Pada buku berjudul “Information Technology Control and Audit Second Edition”, Chapter 11 yang berisi tentang “Risiko Aplikasi dan Kontrol”, di dalamnya menceritakan bahwa aplikasi berbasis komputer dengan fungsi otomatis dapat membantu proses bisnis dengan efisien. Aplikasi juga memiliki risiko terhadap organisasi yang berupa biaya yang mahal, kemungkinan kehilangan data, kerahasiaan yang lemah, ketersediaan yang terbatas, dan kinerja yang kurang.
Pada bagian pertama bab ini menjelaskan tentang risiko aplikasi. Risiko pada sistem berbasis komputer meliputi risiko yang timbul saat memproses manual, yaitu kesalahan individual. Tedapat juga risiko pada sistem dengan proses yang berjalan otomatis. Berdasarkan risiko yang terdapat pada sistem, sistem informasi profesional butuh mempertimbangkan level dari risiko terhadap aplikasi dan menetapkan kontrol untuk pencegahan. Risiko yang timbul pada aplikasi meliputi: keamanan yang lemah, pihak yang tidak berwenang mengakses data, pihak yang tidak berwenang melakukan remot akses, informasi tidak akurat, kesalahan dalam memasukan data, penyalahgunaan bagi pihak yang berwenang, proses yang tidak selesai, transaksi yang duplikat, proses yang tidak tepat waktu, sistem komunikasi yang gagal, pelatihan yang tidak memadai, bantuan yang tidak memadai, serta tidak adanya dokumentasi.
Pada bagian kedua bab ini menjelaskan tentang Risiko Aplikasi Komputerisasi Pengguna Langsung. Komputerisasi pengguna langsung menghasilkan perluasan ruang lingkup dari audit di luar ruang lingkup sistem informasi dan memasukkan ruang lingkup dari pengguna ataupun dari organisasi. Tingkat risiko dan tingkat kebutuhan kontrol bergantung terhadap seberapa pentingnya sebuah aplikasi. Ada tiga pertanyaan yang digunakan untuk menentukan seberapa pentingnya sebuah aplikasi:
- Apakah aplikasi berisi informasi yang dapat mempengaruhi arah atau tujuan dari perusahaan?
- Apakah data dari aplikasi dinilai sensitif atau berharga bagi perusahaan?
- Apakah aplikasi dapat mengakses aplikasi lainnya yang bersifat sensitif di komputer lain?
Jika setiap pertanyaan terjawab “iya”, maka keabsahan, integritas, dan akurasi data dari aplikasi tersebut harus dilindungi dan dijaga.
Auditor TI harus berjaga-jaga terhadap ancaman dan risiko terhadap penggunaan aplikasi. Auditor TI harus menentukan apakah aplikasi tersebut harus diinstal dalam sebuah PC saja, terkoneksi LAN atau tidak, terkoneksi WAN, atau terkoneksi pada client/server. Hal ini untuk mencegah terjadinya pihak tidak berwenang melihat data, menduplikat data, mengubah data, atau melakukan perubahan terhadap pesan atau proses yang terkoneksi dengan jaringan.
Adapun risiko yang berkaitan dengan komputerisasi pengguna langsung:
Penggunaan sumber daya yang tidak efisien, sistem yang tidak kompatibel, sistem yang tidak terpakai, implementasi yang dinilai tidak efektif, tidak adanya pembagian kerja, pihak tidak berwenang mengakses data atau program, penyalahgunaan copyright, kerusakan informasi akibat virus komputer.
Bagian selanjutnya pada bab ini membahas Risiko Aplikasi Pertukaran Data Elektronik. Bagian ini menjelaskan bahwa auditor, manajemen, developer, dan konsultan keamanan perlu waspada terhadap risiko yang ada pada pertukaran data elektronik sebagaimana diharuskan untuk memasang sistem keamanan yang tepat serta mekanisme kontrol terhadap aplikasi pertukaran data elektronik. Risiko yang ditimbulkan pada aplikasi pertukaran data elektronik antara lain:
Hilangnya kelanjutan bisnis, ketergantungan, hilangnya kerahasiaan terhadap informasi yang bernilai sensitif, meningkatkan penipuan, memanipulasi pembayaran, kehilangan transaksi, kesalahan pada informasi dan sistem komunikasi, kehilangan jejak audit, kegagalan aplikasi, berpotensi menciptakan aturan, pertukaran data kepada pihak ketiga yaitu penyedia provider, manipulasi organisasi, serta tidak mendapatkan tabungan untuk berjaga-jaga.
Implikasi Risiko dalam Sistem Pertukaran Data Elektronik
Implikasi yang timbul dari risiko potensial yang disebutkan di atas termasuk:
- Potensi kehilangan jejak audit transaksi
- Peningkatan paparan tebusan, pemerasan, atau penipuan melalui potensi gangguan layanan atau peningkatan peluang
- Gangguan arus kas ketika transaksi pembayaran dihasilkan karena kesalahan atau dialihkan atau dimanipulasi.
- Kehilangan profitabilitas yang terjadi karena meningkatnya biaya bunga atau pesanan yang dikirim ke pesaing karena kurangnya penerimaan pesan EDI.
- Kerusakan reputasi karena kehilangan pelanggan utama, terutama jika masalah EDI dipublikasikan secara luas.
- Keruntuhan finansial (penolakan pesanan EDI setelah pembuatan dan pengiriman suatu produk) di mana, misalnya, kesalahan terjadi dalam jumlah pesanan untuk produk bernilai tinggi
Pada bagian keempat dalam bab ini menjelaskan tentang Kontrol Aplikasi. Untuk meminimalisir risiko aplikasi, berbagai persyaratan fungsional dan operasional perlu dimasukkan sebagai bagian dari struktur kontrol perusahaan, seperti:
Kontrol aplikasi dan persyaratan keamanan, pengujian dan penerimaan fungsional, persyaratan dokumen, siklus hidup perangkat lunak aplikasi, metodologi pengembangan sistem, antarmuka pengguna-mesin, kustomisasi paket.
Kontrol aplikasi dapat digambarkan sebagai teknik manual atau otomatis yang digunakan untuk mengontrol input, pemrosesan, dan output informasi dalam suatu aplikasi. Sebagaimana dibahas dalam bagian sebelumnya, tujuan dari kontrol aplikasi adalah untuk memastikan pemrosesan dan integritas data yang lengkap. Kontrol aplikasi dapat dibagi menjadi tiga kategori utama: input, pemrosesan, dan output.
Adapun ruang lingkup aplikasi yang harus dikontrol yaitu:
kontrol input, antarmuka, keaslian, ketepatan, kontrol pemrosesan, kelengkapan, koreksi kesalahan, kontrol keluaran, rekonsiliasi, distribusi, dan penyimpanan.
Pengujian fungsional dan pengujian penerimaan adalah kunci untuk kontrol aplikasi. Ini memastikan bahwa aplikasi memenuhi harapan fungsional yang disepakati para pengguna, memenuhi kriteria kegunaan yang ditetapkan, dan memenuhi pedoman kinerja sebelum diterapkan dalam produksi. Rencana fungsional dan penerimaan dan hasil pengujian masing-masing perlu disetujui oleh departemen fungsional yang terkena dampak serta departemen TI.
Bagian selanjutnya pada bab ini membahas Persyaratan Dokumen. Dokumentasi memastikan pemeliharaan sistem dan komponennya dan meminimalkan kemungkinan kesalahan. Dokumentasi harus didasarkan pada standar yang ditetapkan dan terdiri dari uraian prosedur, instruksi kepada personel, diagram alur, diagram aliran data, tampilan atau tata letak laporan, dan bahanbahan lain yang menggambarkan sistem.
Kemudian terdapat pembahasan mengenai Siklus Hidup Perangkat Lunak Aplikasi. Siklus hidup perangkat lunak meliputi pengembangan, akuisisi, implementasi, dan pemeliharaan perangkat lunak. Dari siklus hidup perangkat lunak aplikasi terdapat metodologi pengembangan sistem di mana Proses pengembangan sistem formal menyediakan lingkungan yang kondusif untuk pengembangan sistem yang sukses. Metodologi pengembangan sistem mendapatkan persyaratan kontrol dan keamanan dari pengguna serta persyaratan fungsionalnya. Kemudian terdapat antarmuka pengguna yang merupakan sarana bagi pengguna untuk berinteraksi dengan sistem. Contohnya adalah mouse, layar, dan keyboard. Antarmuka yang efektif untuk pengguna akan membantu mengurangi biaya dan meningkatkan akurasi dan efisiensi.
Pada bagian selanjutnya terdapat pembahasan mengenai Pemeliharaan Aplikasi yang di dalamnya menjelaskan bahwa Organisasi sering merasa bahwa begitu aplikasi dimasukkan ke dalam produksi, semua pekerjaan selesai. Namun, aplikasi memerlukan pemeliharaan dan perubahan seiring waktu, dan perubahan memberikan peluang risiko. Pemeliharaan perangkat lunak adalah fase penting dalam siklus hidup pengembangan sistem. Perawatan dapat dipisahkan menjadi tiga kategori berikut:
- Perawatan korektif: perbaikan program darurat dan debugging rutin
- Pemeliharaan adaptif: akomodasi perubahan
- Pemeliharaan yang sempurna: peningkatan pengguna, peningkatan dokumentasi, dan pengodean ulang untuk efisiensi
Berikut ini adalah hal yang harus ditinjau untuk mengevaluasi efektivitas dan efisiensi proses pemeliharaan aplikasi:
- Rasio biaya perawatan aktual per aplikasi versus rata-rata semua aplikasi
- Waktu rata-rata yang diminta untuk mengirimkan permintaan perubahan
- Jumlah permintaan perubahan untuk aplikasi yang terkait dengan bug, kesalahan kritis, dan spesifikasi fungsional baru
- Jumlah masalah produksi per aplikasi dan perperubahan perawatan masing-masing
- Jumlah perbedaan dari prosedur standar, seperti aplikasi yang tidak terdokumentasi, desain yang tidak disetujui, dan pengujian reduksi
- Jumlah modul yang dikembalikan dikembalikan ke pengembangan karena kesalahan ditemukan dalam biaya penerimaan
- Waktu berlalu untuk menganalisis dan memperbaiki masalah
- Persen perangkat lunak aplikasi yang secara efektif didokumentasikan untuk pemeliharaan
Aplikasi memerlukan pemeliharaan untuk memperbaiki kesalahan, menyesuaikan aplikasi dengan persyaratan baru, atau menyempurnakan aplikasi melalui fungsi tambahan untuk memenuhi kebutuhan bisnis. Pemeliharaan juga menimbulkan risiko. Auditor yang ditugaskan untuk mengevaluasi risiko, efektivitas, dan efisiensi pemeliharaan aplikasi yang terkait dengan aplikasi harus meninjau berbagai hal. Seperti melihat kinerja aktual dan masalah yang terkait dengan aplikasi, disesuaikan dengan standar yang ditetapkan. Selain itu, masalah pemeliharaan perlu ditelusuri kembali ke penyebabnya.
Begitulah hasil dari Summary dari chapter 11 mengenai "Risiko Aplikasi dan Kontrol".
