TUGAS 1
AUDIT TEKNOLOGI SISTEM INFORMASI
KELOMPOK :
Dheayu
Rahma Hadtzanty (11115812)
Hidayah
Chairunnisa (13115157)
Ida
Ayu Prima Utami A.W (13115224)
Novaldy
Reza (17115628)
KELAS 4KA08
JURUSAN SISTEM INFORMASI
FAKULTAS ILMU KOMPUTER
DAN TEKNOLOGI INFORMASI
UNIVERSITAS GUNADARMA 2017/ 2018
1.
Konsep Audit
Penerapan audit
teknologi informasi dibentuk pada pertengahan 1960-an dan sejak saat ini
mengalami perkembangan teknologi yang sangat pesat, sehingga telah berubah
spesifikasinya. Audit teknologi selalu mengacu pada pemeriksaan kontrol dalam
infrastruktur teknologi informasi. Praktek Audit menjamin kelangsungan bisnis
dengan mengidentifikasi integritas data organisasi, operasi efektivitas dan
tindakan perlindungan untuk melindungi aset teknologi informasi. Menurut
Asosiasi akuntansi Amerika, Auditing adalah sebuah proses sistematis untuk secara obyektif mendapatkan dan mengevaluasi
bukti mengenai pernyataan perihal tindakan dan transaksi bernilai ekonomi,
untuk memastikan tingkat kesesuaian antara pernyataan tersebut dengan kriteria
yang telah ditetapkan, serta mengkomunikasikan hasil-hasilnya pada para pemakai
yang berkepentingan. Sedangkan menurut Ron Weber, Information System Control
& Audit – 1999, audit sistem informasi adalah proses pengumpulan dan
evaluasi bukti sehingga dapat menentukan apakah perlindungan sistem komputer
aset, integritas data mempertahankan, memungkinkan tujuan organisasi yang akan
dicapai secara efektif, dan menggunakan sumber daya secara efisien. Terkadang
pengauditan sistem informasi memiliki tujuan lain yang pasti bahwa suatu
organisasi mematuhi beberapa peraturan.
Audit dan kontrol
teknologi informasi merupakan peran yang penting karena dalam suatu perusahaan
membutuhkan acuan, parameter dan kontrol untuk memastikan semua sumber daya
perusahaan menuju pada pencapaian tujuan organisasi secara terintegratif dan
komprehensif. Audit teknologi informasi dan kontrol menjelaskan sebuah proses
untuk mereview dan memposisikan teknologi informasi sebagai instrument penting
dalam pencapaian usaha bisnis korporasi dengan melakukan proses sistematik,
terencana, dan menggunakan keahlian IT untuk mengetahui tingkat kepatuhan,
kinerja, nilai, dan resiko dari implementasi teknologi. Kemampuan mengetahui
pengetahuan dan skill pada IT Audit dan control selain juga menunjukkan jenjang
professional tertentu dalam professional, juga membuat seseorang akan
menganalisa, merancang, membangun, mengimplementasikan, memonitor dan melakukan
pengembangan berkelanjutan, tidak sekedar beroperasi tetapi juga mengikuti
kaidah industri dan standar internasional.
Sebagian besar
departemen audit dibentuk oleh komite audit perusahaan untuk memberikan komite
dengan jaminan independen bahwa pengendalian internal sudah berjalan dan
berfungsi secara efektif. Dengan kata lain, komite audit menginginkan kelompok
obyektif yang akan menceritakan apa yang benar terjadi adanya di perusahaan.
Untuk mengungkapkan semua penjahat yang menolak untuk menerapkan kontrol
internal maka diperlukan seseorang yang dapat dipercaya. Departemen audit
internal biasanya melapor langsung kepada ketua komite audit, sehingga mereka
merasa terlindung dari dampak yang dapat dihasilkan oleh manajer yang tidak
jujur dalam perusahaan. Sebagian besar departemen audit perusahaan juga
melaporkan kepada eksekutif di dalam perusahaan, seperti chief executive
officer (CEO) atau chief financial officer (CFO).
Secara umum Audit IT
adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi
informasi dimana berhubungan dengan masalah audit finansial dan audit internal.
Audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data
Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang
berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk
menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal
dalam EDP. Jenis aktivitas ini disebut sebagai auditing melalui komputer.
Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh
auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan
secara manual. Jenis aktivitas ini disebut audit dengan komputer.
Secara umum dikenal
tiga jenis audit, yaitu audit keuangan, audit operasional dan audit sistem
informasi (Teknologi Informasi). Audit TI merupakan proses pengumpulan dan
evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan
telah dapat melindungi aset milik organisasi, mampu menjaga integritas data,
dapat membantu pencapain tujuan organisasi secara efektif, serta menggunakan
sumber daya yang dimiliki secara efisien. Ada beberapa aspek yang diperiksa
pada audit sistem teknologi informasi: Audit secara keseluruhan menyangkut
efektifitas, efisiensi, availability system, reliability, confidentialy, dan
integrity, serta aspek security. Selanjutnya adalah audit atas proses,
modifikasi program, audit atas sumber data, dan data file. Audit TI sendiri
merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit,
Manajemen Sistem Informasi, Sistem Informasi Akuntasi, Ilmu Komputer, dan
Behavioral Science.
Konsep Audit &
Kontrol Sistem Informasi terdiri sebagai berikut :
a.
Pengamanan aset yang
ditingkatkan, yaitu : Perangkat keras, Perangkat lunak, Fasilitas, Orang-orang,
Data, Dokumentasi Sistem, Persediaan
b.
Peningkatan
integritas data, yaitu : Kelengkapan, Kesehatan, Kemurnian, Kebenaran
c.
Peningkatan
efektivitas sistem
d.
Peningkatan efisiensi
sistem, yaitu : Waktu Mesin, Periferal, Perangkat Lunak Sistem, Tenaga kerja
Misi sebenarnya dari
departemen audit internal adalah untuk membantu meningkatkan keadaan
pengendalian internal di perusahaan. Diakui, ini dicapai dengan melakukan audit
dan melaporkan hasil, tetapi tindakan-tindakan ini tidak memberikan nilai dalam
dan dari diri mereka sendiri. Mereka memberikan nilai hanya ketika masalah
kontrol internal diselesaikan.
Misi departemen audit
internal ada dua:
a.
Untuk memberikan
jaminan independen kepada komite audit (dan manajemen senior) bahwa
pengendalian internal ada di perusahaan dan berfungsi secara efektif.
b.
Untuk meningkatkan
keadaan pengendalian internal di perusahaan dengan mempromosikan kontrol
internal dan dengan membantu perusahaan mengidentifikasi kelemahan kontrol dan
mengembangkan solusi yang hemat biaya untuk mengatasi kelemahan tersebut.
Jenis Kontrol Internal
Kontrol dapat
bersifat preventif, detektif, atau reaktif, dan mereka dapat memiliki penerapan
administratif, teknis, dan fisik. Contoh penerapan administratif termasuk item
seperti kebijakan dan proses. Implementasi teknis adalah alat dan perangkat
lunak yang secara logis menegakkan kontrol (seperti kata sandi).
a.
Kontrol Preventif
Kontrol pencegahan
menghentikan peristiwa buruk terjadi. Misalnya, membutuhkan ID pengguna dan
kata sandi untuk akses ke sistem adalah kontrol pencegahan. Ini mencegah
(secara teoritis) orang yang tidak sah mengakses sistem. Dari sudut pandang
teoritis, kontrol pencegahan selalu disukai, karena alasan yang jelas. Namun,
ketika melakukan audit, ingat bahwa kontrol pencegahan tidak selalu merupakan
solusi yang paling hemat biaya, dan jenis kontrol lain mungkin lebih masuk akal
dari sudut pandang biaya / manfaat.
b.
Kontrol Detektif
Kontrol detektif
merekam peristiwa buruk setelah itu terjadi. Misalnya, mencatat semua aktivitas
yang dilakukan pada sistem akan memungkinkan meninjau log untuk mencari
aktivitas yang tidak pantas setelah kejadian.
c.
Kontrol Reaktif
(Kontrol Koreksi)
Kontrol reaktif
berada di antara kontrol pencegahan dan detektif. Mereka tidak mencegah
peristiwa buruk terjadi, tetapi mereka menyediakan cara sistematis untuk mendeteksi
kapan peristiwa buruk itu terjadi dan memperbaiki situasi, itulah sebabnya
mengapa mereka kadang-kadang disebut kontrol korektif. Misalnya, Anda mungkin
memiliki sistem antivirus pusat yang mendeteksi apakah setiap PC pengguna
memiliki file tanda tangan terbaru yang dipasang. Idealnya, Anda dapat melarang
akses jaringan ke mesin apa pun yang tidak sesuai. Namun, ini mungkin tidak
praktis dari sudut pandang bisnis. Oleh karena itu, alternatifnya mungkin untuk
membuat PC yang tidak sesuai dan melakukan beberapa aktivitas tindak lanjut
yang teratur untuk mendapatkan PC sesuai atau menghapus kemampuannya untuk
mengakses jaringan.
Contoh Kontrol
Internal:
Kontrol Internal
dapat diterapkan saat sedang meninjau sistem piutang akun perusahaan. Sistem
itu ada untuk tujuan memastikan bahwa dapat melacak siapa yang berutang uang
perusahaan Anda sehingga Anda dapat merengek deadbeats yang tidak membayar
Anda, dan sehingga Anda mencatat pembayaran dengan benar dari mereka yang
melakukannya. Auditor keuangan akan khawatir tentang risiko dalam proses
piutang itu sendiri, tetapi auditor TI perlu memikirkan risiko untuk sistem
mencapai tujuan bisnisnya. Berikut ini adalah beberapa contoh dasar yang
dimaksudkan untuk menggambarkan konsep pengendalian internal. Auditor harus
memahami tujuan bisnis dari apa yang di audit, memikirkan risiko untuk tujuan
yang sedang dicapai, dan kemudian mengidentifikasi kontrol internal yang ada
yang mengurangi risiko tersebut.
2.
Proses Audit
Konsep paling dasar
dari audit: kontrol internal. Konsep pengendalian internal sangat penting bagi
profesi audit. Misi sebenarnya dari departemen audit internal adalah membantu
meningkatkan keadaan kontrol internal di perusahaan. Kontrol internal,
dinyatakan dalam istilah yang paling sederhana, adalah mekanisme yang
memastikan berfungsinya proses dalam perusahaan. Setiap sistem dan proses dalam
perusahaan ada untuk beberapa tujuan bisnis tertentu. Auditor harus mencari
adanya risiko untuk tujuan-tujuan tersebut dan kemudian memastikan bahwa
pengendalian internal diterapkan untuk mengurangi risiko-risiko tersebut.
Tahapan Audit :
1.
Perencanaan
Menentukan apa yang di rencanakan untuk
ditinjau. Jika proses perencanaan dilaksanakan secara efektif, itu akan
membentuk tim audit untuk sukses. Sebaliknya, jika dilakukan dengan buruk dan
pekerjaan dimulai tanpa rencana dan tanpa arah yang jelas, upaya tim audit
dapat mengakibatkan kegagalan. Tujuan dari proses perencanaan adalah untuk
menentukan tujuan dan ruang lingkup audit. Audit perlu menentukan apa yang ingin
dicapai dengan peninjauan. Sebagai bagian dari proses ini, harus mengembangkan
serangkaian langkah yang akan dilaksanakan untuk mencapai tujuan audit. Proses
perencanaan ini akan membutuhkan penelitian, pemikiran, dan pertimbangan yang
cermat untuk setiap audit. Berikut adalah beberapa sumber dasar yang harus
dirujuk sebagai bagian dari setiap proses perencanaan audit:
• Hand off dari
manajer audit
• Survei pendahuluan
• Permintaan
pelanggan
• Daftar periksa
standar
• Penelitian
2.
Kerja lapangan dan dokumentasi
Sebagian besar audit terjadi selama fase ini,
ketika langkah-langkah audit yang dibuat selama tahap sebelumnya dilaksanakan
oleh tim audit. Sekarang, tim memperoleh data dan melakukan wawancara yang akan
membantu anggota tim untuk menganalisa potensi risiko dan menentukan risiko
mana yang belum dimitigasi dengan tepat.
Jika memungkinkan, auditor harus mencari cara
untuk memvalidasi secara independen informasi yang diberikan dan keefektifan
dari lingkungan pengendalian. Meskipun ini tidak selalu mungkin, auditor harus
selalu memikirkan cara-cara kreatif untuk menguji sesuatu. Misalnya, jika
pelanggan audit menggambarkan proses untuk menyetujui permintaan akun pengguna
baru, auditor harus berusaha menarik sampel pengguna yang baru saja ditambahkan
untuk melihat apakah mereka memang menerima persetujuan yang tepat. Ini akan
memberikan bukti yang jauh lebih meyakinkan bahwa proses sedang diikuti
daripada wawancara.
Dokumentasi juga merupakan bagian penting dari
kerja lapangan. Auditor harus melakukan pekerjaan yang cukup untuk
mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat dibuktikan.
Tujuannya adalah mendokumentasikan pekerjaan itu secara cukup rinci sehingga
orang yang berpengetahuan cukup dapat memahami apa yang telah dilakukan dan sampai
pada kesimpulan yang sama seperti auditor. Auditor pada dasarnya harus
menceritakan sebuah kisah: “Inilah yang saya lakukan. Inilah yang saya temukan.
Inilah kesimpulan saya. Inilah alasan mengapa saya mencapai kesimpulan itu.
”Jika suatu proses ditinjau, prosesnya harus dijelaskan, dan poin kontrol utama
dalam proses itu harus disorot. Jika suatu sistem atau teknologi ditinjau
ulang, pengaturan khusus dan data yang ditinjau harus diuraikan (bersama dengan
bagaimana informasi itu diperoleh) dan ditafsirkan.
Proses dokumentasi mungkin tampak membosankan,
tetapi ini penting. Pertama, diperlukan untuk memenuhi standar profesi. Kedua,
adalah mungkin bahwa di masa depan temuan audit dapat dipertanyakan atau
ditantang, dan auditor yang melakukan pekerjaan tersebut mungkin tidak lagi
dipekerjakan oleh perusahaan atau departemen pada saat itu (atau mungkin baru
saja melupakan detail dari audit). Akan sangat penting bahwa dokumentasi ada
untuk menjelaskan dan proses audit dan memperkuat kesimpulan. Ketiga, jika audit
dilakukan lagi suatu hari nanti, mempertahankan dokumentasi rinci akan
memungkinkan tim audit berikutnya untuk belajar dari pengalaman tim audit
sebelumnya, sehingga memungkinkan untuk perbaikan dan efisiensi yang
berkelanjutan.
Satu catatan akhir tentang kerja lapangan:
Selama tahap perencanaan, maka akan mengembangkan daftar periksa mengenai apa
yang di rencanakan untuk tinjau selama audit. Pastikan daftar periksa tersebut
tidak menyebabkan anggota tim audit mematikan penilaian yang baik. Tim perlu tetap
fleksibel selama audit dan bersiap untuk mengeksplorasi jalan yang tidak
dipertimbangkan selama fase perencanaan. Anggota tim selalu perlu mengingat
keseluruhan tujuan audit dan bukan hanya menjadi robot mengikuti skrip kaleng.
Juga penting bahwa setiap anggota tim memahami tujuan di balik langkah-langkah
audit yang ditetapkan. Langkah-langkah ini harus berfungsi sebagai pedoman
untuk mencapai tujuan, dan setiap auditor harus tetap kreatif dalam bagaimana
langkah tersebut dilakukan. Jika langkah ini dilakukan, tetapi tidak
benar-benar mengatasi risiko yang sedang diselidiki, auditor telah gagal.
3.
Penemuan dan validasi
masalah
Saat melaksanakan kerja lapangan, auditor akan
mengembangkan daftar masalah potensial. Ini jelas merupakan salah satu fase
penting dari audit, dan auditor harus berhati-hati untuk memperdalam daftar
masalah potensial untuk memastikan bahwa semua masalah valid dan relevan. Dalam
semangat kolaborasi, auditor harus mendiskusikan potensi masalah dengan
pelanggan sesegera mungkin. Tidak ada yang menikmati menunggu auditor untuk
menyelesaikan audit dan kemudian harus menanggung daftar masalah laundry. Tidak
hanya ini tidak menyenangkan bagi pelanggan, tetapi juga bisa tidak
menyenangkan bagi Anda, karena mungkin menemukan bahwa tidak semua informasi
akurat dan tidak semua masalah valid. Daripada membuat kasus federal dari
setiap masalah potensial, maka ditekankan mengambil pendekatan lebih informal
dengan cara menemukan sesuatu yang menarik dan dapat di diskusikan sehingga
dapat memastikan terdapat fakta yang benar dan memahami resiko dengan benar.
Sehingga auditor dapat bekerjasama dengan pelanggan dalam memvalidasi masalah
dan mendorong pelanggan untuk mengambil kepemilikan masalah.
Selain memvalidasi bahwa memiliki fakta-fakta
sendiri secara langsung, Anda perlu memvalidasi bahwa risiko yang disajikan
oleh masalah tersebut cukup signifikan untuk dilaporkan dan ditangani dengan
layak. Jangan mengajukan masalah demi mengangkat masalah. Sebaliknya, isu yang
diangkat harus memberikan risiko signifikan bagi perusahaan. Pertimbangkan
untuk mengurangi kontrol, dan pahami seluruh gambar sebelum menentukan apakah
Anda memiliki masalah yang layak dilaporkan.
Kecuali dalam bisnis yang sangat diatur, ambil
pendekatan yang sama dengan kepatuhan pada kebijakan internal. Meskipun jelas
penting bagi auditor TI untuk meninjau sistem agar sesuai dengan kebijakan
keamanan TI internal perusahaan, pendekatannya tetap harus berbasis risiko. Ada
kalanya suatu sistem secara teknis melanggar kebijakan, tetapi pelanggaran itu
tidak merepresentasikan risiko nyata baik untuk mengurangi kontrol atau sifat
dari sistem tertentu. Dalam kasus seperti itu, apa nilai dari mengangkat
masalah? Demikian juga, dalam banyak kasus, auditor harus menyampaikan
kekhawatiran yang tidak ada hubungannya dengan kebijakan tetapi malah
melibatkan risiko terhadap lingkungan spesifik yang sedang ditinjau. Jangan
biarkan tim audit Anda menjadi tim kepatuhan kebijakan. Sebagai gantinya, Anda
harus mempertimbangkan kebijakan serta semua faktor relevan lainnya dalam
mengevaluasi risiko nyata terhadap lingkungan yang sedang ditinjau.
4.
Pengembangan solusi
Setelah mengidentifikasi potensi masalah di area
yang Anda audit dan telah memvalidasi fakta dan risiko, Anda dapat bekerja
dengan pelanggan untuk mengembangkan rencana tindakan untuk mengatasi setiap
masalah. Jelas, hanya mengangkat isu-isu yang dilakukan perusahaan tidak ada
gunanya kecuali masalah-masalah itu benar-benar diatasi. Tiga pendekatan umum
digunakan untuk mengembangkan dan menugaskan item tindakan untuk mengatasi
masalah audit:
·
Pendekatan
rekomendasi
Pada pendekatan ini auditor mengangkat masalah
dan memberikan rekomendasi untuk mengatasinya. Mereka kemudian bertanya kepada
pelanggan apakah mereka setuju dengan rekomendasi tersebut dan, jika ya, kapan
mereka akan menyelesaikannya.
·
Pendekatan manajemen
respons
Pada pendekatan ini auditor mengembangkan daftar
masalah dan kemudian melemparkannya ke pelanggan untuk merespon dan rencana
tindakan mereka. Kadang-kadang auditor mengirim rekomendasi mereka untuk
resolusi bersama dengan masalah, dan kadang-kadang mereka hanya mengirim
masalah tanpa rekomendasi. Dengan kata lain, pelanggan seharusnya mengirim
kembali tanggapan mereka, yang termasuk dalam laporan audit.
·
Pendekatan solusi
Pada pendekatan ini auditor mengembangkan
solusi yang mewakili rencana aksi yang dikembangkan bersama dan disepakati
untuk mengatasi masalah yang diangkat. Ini adalah kombinasi dari dua pendekatan
sebelumnya, seperti halnya pendekatan rekomendasi, auditor menyediakan ide
untuk resolusi berdasarkan pengetahuan kontrol mereka. Seperti halnya
pendekatan manajemen-respons, pelanggan menyediakan ide untuk resolusi
berdasarkan pengetahuan operasional reallife mereka. Hasilnya adalah solusi
bahwa pelanggan "kepemilikan" dan itu memuaskan bagi auditor.
5.
Laporan draf dan
penerbitan
Setelah menemukan masalah di lingkungan yang
diaudit, validasikan dengan pelanggan, dan mengembangkan solusi untuk
mengatasinya, selanjutnya dapat menyusun laporan audit. Laporan audit merupakan
bentuk dokumentasi dari hasil audit. Dalam hal ini ada dua fungsii utama yaitu
:
·
Berfungsi sebagai
catatan audit, hasilnya dan rencana aksi yang dihasilkan.
·
Untuk manajemen
senior dan komite audit, berfungsi sebagai "kartu laporan" di area
yang diaudit.
Ada tiga elemen penting dari laporan audit yaitu :
·
Pernyataan ruang
lingkup audit
·
Ringkasan eksekutif
·
Daftar masalah,
bersama dengan rencana aksi untuk menyelesaikannya
6.
Pelacakan masalah
Audit
tidak benar-benar lengkap sampai masalah yang diangkat dalam audit diselesaikan,
baik dengan resolusi yang diinginkan atau dengan diterima oleh tingkat
manajemen yang sesuai. Departemen audit harus mengembangkan suatu proses di
mana para anggotanya dapat melacak dan menindaklanjuti isu-isu sampai mereka
terselesaikan. Ini kemungkinan akan melibatkan pemeliharaan database yang
berisi semua poin audit dan tanggal jatuh tempo mereka, bersama dengan
mekanisme untuk menandai mereka sebagai tertutup, terlambat, dan seterusnya.
Audit
berperan penting dalam melakukan dan memimpin audit untuk bertanggung jawab
dalam menindaklanjuti poin-poin dari audit tersebut dengan pelanggan yang
bertanggung jawab sebagai tanggal jatuh tempo untuk setiap titik pendekatan.
Auditor tidak boleh menunggu sampai poin jatuh tempo atau lewat jatuh tempo
sebelum menghubungi pelanggan, tetapi harus berada dalam kontak reguler terkait
status masalah. Ini melayani sejumlah tujuan. Pertama, memungkinkan auditor
untuk berkonsultasi dengan pelanggan saat keputusan sedang dibuat. Kedua,
memungkinkan auditor untuk diberitahu lebih awal jika solusi yang diterapkan
tidak sesuai dengan harapan. Dengan cara ini, auditor dapat mencoba untuk
mengalihkan kegiatan sebelum hal-hal diselesaikan. Ketiga, jika masalah tidak
diselesaikan, itu memungkinkan departemen audit untuk mencoba mengatasi masalah
sebelum titik menjadi terlambat. Jika ternyata masalah tidak ditangani seperti
yang disetujui, auditor bertanggung jawab untuk memulai prosedur eskalasi bila
diperlukan.
3.
Teknik
Audit
1.
Auditing
Entity-Level Kontrol
Auditing Entity-Level Kontrol membahas
bagaimana mengaudit kontrol tingkat entitas, yang meresap di seluruh
organisasi. Karena kontrol tingkat entitas sangat luas di seluruh organisasi,
dan dapat mengauditnya berikut ini pembahasan audit teknologi informasi (TI)
area seperti:
a.
Perencanaan
strategis dan peta jalan teknologi
b.
Indikator
kinerja dan metric
c.
Proses
persetujuan dan pemantauan proyek
d.
Kebijakan,
standar, dan prosedur
e.
Manajemen
karyawan
f.
Pengelolaan
aset dan kapasitas
g.
Manajemen
perubahan konfigurasi system
2.
Pusat
Data Audit dan Pemulihan bencana
Fasilitas pengolahan teknologi
informasi (TI), biasanya disebut sebagai pusat data, merupakan inti dari
sebagian besar operasi organisasi modern, yang mendukung hampir semua hal yang
kritis aktivitas bisnis.
Berikut ini merupakan langkah-langkah untuk mengaudit pusat data kontrol,
termasuk bidang berikut:
a.
Keamanan
fisik dan pengendalian lingkungan
Pusat
data menggabungkan beberapa jenis kontrol berbasis fasilitas, yang biasa
disebut sebagai
keamanan fisik dan kontrol lingkungan, termasuk sistem kontrol akses fasilitas, sistem
alarm, dan sistem pencegah kebakaran. Sistem ini dirancang untuk mencegah intrusi
tanpa izin, mendeteksi masalah sebelum menyebabkan kerusakan, dan mencegah penyebaran
api.
b.
Operasi
pusat data
Meskipun
pusat data dirancang untuk menjadi otomatis, mereka memang membutuhkan staf
untuk beroperasi. Akibatnya,
operasi pusat data harus diatur oleh kebijakan, rencana, dan prosedur. Auditor harus berharap untuk menemukan
bidang-bidang berikut yang dicakup oleh kebijakan, rencana, dan prosedur:
·
Kontrol
akses fisik
·
Pemantauan
sistem dan fasilitas
·
Perencanaan
fasilitas, peralatan, pelacakan, dan pemeliharaan
·
Prosedur
respons untuk pemadaman, keadaan darurat, dan kondisi alarm
c.
Sistem
dan ketahanan situs
Karena sistem
komputer yang berada di pusat data dimanfaatkan untuk diotomatisasi fungsi
bisnis, mereka harus tersedia setiap saat bisnis beroperasi. Karena itu, pusat
data menggabungkan berbagai jenis kontrol untuk memastikan bahwa sistem tetap
tersedia untuk
melakukan operasi bisnis yang penting. Kontrol ini dirancang untuk melindungi daya,
lingkungan komputasi, dan jaringan area luas (WAN).
d.
Kesiapsiagaan
bencana
Semua
pusat data rentan terhadap bencana alam dan buatan manusia. Sejarah menunjukkan
hal itu ketika bencana melanda suatu pusat data, organisasi fasilitas-fasilitas
seperti itu mulai berhenti berdecit. Tugas auditor adalah mengidentifikasi dan
mengukur fisik dan administratif kontrol di fasilitas yang mengurangi risiko
gangguan pemrosesan data, termasuk pengikut:
·
Ketahanan sistem
·
Cadangan dan pemulihan data
·
Perencanaan pemulihan bencanaMengaudit Router, Switch, dan Firewall
3.
Mengaudit
Router, Switch, dan Firewall
Jaringan adalah latar belakang
mendasar dari infrastruktur operasi TI , yang memungkinkan data melintang antara pengguna,
penyimpanan data, dan pengolahan data. Router, switch, dan firewall bekerja sama untuk
memungkinkan transfer data sekaligus melindungi jaringan, data, dan pengguna akhir. Berikut ini
membahas bagaimana meninjau potongan-potongan kritis, infrastruktur sambil
membantu untuk melakukannya sebagai berikut :
a.
Mengungkap
kompleksitas peralatan jaringan.
b.
Memahami
kontrol jaringan kritis.
c.
Tinjau
kontrol khusus untuk router, switch, dan firewall.
4.
Mengaudit
Windows
Sistem operasi Sistem operasi Windows telah
berkembang dari awal yang sederhana dan berkembang menjadi salah satu sistem operasi paling umum
di dunia untuk server dan klien, untuk mencakup
komponen dasar dari audit server Windows dan mencakup audit cepat untuk Klien Windows, berikut pembahasan
Audit server dan klien windows:
a.
Sejarah
singkat pengembangan Windows
Microsoft
dan IBM bekerja bersama untuk mengembangkan OS / 2 pada awal 1990-an, tetapi
hubungan itu berubah menjadi suram. Microsoft dan IBM berpisah dan pergi arah
terpisah, dengan Microsoft kemudian merilis Windows NT pada Juli 1993. Pasar
server berevolusi dari Windows NT ke Windows Server 2000, Windows Server 2003,
dan kemudian Windows Server 2008.
b.
Windows
essentials: belajar tentang host target
c.
Bagaimana
mengaudit server Windows
d.
Bagaimana
mengaudit klien Windows
e.
Alat
dan sumber daya untuk meningkatkan audit Windows Anda
5.
Mengaudit
Unix dan Linux
Sistem operasi membahas
langkah-langkah yang diperlukan untuk mengaudit operasi berbasis Unix dan Linux
sistem (juga disebut sebagai sistem nix) dan mencakup hal-hal berikut:
a.
Sejarah
Unix dan Linux
Unix
tanggal kembali ke 1969, ketika dikembangkan oleh karyawan di AT & T untuk
tujuan menyediakan lingkungan di mana beberapa pengguna dapat menjalankan
program. Keamanan yang kuat bukanlah salah satu tujuan pengembangannya. Pada
akhir tahun 1970-an, mahasiswa di University of California, Berkeley, melakukan
modifikasi ekstensif pada sistem AT & T Unix, menghasilkan varian Unified
Software Distribution (BSD) Unix, yang menjadi sangat populer di kalangan
akademis. Sekitar waktu yang sama, AT & T mulai mendorong untuk
mengembangkan sistem operasi Unix menjadi produk komersial yang sah yang
disebut AT & T System V (atau hanya System V). Selama tahun 1980-an, karena
minat komersial terhadap sistem operasi Unix meningkat, perusahaan menghadapi
dilema dalam memutuskan versi mana dari dua versi Unix yang akan diadopsi.
Ultrix SunOS dan Digital Equipment Corporation Sun Microsystems didasarkan pada
BSD.
Dari awal
yang sederhana, hobiis pada tahun 1991, Linux tumbuh menjadi rilis 1.0 di 1994.
Tetapi bahkan sebelum rilis 1.0, sejumlah "distribusi" Linux
dikembangkan, menggabungkan kernel Linux dengan aplikasi dan utilitas sistem.
Beberapa contoh distribusi populer saat ini adalah Red Hat, Ubuntu, Debian,
SUSE, dan Gentoo.
b.
Perintah
dasar untuk berkeliling di lingkungan * nix
c.
Bagaimana
mengaudit sistem Unix dan Linux, dengan fokus pada bidang utama berikut:
·
Manajemen
akun dan kontrol kata sandi
·
File
keamanan dan control
·
Keamanan
dan kontrol jaringan
·
Audit
log
·
Monitoring
keamanan dan kontrol umum
·
Alat
dan sumber daya untuk meningkatkan audit
6.
Mengaudit
Web Server dan Aplikasi Web
Pertumbuhan eksplosif di Internet juga
mendorong pertumbuhan eksplosif alat pengembangan, bahasa pemrograman, web browser,
database, dan berbeda model client-server. Hasil yang tidak menguntungkan
adalah model kompleks yang sering dibutuhkan kontrol tambahan untuk mengamankan
model. Berikut ini mencakup minimum mutlak seperangkat kontrol yang harus
ditinjau ulang. Bab ini mencakup hal-hal berikut:
a.
Bagaimana
mengaudit server web
b.
Bagaimana
mengaudit aplikasi web
7.
Mengaudit
Database
Mengaudit Database membahas tentang
audit lockbox informasi perusahaan.untuk melakukan audit pada komponen berikut
yang mempengaruhi operasional keamanan penyimpanan data:
a.
Perizinan
database
b.
Keamanan
sistem operasi
c.
Fitur
kekuatan dan manajemen kata sandi
d.
Aktivitas
pemantauan
e.
Database
enkripsi
f.
Database
kerentanan, integritas, dan proses patching
8.
Penyimpanan
Audit
Penyimpanan audit dan dimulai dengan
ikhtisar penyimpanan umum teknologi. Audit penyimpanan menggabungkan
kekhawatiran platform dan datanya. Platform memiliki persyaratan kontrol yang
sama seperti yang ditemukan di server. Data memiliki keunikan persyaratan
kontrol karena perlunya menjaga kontrol yang sesuai dengan kelas data yang
berbeda, dibawah ini mencakup hal-hal berikut:
a.
Ikhtisar
teknis singkat tentang penyimpanan
b.
Bagaimana
mengaudit lingkungan penyimpanan
c.
Alat
dan sumber daya untuk meningkatkan audit penyimpanan Anda
9.
Mengaudit
Virtualized Lingkungan
Inovasi dalam virtualisasi sistem
operasi dan perangkat keras server diubah secara permanen jejak, arsitektur, dan operasi pusat
data. Mengaudit lingkungan virtualisasi, dan dimulai dengan ikhtisar tentang
virtualisasi umum teknologi dan kontrol tombol. Audit virtualisasi
menggabungkan kekhawatiran hypervisor dan sistem operasi tamu. Meski fokus
adalah hypervisor dan
virtualisasi server, bisa menerapkan banyak langkah dan konsep yang sama untuk virtualisasi desktop ,membuat
asumsi bahwa komponen sistem ini adalah di
bawah kendali , "Mengaudit Komputasi Awan dan Operasi Outsourcing
"untuk panduan bagaimana memastikan virtualisasi dari luar lingkungan
dikelola dan diamankan dengan benar. Dibawah
ini mencakup hal-hal berikut:
a.
Sekilas
singkat teknis virtualisasi
b.
Bagaimana
mengaudit lingkungan virtualisasi
c.
Alat
dan sumber daya untuk meningkatkan audit virtualisasi Anda
10. Mengaudit WLAN dan Telepon genggam
Mengaudit WLAN dan Telepon genggam
yaitu dua audit terpisah, yang dimulai dengan jaringan area lokal
nirkabel(WLAN) dan kemudian mencakup perangkat seluler yang mendukung data.
Audit WLAN meliputi klien, komunikasi, jalur akses, dan faktor operasional yang
memungkinkan WLAN aktif, jaringan Audit perangkat mobile data-enabled meliputi
Blackberry, iPhone, Droid, dan perangkat data-enabled serupa dan infrastruktur
yang mendukungnya. Pengikuttopik yang dibahas adalah:
a.
Latar
belakang teknologi WLAN dan perangkat mobile
Pada
tahun 1990, Institute of Electrical and Electronic Engineers (IEEE) membentuk
kelompok untuk mengembangkan standar untuk peralatan nirkabel. Standar 802.11
lahir pada 26 Juni 1997, dibangun di atas lapisan fisik dan data-link dari
model OSI untuk memungkinkan perangkat mobile untuk berkomunikasi secara
nirkabel dengan jaringan kabel.
Anda
mungkin mendengar Wi-Fi digunakan di tempat WLAN. Wi-Fi adalah merek yang
awalnya dilisensikan oleh Aliansi Wi-Fi untuk menggambarkan teknologi yang
mendasari berdasarkan spesifikasi IEEE 802.11. Istilah Wi-Fi digunakan secara
luas, dan merek tidak lagi terlindungi. Aliansi Wi-Fi awalnya dimulai sebagai
inisiatif untuk membantu membawa interoperabilitas ke semakin banyak perangkat
yang menggunakan implementasi yang berbeda dari teknologi 802.11. Tabel 11-1
referensi teknologi nirkabel yang paling umum digunakan dalam lingkungan
perusahaan. Ketahuilah bahwa beberapa standar lain dalam keluarga 802.11 ada,
dan yang tercantum di sini adalah yang paling sering dirujuk untuk penggunaan
komersial.
b.
Masalah
audit penting untuk teknologi ini
c.
Langkah
dan saran teknis utama mengenai bagaimana mendekati teknologi.
d.
Langkah
operasional yang diperlukan agar teknologi ini beroperasi secara efisien di
jaringan anda.
11. Permohonan Audit
Setiap aplikasi unik, apakah mendukung
fungsi keuangan atau operasional, dan oleh karena itu masing-masing memiliki
seperangkat persyaratan kontrol tersendiri. Tidak mungkin dokumen persyaratan
kontrol spesifik yang akan berlaku untuk setiap aplikasi. Namun, akan
menjelaskan beberapa pedoman pengendalian umum yang seharusnya berkenaan dengan
aplikasi apapun terlepas dari fungsinya, bahasa pemrogramannya, dan platform
teknologi. Topik-topik berikut dibahas dalam bab ini:
a.
Komponen
penting dari audit aplikasi
b.
Bagaimana
menelusuri kemungkinan masalah dengan kerangka kerja dan konsep kunci
c.
Langkah
terperinci untuk mengaudit aplikasi, termasuk yang berikut ini:
·
Kontrol
input
·
Kontrol
antarmuka
·
Jejak
audit
·
Kontrol
akses
·
Kontrol
perubahan perangkat lunak
·
Backup
dan pemulihan
·
Retensi
data dan klasifikasi dan keterlibatan pengguna
12. Mengaudit Komputasi Awan dan Outsource
Operasi
Mengaudit Komputasi Awan dan Outsource
Operasi adalah kunci yang harus dicari saat mengaudit TI operasi yang telah
dialihkan ke perusahaan eksternal, termasuk yang berikut ini:
a.
Definisi
komputasi awan dan bentuk lain dari outsourcing TI
Institut Nasional Standar dan
Teknologi (NIST) mendefinisikan komputasi awan sebagai "model untuk
memungkinkan akses jaringan on-demand yang nyaman ke kumpulan sumber daya
komputasi yang dapat dikonfigurasi (misalnya, jaringan, server, penyimpanan,
aplikasi, dan layanan) yang dapat dengan cepat ditetapkan dan dirilis dengan
upaya manajemen minimal atau interaksi penyedia layanan. ”
b.
SAS
70 melaporkan
Ketika mengaudit vendor, Anda perlu
memahami SAS (Pernyataan tentang Standar Auditing) 70 laporan. SAS 70 adalah
standar audit yang dikembangkan oleh American Institute of Certified Public
Accountants (AICPA) untuk menangani organisasi layanan. Ini pada dasarnya memberikan
standar di mana organisasi layanan (seperti yang menyediakan layanan TI) dapat
menunjukkan efektivitas kontrol internal mereka tanpa harus membiarkan setiap
pelanggan mereka untuk datang dan melakukan audit mereka sendiri.
Tanpa standar ini, organisasi jasa
akan mengeluarkan volume sumber daya yang berlebihan yang menanggapi permintaan
audit dari setiap pelanggan. Dengan standar ini, organisasi layanan dapat
menyewa auditor layanan independen bersertifikat (seperti Ernst & Young)
untuk melakukan audit SAS 70 dan mengeluarkan laporan. Laporan ini dapat
disajikan kepada setiap pelanggan yang membutuhkan bukti efektivitas
pengendalian internal organisasi layanan.
c.
Kontrol
seleksi vendor
d.
Item
untuk disertakan dalam kontrak vendor
e.
Persyaratan
keamanan data
f.
Masalah
operasional
g.
Masalah
hukum dan kepatuhan peraturan
13. Proyek Perusahaan Audit
Proyek Perusahaan Audit adalah kontrol
kunci yang harus dicari saat mengaudit proses yang digunakan untuk mengelola
proyek perusahaan, termasuk memahami hal-hal berikut yang berkaitan dengan
manajemen proyek audit teknologi informasi:
a.
Kunci
keberhasilan manajemen proyek
Audit
proyek dilakukan untuk mengidentifikasi risiko terhadap keberhasilan
proyek-proyek perusahaan. Bab ini khusus membahas proyek-proyek TI (seperti
pengembangan perangkat lunak, penyebaran infrastruktur, dan penerapan aplikasi
bisnis), tetapi konsep-konsepnya bisa berlaku untuk
segala jenis proyek.
b.
Kebutuhan
pengumpulan dan desain awal
c.
Desain
dan pengembangan system
d.
Pengujian
e.
Implementasi
f.
Pelatihan
g.
Membungkus
proyek
4. Regulasi
Audit
Uji kepatutan
(compliance test) dilakukan dengan menguji kepatutan Prooses TI dengan melihat
kepatutan proses yang berlangsung terhadap standard dan regulasi yang berlaku.
Kepatutan tersebut dapat diketahui dari hasil pengumpulan bukti. Adapun
langkah-langkah yang dilakukan dalam uji tersebut antara lain akan dipaparkan
sebagaimana berikut :
1.
Tahapan
Pengidentifikasian Objek yang Diaudit
Tujuan dari
langkah ini agar pengaudit mengenal lebih jauh terkait dengan hal-hal yang
harus dipenuhi dalam objektif kontrol yang membawa kepada penugasan kepada
pihak-pihak yang bertanggung jawab. Aktivitas yang berlangsung juga termasuk
pengidentifikasian perihal pengelolaan aktivitas yang didukung TI memenuhi
objektif kontrol terkait.
2.
Tahapan
Evaluasi Audit
Tujuan dari
tahapan ini adalah untuk mendapatkan prosedur tertulis dan memperkirakan jika
prosedur yang ada telah menghasilkan struktur kontrol yang efektif. Uji
kepatutan yang dilakukan pada tahapan ini yaitu mengevaluasi pemisahan tanggung
jawab yang terkait dengan pengelolaan SI/TI. Dari hasil evaluasi ditemukan
terdapat pemisahan terhadap tugas dan tanggung jawab yang harus dilakukan oleh
masing-masing pihak yang bersangkutan.
Pengantar Legislasi Terkait dengan
Kontrol Internal
Sifat
global bisnis dan teknologi mendorong kebutuhan akan standar dan peraturan yang
mengatur bagaimana perusahaan bekerja bersama dan bagaimana informasi
dibagikan. Strategis
dan kemitraan kolaboratif telah berevolusi dengan
badan-badan seperti Organisasi Internasional Standardisasi (ISO), Komisi Elektroteknik Internasional
(IEC), International
Telecommunication Union (ITU), dan Organisasi Perdagangan Dunia (WTO).
Partisipasi dalam badan-badan standar ini telah bersifat sukarela, dengan
kesamaan tujuan
mempromosikan perdagangan global untuk semua negara. Masing-masing negara telah
melangkah lebih jauh untuk membentuk kontrol pemerintah
atas kegiatan bisnis perusahaan beroperasi dalam batas-batas mereka.
Dampak Regulasi pada Audit TI
Peraturan
dampak pada audit TI berkembang sebagai bisnis yang beradaptasi dengan
kompleksitas untuk mematuhi beberapa otoritas. Selama dekade terakhir,
pemerintah AS telah melewati berbagai tindakan privasi khusus industri dan
peraturan lainnya. Masing-masing telah lulus dengan maksud melindungi konsumen
bisnis. Akibatnya, internal dan kelompok audit eksternal diberi tugas untuk
meninjau ulang proses dan prosedur bisnis memastikan ada kontrol yang sesuai
yang melindungi kepentingan bisnis dan konsumen.
Pertimbangkan
Rantai Nilai Porter yang ditunjukkan pada Gambar 17-1. Masing-masing komponen
fungsional bisnis saat ini terus menarik tuntutan kemitraan yang lebih tinggi
pada organisasi TI untuk mendukung proses bisnis. Koneksi yang saling terkait
antara TI kontrol dan fungsi bisnis pendukungnya telah membuat upaya besar
untuk ikat kontrol TI spesifik untuk proses bisnis yang ada dan yang baru.
Upaya tersebut terdiri anggota parlemen berusaha melindungi konsumen, layanan
keuangan mencoba melindungi aset mereka, vendor yang membantu mencoba menjual
lebih banyak produk, dan bisnis yang berusaha mematuhi persyaratan yang
tampaknya berkembang dan tidak konsisten.
Asosiasi Internasional Auditor Internal (IIA) dan
Informasi Internasional Sistem Audit dan Pengendalian Asosiasi (ISACA)
mempublikasikan pedoman untuk membantu anggota kelompok audit internal dan
eksternal ini dalam membentuk kontrol umum dan proses audit. Teknologi dapat
mempengaruhi setiap bagian dari bisnis. Diarahkan, dikontrol, dan efisien, yang
terbaik, teknologi menawarkan keunggulan kompetitif. Yang terburuk, teknologi
adalah keunggulan pesaing Anda ketika Anda tidak memiliki kegiatan yang sesuai
dan proses di tempat untuk memastikan tata kelola, manajemen risiko, atau
kepatuhan manajemen teknologi dan organisasi.
5. Standar
dan Kerangka Kerja Audit
Kerangka danStandar seiring perkembangan teknologi informasi (IT) selama
akhir abad ke-20, IT departemen dalam setiap organisasi biasanya mengembangkan
metode sendiri untuk mengelola operasi. Akhirnya, kerangka kerja dan standar
muncul untuk memberikan panduan bagi pengelolaan dan evaluasi proses TI.
Beberapa kerangka kerja dan standar yang paling menonjol saat ini terkait
dengan penggunaan teknologi. Dibawah ini akan mencakup hal berikut:
- Pengantar pengendalian, kerangka kerja, dan standar
internal TI
- Komite Organisasi Sponsor (COSO)
- Tujuan Pengendalian Informasi dan Teknologi Terkait
(COBIT)
- IT Infrastructure Library (ITIL)
- ISO 27001
- Metodologi Penilaian INFOSEC Keamanan Nasional (Security
Security Agency / NSA)
- Kerangka dan tren standar
Pengantar Kontrol, Kerangka, dan
Standar TI Internal
Pada 1970-an, kekhawatiran akan meningkatnya kebangkrutan
perusahaan dan keruntuhan keuangan mulai meningkatkan permintaan akan
pertanggungjawaban dan transparansi di antara perusahaan publik. Foreign
Cornupt Practices Act of 1977 (FCPA) mengkriminalisasi penyuapan di luar negeri
dan merupakan peraturan pertama yang mengharuskan perusahaan untuk menerapkan
program pengendalian internal untuk menyimpan catatan transaksi yang ekstensif
untuk tujuan pengungkapan.
Ketika industri simpan pinjam ambruk pada pertengahan tahun
1980an, ada seruan untuk mengawasi standar akuntansi dan profesi auditing
pemerintah. Dalam upaya untuk mencegah intervensi pemerintah, inisiatif sektor
swasta independen, yang kemudian disebut Komite Sponsoring Organizations
(COSO), dimulai pada tahun 1985 untuk menilai bagaimana cara terbaik untuk
meningkatkan kualitas pelaporan keuangan. COSO meresmikan konsep pengendalian
internal dan kerangka kerja pada tahun 1992 saat menerbitkan publikasi penting
Kerangka Pengendalian Internal.
Sejak saat itu, asosiasi profesional lainnya terus
mengembangkan kerangka kerja dan standar tambahan untuk memberikan panduan dan
praktik terbaik kepada konstituen mereka dan komunitas TI secara umum.
Gaya standar dan Kerangka Kerja
Persyaratan dan praktik bisnis sangat bervariasi di seluruh
dunia, seperti juga kepentingan politik dari banyak organisasi yang menciptakan
standar. Kemungkinan besar kerangka kerja dan standar tunggal akan muncul dalam
waktu dekat untuk memenuhi kebutuhan setiap orang. Kompleksitas pemetaan
ratusan dokumen otoritas dari peraturan (internasional, nasional, lokal /
negara bagian, dan sebagainya) dan standar (ISO, industri spesifik, vendor, dan
sebagainya) menciptakan peluang dan ceruk pasar. Vendor teknologi dengan tepat
mengidentifikasi ceruk pasar yang penting ini, atau pembeda, untuk meningkatkan
penjualan produk dengan mengidentifikasi bagaimana cara mendapatkan produk
mereka untuk memenuhi persyaratan otoritas. Vendor melompat pada kesempatan
untuk memetakan kemampuan mereka untuk menangani kontrol spesifik dari beberapa
peraturan dan standar.
Jaringan Frontiers mungkin adalah perusahaan yang paling
terkenal yang mencoba hal yang tidak mungkin: membuat pemetaan umum kontrol TI
di setiap peraturan, standar, dan praktik terbaik yang ada. Hasilnya disebut IT
Unified Compliance Kerangka. Selanjutnya, ini pemetaan diadopsi oleh Archer
Technologies, Microsoft, Computer Associates, McAfee, dan beberapa vendor
lainnya untuk membantu menjembatani penyelarasan kontrol yang dikelola atau
dilacak oleh vendor dengan persyaratan dokumen otoritas individual.
Satu sudut pandang menunjukkan kerangka adopsi tunggal akan
menyederhanakan teknologi pengembangan produk, struktur organisasi, dan tujuan
pengendalian. Yang lain sudut pandang menunjukkan bahwa kompleksitas
kepentingan regional, politik, bisnis, budaya, dan kepentingan yang berbeda
memastikan kerangka kontrol yang diterima secara universal tidak akan pernah
tercipta. Kebenaran mungkin terletak di suatu tempat di tengahnya. Meskipun
satu set standar internasional tidak dapat dipastikan, alat yang dijelaskan
dalam bab ini tetap berfungsi untuk menciptakan infrastruktur teknologi yang
andal, aman, dan berkelanjutan yang pada akhirnya menguntungkan para peserta.
6. Manajemen
Resiko
Beberapa tahun yang lalu, firewall
dan perangkat lunak antivirus adalah sebagian besar organisasi digunakan untuk
mengurangi risiko TI. Namun, dalam beberapa tahun terakhir, lanskap ancaman
telah berubah sangat. Saat ini, ancaman orang dalam lebih terasa, ribuan
variannya malware didistribusikan, dan pemerintah telah memberlakukan
undang-undang yang mewajibkan implementasi berbagai kontrol. Akibatnya, proses
manajemen risiko formal sekarang harus menjadi bagian dari setiap program audit
TI.
Manfaat Manajemen Risiko
Potensi
pengelolaan risiko TI masih dirahasiakan. Beberapa tahun, banyak organisasi
telah meningkatkan efektivitas pengendalian TI mereka atau mengurangi biaya
mereka dengan menggunakan analisis risiko dan praktik manajemen risiko yang
baik. Ketika manajemen memiliki pandangan perwakilan tentang eksposur TI
organisasi, ia dapat melakukannya mengarahkan sumber daya yang tepat untuk
mengurangi area risiko tertinggi daripada pengeluaran sumber daya langka di
daerah yang memberikan sedikit atau tidak ada pengembalian investasi (ROI).
Jaring Hasilnya adalah tingkat pengurangan risiko yang lebih tinggi untuk
setiap dolar yang dikeluarkan.
Manajemen Risiko dari Perspektif
Eksekutif
Bisnis
adalah semua tentang risiko dan penghargaan. Eksekutif diharuskan menimbang
manfaat investasi dengan risiko yang terkait dengannya. Akibatnya, sebagian
besar telah menjadi cukup mahir mengukur risiko melalui analisis ROI, indikator
kinerja utama, dan segudang alat analisis keuangan dan operasional lainnya.
Sukses dalam mengelola. Risiko TI organisasi, Anda harus memahami bahwa
eksekutif melihat risiko finansial istilah. Akibatnya, semacam analisis
keuangan biasanya diperlukan untuk berbisnis kasus untuk investasi di kontrol
tambahan.
Mengatasi Resiko
Resiko
dapat diatasi dengan tiga cara: menerimanya, mengurangi, atau mentransfernya.
Yang sepantasnya metode sepenuhnya tergantung pada nilai finansial dari risiko
versus investasi diperlukan untuk menguranginya ke tingkat yang dapat diterima
atau mentransfernya ke pihak ketiga. Sebagai tambahannya Kontrol preskriptif,
peraturan seperti HIPAA / HITECH dan PCI mengharuskan organisasi tersebut
menilai risiko terhadap informasi yang dilindungi dan menerapkan pengendalian
yang wajar mengurangi risiko ke tingkat yang dapat diterima.
Penerimaan Risiko
Nilai
finansial suatu risiko seringkali lebih kecil daripada biaya mitigasi atau
transfer. Dalam hal ini, pilihan yang paling masuk akal adalah menerima risiko.
Namun, jika organisasi memilih untuk menerima risiko, itu harus
menunjukkan bahwa risiko memang dinilai dan mendokumentasikan
alasan di balik keputusan tersebut.
Transfer Resiko
Industri
asuransi didasarkan pada transferensi risiko. Organisasi sering membeli asuransi untuk
menutupi biaya pelanggaran keamanan atau bencana sistem outage. Ini penting
untuk perhatikan bahwa perusahaan asuransi yang menawarkan jenis
kebijakan ini sering mewajibkan kebijakan tersebut pemegang
menerapkan kontrol tertentu. Gagal mematuhi persyaratan control dapat
membatalkan kebijakan Bila pengelolaan sistem TI dialihkan ke pihak
ketiga, tingkat tertentu risiko dapat ditransfer secara kontrak ke
pihak ketiga juga. Dalam kasus ini, itu adalah tanggung jawab
organisasi meng-outsource sistemnya untuk memverifikasi bahwa risiko TI
berkurang ke tingkat yang dapat diterima dan bahwa perusahaan yang mengelola
sistemnya memiliki keuangan Kekuatan untuk menutupi kerugian harus
terjadi.
Analisis Risiko Kuantitatif vs
Kualitatif
Risiko
dapat dianalisis dengan dua cara: kuantitatif dan kualitatif. Seperti hal
lainnya,masing memiliki kelebihan dan kekurangan. Dimana pendekatan kuantitatif
lebih banyak obyektif dan mengungkapkan risiko secara finansial
sehingga pengambil keputusan bisa lebih mudah membenarkan, juga
lebih menyita waktu. Pendekatan kualitatif lebih cocok untuk ditampilkan pandangan
berlapis risiko, tapi bisa lebih subjektif dan karena itu sulit untuk
dibuktikan.
Organisasi
dengan program manajemen risiko yang lebih sukses cenderung mengandalkan lebih
banyak pada analisis risiko kualitatif untuk mengidentifikasi area fokus dan
kemudian menggunakan kuantitatif teknik analisis risiko untuk
membenarkan pengeluaran mitigasi risiko.
Siklus Hidup
Manajemen Risiko TI dimulai dengan identifikasi aset informasi dan berpuncak
pada manajemen PT risiko residual. Fase spesifiknya adalah sebagai berikut:
1.
Mengidentifikasi
aset informasi
Tahap pertama dalam siklus pengelolaan risiko adalah
mengidentifikasi informasi organisasi aktiva.
Tujuan dari tahap ini adalah untuk
mengidentifikasi semua aset informasi dan menetapkan setiap informasi. Aset
merupakan nilai kekritisan yang tinggi, sedang, atau rendah untuk kerahasiaan,
integritas, dan persyaratan ketersediaan. Agar sukses, hal yang harus diselesaikan ada beberapa tugas:
-
Tentukan nilai
kekritisan informasi.
-
Mengidentifikasi
fungsi bisnis.
-
Proses
informasi peta.
-
Mengidentifikasi
aset informasi.
-
Tetapkan nilai
kekritisan pada aset informasi.
2.
Mengukur dan
memenuhi syarat ancaman
Tahap siklus pengelolaan risiko ini memerlukan
langkah-langkah berikut:
-
Menilai ancaman
bisnis.
-
Mengidentifikasi
ancaman teknis, fisik, dan administratif.
-
Mengukur dampak
dan kemungkinan ancaman.
-
Mengevaluasi
arus proses untuk kelemahan.
-
Mengidentifikasi
ancaman komponen-komponen.
3.
Menilai
kerentanan
Kita akan menggunakan langkah-langkah berikut dalam
menganalisis kerentanan:
-
Identifikasi
kontrol yang ada dalam kaitannya dengan ancaman.
-
Tentukan gap
kontrol komponen proses.
-
Gabungkan celah
kontrol ke dalam proses dan kemudian fungsi bisnis.
-
Kategorikan
kesenjangan kontrol dengan tingkat keparahan.
-
Tetapkan
peringkat risiko.
4.
Remediate
control gap
Pada titik ini, risiko harus dikategorikan tinggi,
menengah, atau rendah. Gunakan langkah-langkah berikut dalam remisiasi gap:
-
Pilih kontrol.
-
Melaksanakan
kontrol.
-
Validasi
kontrol baru.
-
Hitung ulang
peringkat risiko
-
Mengelola
risiko residual, Fase ini terdiri dari dua tahap:
-
Buat garis
dasar risiko
-
Menilai kembali
risiko
Referensi
:
IT Auditing : Using
controls to protect information assets, Chris Davis, Mike Sciller, McGrowHill,
2011.
Audit dan Kontrol
Teknologi Informasi, Mardhani Riasetiawan, Inside technology Publisher, 2016.