerima mendeteksi kesalahan transmisi data, ia meminta perangkat pengirim untuk mengirim ulang data tersebut. Dua kontrol transmisi data umum lainnya adalah sebagai berikut:

1. Checksums. Kontrol transmisi data yang menggunakan hash file untuk memverifikasi akurasi. 2. Parity bits. Komputer mewakili karakter sebagai satu set digit biner yang disebut “bit”. Setiap bit memiliki dua kemungkinan nilai: 0 atau 1. Parity bits adalah bit tambahan yang ditambahkan ke awal setiap karakter yang dapat digunakan untuk memeriksa akurasi transmisi. Parity Checking adalah kontrol transmisi data di mana perangkat penerima menghitung ulang parity bits untuk memverifikasi keakuratan data yang dikirimkan.

4. ILLUSTRATIVE EXAMPLE: CREDIT SALES PROCESSING Contoh yang digunakan untuk melihat berapa banyak pengendalian aplikasi yang telah dibahas benar-benar berfungsi adalah pemrosesan penjualan melalui sistem kredit. Setiap catatan transaksi mencakup data berikut: nomor faktur penjualan, nomor rekening pelanggan, nomor item persediaan, jumlah yang terjual, harga jual, dan tanggal pengiriman. Jika pelanggan membeli lebih dari satu produk, akan ada beberapa nomor item inventaris, jumlah yang terjual, dan harga yang terkait dengan setiap transaksi penjualan. Pemrosesan transaksi ini meliputi langkah-langkah berikut: (1) memasukkan dan mengedit data transaksi; (2) memperbarui catatan pelanggan dan inventaris (jumlah pembelian kredit ditambahkan ke saldo pelanggan; untuk setiap item inventaris, jumlah yang terjual dikurangi dari jumlah yang ada); dan (3) menyiapkan dan mendistribusikan dokumen pengiriman dan/atau penagihan.

Input Controls Saat transaksi penjualan dimasukkan, sistem melakukan beberapa pengujian validasi awal. Pemeriksaan validitas mengidentifikasi transaksi dengan nomor rekening yang tidak valid atau nomor item inventaris yang tidak valid. Pemeriksaan lapangan memverifikasi bahwa jumlah yang dipesan dan harga hanya berisi angka dan kolom tanggal mengikuti format MM/DD/YYYY yang benar. Tanda cek memverifikasi bahwa jumlah yang terjual dan harga jual berisi angka positif. Pemeriksaan rentang memverifikasi bahwa tanggal pengiriman tidak lebih awal dari tanggal saat ini atau lebih lambat dari kebijakan pengiriman yang diiklankan perusahaan. Pemeriksaan kelengkapan menguji apakah bidang yang diperlukan (misalnya, alamat pengiriman) kosong. Jika pemrosesan batch digunakan, penjualan dikelompokkan ke dalam batch (ukuran =50) dan salah satu dari total batch berikut

dihitung dan disimpan dengan batch: total keuangan dari total jumlah penjualan, total nomor faktur, atau jumlah pencatatan.

Processing Controls Sistem membaca catatan header untuk file induk pelanggan dan inventaris dan memverifikasi bahwa versi terbaru sedang digunakan. Karena setiap faktur penjualan diproses, pemeriksaan batas digunakan untuk memverifikasi bahwa penjualan baru tidak meningkatkan saldo akun pelanggan melebihi batas kredit yang telah ditentukan sebelumnya. Jika ya, transaksi akan disingkirkan sementara dan pemberitahuan dikirim ke manajer kredit. Jika penjualan diproses, tanda cek memverifikasi bahwa kuantitas baru di tangan untuk setiap item persediaan lebih besar dari atau sama dengan nol. Pemeriksaan rentang memverifikasi bahwa harga jual setiap item berada dalam batas yang telah ditentukan. Pemeriksaan kewajaran membandingkan kuantitas yang dijual dengan nomor item dan membandingkan keduanya dengan rata-rata historis. Jika pemrosesan batch digunakan, sistem menghitung total batch yang sesuai dan membandingkannya dengan total batch yang dibuat selama input: jika total keuangan dihitung, dibandingkan dengan perubahan total piutang; jika total hash dihitung, dihitung ulang saat setiap transaksi diproses; jika jumlah record telah dibuat, sistem akan melacak jumlah record yang diproses dalam batch tersebut. Jika dua total batch tidak setuju, laporan kesalahan dibuat dan seseorang menyelidiki penyebab perbedaan tersebut.

Output Controls Dokumen penagihan dan pengiriman diarahkan hanya kepada karyawan yang berwenang di departemen akuntansi dan pengiriman, yang secara visual memeriksanya untuk mencari kesalahan yang nyata. Laporan pengendalian yang merangkum transaksi yang diproses dikirim ke manajer penjualan, akuntansi, dan pengendalian inventaris untuk ditinjau. Setiap persediaan kuartal di gudang dihitung secara fisik dan hasilnya dibandingkan dengan jumlah tercatat untuk setiap item. Penyebab perbedaan diselidiki dan jurnal penyesuaian dibuat untuk mengoreksi jumlah yang tercatat. Contoh sebelumnya mengilustrasikan penggunaan pengendalian aplikasi untuk memastikan integritas pemrosesan transaksi bisnis. Fokus 10-1 menjelaskan pentingnya pemrosesan pengendalian integritas dalam pengaturan nonbisnis juga.

FOKUS 10-1 ENSURING THE PROCESSING INTEGRITY OF ELECTRONIC VOTING Pemungutan suara elektronik dapat menghilangkan beberapa jenis masalah yang terjadi dengan pemungutan suara manual atau mekanis. Misalnya, perangkat lunak pemungutan suara elektronik dapat menggunakan pemeriksaan batas untuk mencegah pemilih mencoba memilih lebih banyak kandidat daripada yang diizinkan dalam perlombaan tertentu. Pemeriksaan kelengkapan akan mengidentifikasi kegagalan pemilih untuk membuat pilihan di setiap balapan, dan verifikasi loop tertutup kemudian dapat digunakan untuk memverifikasi apakah itu disengaja. (Ini akan menghilangkan masalah “hanging chad” yang tercipta ketika pemilih gagal membuat lubang sepenuhnya pada kertas surat suara.) Namun, ada kekhawatiran tentang pemungutan suara elektronik, terutama kemampuan jejak auditnya. Yang dipermasalahkan adalah kemampuan untuk memverifikasi bahwa hanya pemilih terdaftar yang benar-benar memilih dan bahwa mereka hanya memilih sekali. Meskipun tidak ada yang tidak setuju dengan perlunya otentikasi semacam itu, ada perdebatan apakah mesin pemungutan suara elektronik dapat membuat jejak audit yang memadai tanpa risiko hilangnya anonimitas pemilih. Ada juga perdebatan tentang keamanan dan keandalan pemungutan suara elektronik secara keseluruhan. Beberapa pakar keamanan menyarankan agar pejabat pemilihan harus mengadopsi metode yang digunakan oleh negara bagian Nevada untuk memastikan bahwa mesin judi elektronik beroperasi dengan jujur dan akurat, yang meliputi hal-hal berikut: 

Akses ke kode sumber. Dewan Pengendalian Gaming Nevada menyimpan salinan semua perangkat lunak. Adalah ilegal bagi kasino untuk menggunakan perangkat lunak yang tidak terdaftar. Demikian pula, pakar keamanan merekomendasikan agar pemerintah menyimpan salinan kode sumber perangkat lunak pemungutan suara elektronik.



Pemeriksaan perangkat keras. Pemeriksaan chip komputer di mesin judi yang sering dilakukan di tempat dilakukan untuk memverifikasi kepatuhan terhadap catatan Dewan Pengendalian Permainan Nevada. Tes serupa harus dilakukan pada mesin pemungutan suara.



Tes keamanan fisik. Dewan Pengendalian Gaming Nevada secara ekstensif menguji bagaimana mesin bereaksi terhadap senjata bius dan kejutan listrik besar. Mesin pemungutan suara harus diuji dengan cara yang sama.



Pemeriksaan latar belakang. Semua produsen mesin judi diperiksa dan didaftarkan dengan cermat. Pemeriksaan serupa harus dilakukan pada produsen mesin pemungutan suara, serta pengembang perangkat lunak pemilihan.

5. PROCESSING INTEGRITY CONTROLS IN SPREADSHEETS Sebagian besar organisasi memiliki ribuan spreadsheet yang digunakan untuk mendukung pengambilan keputusan. Namun, karena pengguna akhir hampir selalu mengembangkan

spreadsheet,

sehingga

spreadsheet itu

jarang dilengkapi dengan

pengendalian aplikasi yang memadai. Oleh karena itu, tidak mengherankan jika banyak organisasi mengalami masalah serius yang disebabkan oleh kesalahan spreadsheet. Misalnya, artikel 17 Agustus 2007, di Majalah CIO1 menjelaskan bagaimana kesalahan spreadsheet menyebabkan perusahaan merugi, menerbitkan pengumuman pembayaran dividen yang salah, dan melaporkan hasil keuangan yang salah. Pengujian spreadsheet yang cermat sebelum digunakan dapat mencegah kesalahan mahal semacam ini. Meskipun sebagian besar perangkat lunak spreadsheet berisi fitur "audit" bawaan yang dapat dengan mudah mendeteksi kesalahan umum, spreadsheet yang dimaksudkan untuk mendukung keputusan penting memerlukan pengujian yang lebih menyeluruh untuk mendeteksi kesalahan kecil. Sangat penting untuk memeriksa hardwiring, di mana formula berisi nilai numerik tertentu (misalnya, pajak penjualan = 8,5% x A33). Praktik terbaik adalah menggunakan sel referensi (misalnya, menyimpan tarif pajak penjualan di sel A8) dan kemudian menulis rumus yang menyertakan sel referensi (misalnya, mengubah contoh sebelumnya menjadi pajak penjualan = A8 x A33). Masalah dengan hardwiring adalah bahwa spreadsheet awalnya menghasilkan jawaban yang benar, tetapi ketika variabel bawaan (misalnya, tarif pajak penjualan dalam contoh sebelumnya) berubah, rumus mungkin tidak dikoreksi di setiap sel yang menyertakan nilai bawaan itu. Sebaliknya, mengikuti praktik terbaik yang direkomendasikan dan menyimpan nilai pajak penjualan dalam sel berlabel jelas berarti bahwa ketika tarif pajak penjualan berubah, hanya satu sel yang perlu diperbarui. Praktik terbaik ini juga memastikan bahwa tarif pajak penjualan yang diperbarui digunakan di setiap formula yang melibatkan penghitungan pajak penjualan.

C. AVAILABILITY Gangguan pada proses bisnis karena tidak tersedianya sistem atau informasi dapat menyebabkan kerugian finansial yang signifikan. Akibatnya, Control COBIT 5 memproses DSS01 dan DSS04 yang membahas pentingnya memastikan bahwa sistem dan informasi tersedia untuk gunakan kapanpun dibutuhkan. COBIT 5 adalah sebuah framework atau kerangka kerja yang memberikan layanan kepada enterprise, baik itu sebuah perusahaan, organisasi, maupun pemerintahan dalam mengelola dan memanajemen aset atau sumber daya IT untuk mencapai tujuan enterprise tersebut. Tujuan utama adalah untuk meminimalkan risiko sistem downtime. Bagaimanapun, tidak mungkin untuk sepenuhnya menghilangkan risiko downtime. Oleh karena itu, organisasi juga memerlukan kontrol yang dirancang untuk memungkinkan dimulainya kembali operasi normal dengan cepat setelah adanya gangguan terhadap ketersediaan sistem.

1. MINIMIZING RISK OF SYSTEM DOWNTIME Organisasi dapat melakukan berbagai tindakan untuk meminimalkan risiko waktu henti sistem. Praktek manajemen COBIT 5 DSS01.05 mengidentifikasi kebutuhan untuk pemeliharaan preventif, seperti: seperti membersihkan drive disk dan menyimpan media magnetik dan optik dengan benar, untuk mengurangi risiko kegagalan perangkat keras dan perangkat lunak. Penggunaan komponen redundan memberikan toleransi kesalahan, yang merupakan kemampuan sistem untuk terus berfungsi jika komponen tertentu gagal. Misalnya, banyak organisasi menggunakan Redundant Arrays of Independent Drives (RAID) bukan hanya satu disk drive, dengan RAID data ditulis ke beberapa drive disk serentak. Jadi, jika satu disk drive gagal, data dapat dengan mudah diakses dari yang lain. Beberapa hal yang dapat dilakukan untuk meminimalisir terjadinya system downtime: 

Preventive maintenance tindakan pencegahan munculnya bug (error atau kerusakan yang terjadi sehingga menyebabkan website atau software tidak berjalan dengan seharusnya) yang dapat mengganggu kelancaran dari sebuah sistem informasi.



Fault tolerance Kemampuan dari suatu sistem untuk terus berkinerja ketika ada kegagalan pada hardware.



Data center location and design Agar jaringan internet dan system penyimpanan serta pengolahan data data dapat berjalan dengan baik, maka diperlukan sebuah tempat yang bernama data center yang stabil dan aman stabil yang dimaksud adalah selalu dapat beropeerasi dengan baik sehingga terhindar dari resiko downtime, aman yang dimaksud adalah berada di lokasi yang aman sehingga terhindar dari bencana alam dan resiko lainnya, letak data center yang ideal adalah yang tersembunyi dan tidak untuk diexpose di public. Sebuah data center terdiri dari beberapa ruangan yang memiliki fungsinya masing masing sehingga dapat membentuk suatu kesatuan agak data center dapat berjalan dengan baik.

 Training Cara selanjutnya adalah melakukan pelatihan kepada operator misalnya dalam perusahaan manufaktur. Selain kerusakan alat, downtime bisa terjadi karena kesalahan pengoperasian. Oleh karena itu, perusahaan harus melakukan pelatihan yang komprehensif agar operator dapat memiliki kemampuan untuk mendeteksi bagian mana yang mulai mengalami kerusakan  Patch management and antivirus software Patch adalah bagian software yang dirancang untuk mengupdate komputer program atau data pendukungnya untuk me...