KELOMPOK :
Muhammad Tunjung Ary Hidayat (14115813)
Marselianov Jonokta (17115869)
Dirgo Endra Purwa A. (11115981)
Iqbal Setiawan (13115408)
Pengertian Audit
Penerapan audit teknologi informasi dibentuk pada pertengahan 1960-an dan sejak saat ini mengalami perkembangan teknologi yang sangat pesat, sehingga telah berubah spesifikasinya. Audit teknologi selalu mengacu pada pemeriksaan kontrol dalam infrastruktur teknologi informasi. Praktek Audit menjamin kelangsungan bisnis dengan mengidentifikasi integritas data organisasi, operasi efektivitas dan tindakan perlindungan untuk melindungi aset teknologi informasi. Menurut Asosiasi akuntansi Amerika, Auditing adalah sebuah proses sistematis untuk secara obyektif mendapatkan dan mengevaluasi bukti mengenai pernyataan perihal tindakan dan transaksi bernilai ekonomi, untuk memastikan tingkat kesesuaian antara pernyataan tersebut dengan kriteria yang telah ditetapkan, serta mengkomunikasikan hasil-hasilnya pada para pemakai yang berkepentingan. Sedangkan menurut Ron Weber, Information System Control & Audit – 1999, audit sistem informasi adalah proses pengumpulan dan evaluasi bukti sehingga dapat menentukan apakah perlindungan sistem komputer aset, integritas data mempertahankan, memungkinkan tujuan organisasi yang akan dicapai secara efektif, dan menggunakan sumber daya secara efisien. Terkadang pengauditan sistem informasi memiliki tujuan lain yang pasti bahwa suatu organisasi mematuhi beberapa peraturan.
Audit dan kontrol teknologi informasi merupakan peran yang penting karena dalam suatu perusahaan membutuhkan acuan, parameter dan kontrol untuk memastikan semua sumber daya perusahaan menuju pada pencapaian tujuan organisasi secara terintegratif dan komprehensif. Audit teknologi informasi dan kontrol menjelaskan sebuah proses untuk mereview dan memposisikan teknologi informasi sebagai instrument penting dalam pencapaian usaha bisnis korporasi dengan melakukan proses sistematik, terencana, dan menggunakan keahlian IT untuk mengetahui tingkat kepatuhan, kinerja, nilai, dan resiko dari implementasi teknologi. Kemampuan mengetahui pengetahuan dan skill pada IT Audit dan control selain juga menunjukkan jenjang professional tertentu dalam professional, juga membuat seseorang akan menganalisa, merancang, membangun, mengimplementasikan, memonitor dan melakukan pengembangan berkelanjutan, tidak sekedar beroperasi tetapi juga mengikuti kaidah industri dan standar internasional.
Sebagian besar departemen audit dibentuk oleh komite audit perusahaan untuk memberikan komite dengan jaminan independen bahwa pengendalian internal sudah berjalan dan berfungsi secara efektif. Dengan kata lain, komite audit menginginkan kelompok obyektif yang akan menceritakan apa yang benar terjadi adanya di perusahaan. Untuk mengungkapkan semua penjahat yang menolak untuk menerapkan kontrol internal maka diperlukan seseorang yang dapat dipercaya. Departemen audit internal biasanya melapor langsung kepada ketua komite audit, sehingga mereka merasa terlindung dari dampak yang dapat dihasilkan oleh manajer yang tidak jujur dalam perusahaan. Sebagian besar departemen audit perusahaan juga melaporkan kepada eksekutif di dalam perusahaan, seperti chief executive officer (CEO) atau chief financial officer (CFO).
Secara umum Audit IT adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal dalam EDP. Jenis aktivitas ini disebut sebagai auditing melalui komputer. Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini disebut audit dengan komputer.
Secara umum dikenal tiga jenis audit, yaitu audit keuangan, audit operasional dan audit sistem informasi (Teknologi Informasi). Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapain tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi: Audit secara keseluruhan menyangkut efektifitas, efisiensi, availability system, reliability, confidentialy, dan integrity, serta aspek security. Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file. Audit TI sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntasi, Ilmu Komputer, dan Behavioral Science.
Konsep Audit & Kontrol Sistem Informasi terdiri sebagai berikut :
1. Pengamanan aset yang ditingkatkan, yaitu : Perangkat keras, Perangkat lunak, Fasilitas, Orang-orang, Data, Dokumentasi Sistem, Persediaan
2. Peningkatan integritas data, yaitu : Kelengkapan, Kesehatan, Kemurnian, Kebenaran
3. Peningkatan efektivitas sistem
4. Peningkatan efisiensi sistem, yaitu : Waktu Mesin, Periferal, Perangkat Lunak Sistem, Tenaga kerja
Misi sebenarnya dari departemen audit internal adalah untuk membantu meningkatkan keadaan pengendalian internal di perusahaan. Diakui, ini dicapai dengan melakukan audit dan melaporkan hasil, tetapi tindakan-tindakan ini tidak memberikan nilai dalam dan dari diri mereka sendiri. Mereka memberikan nilai hanya ketika masalah kontrol internal diselesaikan.
Misi departemen audit internal ada dua:
1. Untuk memberikan jaminan independen kepada komite audit (dan manajemen senior) bahwa pengendalian internal ada di perusahaan dan berfungsi secara efektif.
2. Untuk meningkatkan keadaan pengendalian internal di perusahaan dengan mempromosikan kontrol internal dan dengan membantu perusahaan mengidentifikasi kelemahan kontrol dan mengembangkan solusi yang hemat biaya untuk mengatasi kelemahan tersebut.
JENIS KONTROL INTERNAL
Kontrol dapat bersifat preventif, detektif, atau reaktif, dan mereka dapat memiliki penerapan administratif, teknis, dan fisik. Contoh penerapan administratif termasuk item seperti kebijakan dan proses. Implementasi teknis adalah alat dan perangkat lunak yang secara logis menegakkan kontrol (seperti kata sandi).
• Kontrol Preventif
Kontrol pencegahan menghentikan peristiwa buruk terjadi. Misalnya, membutuhkan ID pengguna dan kata sandi untuk akses ke sistem adalah kontrol pencegahan. Ini mencegah (secara teoritis) orang yang tidak sah mengakses sistem. Dari sudut pandang teoritis, kontrol pencegahan selalu disukai, karena alasan yang jelas. Namun, ketika melakukan audit, ingat bahwa kontrol pencegahan tidak selalu merupakan solusi yang paling hemat biaya, dan jenis kontrol lain mungkin lebih masuk akal dari sudut pandang biaya / manfaat.
• Kontrol Detektif
Kontrol detektif merekam peristiwa buruk setelah itu terjadi. Misalnya, mencatat semua aktivitas yang dilakukan pada sistem akan memungkinkan meninjau log untuk mencari aktivitas yang tidak pantas setelah kejadian.
• Kontrol Reaktif (Kontrol Koreksi)
Kontrol reaktif berada di antara kontrol pencegahan dan detektif. Mereka tidak mencegah peristiwa buruk terjadi, tetapi mereka menyediakan cara sistematis untuk mendeteksi kapan peristiwa buruk itu terjadi dan memperbaiki situasi, itulah sebabnya mengapa mereka kadang-kadang disebut kontrol korektif. Misalnya, Anda mungkin memiliki sistem antivirus pusat yang mendeteksi apakah setiap PC pengguna memiliki file tanda tangan terbaru yang dipasang. Idealnya, Anda dapat melarang akses jaringan ke mesin apa pun yang tidak sesuai. Namun, ini mungkin tidak praktis dari sudut pandang bisnis. Oleh karena itu, alternatifnya mungkin untuk membuat PC yang tidak sesuai dan melakukan beberapa aktivitas tindak lanjut yang teratur untuk mendapatkan PC sesuai atau menghapus kemampuannya untuk mengakses jaringan.
Contoh Kontrol Internal:
Kontrol Internal dapat diterapkan saat sedang meninjau sistem piutang akun perusahaan. Sistem itu ada untuk tujuan memastikan bahwa dapat melacak siapa yang berutang uang perusahaan Anda sehingga Anda dapat merengek deadbeats yang tidak membayar Anda, dan sehingga Anda mencatat pembayaran dengan benar dari mereka yang melakukannya. Auditor keuangan akan khawatir tentang risiko dalam proses piutang itu sendiri, tetapi auditor TI perlu memikirkan risiko untuk sistem mencapai tujuan bisnisnya. Berikut ini adalah beberapa contoh dasar yang dimaksudkan untuk menggambarkan konsep pengendalian internal. Auditor harus memahami tujuan bisnis dari apa yang di audit, memikirkan risiko untuk tujuan yang sedang dicapai, dan kemudian mengidentifikasi kontrol internal yang ada yang mengurangi risiko tersebut.
Proses Audit
Konsep paling dasar dari audit: kontrol internal. Konsep pengendalian internal sangat penting bagi profesi audit. Misi sebenarnya dari departemen audit internal adalah membantu meningkatkan keadaan kontrol internal di perusahaan. Kontrol internal, dinyatakan dalam istilah yang paling sederhana, adalah mekanisme yang memastikan berfungsinya proses dalam perusahaan. Setiap sistem dan proses dalam perusahaan ada untuk beberapa tujuan bisnis tertentu. Auditor harus mencari adanya risiko untuk tujuan-tujuan tersebut dan kemudian memastikan bahwa pengendalian internal diterapkan untuk mengurangi risiko-risiko tersebut.
Tahapan Audit :
1. Perencanaan
Menentukan apa yang di rencanakan untuk ditinjau. Jika proses perencanaan dilaksanakan secara efektif, itu akan membentuk tim audit untuk sukses. Sebaliknya, jika dilakukan dengan buruk dan pekerjaan dimulai tanpa rencana dan tanpa arah yang jelas, upaya tim audit dapat mengakibatkan kegagalan. Tujuan dari proses perencanaan adalah untuk menentukan tujuan dan ruang lingkup audit. Audit perlu menentukan apa yang ingin dicapai dengan peninjauan. Sebagai bagian dari proses ini, harus mengembangkan serangkaian langkah yang akan dilaksanakan untuk mencapai tujuan audit. Proses perencanaan ini akan membutuhkan penelitian, pemikiran, dan pertimbangan yang cermat untuk setiap audit. Berikut adalah beberapa sumber dasar yang harus dirujuk sebagai bagian dari setiap proses perencanaan audit:
• Hand off dari manajer audit
• Survei pendahuluan
• Permintaan pelanggan
• Daftar periksa standar
• Penelitian
2. Kerja lapangan dan dokumentasi
Sebagian besar audit terjadi selama fase ini, ketika langkah-langkah audit yang dibuat selama tahap sebelumnya dilaksanakan oleh tim audit. Sekarang, tim memperoleh data dan melakukan wawancara yang akan membantu anggota tim untuk menganalisa potensi risiko dan menentukan risiko mana yang belum dimitigasi dengan tepat.
Jika memungkinkan, auditor harus mencari cara untuk memvalidasi secara independen informasi yang diberikan dan keefektifan dari lingkungan pengendalian. Meskipun ini tidak selalu mungkin, auditor harus selalu memikirkan cara-cara kreatif untuk menguji sesuatu. Misalnya, jika pelanggan audit menggambarkan proses untuk menyetujui permintaan akun pengguna baru, auditor harus berusaha menarik sampel pengguna yang baru saja ditambahkan untuk melihat apakah mereka memang menerima persetujuan yang tepat. Ini akan memberikan bukti yang jauh lebih meyakinkan bahwa proses sedang diikuti daripada wawancara.
Dokumentasi juga merupakan bagian penting dari kerja lapangan. Auditor harus melakukan pekerjaan yang cukup untuk mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat dibuktikan. Tujuannya adalah mendokumentasikan pekerjaan itu secara cukup rinci sehingga orang yang berpengetahuan cukup dapat memahami apa yang telah dilakukan dan sampai pada kesimpulan yang sama seperti auditor. Auditor pada dasarnya harus menceritakan sebuah kisah: “Inilah yang saya lakukan. Inilah yang saya temukan. Inilah kesimpulan saya. Inilah alasan mengapa saya mencapai kesimpulan itu.” Jika suatu proses ditinjau, prosesnya harus dijelaskan, dan poin kontrol utama dalam proses itu harus disorot. Jika suatu sistem atau teknologi ditinjau ulang, pengaturan khusus dan data yang ditinjau harus diuraikan (bersama dengan bagaimana informasi itu diperoleh) dan ditafsirkan.
Proses dokumentasi mungkin tampak membosankan, tetapi ini penting. Pertama, diperlukan untuk memenuhi standar profesi. Kedua, adalah mungkin bahwa di masa depan temuan audit dapat dipertanyakan atau ditantang, dan auditor yang melakukan pekerjaan tersebut mungkin tidak lagi dipekerjakan oleh perusahaan atau departemen pada saat itu (atau mungkin baru saja melupakan detail dari audit). Akan sangat penting bahwa dokumentasi ada untuk menjelaskan dan proses audit dan memperkuat kesimpulan. Ketiga, jika audit dilakukan lagi suatu hari nanti, mempertahankan dokumentasi rinci akan memungkinkan tim audit berikutnya untuk belajar dari pengalaman tim audit sebelumnya, sehingga memungkinkan untuk perbaikan dan efisiensi yang berkelanjutan.
Satu catatan akhir tentang kerja lapangan: Selama tahap perencanaan, maka akan mengembangkan daftar periksa mengenai apa yang di rencanakan untuk tinjau selama audit. Pastikan daftar periksa tersebut tidak menyebabkan anggota tim audit mematikan penilaian yang baik. Tim perlu tetap fleksibel selama audit dan bersiap untuk mengeksplorasi jalan yang tidak dipertimbangkan selama fase perencanaan. Anggota tim selalu perlu mengingat keseluruhan tujuan audit dan bukan hanya menjadi robot mengikuti skrip kaleng. Juga penting bahwa setiap anggota tim memahami tujuan di balik langkah-langkah audit yang ditetapkan. Langkah-langkah ini harus berfungsi sebagai pedoman untuk mencapai tujuan, dan setiap auditor harus tetap kreatif dalam bagaimana langkah tersebut dilakukan. Jika langkah ini dilakukan, tetapi tidak benar-benar mengatasi risiko yang sedang diselidiki, auditor telah gagal.
3. Penemuan dan validasi masalah
Saat melaksanakan kerja lapangan, auditor akan mengembangkan daftar masalah potensial. Ini jelas merupakan salah satu fase penting dari audit, dan auditor harus berhati-hati untuk memperdalam daftar masalah potensial untuk memastikan bahwa semua masalah valid dan relevan. Dalam semangat kolaborasi, auditor harus mendiskusikan potensi masalah dengan pelanggan sesegera mungkin. Tidak ada yang menikmati menunggu auditor untuk menyelesaikan audit dan kemudian harus menanggung daftar masalah laundry. Tidak hanya ini tidak menyenangkan bagi pelanggan, tetapi juga bisa tidak menyenangkan bagi Anda, karena mungkin menemukan bahwa tidak semua informasi akurat dan tidak semua masalah valid. Daripada membuat kasus federal dari setiap masalah potensial, maka ditekankan mengambil pendekatan lebih informal dengan cara menemukan sesuatu yang menarik dan dapat di diskusikan sehingga dapat memastikan terdapat fakta yang benar dan memahami resiko dengan benar. Sehingga auditor dapat bekerjasama dengan pelanggan dalam memvalidasi masalah dan mendorong pelanggan untuk mengambil kepemilikan masalah.
Selain memvalidasi bahwa memiliki fakta-fakta sendiri secara langsung, Anda perlu memvalidasi bahwa risiko yang disajikan oleh masalah tersebut cukup signifikan untuk dilaporkan dan ditangani dengan layak. Jangan mengajukan masalah demi mengangkat masalah. Sebaliknya, isu yang diangkat harus memberikan risiko signifikan bagi perusahaan. Pertimbangkan untuk mengurangi kontrol, dan pahami seluruh gambar sebelum menentukan apakah Anda memiliki masalah yang layak dilaporkan.
Kecuali dalam bisnis yang sangat diatur, ambil pendekatan yang sama dengan kepatuhan pada kebijakan internal. Meskipun jelas penting bagi auditor TI untuk meninjau sistem agar sesuai dengan kebijakan keamanan TI internal perusahaan, pendekatannya tetap harus berbasis risiko. Ada kalanya suatu sistem secara teknis melanggar kebijakan, tetapi pelanggaran itu tidak merepresentasikan risiko nyata baik untuk mengurangi kontrol atau sifat dari sistem tertentu. Dalam kasus seperti itu, apa nilai dari mengangkat masalah? Demikian juga, dalam banyak kasus, auditor harus menyampaikan kekhawatiran yang tidak ada hubungannya dengan kebijakan tetapi malah melibatkan risiko terhadap lingkungan spesifik yang sedang ditinjau. Jangan biarkan tim audit Anda menjadi tim kepatuhan kebijakan. Sebagai gantinya, Anda harus mempertimbangkan kebijakan serta semua faktor relevan lainnya dalam mengevaluasi risiko nyata terhadap lingkungan yang sedang ditinjau.
4. Pengembangan solusi
Setelah mengidentifikasi potensi masalah di area yang Anda audit dan telah memvalidasi fakta dan risiko, Anda dapat bekerja dengan pelanggan untuk mengembangkan rencana tindakan untuk mengatasi setiap masalah. Jelas, hanya mengangkat isu-isu yang dilakukan perusahaan tidak ada gunanya kecuali masalah-masalah itu benar-benar diatasi.
Tiga pendekatan umum digunakan untuk mengembangkan dan menugaskan item tindakan untuk mengatasi masalah audit:
a. Pendekatan rekomendasi
Pada pendekatan ini auditor mengangkat masalah dan memberikan rekomendasi untuk mengatasinya. Mereka kemudian bertanya kepada pelanggan apakah mereka setuju dengan rekomendasi tersebut dan, jika ya, kapan mereka akan menyelesaikannya.
b. Pendekatan manajemen respons
Pada pendekatan ini auditor mengembangkan daftar masalah dan kemudian melemparkannya ke pelanggan untuk merespon dan rencana tindakan mereka. Kadang-kadang auditor mengirim rekomendasi mereka untuk resolusi bersama dengan masalah, dan kadang-kadang mereka hanya mengirim masalah tanpa rekomendasi. Dengan kata lain, pelanggan seharusnya mengirim kembali tanggapan mereka, yang termasuk dalam laporan audit.
c. Pendekatan solusi
Pada pendekatan ini auditor mengembangkan solusi yang mewakili rencana aksi yang dikembangkan bersama dan disepakati untuk mengatasi masalah yang diangkat. Ini adalah kombinasi dari dua pendekatan sebelumnya, seperti halnya pendekatan rekomendasi, auditor menyediakan ide untuk resolusi berdasarkan pengetahuan kontrol mereka. Seperti halnya pendekatan manajemen-respons, pelanggan menyediakan ide untuk resolusi berdasarkan pengetahuan operasional reallife mereka. Hasilnya adalah solusi bahwa pelanggan “kepemilikan” dan itu memuaskan bagi auditor.
5. Laporan draf dan penerbitan
Setelah menemukan masalah di lingkungan yang diaudit, validasikan dengan pelanggan, dan mengembangkan solusi untuk mengatasinya, selanjutnya dapat menyusun laporan audit. Laporan audit merupakan bentuk dokumentasi dari hasil audit. Dalam hal ini ada dua fungsii utama yaitu :
• Berfungsi sebagai catatan audit, hasilnya dan rencana aksi yang dihasilkan.
• Untuk manajemen senior dan komite audit, berfungsi sebagai “kartu laporan” di area yang diaudit.
Ada tiga elemen penting dari laporan audit yaitu :
• Pernyataan ruang lingkup audit
• Ringkasan eksekutif
• Daftar masalah, bersama dengan rencana aksi untuk menyelesaikannya
6. Pelacakan masalah
Audit tidak benar-benar lengkap sampai masalah yang diangkat dalam audit diselesaikan, baik dengan resolusi yang diinginkan atau dengan diterima oleh tingkat manajemen yang sesuai. Departemen audit harus mengembangkan suatu proses di mana para anggotanya dapat melacak dan menindaklanjuti isu-isu sampai mereka terselesaikan. Ini kemungkinan akan melibatkan pemeliharaan database yang berisi semua poin audit dan tanggal jatuh tempo mereka, bersama dengan mekanisme untuk menandai mereka sebagai tertutup, terlambat, dan seterusnya.
Audit berperan penting dalam melakukan dan memimpin audit untuk bertanggung jawab dalam menindaklanjuti poin-poin dari audit tersebut dengan pelanggan yang bertanggung jawab sebagai tanggal jatuh tempo untuk setiap titik pendekatan. Auditor tidak boleh menunggu sampai poin jatuh tempo atau lewat jatuh tempo sebelum menghubungi pelanggan, tetapi harus berada dalam kontak reguler terkait status masalah. Ini melayani sejumlah tujuan. Pertama, memungkinkan auditor untuk berkonsultasi dengan pelanggan saat keputusan sedang dibuat. Kedua, memungkinkan auditor untuk diberitahu lebih awal jika solusi yang diterapkan tidak sesuai dengan harapan. Dengan cara ini, auditor dapat mencoba untuk mengalihkan kegiatan sebelum hal-hal diselesaikan. Ketiga, jika masalah tidak diselesaikan, itu memungkinkan departemen audit untuk mencoba mengatasi masalah sebelum titik menjadi terlambat. Jika ternyata masalah tidak ditangani seperti yang disetujui, auditor bertanggung jawab untuk memulai prosedur eskalasi bila diperlukan.
Teknik Audit
1. Auditing Entity-Level Kontrol
Membahas bagaimana mengaudit kontrol tingkat entitas, yang meresap di seluruh organisasi. Karena kontrol tingkat entitas sangat luas di seluruh organisasi, dan dapat mengauditnya berikut ini pembahasan audit teknologi informasi (TI) area seperti:
a. Perencanaan strategis dan peta jalan teknologi
b. Indikator kinerja dan metric
c. Proses persetujuan dan pemantauan proyek
d. Kebijakan, standar, dan prosedur
e. Manajemen karyawan
f. Pengelolaan aset dan kapasitas
g. Manajemen perubahan konfigurasi system
2. Pusat Data Audit dan Pemulihan bencana
Fasilitas pengolahan teknologi informasi (TI), biasanya disebut sebagai pusat data, merupakan inti dari sebagian besar operasi organisasi modern, yang mendukung hampir semua hal yang kritis aktivitas bisnis. Berikut ini merupakan langkah-langkah untuk mengaudit pusat data kontrol, termasuk bidang berikut:
• Keamanan fisik dan pengendalian lingkungan
Pusat data menggabungkan beberapa jenis kontrol berbasis fasilitas, yang biasa disebut sebagai keamanan fisik dan kontrol lingkungan, termasuk sistem kontrol akses fasilitas, sistem alarm, dan sistem pencegah kebakaran. Sistem ini dirancang untuk mencegah intrusi tanpa izin, mendeteksi masalah sebelum menyebabkan kerusakan, dan mencegah penyebaran api.
• Operasi pusat data
Meskipun pusat data dirancang untuk menjadi otomatis, mereka memang membutuhkan staf untuk beroperasi. Akibatnya, operasi pusat data harus diatur oleh kebijakan, rencana, dan prosedur. Auditor harus berharap untuk menemukan bidang-bidang berikut yang dicakup oleh kebijakan, rencana, dan prosedur:
a. Kontrol akses fisik
b. Pemantauan sistem dan fasilitas
c. Perencanaan fasilitas, peralatan, pelacakan, dan pemeliharaan
d. Prosedur respons untuk pemadaman, keadaan darurat, dan kondisi alarm
• Sistem dan ketahanan situs
Karena sistem komputer yang berada di pusat data dimanfaatkan untuk diotomatisasi fungsi bisnis, mereka harus tersedia setiap saat bisnis beroperasi. Karena itu, pusat data menggabungkan berbagai jenis kontrol untuk memastikan bahwa sistem tetap tersedia untuk melakukan operasi bisnis yang penting. Kontrol ini dirancang untuk melindungi daya, lingkungan komputasi, dan jaringan area luas (WAN).
• Kesiapsiagaan bencana
Semua pusat data rentan terhadap bencana alam dan buatan manusia. Sejarah menunjukkan hal itu ketika bencana melanda suatu pusat data, organisasi fasilitas-fasilitas seperti itu mulai berhenti berdecit. Tugas auditor adalah mengidentifikasi dan mengukur fisik dan administratif kontrol di fasilitas yang mengurangi risiko gangguan pemrosesan data, termasuk pengikut:
• Ketahanan sistem
• Cadangan dan pemulihan data
• Perencanaan pemulihan bencanaMengaudit Router, Switch, dan Firewall
3. Mengaudit Router, Switch, dan Firewall
Jaringan adalah latar belakang mendasar dari infrastruktur operasi TI , yang memungkinkan data melintang antara pengguna, penyimpanan data, dan pengolahan data. Router, switch, dan firewall bekerja sama untuk memungkinkan transfer data sekaligus melindungi jaringan, data, dan pengguna akhir. Berikut ini membahas bagaimana meninjau potongan-potongan kritis, infrastruktur sambil membantu untuk melakukannya sebagai berikut:
a. Mengungkap kompleksitas peralatan jaringan.
b. Memahami kontrol jaringan kritis.
c. Tinjau kontrol khusus untuk router, switch, dan firewall.
d. Mengaudit Windows
Sistem operasi Sistem operasi Windows telah berkembang dari awal yang sederhana dan berkembang menjadi salah satu sistem operasi paling umum di dunia untuk server dan klien, untuk mencakup komponen dasar dari audit server Windows dan mencakup audit cepat untuk Klien Windows, berikut pembahasan Audit server dan klien windows:
• Sejarah singkat pengembangan Windows
Microsoft dan IBM bekerja bersama untuk mengembangkan OS / 2 pada awal 1990-an, tetapi hubungan itu berubah menjadi suram. Microsoft dan IBM berpisah dan pergi arah terpisah, dengan Microsoft kemudian merilis Windows NT pada Juli 1993. Pasar server berevolusi dari Windows NT ke Windows Server 2000, Windows Server 2003, dan kemudian Windows Server 2008.
• Windows essentials: belajar tentang host target
• Bagaimana mengaudit server Windows
• Bagaimana mengaudit klien Windows
• Alat dan sumber daya untuk meningkatkan audit Windows Anda
4. Mengaudit Unix dan Linux
Sistem operasi membahas langkah-langkah yang diperlukan untuk mengaudit operasi berbasis Unix dan Linux sistem (juga disebut sebagai sistem nix) dan mencakup hal-hal berikut:
• Sejarah Unix dan Linux
Unix tanggal kembali ke 1969, ketika dikembangkan oleh karyawan di AT & T untuk tujuan menyediakan lingkungan di mana beberapa pengguna dapat menjalankan program. Keamanan yang kuat bukanlah salah satu tujuan pengembangannya. Pada akhir tahun 1970-an, mahasiswa di University of California, Berkeley, melakukan modifikasi ekstensif pada sistem AT & T Unix, menghasilkan varian Unified Software Distribution (BSD) Unix, yang menjadi sangat populer di kalangan akademis. Sekitar waktu yang sama, AT & T mulai mendorong untuk mengembangkan sistem operasi Unix menjadi produk komersial yang sah yang disebut AT & T System V (atau hanya System V). Selama tahun 1980-an, karena minat komersial terhadap sistem operasi Unix meningkat, perusahaan menghadapi dilema dalam memutuskan versi mana dari dua versi Unix yang akan diadopsi. Ultrix SunOS dan Digital Equipment Corporation Sun Microsystems didasarkan pada BSD.
Dari awal yang sederhana, hobiis pada tahun 1991, Linux tumbuh menjadi rilis 1.0 di 1994. Tetapi bahkan sebelum rilis 1.0, sejumlah “distribusi” Linux dikembangkan, menggabungkan kernel Linux dengan aplikasi dan utilitas sistem. Beberapa contoh distribusi populer saat ini adalah Red Hat, Ubuntu, Debian, SUSE, dan Gentoo.
• Perintah dasar untuk berkeliling di lingkungan Unix
• Bagaimana mengaudit sistem Unix dan Linux,
dengan fokus pada bidang utama berikut:
a. Manajemen akun dan kontrol kata sandi
b. File keamanan dan control
c. Keamanan dan kontrol jaringan
d. Audit log
e. Monitoring keamanan dan kontrol umum
f. Alat dan sumber daya untuk meningkatkan audit
5. Mengaudit Web Server dan Aplikasi Web
Pertumbuhan eksplosif di Internet juga mendorong pertumbuhan eksplosif alat pengembangan, bahasa pemrograman, web browser, database, dan berbeda model client-server. Hasil yang tidak menguntungkan adalah model kompleks yang sering dibutuhkan kontrol tambahan untuk mengamankan model. Berikut ini mencakup minimum mutlak seperangkat kontrol yang harus ditinjau ulang. Bab ini mencakup hal-hal berikut:
a. Bagaimana mengaudit server web
b. Bagaimana mengaudit aplikasi web
6. Mengaudit Database
Mengaudit Database membahas tentang audit lockbox informasi perusahaan.untukmelakukan audit pada komponen berikut yang mempengaruhi operasional keamanan penyimpanan data:
a. Perizinan database
b. Keamanan sistem operasi
c. Fitur kekuatan dan manajemen kata sandi
d. Aktivitas pemantauan
e. Database enkripsi
f. Database kerentanan, integritas, dan proses patching
7. Penyimpanan Audit
Penyimpanan audit dan dimulai dengan ikhtisar penyimpanan umum teknologi. Audit penyimpanan menggabungkan kekhawatiran platform dan datanya. Platform memiliki persyaratan kontrol yang sama seperti yang ditemukan di server. Data memiliki keunikan persyaratan kontrol karena perlunya menjaga kontrol yang sesuai dengan kelas data yang berbeda, dibawah ini mencakup hal-hal berikut:
a. Ikhtisar teknis singkat tentang penyimpanan
b. Bagaimana mengaudit lingkungan penyimpanan
c. Alat dan sumber daya untuk meningkatkan audit penyimpanan Anda
8. Mengaudit Virtualized Lingkungan
Inovasi dalam virtualisasi sistem operasi dan perangkat keras server diubah secara permanen jejak, arsitektur, dan operasi pusat data. Mengaudit lingkungan virtualisasi, dan dimulai dengan ikhtisar tentang virtualisasi umum teknologi dan kontrol tombol. Audit virtualisasi menggabungkan kekhawatiran hypervisor dan sistem operasi tamu. Meski fokus adalah hypervisor dan virtualisasi server, bisa menerapkan banyak langkah dan konsep yang sama untuk virtualisasi desktop ,membuat asumsi bahwa komponen sistem ini adalah di bawah kendali , “Mengaudit Komputasi Awan dan Operasi Outsourcing “untuk panduan bagaimana memastikan virtualisasi dari luar lingkungan dikelola dan diamankan dengan benar. Dibawah ini mencakup hal-hal berikut:
a. Sekilas singkat teknis virtualisasi
b. Bagaimana mengaudit lingkungan virtualisasi
c. Alat dan sumber daya untuk meningkatkan audit virtualisasi Anda
9. Mengaudit WLAN dan Telepon genggam
Mengaudit WLAN dan Telepon genggam yaitu dua audit terpisah, yang dimulai dengan jaringan area lokal nirkabel(WLAN) dan kemudian mencakup perangkat seluler yang mendukung data. Audit WLAN meliputi klien, komunikasi, jalur akses, dan faktor operasional yang memungkinkan WLAN aktif, jaringan Audit perangkat mobile data-enabled meliputi Blackberry, iPhone, Droid, dan perangkat data-enabled serupa dan infrastruktur yang mendukungnya. Pengikuttopik yang dibahas adalah:
• Latar belakang teknologi WLAN dan perangkat mobile
Pada tahun 1990, Institute of Electrical and Electronic Engineers (IEEE) membentuk kelompok untuk mengembangkan standar untuk peralatan nirkabel. Standar 802.11 lahir pada 26 Juni 1997, dibangun di atas lapisan fisik dan data-link dari model OSI untuk memungkinkan perangkat mobile untuk berkomunikasi secara nirkabel dengan jaringan kabel.
Anda mungkin mendengar Wi-Fi digunakan di tempat WLAN. Wi-Fi adalah merek yang awalnya dilisensikan oleh Aliansi Wi-Fi untuk menggambarkan teknologi yang mendasari berdasarkan spesifikasi IEEE 802.11. Istilah Wi-Fi digunakan secara luas, dan merek tidak lagi terlindungi. Aliansi Wi-Fi awalnya dimulai sebagai inisiatif untuk membantu membawa interoperabilitas ke semakin banyak perangkat yang menggunakan implementasi yang berbeda dari teknologi 802.11. Tabel 11-1 referensi teknologi nirkabel yang paling umum digunakan dalam lingkungan perusahaan. Ketahuilah bahwa beberapa standar lain dalam keluarga 802.11 ada, dan yang tercantum di sini adalah yang paling sering dirujuk untuk penggunaan komersial.
• Masalah audit penting untuk teknologi ini
• Langkah dan saran teknis utama mengenai bagaimana mendekati teknologi.
• Langkah operasional yang diperlukan agar teknologi ini beroperasi secara efisien di jaringan anda.
10. Permohonan Audit
Setiap aplikasi unik, apakah mendukung fungsi keuangan atau operasional, dan oleh karena itu masing-masing memiliki seperangkat persyaratan kontrol tersendiri. Tidak mungkin dokumen persyaratan kontrol spesifik yang akan berlaku untuk setiap aplikasi. Namun, akan menjelaskan beberapa pedoman pengendalian umum yang seharusnya berkenaan dengan aplikasi apapun terlepas dari fungsinya, bahasa pemrogramannya, dan platform teknologi. Topik-topik berikut dibahas dalam bab ini:
1. Komponen penting dari audit aplikasi
2. Bagaimana menelusuri kemungkinan masalah dengan kerangka kerja dan konsep kunci
3. Langkah terperinci untuk mengaudit aplikasi, termasuk yang berikut ini:
• Kontrol input
• Kontrol antarmuka
• Jejak audit
• Kontrol akses
• Kontrol perubahan perangkat lunak
• Backup dan pemulihan
• Retensi data dan klasifikasi dan keterlibatan pengguna
11. Mengaudit Komputasi Awan dan Outsource Operasi
Mengaudit Komputasi Awan dan Outsource Operasi adalah kunci yang harus dicari saat mengaudit TI operasi yang telah dialihkan ke perusahaan eksternal, termasuk yang berikut ini:
• Definisi komputasi awan dan bentuk lain dari outsourcing TI
Institut Nasional Standar dan Teknologi (NIST) mendefinisikan komputasi awan sebagai “model untuk memungkinkan akses jaringan on-demand yang nyaman ke kumpulan sumber daya komputasi yang dapat dikonfigurasi (misalnya, jaringan, server, penyimpanan, aplikasi, dan layanan) yang dapat dengan cepat ditetapkan dan dirilis dengan upaya manajemen minimal atau interaksi penyedia layanan. ”
• SAS 70 melaporkan
Ketika mengaudit vendor, Anda perlu memahami SAS (Pernyataan tentang Standar Auditing) 70 laporan. SAS 70 adalah standar audit yang dikembangkan oleh American Institute of Certified Public Accountants (AICPA) untuk menangani organisasi layanan. Ini pada dasarnya memberikan standar di mana organisasi layanan (seperti yang menyediakan layanan TI) dapat menunjukkan efektivitas kontrol internal mereka tanpa harus membiarkan setiap pelanggan mereka untuk datang dan melakukan audit mereka sendiri.
Tanpa standar ini, organisasi jasa akan mengeluarkan volume sumber daya yang berlebihan yang menanggapi permintaan audit dari setiap pelanggan. Dengan standar ini, organisasi layanan dapat menyewa auditor layanan independen bersertifikat (seperti Ernst & Young) untuk melakukan audit SAS 70 dan mengeluarkan laporan. Laporan ini dapat disajikan kepada setiap pelanggan yang membutuhkan bukti efektivitas pengendalian internal organisasi layanan.
• Kontrol seleksi vendor
• Item untuk disertakan dalam kontrak vendor
• Persyaratan keamanan data
• Masalah operasional
• Masalah hukum dan kepatuhan peraturan
12. Proyek Perusahaan Audit
Proyek Perusahaan Audit adalah kontrol kunci yang harus dicari saat mengaudit proses yang digunakan untuk mengelola proyek perusahaan, termasuk memahami hal-hal berikut yang berkaitan dengan manajemen proyek audit teknologi informasi:
• Kunci keberhasilan manajemen proyek
Audit proyek dilakukan untuk mengidentifikasi risiko terhadap keberhasilan proyek-proyek perusahaan. Bab ini khusus membahas proyek-proyek TI (seperti pengembangan perangkat lunak, penyebaran infrastruktur, dan penerapan aplikasi bisnis), tetapi konsep-konsepnya bisa berlaku untuk segala jenis proyek.
• Kebutuhan pengumpulan dan desain awal
• Desain dan pengembangan system
• Pengujian
• Implementasi
• Pelatihan
• Membungkus proyek
Regulasi Audit
Uji kepatutan (compliance test) dilakukan dengan menguji kepatutan Prooses TI dengan melihat kepatutan proses yang berlangsung terhadap standard dan regulasi yang berlaku. Kepatutan tersebut dapat diketahui dari hasil pengumpulan bukti.
Adapun langkah-langkah yang dilakukan dalam uji tersebut antara lain akan dipaparkan sebagai berikut:
1. Tahapan Pengidentifikasian Objek yang Diaudit
Tujuan dari langkah ini agar pengaudit mengenal lebih jauh terkait dengan hal-hal yang harus dipenuhi dalam objektif kontrol yang membawa kepada penugasan kepada pihak-pihak yang bertanggung jawab. Aktivitas yang berlangsung juga termasuk pengidentifikasian perihal pengelolaan aktivitas yang didukung TI memenuhi objektif kontrol terkait.
2. Tahapan Evaluasi Audit
Tujuan dari tahapan ini adalah untuk mendapatkan prosedur tertulis dan memperkirakan jika prosedur yang ada telah menghasilkan struktur kontrol yang efektif. Uji kepatutan yang dilakukan pada tahapan ini yaitu mengevaluasi pemisahan tanggung jawab yang terkait dengan pengelolaan SI/TI. Dari hasil evaluasi ditemukan terdapat pemisahan terhadap tugas dan tanggung jawab yang harus dilakukan oleh masing-masing pihak yang bersangkutan.
Pengantar Legislasi Terkait dengan Kontrol Internal
Sifat global bisnis dan teknologi mendorong kebutuhan akan standar dan peraturan yang mengatur bagaimana perusahaan bekerja bersama dan bagaimana informasi dibagikan. Strategis dan kemitraan kolaboratif telah berevolusi dengan badan-badan seperti Organisasi Internasional Standardisasi (ISO), Komisi Elektroteknik Internasional (IEC), International Telecommunication Union (ITU), dan Organisasi Perdagangan Dunia (WTO). Partisipasi dalam badan-badan standar ini telah bersifat sukarela, dengan kesamaan tujuan mempromosikan perdagangan global untuk semua negara. Masing-masing negara telah melangkah lebih jauh untuk membentuk kontrol pemerintah atas kegiatan bisnis perusahaan beroperasi dalam batas-batas mereka.
Dampak Regulasi pada Audit TI
Peraturan dampak pada audit TI berkembang sebagai bisnis yang beradaptasi dengan kompleksitas untuk mematuhi beberapa otoritas. Selama dekade terakhir, pemerintah AS telah melewati berbagai tindakan privasi khusus industri dan peraturan lainnya. Masing-masing telah lulus dengan maksud melindungi konsumen bisnis. Akibatnya, internal dan kelompok audit eksternal diberi tugas untuk meninjau ulang proses dan prosedur bisnis memastikan ada kontrol yang sesuai yang melindungi kepentingan bisnis dan konsumen.
Pertimbangkan Rantai Nilai Porter yang ditunjukkan pada Gambar 17-1. Masing-masing komponen fungsional bisnis saat ini terus menarik tuntutan kemitraan yang lebih tinggi pada organisasi TI untuk mendukung proses bisnis. Koneksi yang saling terkait antara TI kontrol dan fungsi bisnis pendukungnya telah membuat upaya besar untuk ikat kontrol TI spesifik untuk proses bisnis yang ada dan yang baru. Upaya tersebut terdiri anggota parlemen berusaha melindungi konsumen, layanan keuangan mencoba melindungi aset mereka, vendor yang membantu mencoba menjual lebih banyak produk, dan bisnis yang berusaha mematuhi persyaratan yang tampaknya berkembang dan tidak konsisten.
Asosiasi Internasional Auditor Internal (IIA) dan Informasi Internasional Sistem Audit dan Pengendalian Asosiasi (ISACA) mempublikasikan pedoman untuk membantu anggota kelompok audit internal dan eksternal ini dalam membentuk kontrol umum dan proses audit. Teknologi dapat mempengaruhi setiap bagian dari bisnis. Diarahkan, dikontrol, dan efisien, yang terbaik, teknologi menawarkan keunggulan kompetitif. Yang terburuk, teknologi adalah keunggulan pesaing Anda ketika Anda tidak memiliki kegiatan yang sesuai dan proses di tempat untuk memastikan tata kelola, manajemen risiko, atau kepatuhan manajemen teknologi dan organisasi.
Standard dan Kerangka Kerja Audit
Kerangka danStandar seiring perkembangan teknologi informasi (IT) selama akhir abad ke-20, IT departemen dalam setiap organisasi biasanya mengembangkan metode sendiri untuk mengelola operasi. Akhirnya, kerangka kerja dan standar muncul untuk memberikan panduan bagi pengelolaan dan evaluasi proses TI. Beberapa kerangka kerja dan standar yang paling menonjol saat ini terkait dengan penggunaan teknologi.
Dibawah ini akan mencakup hal berikut:
• Pengantar pengendalian, kerangka kerja, dan standar internal TI
• Komite Organisasi Sponsor (COSO)
• Tujuan Pengendalian Informasi dan Teknologi Terkait (COBIT)
• IT Infrastructure Library (ITIL)
• ISO 27001
• Metodologi Penilaian INFOSEC Keamanan Nasional (Security Security Agency / NSA)
• Kerangka dan trend standar
Pengantar Kontrol, Kerangka, dan Standar TI Internal
Pada 1970-an, kekhawatiran akan meningkatnya kebangkrutan perusahaan dan keruntuhan keuangan mulai meningkatkan permintaan akan pertanggungjawaban dan transparansi di antara perusahaan publik. Foreign Cornupt Practices Act of 1977 (FCPA) mengkriminalisasi penyuapan di luar negeri dan merupakan peraturan pertama yang mengharuskan perusahaan untuk menerapkan program pengendalian internal untuk menyimpan catatan transaksi yang ekstensif untuk tujuan pengungkapan.
Ketika industri simpan pinjam ambruk pada pertengahan tahun 1980an, ada seruan untuk mengawasi standar akuntansi dan profesi auditing pemerintah. Dalam upaya untuk mencegah intervensi pemerintah, inisiatif sektor swasta independen, yang kemudian disebut Komite Sponsoring Organizations (COSO), dimulai pada tahun 1985 untuk menilai bagaimana cara terbaik untuk meningkatkan kualitas pelaporan keuangan. COSO meresmikan konsep pengendalian internal dan kerangka kerja pada tahun 1992 saat menerbitkan publikasi penting Kerangka Pengendalian Internal. Sejak saat itu, asosiasi profesional lainnya terus mengembangkan kerangka kerja dan standar tambahan untuk memberikan panduan dan praktik terbaik kepada konstituen mereka dan komunitas TI secara umum.
Gaya standar dan Kerangka Kerja
Persyaratan dan praktik bisnis sangat bervariasi di seluruh dunia, seperti juga kepentingan politik dari banyak organisasi yang menciptakan standar. Kemungkinan besar kerangka kerja dan standar tunggal akan muncul dalam waktu dekat untuk memenuhi kebutuhan setiap orang. Kompleksitas pemetaan ratusan dokumen otoritas dari peraturan (internasional, nasional, lokal / negara bagian, dan sebagainya) dan standar (ISO, industri spesifik, vendor, dan sebagainya) menciptakan peluang dan ceruk pasar. Vendor teknologi dengan tepat mengidentifikasi ceruk pasar yang penting ini, atau pembeda, untuk meningkatkan penjualan produk dengan mengidentifikasi bagaimana cara mendapatkan produk mereka untuk memenuhi persyaratan otoritas. Vendor melompat pada kesempatan untuk memetakan kemampuan mereka untuk menangani kontrol spesifik dari beberapa peraturan dan standar.
Jaringan Frontiers mungkin adalah perusahaan yang paling terkenal yang mencoba hal yang tidak mungkin: membuat pemetaan umum kontrol TI di setiap peraturan, standar, dan praktik terbaik yang ada. Hasilnya disebut IT Unified Compliance Kerangka. Selanjutnya, ini pemetaan diadopsi oleh Archer Technologies, Microsoft, Computer Associates, McAfee, dan beberapa vendor lainnya untuk membantu menjembatani penyelarasan kontrol yang dikelola atau dilacak oleh vendor dengan persyaratan dokumen otoritas individual.
Satu sudut pandang menunjukkan kerangka adopsi tunggal akan menyederhanakan teknologi pengembangan produk, struktur organisasi, dan tujuan pengendalian. Yang lain sudut pandang menunjukkan bahwa kompleksitas kepentingan regional, politik, bisnis, budaya, dan kepentingan yang berbeda memastikan kerangka kontrol yang diterima secara universal tidak akan pernah tercipta. Kebenaran mungkin terletak di suatu tempat di tengahnya. Meskipun satu set standar internasional tidak dapat dipastikan, alat yang dijelaskan dalam bab ini tetap berfungsi untuk menciptakan infrastruktur teknologi yang andal, aman, dan berkelanjutan yang pada akhirnya menguntungkan para peserta.
Manajemen Resiko
Beberapa tahun yang lalu, firewall dan perangkat lunak antivirus adalah sebagian besar organisasi digunakan untuk mengurangi risiko TI. Namun, dalam beberapa tahun terakhir, lanskap ancaman telah berubah sangat. Saat ini, ancaman orang dalam lebih terasa, ribuan variannya malware didistribusikan, dan pemerintah telah memberlakukan undang-undang yang mewajibkan implementasi berbagai kontrol. Akibatnya, proses manajemen risiko formal sekarang harus menjadi bagian dari setiap program audit TI.
Mengatasi Resiko
Resiko dapat diatasi dengan tiga cara: menerimanya, mengurangi, atau mentransfernya. Yang sepantasnya metode sepenuhnya tergantung pada nilai finansial dari risiko versus investasi diperlukan untuk menguranginya ke tingkat yang dapat diterima atau mentransfernya ke pihak ketiga. Sebagai tambahannya Kontrol preskriptif, peraturan seperti HIPAA / HITECH dan PCI mengharuskan organisasi tersebut menilai risiko terhadap informasi yang dilindungi dan menerapkan pengendalian yang wajar mengurangi risiko ke tingkat yang dapat diterima.
Penerimaan Resiko
Nilai finansial suatu risiko seringkali lebih kecil daripada biaya mitigasi atau transfer. Dalam hal ini, pilihan yang paling masuk akal adalah menerima risiko. Namun, jika organisasi memilih untuk menerima risiko, itu harus menunjukkan bahwa risiko memang dinilai dan mendokumentasikan alasan di balik keputusan tersebut.
Transfer Resiko
Industri asuransi didasarkan pada transferensi risiko. Organisasi sering membeli asuransi untuk menutupi biaya pelanggaran keamanan atau bencana sistem outage. Ini penting untuk perhatikan bahwa perusahaan asuransi yang menawarkan jenis kebijakan ini sering mewajibkan kebijakan tersebut pemegang menerapkan kontrol tertentu. Gagal mematuhi persyaratan control dapat membatalkan kebijakan Bila pengelolaan sistem TI dialihkan ke pihak ketiga, tingkat tertentu risiko dapat ditransfer secara kontrak ke pihak ketiga juga. Dalam kasus ini, itu adalah tanggung jawab organisasi meng-outsource sistemnya untuk memverifikasi bahwa risiko TI berkurang ke tingkat yang dapat diterima dan bahwa perusahaan yang mengelola sistemnya memiliki keuangan Kekuatan untuk menutupi kerugian harus terjadi.
Analisis Risiko Kuantitatif dan Kualitatif
Risiko dapat dianalisis dengan dua cara: kuantitatif dan kualitatif. Seperti hal lainnya,masing memiliki kelebihan dan kekurangan. Dimana pendekatan kuantitatif lebih banyak obyektif dan mengungkapkan risiko secara finansial sehingga pengambil keputusan bisa lebih mudah membenarkan, juga lebih menyita waktu. Pendekatan kualitatif lebih cocok untuk ditampilkan pandangan berlapis risiko, tapi bisa lebih subjektif dan karena itu sulit untuk dibuktikan.
Organisasi dengan program manajemen risiko yang lebih sukses cenderung mengandalkan lebih banyak pada analisis risiko kualitatif untuk mengidentifikasi area fokus dan kemudian menggunakan kuantitatif teknik analisis risiko untuk membenarkan pengeluaran mitigasi risiko.
Siklus Hidup Manajemen Risiko TI dimulai dengan identifikasi aset informasi dan berpuncak pada manajemen PT risiko residual.
Fase spesifiknya adalah sebagai berikut:
1. Mengidentifikasi aset informasi
Tahap pertama dalam siklus pengelolaan risiko adalah mengidentifikasi informasi organisasi aktiva. Tujuan dari tahap ini adalah untuk mengidentifikasi semua aset informasi dan menetapkan setiap informasi. Aset merupakan nilai kekritisan yang tinggi, sedang, atau rendah untuk kerahasiaan, integritas, dan persyaratan ketersediaan. Agar sukses, hal yang harus diselesaikan ada beberapa tugas:
• Tentukan nilai kekritisan informasi.
• Mengidentifikasi fungsi bisnis.
• Proses informasi peta.
• Mengidentifikasi aset informasi.
• Tetapkan nilai kekritisan pada aset informasi.
2. Mengukur dan memenuhi syarat ancaman
Tahap siklus pengelolaan risiko ini memerlukan langkah-langkah berikut:
• Menilai ancaman bisnis.
• Mengidentifikasi ancaman teknis, fisik, dan administratif.
• Mengukur dampak dan kemungkinan ancaman.
• Mengevaluasi arus proses untuk kelemahan.
• Mengidentifikasi ancaman komponen-komponen.
3. Menilai kerentanan
Kita akan menggunakan langkah-langkah berikut dalam menganalisis kerentanan:
• Identifikasi kontrol yang ada dalam kaitannya dengan ancaman.
• Tentukan gap kontrol komponen proses.
• Gabungkan celah kontrol ke dalam proses dan kemudian fungsi bisnis.
• Kategorikan kesenjangan kontrol dengan tingkat keparahan.
• Tetapkan peringkat risiko.
4. Remediate control gap
Pada titik ini, risiko harus dikategorikan tinggi, menengah, atau rendah. Gunakan langkah-langkah berikut dalam remisiasi gap:
• Pilih kontrol.
• Melaksanakan kontrol.
• Validasi kontrol baru.
• Hitung ulang peringkat risiko
• Mengelola risiko residual, Fase ini terdiri dari dua tahap:
• Buat garis dasar risiko
• Menilai kembali risiko
REFERENSI :
IT AUDITING – USING CONTROLS TO PROTECT INFORMATION ASSETS BY CHRIS DAVIS AND MIKE SCHILLER, MCGROWHILL, 2011.
Tidak ada komentar:
Posting Komentar