Kebanyakan instalasi pemrosesan data memiliki jumlah personel satu atau lebih yang bertanggungjawab untuk mengelola:

1. Sistem operasi (operating system), 2. Software komunikasi,3. Software non-aplikasi lainnya. Departemen yg mempunyai tugas ini disebut sebagai:

1. Software sistem, 2. Pemrograman sistem, 3. Pendukung Teknis. Tanggungjawab khusus departemen Software sistem sangat banyak mulai dari instalasi hingga pemeliharaan dan hal ini juga bergantung pada ukuran organisasi dan ragam produk software yg digunakan. Berbagai tugas tersebut biasanya adalah sbb:1. Instalasi dan pemeliharaan sistem operasi

2. Instalasi dan pemeliharaan software telekomunikasi

3. Instalasi dan pemeliharaan compiler dan utilitas

4. Tombol hardware dan sofwtare untuk kinerjanya

5. Instalasi dan pemeliharaan fasilitas interaktif pemrograman

6. Instalasi dan pemeliharaan software database manajemen

Tambahan, personel software sistem biasanya bekerja erat hubungannya dengan administrator keamanan data dan memberikan dukungan instalasi dan pemeliharaan keamanan data dalam paket software.A. PERENCANAAN REVIEWAgar tujuan audit dapat tercapai secara efisien dan tepat waktu maka langkah-langkahnya adalah sbb;

a. Review dan update informasi permanen

Informasi permanen atau dokumen yang ekuivalen, harus dijaga bagi departemen sistem software. Item yang harus dimasukkan dalam informasi permanen al:

1. Bagan organisasi

2. Kebijakan dan prosedur

3. Informasi relativ yang terkait dengan sistem operasi dan fitur yang dipilih saat instalasi:

a. Versi, jumlah dana yg dikeluarkan terkait dengan tingkat pemeliharaan terhadap operating systemb. Informasi apa saja yang dicakup oleh sistem

c. Penggunaan user-provided supervisory calls (SVCs)

b. Review Laporan auditor internal utama dan kertas kerjanya

Usahakan memperoleh kertas kerja sebagai hasil review wilayah software sistem dan usahakan peroleh harapan audit berikutnya. Usahakan memperoleh laporan audit sebagai hasil review sebelumnya. Siapkan kertas kerja yg berisi temuan audit dan observasi.

c. Review laporan Auditor eksternal utama dan regulasinya

Usahkan untuk memperoleh laporan utama auditor eksternal dan regulasi.Review komentar yang ada. Jika perlu modifikasi program audit.

d. Review seluruh materi referensial

Agar audit efektiv maka kita harus meng-update secara reguler materi referensial termasuk teknis audit yang terkait dengan masalah teknologi

e. Laksankan Pesiapan dan Set-up teknis

Anda harus menyiapkan utilitas yang memberikan kemampuan otomatisasi bagi tugas anda agar lebih efisien.

f. Susun Ruang Lingkup Reviewnya

Mengembangkan lingkup yang berisi istilah dan area umum yg akan direview. Lingkup memo ini digunakan untuk memberikan informasi bagi pelaksanaan penugasan fungsi audit internal yang direview dan untuk memperoleh persetujuan yg cukup sebelum program audit dilaksanakan.

g. Finalisasi Program audit dan PenugasanAlokasi tanggungjawab dan penugasan.

B. PEMBUKAAN AUDIT

Pembukaan audit merupakan bagian yang penting dari internal audit. Hak ini akan menghasilkan kemungkinan pemimpin audit akan bertemu dengan personel manajemen untuk mendiskusikan lingkup review dan untuk menjawab setiap pertanyaan yang mungkin akan diajukan pada manajemen. Selain itu pembukaan audit juga harus bertemu dengan berbagai level manajemen untuk memastikan pemahaman yang benar terhadap apa yang akan dikerjakan oleh auditor. Dalam Review Pengendalian umum, pembukaan audit paling tidak harus ketemu dengan beberapa personil berikut atau pusat tanggungjawab yang ekuivalen berikut:

1. Manager Prosesing data

2. Manager Pemrograman sistem3. Manager Operasi Komputer4. Manager Keamanan dataPoint yang disampaikan:

a. Menjelaskan tujuan review sistem softwareb. Menjelaskan jadwal reviewc. Menjelaskan anggota pemeriksaan (tim Aduitor)d. Menjelaskan pemrintaan dokumen yang diperlukan (daftar dokumen)C. EVALUASI PROSEDUR UMUM DAN KEAMANAN FISIK

Pertama, yang paling mendasar, anda harus melakukan evaluasi prosedur umum dan prosedur keamanan fisik antara lain meliput:

1. Standar dokumen

2. Akses ke dokumentasi software sistem

3. Prosedur persetujuan untuk perubahan software, instalasi produk baru dst.

4. Pengujian prosedur

5. Prosedur back-up

6. Emergency restart dan prosedur koreksi-adanya masalah.

Agar lebih terarah reviewnya maka langkah-langkahnya adalah sbb:

a. Review prosedur administrasi

Prosedur administratisi harus ada dan didokumentasikan. Prosedur itu harus direview untuk memastikan kecukupannya. Minimal meliputi:

i. Prosedur persetujuan

Harus ada definisi yg jelas yang mengarah pada proses persetujuan untuk instalasi produk software baru atau peningkatan terhadap produk yang ada.

ii. Dokumentasi standard

Dokumentasi standar harus secara jelas mendefinisikan dokumentasi khusus yang diperlukan seperti:1. Otorisasi untuk instalasi produk software yg baru atau perubahan produk yg ada, termasuk vendor suplied patches.

2. Penjelasan utilitas yg sensitiv

3. Tabel daftar pasword

4. Prosedur restart emergency.

iii. Prosedur pemanggilan emergensi

Harus dengan jelas menjelaskan siapa saja yang dapat dikontak pada saat emergensi

b. Review Prosedur pengujianProsedur harus ada dan menunujukkan bahwa seluruh software dan perubahan sudah diuji sebelum implementasi secara memadai.

c. Review prosedur bakcup dan restart

Sistem operasi, software telekomunikasi dan software non-aplikasi yg didukung oleh Departemen Software sistem harus secara memadai di back-up ke fasilitas rekonstruksi jika ada bencana alam atau kegagalan lainnya. Review records yg ada untuk memastikan software yang ada sudha secar cukup di back-up.d. Review keamanan akses

Kebanykan dokumen sangat sensitiv. Oleh karena itu akses ke dokumen yg sensitiv harus di batasi hanya untuk orang yg diotorisasi.

e. Dokumen pengecualian.

Simpulkan kecukupan prosedur umum dan keamanan fisiknya.(see fig 8.3 page 292)D. MENEMUKAN/MENENTUKAN BERBAGAI INFORMASI UMUM YANG TERKAIT DENGAN SISTEM OPERASI

Setelah mengevaluasi prosedur umum dan keamanan fisik dalam area software sistem dan sebelum mulai melakukan pengujian secara rinci anda harus sudah mengenal dengan baik sistem operasi dan setiap produks software yang dijalankan oleh Departemen Software Sistem. Pastikan, dan dokumentasikan dalam kertas kerja meliputi, versi dan tingkat pemeliharaanya yang meliputi:1. Sistem operasinya

2. Pengendali jaringan

3. Pengawasan teleprocessing

4. Program keamanan

5. Program kerja akuntasi.

6. Sistem manajemen pustaka

7. Sistem pemrograman tambahan

8. Kompiler/assemblerE. AKSES DAN REVIEW FASILITAS MANAJEMEN SISTEM (SMF) RECORDSSystem Management Facility (SMF) merupakan fitur yang memberikan kemampuan untuk mengumpulkan dan mencatat berbagai sistem dan pekerjaan yg berhubungan dengan data; juga memberikan dukungan untuk pelaksanaan tambahan atau proses alternatif. Jika SMF digunakan secara memadai maka SMF akan dapat memberikan Personel Software Sistem dan Auditor internal informasi dan melaksankan tanggungjawab dengan baik.a. Pastikan records SMF yg mana yang diakses

Langkah pertama adalah memastikan bahwa records yang dimaksud tersedia. Kemudian recordsnya anda masukkan dalam instalasi anda sehingga anda dapat memastikan records yg anda akan review. b. Kembangkan dan gunakan software audit

Jika sudah yakin terhadap records yg anda pilih maka selanjutnya adalah melaksanakan progran audit.

c. Review laporan Records SMF yang dipilih

Setelah anda melaksanakan dengan program audit maka anda dapat menghasilkan laporan yang diinginkan dengan record yang dipilih diatas.

d. Dokumen Pengecualian

Dokumentasikan jika terjadi kejanggalan atau pengecualian.F. REVIEW MODIFIKASI UNTUK SISTEM OPERASI

a. Identifikasi prosedur yg ada

i. Jika dimulai dengan wawancara dengan personel Software sistem dan manajemen untuk memperoleh pemahaman maka tentukan:

1. Persetujuan manajemen perlu diminta untuk seluruh modifikasi sistem operasi apakah asli dari vendor atau tidak2. Persetujuannya didokumentasikan dengan cukup atau tidak3. Sertifkasi independen dari Kode modifikasi dan review dokumen pendukung apakah sudah lengkap atau belum sebagai bagian prosedur yg normal4. Penggunaan user exit dibatasi dan dikontrol

5. Pengujian sistem operasi dilaksanakan setelah seluruh perubahan.

b. Lakukan uji kepatuhan

i. Jika anda sudah memahami dengan baik prosedur perubahan sistem operasi maka anda seharusnya melakukan uji kepatuhan untuk menentukan prosedur telah diarahkan dengan baik pada:

1. Pembandingan form otorisasi modifikasi pada fasilitas file SMP/E-on line.

2. Review software sistem3. Lakukan test pelaksanaannya

4. Lacak pengujiannya

5. Review media simpanan

c. Evaluasi prosedur yg ada

i. Setelah anda melakukan identifikasi, dokumentasi dan pengujian prosedur yang ada maka seharusnya anda mengevaluasi kecukupan prosedur. Anda juga harus memperhatikan otorisasi dan prosedur keamanan seperti halnya prosedur.

1. Pastikan apakah prosedur otorisasi yang diminta dalam perubahan sudah sesuai dengan yang disetujui

2. Pastikan apakah prosedur otorisasi yang diminta dalam perubahan sudah sesuai level manajemen

3. Pastikan apakah prosedur otorisasi yang diminta dalam perubahan sudah didokumentasikan

d. Dokumen Pengecualian dan rekomendasi

i. Simpulkan seluruh kecukupan kontrol atas modifikasi pada seluruh sistem operasi dan dokumen pengecualian atau temuan serta rekomendasikan.G. EVALUASI KONTROL AKSES UNTUK CRITICAL DATA SET ATAU PROGRAM

a. Identifikasi dan evaluasi prosedur yang ada

i. Pastikan pemisahan tugas yang ada sudah memadai

1. Personel software sistem yang menyusun pasword harus mendapat otorisasi untuk melakukan sesuatu dari seseorang pada level manajamen.

2. Hanya operator komputer yg diijinkan untuk menulis ulang pasword dan kemudian harus mendapat ijin dari manajemen.

ii. Pastikan jejak manajeman yang ada sudah memadai

1. Dokumentasikan dengan jelas data dan program yang dilindungi oleh pasword

2. Otorisasi asli untuk melindungi data harus melalui pasword

3. Otorisasi penulisan pasword ulang harus di file kan alam area operasi untuk review manajemen

4. Penulisan ulang yag sesungguhnya harus dimonitor oleh sistem dan laporan penulisan ulang harus dibuat untuk direview manajemen.

iii. Simpulkan kecukupan kontrol terhadap prosedur yang ada.

b. Identifikasi data yang diproteksi

c. Lakukan Uji kepatuhan secara memadai

d. Dokumentasikan Kelemahan Kontrol

H. IDENTIFIKASI DAN EVALUASI SISTEM GENERATION OPTION YG DIGUNAKAN

a. Review bagian kontrol program

Usahakan memperoleh dokumen sistem dari manajer pemrograman sistem. Review apakah sudah termasuk dalam bagian kontrol program. Hal ini untuk menunjukkan apakah Fasillitas Program Otorisasi sudah digunakan atau belum. Fasillitas Program Otorisasi untuk membatasi wilayah yang dibatasi pengaksesannya atau pengguannya.

b. Review Scheduler Specifications

Scheduler Specifications menyajikan alternatif hard-copi log untuk recor operator command, system comand dan respons. Lakukan review terhadap Scheduler Specifications untuk menunjukkan apakah hardcopy logtelah digunakan dan seluruh command, respons dan messages telah dicatat atau belum

c. Review TSO setup

TSO setup berisi alternatif apakah full TSO command system sudah termasuk dakam sistem operasi, jumlah log-on yang diijinkan sebelum di batalkan dan waktu tunggu antara terminal respon selama log-on. Review untuk menunjukkan peruntukkannya.d. Dokumentasi Pengecualian dan Rekomendasi.

I. IDENTIFIKASI DAN REVIEW CRITICAL TUNNING PARAMETERS

Parameter didefinisikan untuk mengoperasikan sistem dan untuk berbagai pengunaan lainya.

J. REVIEW KONTROL AKSES TERHADAP OVER AUTHORIZED PROGRAM FACILITY (APF)

Fasillitas Program Otorisasi untuk membatasi wilayah yang dibatasi pengaksesannya atau pengguannya. Hal juga diperuntukkan bagi perlindungan sistem.

K. REVIEW ENTRIES DALAM PROGRAM PROPERTY TABLE

The Program Property Table (PPT) dapat digunakan untu tugas khusus pemrosesan untuk program tertentu. Progam ini punya kemampuan dan spesifikasi:

1. Tidak dapat dibatalkan jika sudah dijalankan

2. Dapat diusahakan dengan proteksi kunci yg unik

3. tidak dapat dibersihkan

4. Dapat membuat peruntukan istemewa

5. Tidak memerlukan waktu lama

6. Belum mendapat kontrol eksklusif terhadap data set integrity

7. Dapat menggunakan jalan pintas dgn pasword

L. REVIEW KONTROL CICS (Costumer Information Control System)Merupakan produk IBM yang melayani berbagai tujuan program kontrol teleprosesing yang digunakan untuk sistem yang beroperasi dibawah IBM Operting system. Lakukan review dengan tahapan:

a. Review Prosedur administrasi

Yg harus direview meliputi yang berhubungan dengan instalasi produk, alterasi atau perubahan sistem dasar, dan prosedur recovery.

b. Review Kontrol akses

Untuk memberikan perlindungan bagi user yang ditorisasi

c. Review Proteksi sumber

Berhubungan dengan akses kontrol

d. Review Fitur Jurnal

Digunakan untuk menggambarkan system log dan user junral.

M. REVIEW USER SUPERVISOR CALL (SVCs)Bukan merupakan paket sistem dari IBM, dengan demikian perlu software tambahan atau perlu tambahan fitur keamanan atau pekerjaan verifikasi akuntansi.

N. REVIEW KONTROL TSO

Fasilitas interaktif yang digunakan untuk pengembangan program aplikasi, sistem pemeliharaan software dan batch job submission. Review TSO konrol meliputi:

a. Review Prosedur administrasi

b. Review Identifikasi pengguna dan validasi

c. Review Kontrol Akses

d. Review Akuntabilitas

O. DOKUMENTASI KELEMAHAN KONTROL

a. Identifikasi temuan audit dan observasi

b. Pilih format untuk peringkasan temuan audit

c. Tindak lanjut temuan audit

P. PENULISAN DAN PENYAJIAN LAPORANa. Pemilihan format

b. Susun Draf Laporan

c. Sirkulasi Draf laporan dan penutupan

d. Draf Isu

e. Susun Laporan final

TACKLING THE SYSTEMS SOFTWARE REVIEW-THE MOST CHALENGGING OF ALL CH - 8