Selasa, 20 Maret 2012

SIA : SISTEM PENGENDALIAN INTERN 2


a. Pengendalian Utama Atas  Keandalan :

Kategori pengendalian
Ancaman /Risiko
Pengendalian
Perencanaan Strategis dan penganggran


SI tidak mendukung strategi bisnis, krangnya penggunaan sumber daya, kebutuhan informasi tidak dipenuhi atau tidak dapat ditanggung
Rencana strategis berlapis yang secara periodic dievaluasi, tim penelitian dan pengembangan untuk menilai dampak tekbologi baru atas jalannya bisnis, anggaran untuk  mendukung rencana strategis. 


Mengembangkan rencana keandalan sistem

Ketidakmampuan untuk memastikan keandalan sistem

Memberikan tanggung jawab perencanaan ke pihak manajemen puncak,secara terus menerus meninjau dan memperbarui rencana, mengidentifikasi, mendokumentasikan, dan menguji kebutuhan, tujuan, kebijakan, dan standar keandalan pemakai, mengidentifikasi, dan meninjau seluruh persyaratan hokum yang baru maupun yang telah diubah, mencatat permintaan pemakai atas perubahan, mendokumentasikan, menganalisis, dan melaporkan masalah dalam hal keadaan system, menetapkan tanggung jawab kepemilikan, penyimpanan,kases,dan pemeliharaan atas sumber daya informasi, mengembangkan program kesadaran atas keamanan serta mengkomunikasikannya pada seluruh pegawai, meminta pegawai baru untuk menandatangani perjanjian keamanan, melkasanakan penilaian risiko atas seluruh perubahan dalam lingkungan system .       
Dokumentasi
Desain, operasi,tinjauan, audit, dan perubahan sitem yang tidakefektif.
Dokumentasi administrative (standar dan prosedur untuk memproses, menganalisis, mendesain, memprogram, menangani file dan menyimpan data), dokumentasi system (input aplikasi, tahap pemrosesan, output, kesalahan penanganan), dokumentasi operasi (konfigurasi perlengakapan, program, file, susunandan pelaksanaan prosedur,tindakan korektif).            





b. Pengendalian Utama atas Ketersediaan :

Kategori Pengendalian
Ancaman /Risiko
Pengendalian
Meminimalkan waktu kegagalan sistem
Hilangnya tenaga listrik atau kegagalan system yang mengganggu operasi bisnis yang penting, kehilangan atau kerusakan data
Kebijakan dan prosedur untuk menangani kehilangan tenaga listrik, kesalahan, kehilangan atau keusakan data,serta maslah lainnya, jaminan atas bencana dan gangguan bisnis, pemeliharaan untuk pencegahan secara teratur atas komponen utama, system tenaga listrik yang stabil, batas toleransi kesalahan.  
Rencana pemulihan dari bencana
Perpanjangan gangguan atas pemrosesan data serta operasi bisnis karena kebakaran, bencana alam,sabotase atau vandalisme. 
Tanggung jawab coordinator adalh mengimplementasikan rencana,menetapkan prioritas pemulihan, menugaskan tanggung jawab untuk kegiatan pemulihan, mendokumentasikan dan menguji rencana, secara terus menerus meninjau dan merivisi rencana, penyimpanan jarak jauh data dan file cadangan (pengaman elektronik/electronic vaulting,konsep rekontruksi bertingkat/granfathe-father-son) prosedur untuk pulih dari kerugianatau dari kehancuran file (pemeriksaan di tempat serta pengulangan), jaminan asuransi, kmputer cadangan serts fasilitas komunikasi (perjanjian resiprokal, ruang cadangan dengan dan tanpa fasilitas computer/hot and cold sites, duplkat hardware, sotware serta perlatan penyimpsnsn data)    


c. Pengendalian Utama Atas  Pengamanan:

Kategori Pengendalian
Ancaman/ Resiko
Pengendalian
Pemisahan tugas dalam fungsi sistem
Penipuan komputer
Bagi dengan jelas otoritas dan tanggung jawab di antara administrasi system, manajemen jaringan, manajemen pengaman, manajemen perubahan, pemakai, analisis system, programmer, operator computer,pengelola perpustakaan system informasi, serta kelompok pengendali data.
Pengendalian atas akses secara fisik
Kerusakan computer dan file, akses yang tidak memiliki ootrisasi ke data rahasia
Letakkan computer, batasi akses ke personil yang memiliki otorisai saja, buat jalan masuk yang terkunci dengan aman dan diawasi dengan baik, meminya ID pegawai, meminta pengunjung untuk menandatangi daftar tamu ketika mereka masuk dan meninggalkan lokasi, gunakan system alrm, batasi akses ke saluran telepon pribasi yang tidak terdeteksi, ke terminal dan PC yang memiliki otorisasi, install pengunci pada PC dan perlatan komputerlainnya,batasi akses ke program off line, data serta perlengkapannya, simpan komponen system yang penting jauh dari bahan berbahaya, pasang detector asap dan api serta pemadam api.      
Pengendalian atas akses secara logis
Akses yang tidak memiliki otorisasi ke software system, program aplikasi, serta sumber daya system lainnya
Klasifikasi pengamatan data (tidak ada batasan, hanya untuk pegawai, hanya untuk pemilik dan manajemen puncak, dan lain), tetapkan hak akses pegawai dan pihak luar, tinjau aktivitas mereka yang dapat membaca, menghapus, dan mengubah data. Kenali pemakai melalui hal-hal yang mereka ketahui (password, pin, jawaban atas pertanyaan pribadi), atau yang mereka miliki (kartu identitas, kartu pegawai aktif), atau melalui karakteristik personel mereka (sidik jari, pola suara, pemindai retina, bentuk wajah, tanda tangan, dan system sandi tekan), pemeriksaan kesesuaian, matriks pengendalian akses. 
Perlindungan atas PC dan jaringan klien/server

Kerusakan file computer dan perlengkapannya, akses yang tidak memiliki otorisasi ke data rahasia, pemakai yang tidak dikenali system pengamanan
Lakukan investor atas PC dan pemakainya, sesuaikan system pengamanan dengan ancaman dan risikonya, latih pemakai tentang pengendalian PC, kunci disk drive beri label yang tidak dapat dileps, batasi data yang disimpan atau yang di download, larang software personel atau mengkopi software perusahaan untuk penggunaan personel, simpan data yang sensisitif dalam tempat yang aman, secara otomatis mematikan jaringan PC yang tidak digunakan,buat cadangan hard drive secara teratur, enkripsi file atau beri file password, hapus bersih disk dengan menggunakan program utility, buat dinding pelindung disekitar system operasi, boot pc dalam system pengaman, gunakan pengendalian password bertingkat, pekerjaan spesialis atau program pengamanan untuk mendeteksi kelemahan di jaringan, audit dan catat pelanggaran pengamanan    
Pengendalian internet dan e-commerce
Kerusakan file data dan perlengkapan, akses yang tidak memiliki otorisasi ke data rahasia
Password, enkripsi, verifikasi routing, software pendeteksi virus, firewall, pembuatan jalur khusus,penggunaan amplop elektronis, tolak akses pegawai ke internet dan server internet tidak terhubung dengan computer lainnya di perusahaan.

d. Pengendalian Utama Atas  Keterpeliharaan  :
Kategori Pengendalian
Ancaman/Risiko
Pengendalian
Pengembangan proyek dan pengendalian akuisisi
Proyek pengembangan system mengkonsumsi sumber daya yang sangat banyak
Rencana utama strategis jangka panjang, jadwal pemrosesan data, penugasan setiap proyek ke manajer atau tim, rencana pengembangan proyek, kejadian penting dari proyek, evaluasi kinerja, pengukuran kinerja system (pemasukan data, penggunaan, waktu responds),dan peninjauan pasca implementasi .  
Perubahan Pengendalian manajemen
Proyek pengembangan system mengkonsumsi sumber daya yang sangat banyak perubahan system yang tidak diotorisasi
Perubahan kebijakan dan prosedur pengendalian manajemen, peninjauan berkala semua system untuk kebutuhan perubahan, format baku untuk perubahan, pencatatan dan peninjauan permintaan perubahan,penilaian dampak perubahan terhadap keandalan system, pengkategorian dan penyusunan semua perubahan, prosedur untuk mengatasai hal-hal yang mendadak, pengkomunikasian perubahan ke manajemen dan pemakai, persetujuan manajemen terhadap perubahan, penugasan tanggung jawab khusus ketika mempertahankan sejumlah tugas, pengontrolan hak akses system, pemastian bahwa perubahan melewati semua langkah yang sesuai, pengujian semua perubahan, pengembangan rencana untuk melindungi perubahan system yang kritis, implementasi fungsi kepastian kualitas, dan pembaruan dokumen dan prosedur.     

e. Pengendalian Utama Atas Integritas
Kategori Pengendalian
Ancaman/Risiko
Pengendalian
Pengendalian sumber data
Input data yang tidak valid, tidak lengkap, atau tidak akurat
Desain formulir, formulir yang diberi nomor secara berurutan, dokumen berputar, pembatalan dan penyimpanan dokumen, peninjauan otorisasi yang sesuai, kumpulan tugas, pemindai visual, verifikasi digit pemeriksaan, dan verifikasi kunci. 
Rutinitas validasi input
Data yang tidak valid atau tidak akurat dalam file transaksi yang diproses oleh komputer
Pada saat file transaksi proses, program edit memeriksa field data utama yang menggunakan pemeriksaan edit tersebut,: urutan, field, tanda, validitas, batas, jangkauan, kelogisan, data yang berlebihan, dan pemeriksaan kapasitas.  Masukan pengecualian ke dalam catatan kesalahan, selidiki, koreksi, dan masukan kembali secara tepat waktu, edit kembali, dan siapkan ringkasan laporan kesalahan.
Pengendalian entri data on-line
Input transaksi yang tidak valid atau tidak akurat yang dimasukkan melaluiterminalon-line
Pemeriksaan field, batasan, jangkauan, kelogisan, tanda, validitas, dan data yang redundan; ID pemakai dan password, pengujian kompatibilitas, system entri data secara otomatis, pemberitahuan ke operator selama entri data, prapemformatan, pengujian kelengkapan, verifikasi closed –lop, catatan transaksi yang dipertahankan oleh system, pesan kesalahan yang jelas, dan penyimpanan data yang cukup untuk memenuhi persyaratan legal. 
Pengendalian pemrosesan dan penyimpanan data
Data yang tidak akurat atau tidak lengkap dalam file utama yang diproses oleh komputer
Kebijakan dan prosedur (menentukan aktivitas pemrosesan data dan personil bagian penyimpannya, pengamanan, dan kerahasiaan data, jejak audit, serta kesepakatan kerahasiaan), mengawasi dan mempercepat entri data oleh personil pengendali atau laporan, rekonsiliasi jumlah otal dalam database dengan jumlah database dengan jumlah total yang dibuat secara terpisah, pelaporan penyimpanan, pemeriksaan sirkulasi data, nai default, pencocokan data, pengamanan data (perpustakaan data,dan pustakawan, kopi cadangan file data yang disimpan di lokasi luar yang aman, perlindungan dari kondisi yang dapat merusak datayang dsimpan),  penggunaan label nama file serta mekanisme perlindungan penulisan, mekanisme perlindungan database (administrator database, kamus data, dan pengendalian pembaruan simultan),serta pengendalian konversi data.        
Pengendalian output
Output computer yang tidak akurat dan tidak lengkap
Prosedur untuk memastikan bahwa output system sesuai dengan tujuan integritas, kebijakan, dan stndar organisasi, peninjauan visual output computer, rekonsiliasi jumlah total batch, distribusi output secara tepat, output rahsia yang dikiri telah dilindungi dari akse dan modifikasi yang tidak memiliki otorisasi, serta kesalahan pengiriman, outputrahasia atau bersifat sensitive disimpan dalam area yang aman, pemakai meninjau kelengkapan dan akurasi output computer, menyobek output rahasia yang tidak lagi dibutuhkan,laporan kesalahan dari penyimpanan.     

Tidak ada komentar: