Salah
satu tujuan CBIS adalah untuk member dukungan kepada manajer dalam mengontrol
area operasinya. Namun, walaupun CBIS dilengkapi dengan kontrol, ia sendiri pun
harus dikontrol. Manajer melakukan kontrol atas pekerjaan team proyek selama
fase desain dan implementasi. Bila CBIS telah dioperasikan maka penampilannya
harus dikontrol dengan seksama.
Kita
telah mengetahui adanya kriminal komputer – yaitu bagaimana seseorang
menggelapkan ribuan dolar dari bank dengan cara mengakses database komputer.
Kita juga pernah mendengar tentang pecandu komputer yang disebut hackers, yang
menyebarkan virus yang dapat merusak data dan program. Tindakan tersebut
berkecenderungan mengancam organisasi dan sumber informasinya, seperti halnya
terkena musibah yang tak dikehendaki, mislnya kebakaran atau bencana alam.
Manajemen
melakukan control untuk mencegah terjadinya malapetaka tersebut atau mengurangi
dampak yang diakibatkannya. Hanya dengan mengembangkan CBIS yang terkontrol
secara baik manajer dapat memiliki kepercayaan mengenai inputnya.
2.2. HUBUNGAN KONTROL DENGAN KEAMANAN
Definisi keamanan
adalah proteksi atau perlindungan atas sumber-sumber fisik dan konseptual dari
bahaya alam dan manusia. Walaupun penembusan terhadap keamanan data dan
informasi dapat terjadi dalam berbagai bentuk, kehilangan bisa saja disengaja
atau tidak disengaja, dan ia dapat berakibat terjadinya pemodifikasian,
kerusakan, atau penyingkapan yang tak dikehendaki.
Penembusan
terhadap keamanan data dan informasi yang tak disengaja merupakan ancaman yang
lebih besar daripada dilakukannya dengan sengaja. Tindakan yang disengaja
biasanya dapat diketahui, namun yang tidak disengaja lebih banyak mengakibatkan
kerusakan.
PROPERTI SISTEM YANG MEMBERIKAN KEAMANAN
Jika sistem
informasi ingin selalu menjaga keamanan isinya, maka ia harus memiliki tiga properti,
yaitu integritas, audibilitas (kemampuan dapat terdengar), dan daya kontrol.
Integritas. Sistem akan
mempunyai integritas jika ia berjalan seperti apa yang diharapkan. Perancang sistem
berusaha untuk mengembangkan sistem yang mempunyai integritas fungsional, yaitu
kemampuan untuk melanjutkan operasi walaupun bila salah satu atau lebih dari
komponennya tidak berjalan. Contoh yang tepat adalah jaringan pemrosesan
distribusi, yang tetap melanjutkan fungsinya walaupun salah satu prosesornya
tidak dapat digunakan lagi.
Audibilitas. Bila sistem
mempunyai audibilitas maka mudah bagi seseorang untuk memeriksa, memverifikasi,
atau mendemontrasikan penampilannya. Orang-orang yang mempunyai ketergantungan
kepada unit pelayanan informasi, misalnya kepada auditor internal dan
eksternal, untuk melakukan audit. Agar sistem bersifat audibel, ia harus lulus
dalam pengujian daya penghitungan dan visibilitas. Account-ability (daya
penghitungan) berarti bahwa tanggung jawab untuk tiap hal yang terjadi dalam sistem
harus dapat ditelusuri sendirian. Visibility (visibilitas) berarti bahwa
penampilan yang tidak dapat diterima dapat diketahui oleh manajer sistem.
Sebagai contoh, subsistem CBIS bersifat audibel bila dokumentasi
mengidentifikasi orang-orang yang mengembangkannya, dan program tersebut
menyertakan pengecekan kesalahan yang diperlukan.
Berdaya kontrol. Manajemen dapat
melakukan pengerahan atau penghambatan pengaruh terhadap sistem bila sistem
tersebut berdaya kontrol. Teknik yang efektif untuk mendapatkan daya kontrol sistem
ini adalah dengan membagi sistem menjadi subsistem yang menangani transaksi
secara terpisah. Penembusan keamanan pada salah satu subsistem tidak akan
mempengaruhi keseluruhan sistem. Sebagai contoh, Salah satu subsistem dalam
bank digunakan untuk membuka account. Subsistem pertama mengontrol yang kedua
untuk mencegah manipulasi dana yang tidak diinginkan, misalnya seseorang yang
membuka account dengan nama dari pemilik account tadi dan secara ilegal
mentransfer dana tersebut ke dalamnya dari account yang lain.
Oleh karenanya,
manajer melakukan pengamanan sistem informasi dengan cara mengembangkan sistem
yang memberikan integritas, audibilitas, dan daya kontrol.
2.3. TUGAS PENGENDALIAN DALAM SISTEM INFORMASI BERBASIS KOMPUTER
Kontrol CBIS
mencakup semua fase siklus hidup. Selama siklus hidup, kontrol dapat dibagi
menjadi kontrol-kontrol yang berhubungan dengan pengembangan, desain, dan
operasi.
Kontrol
pengembangan sistem memastikan bahwa perencanaan, analisis dan desain, dan
implementasi berjalan sesuai dengan rencana. Selagi CBIS dikembangkan,
manajemen memastikan bahwa desain tersebut dapat meminimalkan adanya peluang
kesalahan, mendeteksi kesalahan ketika desain dibuat, dan mengkoreksi kesalahan
reentry. Ini adalah kontrol desain dan ia dapat dicapai dengan software maupun
dengan hardware. Bila CBIS telah diimplementasikan, kontrol operasi akan
menjaga integritas sistem. Contoh dari operasi adalah pembagian tugas diantara
personel operasi untuk mencegah persekongkolan. Kontrol operasi didelegasikan
kepada manajer operasi komputer.
METODE MENDAPATKAN DAN MEMELIHARA KONTROL
Manajemen dapat
melakukan kontrol dengan tiga cara dasar, seperti :
- Manajemen dapat melakukan kontrol langsung yaitu mengevaluasi kemajuan
dan penampilan serta menentukan tindakan koreksi apa yang harus dilakukan. Cara
ini memerlukan pemahaman komputer secara canggih.
- Manajemen mengontrol CBIS secara tidak langsung dengan terus menerus
melalui CIO. CIO bertanggung jawab dalam pengembangan CBIS yang dapat memenuhi
kebutuhan manajer dan menjaga operasional CBIS.
- Manajemen mengontrol CBIS secara tidak langsung berkenaan dengan
proyeknya melalui pihak ketiga, misalnya auditor internal atau eksternal.
Spesialis ini memberikan tingkat pemahaman komputer yang tidak dimiliki
manajer.
2.3.1. KONTROL
PROSES PENGEMBANGAN
Tujuan dari kontrol pengembangan adalah untuk memastikan bahwa CBIS yang
diimplementasikan dapat memenuhi kebutuhan pemakai. Berikut ini adalah tujuh
contoh mengenai kontrol pengembangan dan point dalam siklus hidup tempat
diterapkan pengontrolan ini :
- Manajemen puncak menetapkan kontrol proyek secara keseluruhan selama
fase perencanaan dengan cara membentuk
komite MIS, yang mendefinisikan tujuan dan kendala, dan dengan mekanisme
pengontrolan proyek.
- Manajemen memberitahu pemakai mengenai orientasi CBIS dengan cara
mengidentifikasi keperluan informasi pada permulaan fase analisis dan desain.
- Manajemen menentukan kriteria penampilan yang akan digunakan dalam
pengevaluasian operasi CBIS.
- Manajemen dari bagian pelayanan informasi menyusun desain dan standart
operasi CBIS yang digunakan sebagai pedoman bagi pelayanan informasi mengenai
penampilan yang dapat diterima. Pelayanan informasi mengganti pedoman tersebut
menjadi standart manual.
- Manajemen dan pelayanan informasi secara bersama-sama mendefinisikan
program pengujian yang dapat diterima, yang menentukan persyaratan untuk tiap
program komputer yang bisa disetujui. Persetujuan ini diperlukan sebelum
program dimasukkan ke dalam perpustakaan software.
- Manajemen melakukan peninjauan sebelum instalasi yang dilakukan tepat
setelah penggantian dan secara berkala meninjau CBIS untuk memastikan apakah ia
memenuhi kriteria penampilan.
- Bagian pelayanan informasi menetapkan prosedur untuk memelihara dan
memodifikasi CBIS dan prosedur ini disetujui oleh manajemen.
Dengan cara tersebut, manajemen dapat mengontrol CBIS selagi ia
berevolusi sepanjang fase siklus hidupnya. Manajemen menentukan apa yang
dibutuhkan dan kemudian menindaklanjutinya untuk memastikan bahwa CBIS yang
diimplementasikan dapat memenuhi kebutuhan tersebut.
2.3.2. KONTROL
DESAIN SISTEM
Selama fase desain dan analisis dari siklus hidup, analis sistem, DBA,
dan manajer jaringan membangun fasilitas kontrol tertentu dalam desain sistem.
Selama fase implementasi programmer menggabungkan kontrol tersebut ke dalam sistem.
Kontrol desain ini akan mempengaruhi penampilan CBIS bila ia telah
dioperasikan.
Beberapa subsistem dari CBIS memerlukan tingkat kontrol yang lebih
tinggi daripada yang lain. Umumnya sistem yang ada kaitannya dengan uang
memerlukan kontrol yang ketat. Perusahaan tidak boleh melakukan kesalahan dalam
menghitung cek gaji pekerja dan cek pembayaran kepada pemasok. Sebaliknya
subsistem non moneter seperti laporan statistik penjualan masih dapat digunakan
walaupun ia berisi kesalahan yang tidak pokok.
Perlu diingat bahwa kontrol sistem membutuhkan biaya asosiasi. Kontrol
tidak boleh diterapkan jika biayanya lebih besar dari manfaatnya. Nilai atau
manfaat adalah tingkat pengurangan resiko dan estimasinya sulit dibuat. Sebagai
contoh, berapa nilai kontrol yang dapat mengurangi resiko pembuatan cek yang
jelek ? Anda dapat menghitung jumlah uang perusahaan yang hilang jika jumlah
tersebut terlalu tinggi, namun anda hanya dapat menghitung hilangnya harapan
apabila jumlah uang tersebut terlalu kecil.
2.3.2.1. MATRIKS RESIKO DAN KONTROL
Walaupun
pengukurannya sulit, analis sistem harus memberitahu pemakai mengenai point
dalam sistem yang mungkin dapat terjadi kesalahan dan memberitahu kepadanya
mengenai konsekuensi kesalahan tersebut. Metode yang baik untuk menyampaikan
informasi ini adalah matriks resiko. Resiko-resiko tersebut di daftar di bagian
atas dan komponen sistem didaftar menurun disebelah kiri. Sebagai contoh,
resiko-resikonya telah dikategorisasikan sebagai data tak lengkap, data tak
akurat, dan transaksi gelap. Contoh resiko yang dapat terjadi pada setiap sistem
dimasukkan dalam sel.
Matriks lain yang
disebut matriks kontrol dapat digunakan untuk menyesuaikan kontrol desain
terhadap resiko. Analis sistem menggunakan matriks kontrol untuk bukti visual
bahwa tiap resiko yang diidentifikasi telah ditangani.
2.3.2.2. AREA DARI KONTROL DESAIN SISTEM
Dalam beberapa hal
setiap subsistem CBIS mempunyai keunikan tersendiri. Namun kita dapat secara
sama menggambarkan setiap subsistem tersebut menurut elemen-elemen dasarnya,
pertimbangan kontrol akan didasarkan pada tiap elemennya tersebut.
Elemen pertama
digunakan untuk transaction origination (permulaan transaksi). Prosedurnya
melibatkan perekaman satu elemen data atau lebih pada dokumen sumber. Dokumen
tersebut misalnya bisa berupa form pesanan penjualan atau kartu petunjuk waktu
penggajian. Permulaan (origination) ini adalah diluar peralatan komputer dan
tidak dapat dilakukan dengan pemrosesan komputer.
Setelah transaksi
diawali ia diubah kedalam bentuk yang dapat dibaca oleh computer, dengan
prosesnya disebut transaction entry (entri transaksi). Peralatan entry bersifat
online, seperti keyboard mikro atau terminal mainframe, atau peralatan tersebut
bisa bersifat offline, seperti unit key-to-tape atau key-to-disk.
Beberapa sistem
menyertakan elemen komunikasi data. Dalam sistem yang lain data entry transaksi
langsung masuk kedalam komputer untuk pemrosesan. Bila data telah berada dalam
penyimpanan komputer, ia diproses oleh program yang berada dalam perpustakaan
software. Pemrosesan komputer ini bisa melibatkan data yang sedang dimasukkan
ke dalam atau yang diambil dari database. Bila pemrosesan ini telah selesai
output komputer akan dihasilkan dalam bentuk data atau informasi.
2.3.2.3. PERMULAAN TRANSAKSI
Jumlah dan macam kontrol
yang dibangun kedalam tiap elemen tergantung pada resiko yang akan dikurangi
dan biaya kontrol.
Permulaan
dokumentasi sumber. Kontrol dimulai pada waktu dokumentasi sumber mulai dilakukan. Kontrol
ini berkaitan dengan prosedur untuk (1) perancangan dokumentasi sumber, (2)
pemerolehan dokumen, dan (3) keamanan dokumen sebelum ia digunakan.
Kewenangan. Kontrol
kewenangan menjelaskan bagaimana entri data akan dibuat menjadi dokumen dan
oleh siapa. Kontrol seperti itu dapat dilakukan dengan membuat prosedur
tertulis dengan melibatkan beberapa orang dalam pembuatan tiap dokumen, dengan
menetapkan limit atau batasan persetujuan mengenai transaksi tertentu dan
dengan memperoleh tanda tangan persetujuan.
Pembuatan input komputer. Kontrol ini
menetapkan cara pengidentifikasian record input yang ditemukan salah dan cara
untuk memastikan bahwa semua data input diproses. Contoh kontrol jenis ini
adalah log transaksi yang berfungsi sebagai record transaksi yang akan diproses
dan mengontrol keseluruhan batch dari dokumen sumber. Total dan keseluruhan
batch diakumulasikan dengan menggunakan kalkulator meja pada jumlah dokumen dan
field alternatif.
Penanganan
kesalahan. Kontrol penanganan kesalahan memberikan cara sistematis untuk
mengoreksi kesalahan yang telah dideteksi dan menggabungkan record yang telah
dikoreksi tersebut kedalam reentry. Setiap elemen subsistem dasar (yang
jumlahnya lima tersebut) mempunyai area penanganan kesalahan yang sama.
Penyimpanan dokumen
sumber. Kontrol penyimpanan dokumen sumber menentukan bagaimana dokumen akan
disimpan setelah digunakan dan dalam kondisi yang bagaimana ia dapat
dikeluarkan dari penyimpanannya.
2.3.2.4. ENTRI TRANSAKSI
Entri transaksi
mengubah data dokumen sumber menjadi bentuk yang dapat dibaca oleh komputer.
Kontrol ini berusaha untuk menjaga keakuratan data yang akan ditransmisikan ke
jaringan komunikasi atau yang akan dimasukkan secara langsung ke dalam komputer.
Elemen subsistem ini dapat dibagi menjadi empat area kontrol, antara lain :
Entri data. Kontrol atas
entri data dapat dilakukan dengan proses offline ataupun online. Kontrol ini
berada dalam bentuk prosedur tertulis dan dalam bentuk peralatan inputnya
sendiri. Peralatan tersebut harus ditempatkan dekat dengan point permulaan
transaksi agar penundaan entri dapat dikurangi. Juga, harus dilakukan
penangkapan input pada media yang dapat dibaca oleh komputer, seperti tape
kaset atau disket.
Verifikasi data. Setelah data
dicatat maka ia di cek untuk keakuratannya. Ada dua cara pokok untuk melakukan
verifikasi data, yaitu pemasukan (key) dan penglihatan (sight). Dalam key
verification (verifikasi pemasukan) data dimasukkan ke dalam sistem dua kali,
utamanya oleh dua operator yang berlainan. Software kemudian membandingkan dua
input tersebut dan memberikan signal atau tanda bila keduanya tidak tepat sama.
Dalam sight verification (verifikasi penglihatan) operator melihat data dari
layar sebelum memasukkan data kedalam sistem. Key verivication lebih mahal
sebab pekerjaannya harus dilakukan dua kali. Karena biayanya yang mahal ini,
maka key verification dilakukan untuk data yang harus benar-benar bebas dari
kesalahan, seperti data keuangan.
Penanganan
kesalahan. Bila kesalahan telah dideteksi, maka record dirotasikan kembali ke
permulaan transaksi untuk pengoreksian ataupun ke entri data untuk pelaksanaan
reentri.
Penyeimbangan
batch. Komputer mengakumulasikan total dari setiap batch untuk dibandingkan
dengan total yang sama yang dibuat selama permulaan transaksi. Perbandingan
yang sama menunjukkan bahwa semua transaksi telah dimasukkan ke dalam sistem.
