AUDIT TEKNOLOGI SISTEM INFORMASI ( Tugas Perorangan )

KELOMPOK 1



DAUD DINSYAFRI SULISTIANTO (11115602)

 RINA GUNAWAN (16115007)

SHUHA MURSILA DALIMUNTE (16115558)

4KA11

Konsep Audit
Auditing adalah sebuah proses sistemeatis untuk secara obyektif mendapatkan dan mengevaluasi bukti mengenai pernyataan perihal tindakan dan transaksi bernilai ekonomi, untuk memastikan tingkat kesesuaian antara pernyataan tersebut dengan kriteria yang telah ditetapkan, serta mengkomunikasikan hasil-hasilnya pada para pemakai yang berkepentingan.
Terdapat tiga jenis audit yang biasanya dilakukan, yaitu :
  1. Audit keuangan
  2. Audit sistem informasi
  3. Audit operasional atau manajemen
Jenis-jenis Kegiatan Audit Internal:
  1. Audit keuangan memeriksa keandalan dan integritas catatan-catatan akuntansi (baik informasi keuangan dan operasional).
  2. Audit sistem informasi melakukan tinjauan atas pengendalian SIA untuk menilai kesesuaiannya dengan kebijakan dan prosedur pengendalian serta efektivitas dalam menjaga aset perusahaan.
  3. Audit operasional atau manajemen berkaitan dengan penggunaan secara ekonomis dan efisien sumber daya, serta pencapaian sasaran dan tujuan yang telah ditetapkan.
Proses audit
Sekarang setelah Anda memahami proses pemilihan apa yang harus diaudit, mari kita bahas berbagai tahapan untuk melakukan masing-masing audit dalam rencana audit. Kami akan membahas enam fase audit utama berikut :
  1. Perencanaan
    Menentukan apa yang di rencanakan untuk ditinjau. Jika proses perencanaan dilaksanakan secara efektif, itu akan membentuk tim audit untuk sukses. Sebaliknya, jika dilakukan dengan buruk dan pekerjaan dimulai tanpa rencana dan tanpa arah yang jelas, upaya tim audit dapat mengakibatkan kegagalan. Tujuan dari proses perencanaan adalah untuk menentukan tujuan dan ruang lingkup audit. Audit perlu menentukan apa yang ingin dicapai dengan peninjauan. Sebagai bagian dari proses ini, harus mengembangkan serangkaian langkah yang akan dilaksanakan untuk mencapai tujuan audit. Proses perencanaan ini akan membutuhkan penelitian, pemikiran, dan pertimbangan yang cermat untuk setiap audit. Berikut adalah beberapa sumber dasar yang harus dirujuk sebagai bagian dari setiap proses perencanaan audit:
    • Hand off dari manajer audit
    • Survei pendahuluan
    • Permintaan pelanggan
    • Daftar periksa standar
    • Penelitian

  2. Kerja lapangan dan dokumentasi
    Sebagian besar audit terjadi selama fase ini, ketika langkah-langkah audit yang dibuat selama tahap sebelumnya dilaksanakan oleh tim audit. Sekarang, tim memperoleh data dan melakukan wawancara yang akan membantu anggota tim untuk menganalisa potensi risiko dan menentukan risiko mana yang belum dimitigasi dengan tepat.Jika memungkinkan, auditor harus mencari cara untuk memvalidasi secara independen informasi yang diberikan dan keefektifan dari lingkungan pengendalian. Meskipun ini tidak selalu mungkin, auditor harus selalu memikirkan cara-cara kreatif untuk menguji sesuatu. Misalnya, jika pelanggan audit menggambarkan proses untuk menyetujui permintaan akun pengguna baru, auditor harus berusaha menarik sampel pengguna yang baru saja ditambahkan untuk melihat apakah mereka memang menerima persetujuan yang tepat. Ini akan memberikan bukti yang jauh lebih meyakinkan bahwa proses sedang diikuti daripada wawancara.
    Dokumentasi juga merupakan bagian penting dari kerja lapangan. Auditor harus melakukan pekerjaan yang cukup untuk mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat dibuktikan. Tujuannya adalah mendokumentasikan pekerjaan itu secara cukup rinci sehingga orang yang berpengetahuan cukup dapat memahami apa yang telah dilakukan dan sampai pada kesimpulan yang sama seperti auditor. Auditor pada dasarnya harus menceritakan sebuah kisah: “Inilah yang saya lakukan. Inilah yang saya temukan. Inilah kesimpulan saya. Inilah alasan mengapa saya mencapai kesimpulan itu. ”Jika suatu proses ditinjau, prosesnya harus dijelaskan, dan poin kontrol utama dalam proses itu harus disorot. Jika suatu sistem atau teknologi ditinjau ulang, pengaturan khusus dan data yang ditinjau harus diuraikan (bersama dengan bagaimana informasi itu diperoleh) dan ditafsirkan.
    Proses dokumentasi mungkin tampak membosankan, tetapi ini penting. Pertama, diperlukan untuk memenuhi standar profesi. Kedua, adalah mungkin bahwa di masa depan temuan audit dapat dipertanyakan atau ditantang, dan auditor yang melakukan pekerjaan tersebut mungkin tidak lagi dipekerjakan oleh perusahaan atau departemen pada saat itu (atau mungkin baru saja melupakan detail dari audit). Akan sangat penting bahwa dokumentasi ada untuk menjelaskan dan proses audit dan memperkuat kesimpulan. Ketiga, jika audit dilakukan lagi suatu hari nanti, mempertahankan dokumentasi rinci akan memungkinkan tim audit berikutnya untuk belajar dari pengalaman tim audit sebelumnya, sehingga memungkinkan untuk perbaikan dan efisiensi yang berkelanjutan.
    Satu catatan akhir tentang kerja lapangan: Selama tahap perencanaan, maka akan mengembangkan daftar periksa mengenai apa yang di rencanakan untuk tinjau selama audit. Pastikan daftar periksa tersebut tidak menyebabkan anggota tim audit mematikan penilaian yang baik. Tim perlu tetap fleksibel selama audit dan bersiap untuk mengeksplorasi jalan yang tidak dipertimbangkan selama fase perencanaan. Anggota tim selalu perlu mengingat keseluruhan tujuan audit dan bukan hanya menjadi robot mengikuti skrip kaleng. Juga penting bahwa setiap anggota tim memahami tujuan di balik langkah-langkah audit yang ditetapkan. Langkah-langkah ini harus berfungsi sebagai pedoman untuk mencapai tujuan, dan setiap auditor harus tetap kreatif dalam bagaimana langkah tersebut dilakukan. Jika langkah ini dilakukan, tetapi tidak benar-benar mengatasi risiko yang sedang diselidiki, auditor telah gagal.
  3. Penemuan masalah dan validasi
    Saat melaksanakan kerja lapangan, auditor akan mengembangkan daftar masalah potensial. Ini jelas merupakan salah satu fase penting dari audit, dan auditor harus berhati-hati untuk memperdalam daftar masalah potensial untuk memastikan bahwa semua masalah valid dan relevan. Dalam semangat kolaborasi, auditor harus mendiskusikan potensi masalah dengan pelanggan sesegera mungkin. Tidak ada yang menikmati menunggu auditor untuk menyelesaikan audit dan kemudian harus menanggung daftar masalah laundry. Tidak hanya ini tidak menyenangkan bagi pelanggan, tetapi juga bisa tidak menyenangkan bagi Anda, karena mungkin menemukan bahwa tidak semua informasi akurat dan tidak semua masalah valid. Daripada membuat kasus federal dari setiap masalah potensial, maka ditekankan mengambil pendekatan lebih informal dengan cara menemukan sesuatu yang menarik dan dapat di diskusikan sehingga dapat memastikan terdapat fakta yang benar dan memahami resiko dengan benar. Sehingga auditor dapat bekerjasama dengan pelanggan dalam memvalidasi masalah dan mendorong pelanggan untuk mengambil kepemilikan masalah.Selain memvalidasi bahwa memiliki fakta-fakta sendiri secara langsung, Anda perlu memvalidasi bahwa risiko yang disajikan oleh masalah tersebut cukup signifikan untuk dilaporkan dan ditangani dengan layak. Jangan mengajukan masalah demi mengangkat masalah. Sebaliknya, isu yang diangkat harus memberikan risiko signifikan bagi perusahaan. Pertimbangkan untuk mengurangi kontrol, dan pahami seluruh gambar sebelum menentukan apakah Anda memiliki masalah yang layak dilaporkan.
    Kecuali dalam bisnis yang sangat diatur, ambil pendekatan yang sama dengan kepatuhan pada kebijakan internal. Meskipun jelas penting bagi auditor TI untuk meninjau sistem agar sesuai dengan kebijakan keamanan TI internal perusahaan, pendekatannya tetap harus berbasis risiko. Ada kalanya suatu sistem secara teknis melanggar kebijakan, tetapi pelanggaran itu tidak merepresentasikan risiko nyata baik untuk mengurangi kontrol atau sifat dari sistem tertentu. Dalam kasus seperti itu, apa nilai dari mengangkat masalah? Demikian juga, dalam banyak kasus, auditor harus menyampaikan kekhawatiran yang tidak ada hubungannya dengan kebijakan tetapi malah melibatkan risiko terhadap lingkungan spesifik yang sedang ditinjau. Jangan biarkan tim audit Anda menjadi tim kepatuhan kebijakan. Sebagai gantinya, Anda harus mempertimbangkan kebijakan serta semua faktor relevan lainnya dalam mengevaluasi risiko nyata terhadap lingkungan yang sedang ditinjau.
  4. Pengembangan solusi
    Setelah mengidentifikasi potensi masalah di area yang Anda audit dan telah memvalidasi fakta dan risiko, Anda dapat bekerja dengan pelanggan untuk mengembangkan rencana tindakan untuk mengatasi setiap masalah. Jelas, hanya mengangkat isu-isu yang dilakukan perusahaan tidak ada gunanya kecuali masalah-masalah itu benar-benar diatasi. Tiga pendekatan umum digunakan untuk mengembangkan dan menugaskan item tindakan untuk mengatasi masalah audit:
    • Pendekatan rekomendasi
    Pada pendekatan ini auditor mengangkat masalah dan memberikan rekomendasi untuk mengatasinya. Mereka kemudian bertanya kepada pelanggan apakah mereka setuju dengan rekomendasi tersebut dan, jika ya, kapan mereka akan menyelesaikannya.
    • Pendekatan manajemen respons
    Pada pendekatan ini auditor mengembangkan daftar masalah dan kemudian melemparkannya ke pelanggan untuk merespon dan rencana tindakan mereka. Kadang-kadang auditor mengirim rekomendasi mereka untuk resolusi bersama dengan masalah, dan kadang-kadang mereka hanya mengirim masalah tanpa rekomendasi. Dengan kata lain, pelanggan seharusnya mengirim kembali tanggapan mereka, yang termasuk dalam laporan audit.
    • Pendekatan solusi
    Pada pendekatan ini auditor mengembangkan solusi yang mewakili rencana aksi yang dikembangkan bersama dan disepakati untuk mengatasi masalah yang diangkat. Ini adalah kombinasi dari dua pendekatan sebelumnya, seperti halnya pendekatan rekomendasi, auditor menyediakan ide untuk resolusi berdasarkan pengetahuan kontrol mereka. Seperti halnya pendekatan manajemen-respons, pelanggan menyediakan ide untuk resolusi berdasarkan pengetahuan operasional reallife mereka. Hasilnya adalah solusi bahwa pelanggan “kepemilikan” dan itu memuaskan bagi auditor.
  5. Pembuatan laporan
    Setelah menemukan masalah di lingkungan yang diaudit, validasikan dengan pelanggan, dan mengembangkan solusi untuk mengatasinya, selanjutnya dapat menyusun laporan audit. Laporan audit merupakan bentuk dokumentasi dari hasil audit. Dalam hal ini ada dua fungsii utama yaitu :
    1. Berfungsi sebagai catatan audit, hasilnya dan rencana aksi yang dihasilkan.
    2. Untuk manajemen senior dan komite audit, berfungsi sebagai “kartu laporan” di area yang diaudit.
    Ada tiga elemen penting dari laporan audit yaitu :
    1. Pernyataan ruang lingkup audit
    2. Ringkasan eksekutif
    3. Daftar masalah, bersama dengan rencana aksi untuk menyelesaikannya
  6. Pelacakan masalah
    Audit tidak benar-benar lengkap sampai masalah yang diangkat dalam audit diselesaikan, baik dengan resolusi yang diinginkan atau dengan diterima oleh tingkat manajemen yang sesuai. Departemen audit harus mengembangkan suatu proses dimana para anggotanya dapat melacak dan menindaklanjuti isu-isu sampai mereka terselesaikan. Ini kemungkinan akan melibatkan pemeliharaan database yang berisi semua poin audit dan tanggal jatuh tempo mereka, bersama dengan mekanisme untuk menandai mereka sebagai tertutup, terlambat, dan seterusnya.Audit berperan penting dalam melakukan dan memimpin audit untukbertanggung jawab dalam menindaklanjuti poin-poin dari audit tersebut dengan pelanggan yang bertanggung jawab sebagai tanggal jatuh tempo untuk setiap titik pendekatan. Auditor tidak boleh menunggu sampai poin jatuh tempo atau lewat jatuh tempo sebelum menghubungi pelanggan, tetapi harus berada dalam kontak regular terkait status masalah. Ini melayani sejumlah tujuan. Pertama, memungkinkan auditor untuk berkonsultasi dengan pelanggan saat keputusan sedang dibuat. Kedua, memungkinkan auditor untuk diberitahu lebih awal jika solusi yang diterapkan tidak sesuai dengan harapan. Dengan cara ini, auditor dapat mencoba untuk mengalihkan kegiatan sebelum hal-hal diselesaikan. Ketiga, jika masalah tidak diselesaikan, itu memungkinkan departemen audit untuk mencoba mengatasi masalah sebelum titik menjadi terlambat. Jika ternyata masalah tidak ditangani seperti yang disetujui, auditor bertanggung jawab untuk memulai prosedur eskalasi bila diperlukan.
Teknik Audit
  1. Auditing Entity-Level Controls
    Auditing Entity-Level Kontrol membahas bagaimana mengaudit kontrol tingkat entitas, yang meresap di seluruh organisasi. Karena kontrol tingkat entitas sangat luas di seluruh organisasi, dan dapat mengauditnya berikut ini pembahasan audit teknologi informasi (TI) area seperti:
    1. Perencanaan strategis dan peta jalan teknologi
    2. Indikator kinerja dan metric
    3. Proses persetujuan dan pemantauan proyek
    4. Kebijakan, standar, dan prosedur
    5. Manajemen karyawan
    6. Pengelolaan aset dan kapasitas
    7. Manajemen perubahan konfigurasi system
  2. Pusat Data Audit dan Pemulihan bencana
    Fasilitas pengolahan teknologi informasi (TI), biasanya disebut sebagai pusat data, merupakan inti dari sebagian besar operasi organisasi modern, yang mendukung hampir semua hal yang kritis aktivitas bisnis. Berikut ini merupakan langkah-langkah untuk mengaudit pusat data kontrol, termasuk bidang berikut:
    1. Keamanan fisik dan pengendalian lingkungan
    2. Operasi pusat data
    3. Sistem dan ketahanan situs
    4. Kesiapsiagaan bencana
  3. Mengaudit Router, Switch, dan Firewall
    Jaringan adalah latar belakang mendasar dari infrastruktur operasi TI , yang memungkinkan data melintang antara pengguna, penyimpanan data, dan pengolahan data. Router, switch, dan firewall bekerja sama untuk memungkinkan transfer data sekaligus melindungi jaringan, data, dan pengguna akhir. Berikut ini membahas bagaimana meninjau potongan-potongan kritis ,infrastruktur sambil membantu untuk melakukannya sebagai berikut :
    1. Mengungkap kompleksitas peralatan jaringan.
    2. Memahami kontrol jaringan kritis.
    3. Tinjau kontrol khusus untuk router, switch, dan firewall.
  4. Mengaudit Windows
    Sistem operasi Sistem operasi Windows telah berkembang dari awal yang sederhana dan berkembang menjadi salah satu sistem operasi paling umum di dunia untuk server dan klien, untuk mencakup komponen dasar dari audit server Windows dan mencakup audit cepat untuk Klien Windows,berikut pembahasan Audit server dan klien windows:
    1. Sejarah singkat pengembangan Windows
    2. Windows essentials: belajar tentang host target
    3. Bagaimana mengaudit server Windows
    4. Bagaimana mengaudit klien Windows
    5. Alat dan sumber daya untuk meningkatkan audit Windows Anda
  5. Mengaudit Unix dan Linux
    Sistem operasi membahas langkah-langkah yang diperlukan untuk mengaudit operasi berbasis Unix dan Linux sistem (juga disebut sebagai sistem nix) dan mencakup hal-hal berikut:
    1. Sejarah Unix dan Linux
    2. Perintah dasar untuk berkeliling di lingkungan * nix
    3. Bagaimana mengaudit sistem Unix dan Linux, dengan fokus pada bidang utama berikut:
      1. Manajemen akun dan kontrol kata sandi
      2. File keamanan dan control
      3. Keamanan dan kontrol jaringan
      4. Audit log
      5. Monitoring keamanan dan kontrol umum
      6. Alat dan sumber daya untuk meningkatkan audit
  6. Mengaudit Web Server dan Aplikasi Web
    Pertumbuhan eksplosif di Internet juga mendorong pertumbuhan eksplosif alat pengembangan, bahasa pemrograman, web browser, database, dan berbeda model client-server. Hasil yang tidak menguntungkan adalah model kompleks yang sering dibutuhkan kontrol tambahan untuk mengamankan model. Berikut ini mencakup minimum mutlak seperangkat kontrol yang harus ditinjau ulang. Bab ini mencakup hal-hal berikut:
    1. Bagaimana mengaudit server web
    2. Bagaimana mengaudit aplikasi web
  7. Mengaudit Database
    Mengaudit Database membahas tentang audit lockbox informasi perusahaan.untukmelakukan audit pada komponen berikut yang mempengaruhi operasional keamanan penyimpanan data:
    1. Perizinan database
    2. Keamanan sistem operasi
    3. Fitur kekuatan dan manajemen kata sandi
    4. Aktivitas pemantauan
    5. Database enkripsi
    6. Database kerentanan, integritas, dan proses patching
  8. Penyimpanan Audit
    Penyimpanan audit dan dimulai dengan ikhtisar penyimpanan umum teknologi. Audit penyimpanan menggabungkan kekhawatiran platform dan datanya. Platform memiliki persyaratan kontrol yang sama seperti yang ditemukan di server. Data memiliki keunikan persyaratan kontrol karena perlunya menjaga kontrol yang sesuai dengan kelas data yang berbeda, dibawah ini mencakup hal-hal berikut:
    1. Ikhtisar teknis singkat tentang penyimpanan
    2. Bagaimana mengaudit lingkungan penyimpanan
    3. Alat dan sumber daya untuk meningkatkan audit penyimpanan Anda
  9. Mengaudit Virtualized Lingkungan
    Inovasi dalam virtualisasi sistem operasi dan perangkat keras server diubah secara permanen jejak, arsitektur, dan operasi pusat data. Mengaudit lingkungan virtualisasi, dan dimulai dengan ikhtisar tentang virtualisasi umum teknologi dan kontrol tombol. Audit virtualisasi menggabungkan kekhawatiran hypervisor dan sistem operasi tamu. Meski fokus adalah hypervisor dan virtualisasi server, bisa menerapkan banyak langkah dan konsep yang sama untuk virtualisasi desktop ,membuat asumsi bahwa komponen sistem ini adalah di bawah kendali , “Mengaudit Komputasi Awan dan Operasi Outsourcing“ untuk panduan bagaimana memastikan virtualisasi dari luar lingkungan dikelola dan diamankan dengan benar. Dibawah ini mencakup hal-hal berikut:
    1. Sekilas singkat teknis virtualisasi
    2. Bagaimana mengaudit lingkungan virtualisasi
    3. Alat dan sumber daya untuk meningkatkan audit virtualisasi Anda
  10. Mengaudit WLAN dan Telepon genggam
    Mengaudit WLAN dan Telepon genggam yaitu dua audit terpisah, yang dimulai dengan jaringan area lokal nirkabel(WLAN) dan kemudian mencakup perangkat seluler yang mendukung data. Audit WLAN meliputi klien, komunikasi, jalur akses, dan faktor operasional yang memungkinkan WLAN aktif, jaringan Audit perangkat mobile data-enabled meliputi Blackberry, iPhone, Droid, dan perangkat data-enabled serupa dan infrastruktur yang mendukungnya. Pengikuttopik yang dibahas adalah:
    1. Latar belakang teknologi WLAN dan perangkat mobile
    2. Masalah audit penting untuk teknologi ini
    3. Langkah dan saran teknis utama mengenai bagaimana mendekati teknologi
    4. Langkah operasional yang diperlukan agar teknologi ini beroperasi secara efisien di jaringan anda
  11. Permohonan Audit
    Setiap aplikasi unik, apakah mendukung fungsi keuangan atau operasional, dan oleh karena itu masing-masing memiliki seperangkat persyaratan kontrol tersendiri. Tidak mungkin dokumen persyaratan kontrol spesifik yang akan berlaku untuk setiap aplikasi. Namun, akan menjelaskan beberapa pedoman pengendalian umum yang seharusnya berkenaan dengan aplikasi apapun terlepas dari fungsinya, bahasa pemrogramannya, dan platform teknologi. Topik-topik berikut dibahas dalam bab ini:
    1. Komponen penting dari audit aplikasi
    2. Bagaimana menelusuri kemungkinan masalah dengan kerangka kerja dan konsep kunci
    3. Langkah terperinci untuk mengaudit aplikasi, termasuk yang berikut ini:
      • Kontrol input
      • Kontrol antarmuka
      • Jejak audit
      • Kontrol akses
      • Kontrol perubahan perangkat lunak
      • Backup dan pemulihan
      • Retensi data dan klasifikasi dan keterlibatan pengguna
  12. Mengaudit Komputasi Awan dan Outsource Operasi
    Mengaudit Komputasi Awan dan Outsource Operasi adalah kunci yang harus dicari saat mengaudit TI operasi yang telah dialihkan ke perusahaan eksternal, termasuk yang berikut ini:
    1. Definisi komputasi awan dan bentuk lain dari outsourcing TI
    2. SAS 70 melaporkan
    3. Kontrol seleksi vendor
    4. Item untuk disertakan dalam kontrak vendor
    5. Persyaratan keamanan data
    6. Masalah operasional
    7. Masalah hukum dan kepatuhan peraturan
  13. Proyek Perusahaan Audit
    Proyek Perusahaan Audit adalah kontrol kunci yang harus dicari saat mengaudit proses yang digunakan untuk mengelola proyek perusahaan, termasuk memahami hal-hal berikut yang berkaitan dengan manajemen proyek audit teknologi informasi:
    1. Kunci keberhasilan manajemen proyek
    2. Kebutuhan pengumpulan dan desain awal
    3. Desain dan pengembangan system
    4. Pengujian
    5. Implementasi
    6. Pelatihan
    7. Membungkus proyek
Regulasi Audit
Dengan dominannya  penggunaan komputer dalam membantu kegiatan operasional diberbagai perusahaan, maka diperlukan standar-standar kontrol sebagai alat pengendali internal untuk menjamin bahwa data elektronik yang diproses adalah benar. Beberapa jenis standar kontrol yaitu:
  1. COSO (Comitte Of Sponsoring Organizationof the treadway commission’s)
Yaitu dibentuk pada tahun 1985 dengan tujuan untuk menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud (penggelapan).Tahun 1992, COSO menyusun dan Menerbitkan Internal Control Integrated Framework yang berisi rumusan definisi pengendalian intern, pedoman penilaian, serta perbaikan terhadap sistem pengendalian intern.Tahun 2004, COSO mengembangkan Internal Control Integrated Framework dengan menambah cakupan tentang manajemen  dan strategi resiko yang disebut ERM (Enterprise Risk Manajement).
Pencapaian tujuan pengendalian intern yang didefenisikan COSO:
  • Efektifitas dan efisiensi aktivitas operasi
  • Kehandalan pelaporan keuangan
  • Ketaatan terhadap hukum dan peraturan yang berlaku
  • Pengamanan aset entitas.
  1. COBIT (Control Objectives for Information and Related Technology)
Yaitu alat pengendalian untuk informasi dan tekhnology terkait dan merupakan standar terbuka yang dikembangkan oleh ISACA melalui ITGI (Information and Technology Governance Institute)pada tahun 1992. Tujuan dari COBIT yaitu untuk mengembangkan , melakukan riset dan mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu up to date untuk digunakan dalam kegiatan bisnis sehari-hari.
  1. SARBOX (Sarbanes-Oxley Act)
Yaitu merupakan peraturan yang ditandatangani Presiden George W.Bush tanggal 30 juli 2012 untuk mereformasi dunia pasarmodal Amerika Serikat. Tujuan SARBOX yaitu:
  • Meningkatkan akuntabilitas manajemen dengan memastikan bahwa manajemen akuntan dan pengacara memiliki tanggung jawab atas informasi keuangan yang menjadi tanggung jawab mereka.
  • Meningkatkan pengungkapan dengan berusaha untuk menyatakan bahwa beberapa kejadian kunci dan transaksi luar biasa tidak mendapatkan pengawasan hanya karena tidak disyaratkan untuk diungkap di publik.
  • Meningkatkan pengawasan rutin yang lebih intensif oleh SEC.
  • Meningkatkan akuntabilitas akuntan.
  1. ISO 17799
Yaitu standar untuk sistem manajemen keamanan informasi meliputi dokomen kebijakan keamanan informasi, alokasi keamanan informasi tanggung-jawab,menyediakan semua para pemakai dengan pendidikan dan pelatihan didalam keamanan informasi, mengembangkan suatu sistem untuk pelaporan peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengendalikan pengkopian perangkat lunak kepemilikan, surat pengantar arsip organisatoris, mengikuti kebutuhan perlindungan data, dan menetapkan prosedure untuk mentaati kebijakan keamanan.
  1. BASEL II
BASEL II dibentuk yaitu sebagai penerapan kerangka pengukuran bagi risiko kredit, sistem ini mensyaratkan Bank-bank  untuk memisahkan eksposurnya ke dalam kelas yang lebih luas, yang menggambarkan kesamaan tipe debitur (hutang).
Standar dan Kerangka Kerja Audit
    1. Kerangka untuk Audit Keamanan Komputer
      1. Jenis-jenis Kesalahan dan Penipuan:
        • Pencurian atau kerusakan yang tidak disengaja atas hardware dan file
        • Kehilangan, pencurian, atau akses tidak sah ke program, file data, dan sumber daya sistem lainnya
        • Modifikasi atau penggunaan secara tidak sah program dan file data
      2. Jenis-jenis Prosedur Pengendalian :
        • Rencana keamanan/perlindungan informasi
        • Pembatasan atas akses secara fisik ke perlengkapan komputer
        • Pengendalian penyimpanan dan pengiriman data seperti enkripsi
        • Prosedur perlindungan dari virus
        • Menggunakan firewall
        • Rencana pemulihan dari bencana
        • Pemeliharaan pencegahan
        • Asuransi sistem informasi
      3. Prosedur Audit: Tinjauan atas Sistem
        • Menginspeksi lokasi komputer
        • Wawancara dengan personil sistem informasi mengenai prosedur keamanan
        • Meninjau kebijakan dan prosedur
        • Memeriksa kebijakan asuransi apabila terjadi bencana atas sistem informasi
        • Memeriksa daftar akses sistem
        • Memeriksa rencana pemulihan dari bencana
      4. Prosedur Audit: Uji Pengendalian
        • Mengamati prosedur akses ke lokasi komputer
        • Memverifikasi bahwa terdapat pengendalian dan pengendalian tersebut berfungsi seperti dengan yang diharapkan
        • Menginvestigasi berbagai kesalahan atau masalah untuk memastikan mereka ditangani dengan benar
        • Memeriksa berbagai uji yang sebelumnya telah dilaksanakan
      5. Pengendalian Pengimbang:
        • Kebijakan yang baik dalam hal personalia
        • Penggunaan pengendalian secara efektif
        • Pemisahan pekerjaan yang tidak boleh disatukan
    2. Kerangka untuk Audit Pengembangan Program
      1. Jenis-jenis Kesalahan dan Penipuan:
        • Kesalahan pemrograman yang tidak disengaja
        • Kode program yang tidak sah
      2. Jenis-jenis Prosedur Pengendalian :
        • Otorisasi manajemen atas pengembangan program dan persetujuannya untuk spesifikasi pemrograman
        • Persetujuan pemakai atas spesifikasi pemrograman
        • Pengujian keseluruhan atas program yang baru
        • Pengujian penerimaan oleh pemakai
        • Dokumentasi sistem yang lengkap
      3. Prosedur Audit : Tinjauan atas sistem :
        • Tinjauan independen dan bersaman atas proses pengembangan sistem
        • Tinjauan prosedur dan kebijakan pengembangan/perolehan sistem
        • Tinjauan otorisasi sistem dan prosedur persetujuannya
        • Tinjauan atas standar evaluasi pemrograman
        • Tinjauan atas standar dokumentasi program
        • Tinjauan atas pengujian program dan prosedur persetujuan pengujian
      4. Prosedur Audit : Uji Pengendalian
        • Wawancara dengan pemakai mengenai keterlibatan mereka dalam perolehan/pengembangan serta implementasi sistem
        • Tinjauan atas notulen rapat tim pengembangan untuk mendapat bukti keterlibatan
        • Tinjauan atas notulen rapat tim pengembangan untuk mendapat bukti keterlibatan
        • Tinjauan atas spesifikasi pengujian, data uji, dan hasil pengujian sistem
      5. Pengendalian Pengimbang:
        • Pengendalian pemrosesan yang kokoh (kuat)
        • Pemrosesan secara independen data uji oleh auditor
Manajemen Resiko
Beberapa tahun yang lalu, firewall dan perangkat lunak antivirus adalah sebagian besar organisasi digunakan untuk mengurangi risiko TI. Namun, dalam beberapa tahun terakhir, lanskap ancaman telah berubah sangat. Saat ini, ancaman orang dalam lebih terasa, ribuan variannya malware didistribusikan, dan pemerintah telah memberlakukan undang-undang yang mewajibkan implementasi berbagai kontrol. Akibatnya, proses manajemen risiko formal sekarang harus menjadi bagian dari setiap program audit TI.
  1. Tipe-tipe resiko terdiri dari:
    • Resiko pengembangan
    • Resiko Kesalahan
    • Resiko Terhentinya Bisnis
    • Resiko Pengungkapan Informasi
    • Resiko Penggelapan
  2. Proses penilaian resiko dapat dilakukan melalui tahap-tahap berikut ini:
    • Identifikasi objek (asset) yang akan dilindungi
    • Penentuan ancaman yang dihadapi
    • Menetapkan peluang kejadian
    • Menghitung besarnya dampak dan kelemahan sistem
    • Menilai alat-alat pengamanan yang ada
    • Rekomendasi dan impementasi
  3. Manfaat Manajemen Risiko
    Potensi pengelolaan risiko TI masih dirahasiakan. Beberapa tahun, banyak organisasi telah meningkatkan efektivitas pengendalian TI mereka atau mengurangi biaya mereka dengan menggunakan analisis risiko dan praktik manajemen risiko yang baik. Ketika manajemen memiliki pandangan perwakilan tentang eksposur TI organisasi, ia dapat melakukannya mengarahkan sumber daya yang tepat untuk mengurangi area risiko tertinggi daripada pengeluaran sumber daya langka di daerah yang memberikan sedikit atau tidak ada pengembalian investasi (ROI). Jaring Hasilnya adalah tingkat pengurangan risiko yang lebih tinggi untuk setiap dolar yang dikeluarkan.
  4. Manajemen Risiko dari Perspektif Eksekutif
    Bisnis adalah semua tentang risiko dan penghargaan. Eksekutif diharuskan menimbang manfaat investasi dengan risiko yang terkait dengannya. Akibatnya, sebagian besar telah menjadi cukup mahir mengukur risiko melalui analisis ROI, indikator kinerja utama, dan segudang alat analisis keuangan dan operasional lainnya. Sukses dalam mengelola. Risiko TI organisasi, Anda harus memahami bahwa eksekutif melihat risiko finansial istilah. Akibatnya, semacam analisis keuangan biasanya diperlukan untuk berbisnis kasus untuk investasi di kontrol tambahan.
  5. Mengatasi Resiko
    Resiko dapat diatasi dengan tiga cara: menerimanya, mengurangi, atau mentransfernya. Yang sepantasnya metode sepenuhnya tergantung pada nilai finansial dari risiko versus investasi diperlukan untuk menguranginya ke tingkat yang dapat diterima atau mentransfernya ke pihak ketiga. Sebagai tambahannya Kontrol preskriptif, peraturan seperti HIPAA / HITECH dan PCI mengharuskan organisasi tersebut menilai risiko terhadap informasi yang dilindungi dan menerapkan pengendalian yang wajar mengurangi risiko ke tingkat yang dapat diterima.
  6. Penerimaan Risiko
    Nilai finansial suatu risiko seringkali lebih kecil daripada biaya mitigasi atau transfer. Dalam hal ini, pilihan yang paling masuk akal adalah menerima risiko. Namun, jika organisasi memilih untuk menerima risiko, itu harus menunjukkan bahwa risiko memang dinilai dan mendokumentasikan alasan di balik keputusan tersebut.
  7. Transfer Resiko
    Industri asuransi didasarkan pada transferensi risiko. Organisasi sering membeli asuransi untuk menutupi biaya pelanggaran keamanan atau bencana sistem outage. Ini penting untuk perhatikan bahwa perusahaan asuransi yang menawarkan jenis kebijakan ini sering mewajibkan kebijakan tersebut pemegang menerapkan kontrol tertentu. Gagal mematuhi persyaratan control dapat membatalkan kebijakan Bila pengelolaan sistem TI dialihkan ke pihak ketiga, tingkat tertentu risiko dapat ditransfer secara kontrak ke pihak ketiga juga. Dalam kasus ini, itu adalah tanggung jawab organisasi meng-outsource sistemnya untuk memverifikasi bahwa risiko TI berkurang ke tingkat yang dapat diterima dan bahwa perusahaan yang mengelola sistemnya memiliki keuangan Kekuatan untuk menutupi kerugian harus terjadi.

Komentar

Posting Komentar