Tugas Kelompok 1 Audit Teknologi Sistem Informasi
TUGAS 1
AUDIT TEKNOLOGI SISTEM
INFORMASI
Kelompok 1
Alia Nur Afni (10115533)
Audi Muhamad (11115128)
Aldwin Eka Setyanda (10115480)
Nita Anggraeni (15115084)
4KA11
FAKULTAS ILMU KOMPUTER DAN
TEKNOLOGI INFORMASI
UNIVERSITAS GUNADARMA
Konsep Audit
Auditing adalah sebuah proses
sistemeatis untuk secara obyektif mendapatkan dan mengevaluasi bukti mengenai
pernyataan perihal tindakan dan transaksi bernilai ekonomi, untuk memastikan
tingkat kesesuaian antara pernyataan tersebut dengan kriteria yang telah
ditetapkan, serta mengkomunikasikan hasil-hasilnya pada para pemakai yang
berkepentingan
Terdapat tiga jenis audit yang biasanya
dilakukan, yaitu :
a.
Audit
keuangan
b.
Audit
sistem informasi
c.
Audit
operasional atau manajemen
Jenis-jenis Kegiatan Audit Internal:
a.
Audit
keuangan memeriksa keandalan dan integritas catatan-catatan akuntansi (baik
informasi keuangan dan operasional).
b.
Audit
sistem informasi melakukan tinjauan atas pengendalian SIA untuk menilai
kesesuaiannya dengan kebijakan dan prosedur pengendalian serta efektivitas
dalam menjaga aset perusahaan.
c.
Audit
operasional atau manajemen berkaitan dengan penggunaan secara ekonomis dan
efisien sumber daya, serta pencapaian sasaran dan tujuan yang telah ditetapkan.
Proses audit
Sekarang setelah Anda
memahami proses pemilihan apa yang harus diaudit, mari kita bahas berbagai
tahapan untuk melakukan masing-masing audit dalam rencana audit. Kami akan
membahas enam fase audit utama berikut :
1.
Perencanaan
Menentukan apa yang di
rencanakan untuk ditinjau. Jika proses perencanaan dilaksanakan secara efektif,
itu akan membentuk tim audit untuk sukses. Sebaliknya, jika dilakukan dengan
buruk dan pekerjaan dimulai tanpa rencana dan tanpa arah yang jelas, upaya tim
audit dapat mengakibatkan kegagalan. Tujuan dari proses perencanaan adalah
untuk menentukan tujuan dan ruang lingkup audit. Audit perlu menentukan apa
yang ingin dicapai dengan peninjauan. Sebagai bagian dari proses ini, harus
mengembangkan serangkaian langkah yang akan dilaksanakan untuk mencapai tujuan
audit. Proses perencanaan ini akan membutuhkan penelitian, pemikiran, dan
pertimbangan yang cermat untuk setiap audit. Berikut adalah beberapa sumber
dasar yang harus dirujuk sebagai bagian dari setiap proses perencanaan audit:
·
Hand
off dari manajer audit
·
Survei
pendahuluan
·
Permintaan
pelanggan
·
Daftar
periksa standar
·
Penelitian
2.
Kerja
lapangan dan dokumentasi
Sebagian besar audit terjadi
selama fase ini, ketika langkah-langkah audit yang dibuat selama tahap
sebelumnya dilaksanakan oleh tim audit. Sekarang, tim memperoleh data dan
melakukan wawancara yang akan membantu anggota tim untuk menganalisa potensi
risiko dan menentukan risiko mana yang belum dimitigasi dengan tepat.
Jika memungkinkan, auditor
harus mencari cara untuk memvalidasi secara independen informasi yang diberikan
dan keefektifan dari lingkungan pengendalian. Meskipun ini tidak selalu
mungkin, auditor harus selalu memikirkan cara-cara kreatif untuk menguji
sesuatu. Misalnya, jika pelanggan audit menggambarkan proses untuk menyetujui
permintaan akun pengguna baru, auditor harus berusaha menarik sampel pengguna
yang baru saja ditambahkan untuk melihat apakah mereka memang menerima
persetujuan yang tepat. Ini akan memberikan bukti yang jauh lebih meyakinkan
bahwa proses sedang diikuti daripada wawancara.
Dokumentasi juga merupakan
bagian penting dari kerja lapangan. Auditor harus melakukan pekerjaan yang
cukup untuk mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat
dibuktikan. Tujuannya adalah mendokumentasikan pekerjaan itu secara cukup rinci
sehingga orang yang berpengetahuan cukup dapat memahami apa yang telah
dilakukan dan sampai pada kesimpulan yang sama seperti auditor. Auditor pada
dasarnya harus menceritakan sebuah kisah: “Inilah yang saya lakukan. Inilah
yang saya temukan. Inilah kesimpulan saya. Inilah alasan mengapa saya mencapai
kesimpulan itu. ”Jika suatu proses ditinjau, prosesnya harus dijelaskan, dan
poin kontrol utama dalam proses itu harus disorot. Jika suatu sistem atau
teknologi ditinjau ulang, pengaturan khusus dan data yang ditinjau harus
diuraikan (bersama dengan bagaimana informasi itu diperoleh) dan ditafsirkan.
Proses dokumentasi mungkin
tampak membosankan, tetapi ini penting. Pertama, diperlukan untuk memenuhi
standar profesi. Kedua, adalah mungkin bahwa di masa depan temuan audit dapat
dipertanyakan atau ditantang, dan auditor yang melakukan pekerjaan tersebut
mungkin tidak lagi dipekerjakan oleh perusahaan atau departemen pada saat itu
(atau mungkin baru saja melupakan detail dari audit). Akan sangat penting bahwa
dokumentasi ada untuk menjelaskan dan proses audit dan memperkuat kesimpulan.
Ketiga, jika audit dilakukan lagi suatu hari nanti, mempertahankan dokumentasi
rinci akan memungkinkan tim audit berikutnya untuk belajar dari pengalaman tim
audit sebelumnya, sehingga memungkinkan untuk perbaikan dan efisiensi yang
berkelanjutan.
Satu catatan akhir tentang
kerja lapangan: Selama tahap perencanaan, maka akan mengembangkan daftar
periksa mengenai apa yang di rencanakan untuk tinjau selama audit. Pastikan
daftar periksa tersebut tidak menyebabkan anggota tim audit mematikan penilaian
yang baik. Tim perlu tetap fleksibel selama audit dan bersiap untuk
mengeksplorasi jalan yang tidak dipertimbangkan selama fase perencanaan.
Anggota tim selalu perlu mengingat keseluruhan tujuan audit dan bukan hanya
menjadi robot mengikuti skrip kaleng. Juga penting bahwa setiap anggota tim
memahami tujuan di balik langkah-langkah audit yang ditetapkan. Langkah-langkah
ini harus berfungsi sebagai pedoman untuk mencapai tujuan, dan setiap auditor
harus tetap kreatif dalam bagaimana langkah tersebut dilakukan. Jika langkah
ini dilakukan, tetapi tidak benar-benar mengatasi risiko yang sedang
diselidiki, auditor telah gagal.
3.
Penemuan
masalah dan validasi
Saat melaksanakan kerja
lapangan, auditor akan mengembangkan daftar masalah potensial. Ini jelas
merupakan salah satu fase penting dari audit, dan auditor harus berhati-hati
untuk memperdalam daftar masalah potensial untuk memastikan bahwa semua masalah
valid dan relevan. Dalam semangat kolaborasi, auditor harus mendiskusikan
potensi masalah dengan pelanggan sesegera mungkin. Tidak ada yang menikmati
menunggu auditor untuk menyelesaikan audit dan kemudian harus menanggung daftar
masalah laundry. Tidak hanya ini tidak menyenangkan bagi pelanggan, tetapi juga
bisa tidak menyenangkan bagi Anda, karena mungkin menemukan bahwa tidak semua
informasi akurat dan tidak semua masalah valid. Daripada membuat kasus federal
dari setiap masalah potensial, maka ditekankan mengambil pendekatan lebih
informal dengan cara menemukan sesuatu yang menarik dan dapat di diskusikan
sehingga dapat memastikan terdapat fakta yang benar dan memahami resiko dengan
benar. Sehingga auditor dapat bekerjasama dengan pelanggan dalam memvalidasi
masalah dan mendorong pelanggan untuk mengambil kepemilikan masalah.
Selain memvalidasi bahwa
memiliki fakta-fakta sendiri secara langsung, Anda perlu memvalidasi bahwa
risiko yang disajikan oleh masalah tersebut cukup signifikan untuk dilaporkan
dan ditangani dengan layak. Jangan mengajukan masalah demi mengangkat masalah.
Sebaliknya, isu yang diangkat harus memberikan risiko signifikan bagi
perusahaan. Pertimbangkan untuk mengurangi kontrol, dan pahami seluruh gambar
sebelum menentukan apakah Anda memiliki masalah yang layak dilaporkan.
Kecuali dalam bisnis yang
sangat diatur, ambil pendekatan yang sama dengan kepatuhan pada kebijakan
internal. Meskipun jelas penting bagi auditor TI untuk meninjau sistem agar
sesuai dengan kebijakan keamanan TI internal perusahaan, pendekatannya tetap harus
berbasis risiko. Ada kalanya suatu sistem secara teknis melanggar kebijakan,
tetapi pelanggaran itu tidak merepresentasikan risiko nyata baik untuk
mengurangi kontrol atau sifat dari sistem tertentu. Dalam kasus seperti itu,
apa nilai dari mengangkat masalah? Demikian juga, dalam banyak kasus, auditor
harus menyampaikan kekhawatiran yang tidak ada hubungannya dengan kebijakan
tetapi malah melibatkan risiko terhadap lingkungan spesifik yang sedang
ditinjau. Jangan biarkan tim audit Anda menjadi tim kepatuhan kebijakan.
Sebagai gantinya, Anda harus mempertimbangkan kebijakan serta semua faktor
relevan lainnya dalam mengevaluasi risiko nyata terhadap lingkungan yang sedang
ditinjau.
4.
Pengembangan
solusi
Setelah mengidentifikasi
potensi masalah di area yang Anda audit dan telah memvalidasi fakta dan risiko,
Anda dapat bekerja dengan pelanggan untuk mengembangkan rencana tindakan untuk
mengatasi setiap masalah. Jelas, hanya mengangkat isu-isu yang dilakukan
perusahaan tidak ada gunanya kecuali masalah-masalah itu benar-benar diatasi.
Tiga pendekatan umum digunakan untuk mengembangkan dan menugaskan item tindakan
untuk mengatasi masalah audit:
·
Pendekatan
rekomendasi
Pada pendekatan ini auditor mengangkat masalah dan
memberikan rekomendasi untuk mengatasinya. Mereka kemudian bertanya kepada
pelanggan apakah mereka setuju dengan rekomendasi tersebut dan, jika ya, kapan
mereka akan menyelesaikannya.
·
Pendekatan
manajemen respons
Pada pendekatan ini auditor mengembangkan daftar masalah
dan kemudian melemparkannya ke pelanggan untuk merespon dan rencana tindakan
mereka. Kadang-kadang auditor mengirim rekomendasi mereka untuk resolusi
bersama dengan masalah, dan kadang-kadang mereka hanya mengirim masalah tanpa
rekomendasi. Dengan kata lain, pelanggan seharusnya mengirim kembali tanggapan
mereka, yang termasuk dalam laporan audit.
·
Pendekatan
solusi
Pada pendekatan ini auditor mengembangkan solusi yang
mewakili rencana aksi yang dikembangkan bersama dan disepakati untuk mengatasi
masalah yang diangkat. Ini adalah kombinasi dari dua pendekatan sebelumnya,
seperti halnya pendekatan rekomendasi, auditor menyediakan ide untuk resolusi
berdasarkan pengetahuan kontrol mereka. Seperti halnya pendekatan
manajemen-respons, pelanggan menyediakan ide untuk resolusi berdasarkan pengetahuan
operasional reallife mereka. Hasilnya adalah solusi bahwa pelanggan
"kepemilikan" dan itu memuaskan bagi auditor.
5.
Pembuatan
laporan
Setelah menemukan masalah di
lingkungan yang diaudit, validasikan dengan pelanggan, dan mengembangkan solusi
untuk mengatasinya, selanjutnya dapat menyusun laporan audit. Laporan audit
merupakan bentuk dokumentasi dari hasil audit. Dalam hal ini ada dua fungsii
utama yaitu :
a.
Berfungsi
sebagai catatan audit, hasilnya dan rencana aksi yang dihasilkan.
b.
Untuk
manajemen senior dan komite audit, berfungsi sebagai "kartu laporan"
di area yang diaudit.
Ada tiga elemen penting dari
laporan audit yaitu :
a.
Pernyataan
ruang lingkup audit
b.
Ringkasan
eksekutif
c.
Daftar
masalah, bersama dengan rencana aksi untuk menyelesaikannya
6.
Pelacakan
masalah
Audit tidak benar-benar
lengkap sampai masalah yang diangkat dalam audit diselesaikan, baik dengan
resolusi yang diinginkan atau dengan diterima oleh tingkat manajemen yang
sesuai. Departemen audit harus mengembangkan suatu proses dimana para
anggotanya dapat melacak dan menindaklanjuti isu-isu sampai mereka
terselesaikan. Ini kemungkinan akan melibatkan pemeliharaan database yang
berisi semua poin audit dan tanggal jatuh tempo mereka, bersama dengan
mekanisme untuk menandai mereka sebagai tertutup, terlambat, dan seterusnya.
Audit berperan penting dalam
melakukan dan memimpin audit untukbertanggung jawab dalam menindaklanjuti
poin-poin dari audit tersebut dengan pelanggan yang bertanggung jawab sebagai
tanggal jatuh tempo untuk setiap titik pendekatan. Auditor tidak boleh menunggu
sampai poin jatuh tempo atau lewat jatuh tempo sebelum menghubungi pelanggan,
tetapi harus berada dalam kontak regular terkait status masalah. Ini melayani
sejumlah tujuan. Pertama, memungkinkan auditor untuk berkonsultasi dengan
pelanggan saat keputusan sedang dibuat. Kedua, memungkinkan auditor untuk
diberitahu lebih awal jika solusi yang diterapkan tidak sesuai dengan harapan.
Dengan cara ini, auditor dapat mencoba untuk mengalihkan kegiatan sebelum
hal-hal diselesaikan. Ketiga, jika masalah tidak diselesaikan, itu memungkinkan
departemen audit untuk mencoba mengatasi masalah sebelum titik menjadi
terlambat. Jika ternyata masalah tidak ditangani seperti yang disetujui,
auditor bertanggung jawab untuk memulai prosedur eskalasi bila diperlukan.
Teknik Audit
1.
Auditing
Entity-Level Controls
Auditing Entity-Level Kontrol
membahas bagaimana mengaudit kontrol tingkat entitas, yang meresap di seluruh
organisasi. Karena kontrol tingkat entitas sangat luas di seluruh organisasi,
dan dapat mengauditnya berikut ini pembahasan audit teknologi informasi (TI)
area seperti:
a.
Perencanaan
strategis dan peta jalan teknologi
b.
Indikator
kinerja dan metric
c.
Proses
persetujuan dan pemantauan proyek
d.
Kebijakan,
standar, dan prosedur
e.
Manajemen
karyawan
f.
Pengelolaan
aset dan kapasitas
g.
Manajemen
perubahan konfigurasi system
2.
Pusat
Data Audit dan Pemulihan bencana
Fasilitas pengolahan
teknologi informasi (TI), biasanya disebut sebagai pusat data, merupakan inti
dari sebagian besar operasi organisasi modern, yang mendukung hampir semua hal
yang kritis aktivitas bisnis. Berikut ini merupakan langkah-langkah untuk
mengaudit pusat data kontrol, termasuk bidang berikut:
a.
Keamanan
fisik dan pengendalian lingkungan
b.
Operasi
pusat data
c.
Sistem
dan ketahanan situs
d.
Kesiapsiagaan
bencana
3.
Mengaudit
Router, Switch, dan Firewall
Jaringan adalah latar
belakang mendasar dari infrastruktur operasi TI , yang memungkinkan data
melintang antara pengguna, penyimpanan data, dan pengolahan data. Router,
switch, dan firewall bekerja sama untuk memungkinkan transfer data sekaligus
melindungi jaringan, data, dan pengguna akhir. Berikut ini membahas bagaimana
meninjau potongan-potongan kritis ,infrastruktur sambil membantu untuk
melakukannya sebagai berikut :
a.
Mengungkap
kompleksitas peralatan jaringan.
b.
Memahami
kontrol jaringan kritis.
c.
Tinjau
kontrol khusus untuk router, switch, dan firewall.
4.
Mengaudit
Windows
Sistem operasi Sistem operasi
Windows telah berkembang dari awal yang sederhana dan berkembang menjadi salah
satu sistem operasi paling umum di dunia untuk server dan klien, untuk mencakup
komponen dasar dari audit server Windows dan mencakup audit cepat untuk Klien
Windows,berikut pembahasan Audit server dan klien windows:
a.
Sejarah
singkat pengembangan Windows
b.
Windows
essentials: belajar tentang host target
c.
Bagaimana
mengaudit server Windows
d.
Bagaimana
mengaudit klien Windows
e.
Alat
dan sumber daya untuk meningkatkan audit Windows Anda
5.
Mengaudit
Unix dan Linux
Sistem operasi membahas
langkah-langkah yang diperlukan untuk mengaudit operasi berbasis Unix dan Linux
sistem (juga disebut sebagai sistem nix) dan mencakup hal-hal berikut:
a.
Sejarah
Unix dan Linux
b.
Perintah
dasar untuk berkeliling di lingkungan * nix
c.
Bagaimana
mengaudit sistem Unix dan Linux, dengan fokus pada bidang utama berikut:
1.
Manajemen
akun dan kontrol kata sandi
2.
File
keamanan dan control
3.
Keamanan
dan kontrol jaringan
4.
Audit
log
5.
Monitoring
keamanan dan kontrol umum
6.
Alat
dan sumber daya untuk meningkatkan audit
6.
Mengaudit
Web Server dan Aplikasi Web
Pertumbuhan eksplosif di
Internet juga mendorong pertumbuhan eksplosif alat pengembangan, bahasa
pemrograman, web browser, database, dan berbeda model client-server. Hasil yang
tidak menguntungkan adalah model kompleks yang sering dibutuhkan kontrol
tambahan untuk mengamankan model. Berikut ini mencakup minimum mutlak
seperangkat kontrol yang harus ditinjau ulang. Bab ini mencakup hal-hal
berikut:
a.
Bagaimana
mengaudit server web
b.
Bagaimana
mengaudit aplikasi web
7.
Mengaudit
Database
Mengaudit Database membahas
tentang audit lockbox informasi perusahaan.untuk melakukan audit pada komponen
berikut yang mempengaruhi operasional keamanan penyimpanan data:
a.
Perizinan
database
b.
Keamanan
sistem operasi
c.
Fitur
kekuatan dan manajemen kata sandi
d.
Aktivitas
pemantauan
e.
Database
enkripsi
f.
Database
kerentanan, integritas, dan proses patching
8.
Penyimpanan
Audit
Penyimpanan audit dan dimulai
dengan ikhtisar penyimpanan umum teknologi. Audit penyimpanan menggabungkan
kekhawatiran platform dan datanya. Platform memiliki persyaratan kontrol yang
sama seperti yang ditemukan di server. Data memiliki keunikan persyaratan
kontrol karena perlunya menjaga kontrol yang sesuai dengan kelas data yang
berbeda, dibawah ini mencakup hal-hal berikut:
a.
Ikhtisar
teknis singkat tentang penyimpanan
b.
Bagaimana
mengaudit lingkungan penyimpanan
c.
Alat
dan sumber daya untuk meningkatkan audit penyimpanan Anda
9.
Mengaudit
Virtualized Lingkungan
Inovasi dalam virtualisasi
sistem operasi dan perangkat keras server diubah secara permanen jejak,
arsitektur, dan operasi pusat data. Mengaudit lingkungan virtualisasi, dan
dimulai dengan ikhtisar tentang virtualisasi umum teknologi dan kontrol tombol.
Audit virtualisasi menggabungkan kekhawatiran hypervisor dan sistem operasi
tamu. Meski fokus adalah hypervisor dan virtualisasi server, bisa menerapkan
banyak langkah dan konsep yang sama untuk virtualisasi desktop ,membuat asumsi
bahwa komponen sistem ini adalah di bawah kendali , “Mengaudit Komputasi Awan
dan Operasi Outsourcing“ untuk panduan bagaimana memastikan virtualisasi dari
luar lingkungan dikelola dan diamankan dengan benar. Dibawah ini mencakup
hal-hal berikut:
a.
Sekilas
singkat teknis virtualisasi
b.
Bagaimana
mengaudit lingkungan virtualisasi
c.
Alat
dan sumber daya untuk meningkatkan audit virtualisasi Anda
10. Mengaudit WLAN dan Telepon
genggam
Mengaudit WLAN dan Telepon
genggam yaitu dua audit terpisah, yang dimulai dengan jaringan area lokal
nirkabel(WLAN) dan kemudian mencakup perangkat seluler yang mendukung data.
Audit WLAN meliputi klien, komunikasi, jalur akses, dan faktor operasional yang
memungkinkan WLAN aktif, jaringan Audit perangkat mobile data-enabled meliputi
Blackberry, iPhone, Droid, dan perangkat data-enabled serupa dan infrastruktur
yang mendukungnya. Pengikuttopik yang dibahas adalah:
a.
Latar
belakang teknologi WLAN dan perangkat mobile
b.
Masalah
audit penting untuk teknologi ini
c.
Langkah
dan saran teknis utama mengenai bagaimana mendekati teknologi
d.
Langkah
operasional yang diperlukan agar teknologi ini beroperasi secara efisien di
jaringan anda
11. Permohonan Audit
Setiap aplikasi unik, apakah
mendukung fungsi keuangan atau operasional, dan oleh karena itu masing-masing
memiliki seperangkat persyaratan kontrol tersendiri. Tidak mungkin dokumen
persyaratan kontrol spesifik yang akan berlaku untuk setiap aplikasi. Namun,
akan menjelaskan beberapa pedoman pengendalian umum yang seharusnya berkenaan
dengan aplikasi apapun terlepas dari fungsinya, bahasa pemrogramannya, dan
platform teknologi. Topik-topik berikut dibahas dalam bab ini:
a.
Komponen
penting dari audit aplikasi
b.
Bagaimana
menelusuri kemungkinan masalah dengan kerangka kerja dan konsep kunci
c.
Langkah
terperinci untuk mengaudit aplikasi, termasuk yang berikut ini:
1.
Kontrol
input
2.
Kontrol
antarmuka
3.
Jejak
audit
4.
Kontrol
akses
5.
Kontrol
perubahan perangkat lunak
6.
Backup
dan pemulihan
7.
Retensi
data dan klasifikasi dan keterlibatan pengguna
12. Mengaudit Komputasi Awan dan
Outsource Operasi
Mengaudit Komputasi Awan dan
Outsource Operasi adalah kunci yang harus dicari saat mengaudit TI operasi yang
telah dialihkan ke perusahaan eksternal, termasuk yang berikut ini:
a.
Definisi
komputasi awan dan bentuk lain dari outsourcing TI
b.
SAS
70 melaporkan
c.
Kontrol
seleksi vendor
d.
Item
untuk disertakan dalam kontrak vendor
e.
Persyaratan
keamanan data
f.
Masalah
operasional
g.
Masalah
hukum dan kepatuhan peraturan
13. Proyek Perusahaan Audit
Proyek Perusahaan Audit
adalah kontrol kunci yang harus dicari saat mengaudit proses yang digunakan
untuk mengelola proyek perusahaan, termasuk memahami hal-hal berikut yang
berkaitan dengan manajemen proyek audit teknologi informasi:
a.
Kunci
keberhasilan manajemen proyek
b.
Kebutuhan
pengumpulan dan desain awal
c.
Desain
dan pengembangan system
d.
Pengujian
e.
Implementasi
f.
Pelatihan
g.
Membungkus
proyek
Regulasi Audit
Dengan dominannya penggunaan komputer dalam membantu kegiatan
operasional diberbagai perusahaan, maka diperlukan standar-standar kontrol
sebagai alat pengendali internal untuk menjamin bahwa data elektronik yang
diproses adalah benar. Beberapa jenis standar kontrol yaitu:
1.
COSO
(Comitte Of Sponsoring Organizationof the treadway commission’s)
Yaitu dibentuk pada tahun 1985 dengan tujuan untuk
menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar
pelaporan keuangan yang mengandung fraud (penggelapan).Tahun 1992, COSO
menyusun dan Menerbitkan Internal Control Integrated Framework yang berisi
rumusan definisi pengendalian intern, pedoman penilaian, serta perbaikan
terhadap sistem pengendalian intern.Tahun 2004, COSO mengembangkan Internal
Control Integrated Framework dengan menambah cakupan tentang manajemen dan strategi resiko yang disebut ERM
(Enterprise Risk Manajement).
Pencapaian
tujuan pengendalian intern yang didefenisikan COSO:
a.
Efektifitas
dan efisiensi aktivitas operasi
b.
Kehandalan
pelaporan keuangan
c.
Ketaatan
terhadap hukum dan peraturan yang berlaku
d.
Pengamanan
aset entitas.
2.
COBIT
(Control Objectives for Information and Related Technology)
Yaitu alat pengendalian untuk informasi dan tekhnology
terkait dan merupakan standar terbuka yang dikembangkan oleh ISACA melalui ITGI
(Information and Technology Governance Institute)pada tahun 1992. Tujuan dari
COBIT yaitu untuk mengembangkan , melakukan riset dan mempublikasikan suatu
standar teknologi informasi yang diterima umum dan selalu up to date untuk
digunakan dalam kegiatan bisnis sehari-hari.
3.
SARBOX
(Sarbanes-Oxley Act)
Yaitu merupakan peraturan yang ditandatangani Presiden
George W.Bush tanggal 30 juli 2012 untuk mereformasi dunia pasarmodal Amerika
Serikat. Tujuan SARBOX yaitu:
a.
Meningkatkan
akuntabilitas manajemen dengan memastikan bahwa manajemen akuntan dan pengacara memiliki tanggung jawab atas
informasi keuangan yang menjadi tanggung jawab mereka.
b.
Meningkatkan
pengungkapan dengan berusaha untuk menyatakan bahwa beberapa kejadian kunci dan
transaksi luar biasa tidak mendapatkan pengawasan hanya karena tidak
disyaratkan untuk diungkap di publik.
c.
Meningkatkan
pengawasan rutin yang lebih intensif oleh SEC.
d.
Meningkatkan
akuntabilitas akuntan.
4.
ISO
17799
Yaitu standar untuk sistem manajemen keamanan informasi
meliputi dokomen kebijakan keamanan informasi, alokasi keamanan informasi
tanggung-jawab,menyediakan semua para pemakai dengan pendidikan dan pelatihan
didalam keamanan informasi, mengembangkan suatu sistem untuk pelaporan
peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana
kesinambungan bisnis, mengendalikan pengkopian perangkat lunak kepemilikan,
surat pengantar arsip organisatoris, mengikuti kebutuhan perlindungan data, dan
menetapkan prosedure untuk mentaati kebijakan keamanan.
5.
BASEL
II
BASEL II dibentuk yaitu sebagai penerapan kerangka
pengukuran bagi risiko kredit, sistem ini mensyaratkan Bank-bank untuk memisahkan eksposurnya ke dalam kelas
yang lebih luas, yang menggambarkan kesamaan tipe debitur(hutang).
Standar dan Kerangka Kerja Audit
1.
Kerangka
untuk Audit Keamanan Komputer
a.
Jenis-jenis
Kesalahan dan Penipuan:
·
Pencurian
atau kerusakan yang tidak disengaja atas hardware dan file
·
Kehilangan,
pencurian, atau akses tidak sah ke program, file data, dan sumber daya sistem
lainnya
·
Modifikasi
atau penggunaan secara tidak sah program dan file data
b.
Jenis-jenis
Prosedur Pengendalian :
·
Rencana
keamanan/perlindungan informasi
·
Pembatasan
atas akses secara fisik ke perlengkapan komputer
·
Pengendalian
penyimpanan dan pengiriman data seperti enkripsi
·
Prosedur
perlindungan dari virus
·
Menggunakan
firewall
·
Rencana
pemulihan dari bencana
·
Pemeliharaan
pencegahan
·
Asuransi
sistem informasi
c.
Prosedur
Audit: Tinjauan atas Sistem
·
Menginspeksi
lokasi komputer
·
Wawancara
dengan personil sistem informasi mengenai prosedur keamanan
·
Meninjau
kebijakan dan prosedur
·
Memeriksa
kebijakan asuransi apabila terjadi bencana atas sistem informasi
·
Memeriksa
daftar akses sistem
·
Memeriksa
rencana pemulihan dari bencana
d.
Prosedur
Audit: Uji Pengendalian
·
Mengamati
prosedur akses ke lokasi komputer
·
Memverifikasi
bahwa terdapat pengendalian dan pengendalian tersebut berfungsi seperti dengan
yang diharapkan
·
Menginvestigasi
berbagai kesalahan atau masalah untuk memastikan mereka ditangani dengan benar
·
Memeriksa
berbagai uji yang sebelumnya telah dilaksanakan
e.
Pengendalian
Pengimbang:
·
Kebijakan
yang baik dalam hal personalia
·
Penggunaan
pengendalian secara efektif
·
Pemisahan
pekerjaan yang tidak boleh disatukan
2.
Kerangka
untuk Audit Pengembangan Program
a.
Jenis-jenis
Kesalahan dan Penipuan:
·
Kesalahan
pemrograman yang tidak disengaja
·
Kode
program yang tidak sah
b.
Jenis-jenis
Prosedur Pengendalian :
·
Otorisasi
manajemen atas pengembangan program dan persetujuannya untuk spesifikasi
pemrograman
·
Persetujuan
pemakai atas spesifikasi pemrograman
·
Pengujian
keseluruhan atas program yang baru
·
Pengujian
penerimaan oleh pemakai
·
Dokumentasi
sistem yang lengkap
c.
Prosedur
Audit : Tinjauan atas sistem :
·
Tinjauan
independen dan bersaman atas proses pengembangan sistem
·
Tinjauan
prosedur dan kebijakan pengembangan/perolehan sistem
·
Tinjauan
otorisasi sistem dan prosedur persetujuannya
·
Tinjauan
atas standar evaluasi pemrograman
·
Tinjauan
atas standar dokumentasi program
·
Tinjauan
atas pengujian program dan prosedur persetujuan pengujian
d.
Prosedur
Audit : Uji Pengendalian
·
Wawancara
dengan pemakai mengenai keterlibatan mereka dalam perolehan/pengembangan serta
implementasi sistem
·
Tinjauan
atas notulen rapat tim pengembangan untuk mendapat bukti keterlibatan
·
Memverifikasi
poin-poin penting penolakan manajemen dan pemakai dalam proses pengembangan
·
Tinjauan
atas spesifikasi pengujian, data uji, dan hasil pengujian sistem
e.
Pengendalian
Pengimbang:
·
Pengendalian
pemrosesan yang kokoh (kuat)
·
Pemrosesan
secara independen data uji oleh auditor
Manajemen
Resiko
Beberapa tahun yang lalu,
firewall dan perangkat lunak antivirus adalah sebagian besar organisasi
digunakan untuk mengurangi risiko TI. Namun, dalam beberapa tahun terakhir, lanskap
ancaman telah berubah sangat. Saat ini, ancaman orang dalam lebih terasa,
ribuan variannya malware didistribusikan, dan pemerintah telah memberlakukan
undang-undang yang mewajibkan implementasi berbagai kontrol. Akibatnya, proses
manajemen risiko formal sekarang harus menjadi bagian dari setiap program audit
TI.
1.
Tipe-tipe
resiko terdiri dari:
a.
Resiko
pengembangan
b.
Resiko
Kesalahan
c.
Resiko
Terhentinya Bisnis
d.
Resiko
Pengungkapan Informasi
e.
Resiko
Penggelapan
2.
Proses
penilaian resiko dapat dilakukan melalui tahap-tahap berikut ini:
a.
Identifikasi
objek (asset) yang akan dilindungi
b.
Penentuan
ancaman yang dihadapi
c.
Menetapkan
peluang kejadian
d.
Menghitung
besarnya dampak dan kelemahan sistem
e.
Menilai
alat-alat pengamanan yang ada
f.
Rekomendasi
dan implementasi
3.
Manfaat
Manajemen Risiko
Potensi pengelolaan risiko TI
masih dirahasiakan. Beberapa tahun, banyak organisasi telah meningkatkan
efektivitas pengendalian TI mereka atau mengurangi biaya mereka dengan
menggunakan analisis risiko dan praktik manajemen risiko yang baik. Ketika
manajemen memiliki pandangan perwakilan tentang eksposur TI organisasi, ia
dapat melakukannya mengarahkan sumber daya yang tepat untuk mengurangi area
risiko tertinggi daripada pengeluaran sumber daya langka di daerah yang
memberikan sedikit atau tidak ada pengembalian investasi (ROI). Jaring Hasilnya
adalah tingkat pengurangan risiko yang lebih tinggi untuk setiap dolar yang
dikeluarkan.
4.
Manajemen
Risiko dari Perspektif Eksekutif
Bisnis adalah semua tentang
risiko dan penghargaan. Eksekutif diharuskan menimbang manfaat investasi dengan
risiko yang terkait dengannya. Akibatnya, sebagian besar telah menjadi cukup
mahir mengukur risiko melalui analisis ROI, indikator kinerja utama, dan
segudang alat analisis keuangan dan operasional lainnya. Sukses dalam
mengelola. Risiko TI organisasi, Anda harus memahami bahwa eksekutif melihat
risiko finansial istilah. Akibatnya, semacam analisis keuangan biasanya
diperlukan untuk berbisnis kasus untuk investasi di kontrol tambahan.
5.
Mengatasi
Resiko
Resiko dapat diatasi dengan
tiga cara: menerimanya, mengurangi, atau mentransfernya. Yang sepantasnya
metode sepenuhnya tergantung pada nilai finansial dari risiko versus investasi
diperlukan untuk menguranginya ke tingkat yang dapat diterima atau
mentransfernya ke pihak ketiga. Sebagai tambahannya Kontrol preskriptif,
peraturan seperti HIPAA / HITECH dan PCI mengharuskan organisasi tersebut
menilai risiko terhadap informasi yang dilindungi dan menerapkan pengendalian
yang wajar mengurangi risiko ke tingkat yang dapat diterima.
6.
Penerimaan
Risiko
Nilai finansial suatu risiko
seringkali lebih kecil daripada biaya mitigasi atau transfer. Dalam hal ini,
pilihan yang paling masuk akal adalah menerima risiko. Namun, jika
organisasi memilih untuk menerima risiko, itu harus menunjukkan bahwa
risiko memang dinilai dan mendokumentasikan alasan di balik keputusan
tersebut.
7.
Transfer
Resiko
Industri asuransi didasarkan
pada transferensi risiko. Organisasi sering membeli asuransi untuk
menutupi biaya pelanggaran keamanan atau bencana sistem outage. Ini penting
untuk perhatikan bahwa perusahaan asuransi yang menawarkan jenis kebijakan
ini sering mewajibkan kebijakan tersebut pemegang menerapkan kontrol
tertentu. Gagal mematuhi persyaratan control dapat membatalkan kebijakan Bila
pengelolaan sistem TI dialihkan ke pihak ketiga, tingkat tertentu risiko
dapat ditransfer secara kontrak ke pihak ketiga juga. Dalam kasus ini, itu
adalah tanggung jawab organisasi meng-outsource sistemnya untuk
memverifikasi bahwa risiko TI berkurang ke tingkat yang dapat diterima dan
bahwa perusahaan yang mengelola sistemnya memiliki keuangan Kekuatan untuk
menutupi kerugian harus terjadi.
Sumber
IT Auditing : Using controls to protect
information assets, Chris Davis, Mike Sciller, McGrowHill, 2011.
Audit dan Kontrol Teknologi Informasi,
Mardhani Riasetiawan, Inside technology Publiher. 2016
0 comments:
Post a Comment