KEDEKATAN SISTEM DALAM MEMECAHKAN MASALAH DAN MEMBUAT KEPUTUSAN

Salah satu tujuan CBIS adalah untuk member dukungan kepada manajer dalam mengontrol area operasinya. Namun, walaupun CBIS dilengkapi dengan kontrol, ia sendiri pun harus dikontrol. Manajer melakukan kontrol atas pekerjaan team proyek selama fase desain dan implementasi. Bila CBIS telah dioperasikan maka penampilannya harus dikontrol dengan seksama.

Kita telah mengetahui adanya kriminal komputer – yaitu bagaimana seseorang menggelapkan ribuan dolar dari bank dengan cara mengakses database komputer. Kita juga pernah mendengar tentang pecandu komputer yang disebut hackers, yang menyebarkan virus yang dapat merusak data dan program. Tindakan tersebut berkecenderungan mengancam organisasi dan sumber informasinya, seperti halnya terkena musibah yang tak dikehendaki, mislnya kebakaran atau bencana alam.

Manajemen melakukan control untuk mencegah terjadinya malapetaka tersebut atau mengurangi dampak yang diakibatkannya. Hanya dengan mengembangkan CBIS yang terkontrol secara baik manajer dapat memiliki kepercayaan mengenai inputnya. 

2.2. HUBUNGAN KONTROL DENGAN KEAMANAN

Definisi keamanan adalah proteksi atau perlindungan atas sumber-sumber fisik dan konseptual dari bahaya alam dan manusia. Walaupun penembusan terhadap keamanan data dan informasi dapat terjadi dalam berbagai bentuk, kehilangan bisa saja disengaja atau tidak disengaja, dan ia dapat berakibat terjadinya pemodifikasian, kerusakan, atau penyingkapan yang tak dikehendaki.

Penembusan terhadap keamanan data dan informasi yang tak disengaja merupakan ancaman yang lebih besar daripada dilakukannya dengan sengaja. Tindakan yang disengaja biasanya dapat diketahui, namun yang tidak disengaja lebih banyak mengakibatkan kerusakan.

PROPERTI SISTEM YANG MEMBERIKAN KEAMANAN

Jika sistem informasi ingin selalu menjaga keamanan isinya, maka ia harus memiliki tiga properti, yaitu integritas, audibilitas (kemampuan dapat terdengar), dan daya kontrol.

Integritas. Sistem akan mempunyai integritas jika ia berjalan seperti apa yang diharapkan. Perancang sistem berusaha untuk mengembangkan sistem yang mempunyai integritas fungsional, yaitu kemampuan untuk melanjutkan operasi walaupun bila salah satu atau lebih dari komponennya tidak berjalan. Contoh yang tepat adalah jaringan pemrosesan distribusi, yang tetap melanjutkan fungsinya walaupun salah satu prosesornya tidak dapat digunakan lagi.

Audibilitas. Bila sistem mempunyai audibilitas maka mudah bagi seseorang untuk memeriksa, memverifikasi, atau mendemontrasikan penampilannya. Orang-orang yang mempunyai ketergantungan kepada unit pelayanan informasi, misalnya kepada auditor internal dan eksternal, untuk melakukan audit. Agar sistem bersifat audibel, ia harus lulus dalam pengujian daya penghitungan dan visibilitas. Account-ability (daya penghitungan) berarti bahwa tanggung jawab untuk tiap hal yang terjadi dalam sistem harus dapat ditelusuri sendirian. Visibility (visibilitas) berarti bahwa penampilan yang tidak dapat diterima dapat diketahui oleh manajer sistem. Sebagai contoh, subsistem CBIS bersifat audibel bila dokumentasi mengidentifikasi orang-orang yang mengembangkannya, dan program tersebut menyertakan pengecekan kesalahan yang diperlukan.

Berdaya kontrol. Manajemen dapat melakukan pengerahan atau penghambatan pengaruh terhadap sistem bila sistem tersebut berdaya kontrol. Teknik yang efektif untuk mendapatkan daya kontrol sistem ini adalah dengan membagi sistem menjadi subsistem yang menangani transaksi secara terpisah. Penembusan keamanan pada salah satu subsistem tidak akan mempengaruhi keseluruhan sistem. Sebagai contoh, Salah satu subsistem dalam bank digunakan untuk membuka account. Subsistem pertama mengontrol yang kedua untuk mencegah manipulasi dana yang tidak diinginkan, misalnya seseorang yang membuka account dengan nama dari pemilik account tadi dan secara ilegal mentransfer dana tersebut ke dalamnya dari account yang lain.

Oleh karenanya, manajer melakukan pengamanan sistem informasi dengan cara mengembangkan sistem yang memberikan integritas, audibilitas, dan daya kontrol.    

2.3. TUGAS PENGENDALIAN DALAM SISTEM INFORMASI BERBASIS KOMPUTER

Kontrol CBIS mencakup semua fase siklus hidup. Selama siklus hidup, kontrol dapat dibagi menjadi kontrol-kontrol yang berhubungan dengan pengembangan, desain, dan operasi.

Kontrol pengembangan sistem memastikan bahwa perencanaan, analisis dan desain, dan implementasi berjalan sesuai dengan rencana. Selagi CBIS dikembangkan, manajemen memastikan bahwa desain tersebut dapat meminimalkan adanya peluang kesalahan, mendeteksi kesalahan ketika desain dibuat, dan mengkoreksi kesalahan reentry. Ini adalah kontrol desain dan ia dapat dicapai dengan software maupun dengan hardware. Bila CBIS telah diimplementasikan, kontrol operasi akan menjaga integritas sistem. Contoh dari operasi adalah pembagian tugas diantara personel operasi untuk mencegah persekongkolan. Kontrol operasi didelegasikan kepada manajer operasi komputer.

METODE MENDAPATKAN DAN MEMELIHARA KONTROL

Manajemen dapat melakukan kontrol dengan tiga cara dasar, seperti :

• Manajemen dapat melakukan kontrol langsung yaitu mengevaluasi kemajuan dan penampilan serta menentukan tindakan koreksi apa yang harus dilakukan. Cara ini memerlukan pemahaman komputer secara canggih.  
• Manajemen mengontrol CBIS secara tidak langsung dengan terus menerus melalui CIO. CIO bertanggung jawab dalam pengembangan CBIS yang dapat memenuhi kebutuhan manajer dan menjaga operasional CBIS.  
• Manajemen mengontrol CBIS secara tidak langsung berkenaan dengan proyeknya melalui pihak ketiga, misalnya auditor internal atau eksternal. Spesialis ini memberikan tingkat pemahaman komputer yang tidak dimiliki manajer.

2.3.1. KONTROL PROSES PENGEMBANGAN

Tujuan dari kontrol pengembangan adalah untuk memastikan bahwa CBIS yang diimplementasikan dapat memenuhi kebutuhan pemakai. Berikut ini adalah tujuh contoh mengenai kontrol pengembangan dan point dalam siklus hidup tempat diterapkan pengontrolan ini :

1. Manajemen puncak menetapkan kontrol proyek secara keseluruhan selama fase perencanaan  dengan cara membentuk komite MIS, yang mendefinisikan tujuan dan kendala, dan dengan mekanisme pengontrolan proyek.  
2. Manajemen memberitahu pemakai mengenai orientasi CBIS dengan cara mengidentifikasi keperluan informasi pada permulaan fase analisis dan desain. 
3. Manajemen menentukan kriteria penampilan yang akan digunakan dalam pengevaluasian operasi CBIS.  
4. Manajemen dari bagian pelayanan informasi menyusun desain dan standart operasi CBIS yang digunakan sebagai pedoman bagi pelayanan informasi mengenai penampilan yang dapat diterima. Pelayanan informasi mengganti pedoman tersebut menjadi standart manual.  
5. Manajemen dan pelayanan informasi secara bersama-sama mendefinisikan program pengujian yang dapat diterima, yang menentukan persyaratan untuk tiap program komputer yang bisa disetujui. Persetujuan ini diperlukan sebelum program dimasukkan ke dalam perpustakaan software.  
6. Manajemen melakukan peninjauan sebelum instalasi yang dilakukan tepat setelah penggantian dan secara berkala meninjau CBIS untuk memastikan apakah ia memenuhi kriteria penampilan.  
7. Bagian pelayanan informasi menetapkan prosedur untuk memelihara dan memodifikasi CBIS dan prosedur ini disetujui oleh manajemen.

Dengan cara tersebut, manajemen dapat mengontrol CBIS selagi ia berevolusi sepanjang fase siklus hidupnya. Manajemen menentukan apa yang dibutuhkan dan kemudian menindaklanjutinya untuk memastikan bahwa CBIS yang diimplementasikan dapat memenuhi kebutuhan tersebut.

2.3.2. KONTROL DESAIN SISTEM

Selama fase desain dan analisis dari siklus hidup, analis sistem, DBA, dan manajer jaringan membangun fasilitas kontrol tertentu dalam desain sistem. Selama fase implementasi programmer menggabungkan kontrol tersebut ke dalam sistem. Kontrol desain ini akan mempengaruhi penampilan CBIS bila ia telah dioperasikan.

Beberapa subsistem dari CBIS memerlukan tingkat kontrol yang lebih tinggi daripada yang lain. Umumnya sistem yang ada kaitannya dengan uang memerlukan kontrol yang ketat. Perusahaan tidak boleh melakukan kesalahan dalam menghitung cek gaji pekerja dan cek pembayaran kepada pemasok. Sebaliknya subsistem non moneter seperti laporan statistik penjualan masih dapat digunakan walaupun ia berisi kesalahan yang tidak pokok.

Perlu diingat bahwa kontrol sistem membutuhkan biaya asosiasi. Kontrol tidak boleh diterapkan jika biayanya lebih besar dari manfaatnya. Nilai atau manfaat adalah tingkat pengurangan resiko dan estimasinya sulit dibuat. Sebagai contoh, berapa nilai kontrol yang dapat mengurangi resiko pembuatan cek yang jelek ? Anda dapat menghitung jumlah uang perusahaan yang hilang jika jumlah tersebut terlalu tinggi, namun anda hanya dapat menghitung hilangnya harapan apabila jumlah uang tersebut terlalu kecil.  

2.3.2.1. MATRIKS RESIKO DAN KONTROL

Walaupun pengukurannya sulit, analis sistem harus memberitahu pemakai mengenai point dalam sistem yang mungkin dapat terjadi kesalahan dan memberitahu kepadanya mengenai konsekuensi kesalahan tersebut. Metode yang baik untuk menyampaikan informasi ini adalah matriks resiko. Resiko-resiko tersebut di daftar di bagian atas dan komponen sistem didaftar menurun disebelah kiri. Sebagai contoh, resiko-resikonya telah dikategorisasikan sebagai data tak lengkap, data tak akurat, dan transaksi gelap. Contoh resiko yang dapat terjadi pada setiap sistem dimasukkan dalam sel.

Matriks lain yang disebut matriks kontrol dapat digunakan untuk menyesuaikan kontrol desain terhadap resiko. Analis sistem menggunakan matriks kontrol untuk bukti visual bahwa tiap resiko yang diidentifikasi telah ditangani.  

2.3.2.2. AREA DARI KONTROL DESAIN SISTEM

Dalam beberapa hal setiap subsistem CBIS mempunyai keunikan tersendiri. Namun kita dapat secara sama menggambarkan setiap subsistem tersebut menurut elemen-elemen dasarnya, pertimbangan kontrol akan didasarkan pada tiap elemennya tersebut.

Elemen pertama digunakan untuk transaction origination (permulaan transaksi). Prosedurnya melibatkan perekaman satu elemen data atau lebih pada dokumen sumber. Dokumen tersebut misalnya bisa berupa form pesanan penjualan atau kartu petunjuk waktu penggajian. Permulaan (origination) ini adalah diluar peralatan komputer dan tidak dapat dilakukan dengan pemrosesan komputer.

Setelah transaksi diawali ia diubah kedalam bentuk yang dapat dibaca oleh computer, dengan prosesnya disebut transaction entry (entri transaksi). Peralatan entry bersifat online, seperti keyboard mikro atau terminal mainframe, atau peralatan tersebut bisa bersifat offline, seperti unit key-to-tape atau key-to-disk.

Beberapa sistem menyertakan elemen komunikasi data. Dalam sistem yang lain data entry transaksi langsung masuk kedalam komputer untuk pemrosesan. Bila data telah berada dalam penyimpanan komputer, ia diproses oleh program yang berada dalam perpustakaan software. Pemrosesan komputer ini bisa melibatkan data yang sedang dimasukkan ke dalam atau yang diambil dari database. Bila pemrosesan ini telah selesai output komputer akan dihasilkan dalam bentuk data atau informasi.

2.3.2.3. PERMULAAN TRANSAKSI

Jumlah dan macam kontrol yang dibangun kedalam tiap elemen tergantung pada resiko yang akan dikurangi dan biaya kontrol.

Permulaan dokumentasi sumber. Kontrol dimulai pada waktu dokumentasi sumber mulai dilakukan. Kontrol ini berkaitan dengan prosedur untuk (1) perancangan dokumentasi sumber, (2) pemerolehan dokumen, dan (3) keamanan dokumen sebelum ia digunakan.

Kewenangan. Kontrol kewenangan menjelaskan bagaimana entri data akan dibuat menjadi dokumen dan oleh siapa. Kontrol seperti itu dapat dilakukan dengan membuat prosedur tertulis dengan melibatkan beberapa orang dalam pembuatan tiap dokumen, dengan menetapkan limit atau batasan persetujuan mengenai transaksi tertentu dan dengan memperoleh tanda tangan persetujuan.

Pembuatan input komputer. Kontrol ini menetapkan cara pengidentifikasian record input yang ditemukan salah dan cara untuk memastikan bahwa semua data input diproses. Contoh kontrol jenis ini adalah log transaksi yang berfungsi sebagai record transaksi yang akan diproses dan mengontrol keseluruhan batch dari dokumen sumber. Total dan keseluruhan batch diakumulasikan dengan menggunakan kalkulator meja pada jumlah dokumen dan field alternatif.

Penanganan kesalahan. Kontrol penanganan kesalahan memberikan cara sistematis untuk mengoreksi kesalahan yang telah dideteksi dan menggabungkan record yang telah dikoreksi tersebut kedalam reentry. Setiap elemen subsistem dasar (yang jumlahnya lima tersebut) mempunyai area penanganan kesalahan yang sama.

Penyimpanan dokumen sumber. Kontrol penyimpanan dokumen sumber menentukan bagaimana dokumen akan disimpan setelah digunakan dan dalam kondisi yang bagaimana ia dapat dikeluarkan dari penyimpanannya. 

2.3.2.4. ENTRI TRANSAKSI

Entri transaksi mengubah data dokumen sumber menjadi bentuk yang dapat dibaca oleh komputer. Kontrol ini berusaha untuk menjaga keakuratan data yang akan ditransmisikan ke jaringan komunikasi atau yang akan dimasukkan secara langsung ke dalam komputer. Elemen subsistem ini dapat dibagi menjadi empat area kontrol, antara lain :

Entri data. Kontrol atas entri data dapat dilakukan dengan proses offline ataupun online. Kontrol ini berada dalam bentuk prosedur tertulis dan dalam bentuk peralatan inputnya sendiri. Peralatan tersebut harus ditempatkan dekat dengan point permulaan transaksi agar penundaan entri dapat dikurangi. Juga, harus dilakukan penangkapan input pada media yang dapat dibaca oleh komputer, seperti tape kaset atau disket.

Verifikasi data. Setelah data dicatat maka ia di cek untuk keakuratannya. Ada dua cara pokok untuk melakukan verifikasi data, yaitu pemasukan (key) dan penglihatan (sight). Dalam key verification (verifikasi pemasukan) data dimasukkan ke dalam sistem dua kali, utamanya oleh dua operator yang berlainan. Software kemudian membandingkan dua input tersebut dan memberikan signal atau tanda bila keduanya tidak tepat sama. Dalam sight verification (verifikasi penglihatan) operator melihat data dari layar sebelum memasukkan data kedalam sistem. Key verivication lebih mahal sebab pekerjaannya harus dilakukan dua kali. Karena biayanya yang mahal ini, maka key verification dilakukan untuk data yang harus benar-benar bebas dari kesalahan, seperti data keuangan.

Penanganan kesalahan. Bila kesalahan telah dideteksi, maka record dirotasikan kembali ke permulaan transaksi untuk pengoreksian ataupun ke entri data untuk pelaksanaan reentri.

Penyeimbangan batch. Komputer mengakumulasikan total dari setiap batch untuk dibandingkan dengan total yang sama yang dibuat selama permulaan transaksi. Perbandingan yang sama menunjukkan bahwa semua transaksi telah dimasukkan ke dalam sistem.