Audit
Teknologi Sistem Informasi
Audit Proyek Perusahaan
Audit Proyek Perusahaan
(Auditing Company Projects)
Disusun Oleh :
1.
Ananda Rizky Desmansyah (10114992)
2.
Arieq Hanif (11114576)
3.
Hari Angga (14114788)
4.
Muhammad Syahrul Ramadhan (17114557)
5.
Nabhila Ayu Azzahra (17114701)
Kelas :
4KA30
Dosen :
Ardisa Pramudhita
UNIVERSITAS GUNADARMA
SISTEM INFORMASI
PTA 2017/2018
1. Konsep Audit
Definisi
Audit Teknologi Informasi
Audit TI adalah audit
teknologi informasi, sistem komputer, dan sejenisnya.
Misi
departemen audit internal ada dua:
• Memberikan jaminan
independen kepada komite audit (dan manajemen senior) bahwa pengendalian
internal dilakukan di perusahaan dan berfungsi secara efektif.
• Untuk memperbaiki
keadaan pengendalian internal di perusahaan dengan mempromosikan kontrol
internal dan dengan membantu perusahaan mengidentifikasi kelemahan pengendalian
dan mengembangkan solusi hemat biaya untuk mengatasi kelemahan tersebut.
Empat
Metode untuk Konsultasi dan Keterlibatan Awal
Di sini akan dibahas
empat metode untuk mempromosikan pengendalian internal di perusahaan di luar
audit formal Anda:
Keterlibatan
awal
Setiap perusahaan
manufaktur akan memberi tahu Anda bahwa lebih murah untuk membangun kualitas
menjadi produk daripada mencoba menambahkannya setelah terjadi. Kontrol
internal adalah cara yang sama: Setelah Anda membuat sebuah sistem, mengujinya,
dan menerapkannya, akan jauh lebih mahal untuk kembali dan mengubahnya daripada
jika Anda melakukannya dengan benar pada kali pertama. Sebagai auditor, Anda
juga cenderung menghadapi hambatan setelah penerapan. Setiap orang telah
beralih ke proyek lain, dan tidak ada yang termotivasi untuk kembali dan
melakukan perubahan pada proyek yang telah selesai. Di sisi lain, jika Anda
dapat memberikan persyaratan pengendalian internal sejak awal proses, mereka
menjadi bagian lain dari lingkup proyek kepada pelaksana, dan mereka tidak
terlalu mempedulikannya (asalkan persyaratan pengendaliannya masuk akal).
Audit
Informal
Terdiri dari langkah-langkah dasar
berikut:
1. Bagian audit harus
menyetujui waktu dan ruang lingkup kajian informal dengan orang-orang yang akan
diaudit.
2. Auditor yang akan
melakukan review harus membuat daftar periksa dasar daerah yang akan diperiksa.
(Daftar periksa di sepanjang buku ini memberikan titik awal yang baik).
3. Auditor menjalankan
langkah-langkah tersebut, mencatat sesuai kebutuhan namun tidak membuat kertas
kerja untuk ditinjau. Catatan tidak perlu disimpan setelah audit selesai. Ingat
bahwa kecepatan adalah intinya, dan ini adalah pertunangan konsultasi, bukan
review audit formal. Jika Anda tidak merasa nyaman dengan hal ini, Anda akan
terjebak dalam dokumentasi dan proses, kehilangan fleksibilitas untuk melakukan
ulasan semacam ini secara efektif.
4. Pada akhir proyek,
auditor mengumpulkan semua masalah dari tinjauan.
5. Auditor mengadakan
pertemuan tanya jawab dengan orang-orang yang diaudit untuk mendiskusikan
masalah tersebut dan berkonsultasi tentang seberapa serius permasalahan dan
potensi sarana untuk mengatasinya.
6. Auditor
mendokumentasikan daftar akhir masalah, disertai pemikiran yang relevan untuk
menyelesaikannya, dalam sebuah memo. Memo ini tidak perlu menyertakan tanggal
jatuh tempo dan dapat mencakup peringatan yang disebutkan sebelumnya (misalnya,
ini bukan audit formal, kami tidak akan melacak masalah, dan sebagainya). Memo
tersebut juga harus menunjukkan kesediaan auditor untuk terus berkonsultasi
dengan tim karena menangani item ini.
7. Auditor mengeluarkan
memo dan arsipnya secara elektronik untuk referensi di kemudian hari.
Knowledge
Sharing
Bagian audit internal
harus kreatif dalam menemukan cara baru untuk berbagi pengetahuan uniknya
dengan bagian perusahaan lainnya. Tentu saja, sebagian besar knowledge sharing
harus terjadi saat Anda melakukan audit, saat Anda melakukan konsultasi ulasan,
dan saat Anda memberikan masukan sebagai bagian dari aktivitas keterlibatan
awal Anda. Berikut adalah tiga peluang utama untuk mendapatkan nilai tambahan
dari situs web departemen audit.
- Pedoman Pengendalian
Ini tidak hanya akan
membantu orang mempersiapkan audit Anda, namun juga akan memberikan informasi
yang sangat baik bagi orang lain di perusahaan yang mungkin tertarik namun
tidak memiliki rencana untuk mengaudit.
- Isu Umum, Praktik Terbaik, dan
Solusi Inovatif
Auditor berada dalam
posisi yang unik karena mereka dapat meninjau proses dan teknologi yang ada di
seluruh perusahaan, sehingga memungkinkan mereka mencatat tren dan
membandingkan dan membedakan berbagai organisasi.
Sayangnya, mereka jarang
meluangkan waktu untuk mempertimbangkan bagaimana hasil audit mungkin berguna
bagi organisasi sejenis lainnya di perusahaan
Banyak hasil audit tidak
berlaku untuk organisasi lain. Di sisi lain, di sebagian besar perusahaan,
beberapa fungsi dilakukan oleh beberapa organisasi terdesentralisasi. Misalnya,
mungkin administrasi Unix dilakukan di setiap situs perusahaan oleh orang-orang
IT situs. Dalam kasus seperti itu, hasil audit keamanan Unix di satu situs bisa
sangat berguna jika dibagikan dengan administrator Unix di semua situs lainnya.
Hasil ini dapat membantu mereka untuk menganalisis kontrol mereka sendiri untuk
memastikan bahwa mereka tidak memiliki masalah yang sama. Dengan cara ini, satu
audit Anda dapat berdampak pada organisasi lain beberapa bulan atau tahun
sebelum Anda benar-benar bisa mengauditnya.
Gunakan perspektif
perusahaan secara keseluruhan untuk menyusun praktik terbaik dan solusi
inovatif dari audit terdahulu. Saat melakukan audit, Anda mungkin menemukan
bahwa kelompok telah menerapkan kontrol dengan sangat baik, atau kelompok
mungkin telah mengembangkan solusi inovatif untuk masalah yang umumnya
ditemukan di situs atau kelompok lain. Informasi ini juga harus dikompilasi dan
dibagi melalui website dan e-mail. Ini akan membantu orang lain memperbaiki
kontrol mereka dan menyelesaikan masalah yang mungkin mereka hadapi di
lingkungan mereka sendiri.
- Tools
Apakah Anda memiliki
tools audit yang Anda gunakan dalam melakukan audit Anda? Mengapa tidak membuat
tools tersebut tersedia bagi orang lain di perusahaan sehingga mereka bisa
menilai dirinya sendiri jika diinginkan? Misalnya, jika Anda menggunakan alat
pemindaian kerentanan untuk meninjau keamanan berbagai perangkat di perusahaan,
pertimbangkan untuk membuat alat yang tersedia melalui situs web Anda, beserta
beberapa dokumentasi dasar "bagaimana caranya". Tentu saja, masalah
perizinan harus dipertimbangkan, tapi ini perlu diselidiki. Ini adalah cara
lain untuk mempromosikan kontrol internal, memungkinkan orang menilai dirinya
sendiri. Jika Anda menggunakan alat sumber terbuka, pertimbangkan untuk
menyediakan tautan ke situs web tempat alat tersebut dapat diambil. Ini semua
adalah bagian dari berbagi pengetahuan dan keahlian Anda.
Penilaian
diri
Konsep lain untuk
mempromosikan kontrol di luar audit formal adalah penilaian sendiri. Pada keseluruhan
buku telah ditulis mengenai konsep ini, dan terserah pada masing-masing
departemen audit untuk menentukan apakah ia ingin menerapkan model
self-assessment kontrol secara formal. Kami tidak akan membahas detail proses
ini di sini. Namun, secara konseptual, memfasilitasi sebuah organisasi dalam
menilai dirinya sendiri adalah alat potensial lain untuk toolkit Anda. Ini bisa
sesederhana berjalan melalui pedoman kontrol Anda dan menanyakan kepada
organisasi apakah telah menerapkan setiap kontrol atau tidak. Hal ini dapat
menyebabkan dialog yang sehat mengenai tujuan setiap kontrol dan tingkat
mitigasi apa yang benar-benar diperlukan.
Peran
Tim Audit TI
Sejumlah variasi dan
interpretasi ada mengenai peran kelompok audit TI dalam keseluruhan fungsi
audit. Kita akan melihat beberapa model:
• Auditor Aplikasi
Kebanyakan dari kelompok
audit TI sebenarnya sama sekali bukanlah kelompok audit TI. Kelompok-kelompok
ini pada umumnya tidak berisi auditor TI yang sesungguhnya, namun terdiri dari
orang-orang bisnis atau keuangan yang tahu bagaimana menggunakan sistem
aplikasi bisnis. Tim audit ini fokus hampir hanya pada lapisan aplikasi. Mereka
melakukan pekerjaan yang sangat teliti untuk memastikan bahwa akses terkontrol
dengan benar dan bahwa pemisahan tugas tidak ada. Mereka mungkin akan melakukan
pekerjaan dengan baik untuk memastikan bahwa perubahan yang tidak sah terhadap
aplikasi tidak dapat terjadi dan bahwa kontrol yang baik tersedia untuk
memastikan integritas data dimasukkan ke dalam sistem. Namun, mereka kehilangan
sebagian besar atau seluruh lapisan lainnya, yang berarti bahwa mereka hanya
melihat sebagian gambar saja. Mereka tidak meninjau kontrol dasar yang
digunakan oleh semua sistem, seperti keamanan jaringan dan lingkungan sistem
operasi. Mereka fokus pada lapisan aplikasi karena hanya itu yang mereka
pahami.
• Spesialis ekstraksi dan analisis
data
Masih ada kelompok audit
TI lainnya yang menghabiskan sebagian besar waktu mereka untuk menarik data dan
menganalisisnya. Mereka cenderung ahli dalam ekstraksi data dan alat analisis,
seperti Audit Command Language (ACL), namun sebenarnya bukan auditor dalam arti
tradisional kata tersebut. Jenis auditor ini bisa menjadi bagian yang berharga
dari departemen audit, namun jika semuanya merupakan keseluruhan fungsi audit
TI, Anda kehilangan banyak risiko.
• Auditor IT
Bagian lain memiliki
auditor TI yang menghabiskan sebagian besar waktunya untuk memusatkan perhatian
pada area di bawah lapisan aplikasi di tumpukan. Mereka memastikan bahwa
infrastruktur inti yang mendukung sistem perusahaan memiliki keamanan dan
kontrol yang tepat. Tim audit ini umumnya terdiri dari profesional TI, berbeda
dengan orang-orang bisnis yang mengerti bagaimana menggunakan sistem aplikasi.
Lapisan database dan di bawahnya merupakan domain dari auditor TI ini, dan
audit aplikasi didorong oleh auditor keuangan dengan dukungan yang diberikan
oleh auditor TI sesuai kebutuhan. Misalnya, auditor TI mungkin melihat lapisan
database dan di bawahnya saat mereka menerapkan aplikasi spesifik tersebut (dengan
asumsi item tersebut belum dibahas sebelumnya dalam audit berskala lebih besar
di lingkungan TI). Selain itu, auditor TI dapat membantu untuk meninjau
beberapa kontrol aplikasi umum, seperti kontrol perubahan dan administrasi
akses sistem secara keseluruhan.
Bidang
subjek yang kemungkinan ditinjau oleh kelompok audit TI.
• Fasilitas pusat data
Ini, cukup
sederhana, adalah bangunan fisik dan pusat data yang menyimpan peralatan
komputer yang menjadi lokasi sistem yang bersangkutan.
• Jaringan
Hal ini memungkinkan
sistem dan pengguna lain berkomunikasi dengan sistem yang bersangkutan saat
mereka tidak memiliki akses fisik terhadapnya. Lapisan ini mencakup perangkat
jaringan dasar seperti firewall, switch, dan router.
• Platform sistem
Ini menyediakan lingkungan
operasi dasar dimana aplikasi tingkat tinggi berjalan. Contohnya adalah sistem
operasi seperti Unix, Linux, dan Windows.
• Database
Alat ini mengatur dan
menyediakan akses ke data yang dijalankan oleh aplikasi akhir.
• Aplikasi
Ini adalah aplikasi akhir,
yang sebenarnya dilihat dan diakses oleh pengguna akhir. Ini bisa berupa
aplikasi perencanaan sumber daya perusahaan (ERP) yang menyediakan fungsi
bisnis dasar, aplikasi e-mail, atau sistem yang memungkinkan ruang konferensi
dijadwalkan.
2. Proses Audit.
Kontrol
Internal
Kontrol internal, yang
dinyatakan dalam istilah yang paling sederhana, adalah mekanisme yang menjamin
berfungsinya proses di dalam perusahaan. Setiap sistem dan proses dalam
perusahaan ada untuk beberapa tujuan bisnis tertentu. Auditor harus mencari
adanya risiko terhadap tujuan tersebut dan kemudian memastikan bahwa
pengendalian internal diterapkan untuk mengurangi risiko tersebut.
Jenis
Pengendalian Internal
Kontrol bisa bersifat preventif,
detektif, atau reaktif
Kontrol
Pencegahan
Kontrol pencegahan
menghentikan kejadian buruk terjadi. Misalnya, membutuhkan user ID dan password
untuk akses ke sistem adalah kontrol preventif. Ini mencegah (secara teoritis)
orang-orang yang tidak berwenang mengakses sistem ini. Dari sudut pandang teoritis,
kontrol preventif selalu disukai, karena alasan yang jelas. Namun, saat Anda
melakukan audit, ingatlah bahwa kontrol pencegahan tidak selalu merupakan
solusi yang paling efektif biaya, dan jenis kontrol lainnya mungkin lebih masuk
akal dari sudut pandang biaya / manfaat.
Kontrol
Detektif
Kontrol detektif merekam
kejadian buruk setelah kejadian itu terjadi. Misalnya, mencatat semua aktivitas
yang dilakukan pada sistem akan memungkinkan Anda meninjau log untuk mencari
aktivitas yang tidak tepat setelah acara berlangsung.
Kontrol
Reaktif (alias Kontrol Korektif)
Kontrol reaktif turun
antara kontrol preventif dan detektif. Mereka tidak mencegah terjadinya
kejadian buruk, namun secara sistematis mereka mendeteksi kapan kejadian buruk
tersebut terjadi dan memperbaiki situasi, itulah sebabnya mereka kadang-kadang
disebut kontrol korektif. Misalnya, Anda mungkin memiliki sistem antivirus
pusat yang mendeteksi apakah setiap pengguna PC memiliki file tanda tangan
terbaru yang terpasang.
Enam tahap audit utama terdiri dari:
1.
Perencanaan
Tujuan dari proses
perencanaan adalah untuk menentukan tujuan dan ruang lingkup audit. Anda perlu
menentukan apa yang ingin Anda capai dengan ulasannya. Sebagai bagian dari
proses ini, Anda harus mengembangkan serangkaian langkah yang harus dijalankan
untuk mencapai tujuan audit. Proses perencanaan ini memerlukan penelitian,
pemikiran, dan pertimbangan yang cermat untuk setiap audit. Berikut adalah
beberapa sumber dasar yang harus dirujuk sebagai bagian dari setiap proses
perencanaan audit:
• Hand-off dari manajer
audit
• Survei pendahuluan
• Permintaan pelanggan
• Daftar periksa standar
• Penelitian
2.
Kerja lapangan dan dokumentasi
Sekarang, tim memperoleh
data dan melakukan wawancara yang akan membantu anggota tim untuk menganalisis
potensi risiko dan menentukan risiko mana yang tidak terpenuhi dengan tepat.
Dokumentasi juga
merupakan bagian penting dari kerja lapangan. Auditor harus melakukan pekerjaan
yang cukup untuk mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat
dibuktikan. Tujuannya adalah untuk mendokumentasikan pekerjaan dengan cukup
rinci sehingga orang yang tepat informasi dapat memahami apa yang telah
dilakukan dan sampai pada kesimpulan yang sama dengan auditor. Auditor pada
dasarnya harus menceritakan sebuah cerita: "Inilah yang saya lakukan.
Inilah yang saya temukan. Inilah kesimpulan saya. Inilah mengapa saya mencapai
kesimpulan itu. "Jika sebuah proses ditinjau, prosesnya harus dijelaskan,
dan titik kontrol utama dalam proses itu harus disorot. Jika sebuah sistem atau
teknologi ditinjau, pengaturan dan data spesifik yang ditinjau harus dijelaskan
(beserta bagaimana informasi itu diperoleh) dan diinterpretasikan.
3.
Penemuan masalah dan validasi
Saat melaksanakan
penelitian lapangan, auditor akan mengembangkan daftar masalah potensial. Ini
jelas salah satu fase audit yang lebih penting, dan auditor harus berhati-hati
untuk menggandakan daftar masalah potensial untuk memastikan bahwa semua
masalah tersebut valid dan relevan. Dengan semangat kolaborasi, auditor harus
mendiskusikan masalah potensial dengan pelanggan sesegera mungkin. Tidak ada
yang suka menunggu auditor menyelesaikan audit dan kemudian harus menanggung
daftar masalah binatu. Tidak hanya ini tidak menyenangkan bagi pelanggan Anda,
tapi juga tidak menyenangkan bagi Anda, karena Anda mungkin mendapati bahwa
tidak semua informasi Anda akurat dan tidak semua masalah Anda valid.
Selain memvalidasi fakta
Anda secara langsung, Anda perlu memvalidasi bahwa risiko yang disajikan oleh
masalah cukup signifikan untuk dilaporkan dan ditangani dengan layak. Jangan
mengangkat masalah demi mengangkat isu. Sebaliknya, mengangkat isu harus
menghadirkan risiko signifikan bagi perusahaan. Pertimbangkan untuk mengurangi
kontrol, dan pahami keseluruhan gambaran sebelum menentukan apakah Anda
memiliki masalah yang layak dilaporkan.
4.
Solusi pengembangan
Setelah mengidentifikasi
potensi masalah di area yang Anda audisi dan telah memvalidasi fakta dan
risiko, Anda dapat bekerja sama dengan pelanggan untuk mengembangkan rencana
tindakan untuk menangani setiap masalah. Jelas, hanya mengangkat isu apakah
perusahaan itu tidak bagus kecuali jika isu tersebut benar-benar ditangani.
Tiga pendekatan umum digunakan untuk mengembangkan dan menetapkan item tindakan
untuk menangani masalah audit:
• Pendekatan rekomendasi
Dengan menggunakan
pendekatan umum ini, auditor mengangkat isu dan memberikan rekomendasi untuk
mengatasinya. Mereka kemudian bertanya kepada pelanggan apakah mereka
menyetujui rekomendasi tersebut dan, jika demikian, kapan mereka akan
menyelesaikannya.
• Pendekatan manajemen-respon
Dengan pendekatan
manajemen-respons, auditor mengembangkan daftar masalah dan kemudian
melemparkannya ke pelanggan untuk tanggapan dan rencana tindakan mereka.
Terkadang auditor mengirimkan rekomendasi mereka untuk resolusi beserta
masalahnya, dan terkadang mereka hanya mengirim masalah tanpa rekomendasi.
Either way, pelanggan seharusnya mengirim kembali tanggapan mereka, yang
termasuk dalam laporan audit.
• Pendekatan solusi
Dengan menggunakan
pendekatan ini, auditor bekerja sama dengan pelanggan untuk mengembangkan
solusi yang mewakili tindakan yang saling dikembangkan dan rencana aksi yang
disepakati untuk menangani masalah yang diangkat selama audit. Ini adalah
kombinasi dari dua pendekatan sebelumnya, membawa yang terbaik dari
masing-masing.
5.
Melaporkan penyusunan dan penerbitan
Begitu Anda menemukan
masalah di lingkungan yang diaudit, memvalidasi mereka dengan pelanggan, dan
mengembangkan solusi untuk mengatasinya, Anda dapat menyusun laporan audit.
Laporan audit adalah kendaraan yang digunakan untuk mendokumentasikan hasil
audit. Ini melayani dua fungsi utama:
• Bagi Anda dan pelanggan audit, ini
berfungsi sebagai catatan audit, hasilnya, dan rencana tindakan yang
dihasilkan.
• Untuk manajemen senior dan komite
audit, ini berfungsi sebagai "rapor" di area yang diaudit.
Elemen
Penting dari Laporan Audit
Ada banyak format
laporan audit karena ada departemen audit internal. Namun, berikut adalah
elemen penting dari laporan audit:
• Pernyataan lingkup audit
Buatlah jelas dalam
laporan apa yang termasuk dalam audit dan, jika perlu, apa yang tidak termasuk
dalam audit. Jika suatu area atau topik secara khusus diambil dari audit,
penting untuk menyatakan sebanyak mungkin laporan tersebut untuk menghindari
kesalahpahaman.
• Ringkasan perencanaan bisnis
Selain mencantumkan
semua masalah dan rencana tindakan terperinci, Anda perlu menulis ringkasan
eksekutif sehingga seseorang yang tidak memiliki waktu atau keinginan untuk
membaca semua detail dapat memahami keadaan keseluruhan kontrol di lingkungan.
• Daftar masalah, beserta rencana
tindakan untuk menyelesaikannya
Ini adalah inti laporan
karena memberikan rincian tentang semua masalah penting yang ditemukan selama
audit dan apa yang akan dilakukan untuk memperbaikinya. Kualitas dan kejelasan
penulisan sangat penting, karena setiap isu harus didokumentasikan sedemikian
rupa sehingga beberapa tingkat pembaca dapat memahaminya.
6.
Pelacakan masalah
Bagian audit harus
mengembangkan sebuah proses dimana anggotanya dapat melacak dan menindaklanjuti
isu sampai mereka menyelesaikannya. Hal ini kemungkinan akan melibatkan
pemeliharaan database yang berisi semua titik audit dan tanggal jatuh tempo
mereka, beserta mekanisme untuk menandai mereka sebagai tertutup, terlambat,
dan seterusnya.
3. Teknik Audit.
■ Auditing Entity-Level
Controls
■ Auditing Data Centers
and Disaster Recovery
■ Auditing Switches,
Routers, and Firewalls
■ Auditing Windows
Operating Systems
■ Auditing Unix and
Linux Operating Systems
■ Auditing Web Servers
and Web Applications
■ Auditing Databases
■ Auditing Storage
■ Auditing Virtualized
Environments
■ Auditing WLAN and
Mobile Devices
■ Auditing Applications
■ Auditing Cloud
Computing and Outsourced Operations
■ Auditing Company
Projects
4.
Regulasi Audit.
Sifat global bisnis dan
teknologi mendorong kebutuhan akan standar dan peraturan yang mengatur
bagaimana perusahaan bekerja sama dan bagaimana informasi dibagi. Kemitraan
strategis dan kolaboratif telah berevolusi dengan badan-badan seperti
International Organization of Standardization (ISO), International
Electrotechnical Commission (IEC), International Telecommunication Union (ITU),
dan Organisasi Perdagangan Dunia (WTO).
Partisipasi dalam badan
standar ini bersifat sukarela, dengan tujuan bersama untuk mempromosikan
perdagangan global untuk semua negara. Masing-masing negara telah melangkah
lebih jauh untuk membentuk kontrol pemerintah atas kegiatan bisnis perusahaan
yang beroperasi di dalam batas-batas mereka.
Sarbanes-Oxley
Act tahun 2002
Undang-undang
Sarbanes-Oxley (SOX) tahun 2002 (yang secara formal dikenal sebagai Akuntan
Publik dan Undang-Undang Perlindungan Investor) merupakan tanggapan dari
pemerintah AS terhadap ruam skandal korporat yang terkenal yang dimulai dengan
Enron dan Arthur Andersen, diikuti oleh Tyco , Adelphia Communications,
WorldCom, HealthSouth, dan banyak lainnya. Undang-Undang Sarbanes-Oxley dan
Dewan Pengawas Akuntansi Perusahaan Publik (PCAOB) diciptakan untuk memulihkan
kepercayaan investor di pasar umum A.S. Tujuan utamanya adalah untuk
meningkatkan tanggung jawab perusahaan, meningkatkan pengungkapan keuangan, dan
mencegah kecurangan perusahaan dan akuntansi. Dengan demikian, kontrol yang
diperlukan untuk kepatuhan terhadap fokus SOX pada kontrol kunci penting untuk
memastikan kerahasiaan, integritas, dan ketersediaan data keuangan.
Gramm-Leach-Bliley
Act
Judul resmi
undang-undang ini adalah Undang-Undang Modernisasi Jasa Keuangan. Tindakannya,
yang lebih dikenal dengan Gramm-Leach-Bliley Act (GLBA), diarahkan terutama
untuk memungkinkan fungsi dan hubungan yang diperluas di antara institusi
keuangan. Undang-undang tersebut mencakup bagaimana dan dalam keadaan apa
perusahaan induk bank dapat melakukan afiliasi baru dan terlibat dalam kegiatan
yang sebelumnya dibatasi.
Tren
Peraturan Lainnya
Seiring komputer
berkembang biak pada masa kejayaan tahun 1980an dan 1990an, kontrol internal
atas TI gagal mengimbangi arsitektur infrastruktur yang berubah dengan cepat.
Namun, tindakan keras terhadap pengendalian internal yang dimulai atas
pelaporan keuangan telah diperluas untuk mencakup TI, dan memang seharusnya
demikian. Sekarang, selain SOX, GLBA, California SB 1386, HIPAA, dan peraturan
lainnya, persyaratan lebih lanjut akan datang. Dengan pencurian identitas yang
mendekati proporsi krisis, perlindungan data dan privasi merupakan topik yang
sangat mendesak bagi legislator.
5. Standar dan kerangka kerja audit
Pada 1970-an,
kekhawatiran akan meningkatnya kebangkrutan perusahaan dan keruntuhan keuangan
mulai meningkatkan permintaan akan pertanggungjawaban dan transparansi di
antara perusahaan publik. Foreign Corrupt Practices Act of 1977 (FCPA)
mengkriminalisasi penyuapan di luar negeri dan merupakan peraturan pertama yang
mengharuskan perusahaan untuk menerapkan program pengendalian internal untuk
menyimpan catatan transaksi yang ekstensif untuk tujuan pengungkapan.
Ketika industri simpan
pinjam ambruk pada pertengahan tahun 1980an, ada seruan untuk mengawasi standar
akuntansi dan profesi auditing pemerintah. Dalam upaya untuk mencegah intervensi
pemerintah, sebuah inisiatif sektor swasta independen, yang kemudian disebut
Komite Sponsoring Organizations (COSO), dimulai pada tahun 1985 untuk menilai
bagaimana cara terbaik untuk memperbaiki kualitas pelaporan keuangan. COSO
meresmikan konsep pengendalian dan kerangka kerja internal pada tahun 1992 saat
menerbitkan publikasi penting Kerangka Pengendalian Internal Terpadu. Sejak
saat itu, asosiasi profesional lainnya terus mengembangkan kerangka kerja dan
standar tambahan untuk memberikan panduan dan praktik terbaik kepada konstituen
mereka dan komunitas TI secara umum. Bagian berikut menyoroti COSO dan beberapa
kerangka kerja dan standar TI paling menonjol yang digunakan saat ini.
COSO
Pada pertengahan 1980an,
Komisi Nasional Penipuan Pelaporan Keuangan dibentuk sebagai tanggapan atas
meningkatnya krisis keuangan A.S. dan seruan untuk mengawasi praktik akuntansi
dan audit pemerintah.
COSO
Definisi Pengendalian Internal
Pengendalian internal
adalah sebuah proses, dipengaruhi oleh dewan direksi, manajemen, dan personil
perusahaan, yang dirancang untuk memberikan keyakinan memadai mengenai
pencapaian tujuan dalam kategori berikut:
• Efektivitas dan
efisiensi operasi
• Keandalan pelaporan
keuangan
• Kepatuhan terhadap hukum
dan peraturan yang berlaku
Konsep
Utama Pengendalian Internal
Berikut ini adalah
konsep kunci pengendalian internal menurut COSO:
• Kontrol internal
adalah sebuah proses. Ini adalah sarana untuk mencapai tujuan, bukan tujuan itu
sendiri.
• Kontrol internal
dipengaruhi oleh orang. Ini bukan sekadar manual dan formulir kebijakan, tapi
juga orang-orang di setiap tingkat organisasi.
• Pengendalian internal
dapat diharapkan hanya memberikan kepastian yang memadai, bukan jaminan mutlak,
kepada manajemen dan dewan entitas.
• Pengendalian internal
diarahkan pada pencapaian tujuan dalam satu atau beberapa kategori yang
terpisah namun saling tumpang tindih.
Kerangka Pengendalian Terpadu Internal
• Kontrol lingkungan
• Tugas beresiko
• Aktivitas pengendalian
• Informasi dan
Komunikasi
• Monitoring
COBIT
COBIT, Tujuan
Pengendalian untuk Informasi dan Teknologi Terkait, pertama kali diterbitkan
pada bulan April 1996. Ini adalah kerangka kerja terdepan yang diakui secara
internasional untuk tata kelola dan pengendalian TI. Versi terbaru, COBIT 4.1,
dirilis pada tahun 2007. COBIT dikembangkan oleh IT Governance Institute (ITGI)
dengan menggunakan panel pakar di seluruh dunia dari kalangan industri,
akademisi, pemerintah, dan pakar keamanan dan kontrol TI. Penelitian mendalam
dilakukan di berbagai sumber global untuk menarik bersama ide terbaik dari
semua standar teknis dan profesional.
Konsep
COBIT
COBIT membagi tujuan
pengendalian utamanya menjadi empat domain: merencanakan dan mengatur,
memperoleh dan menerapkan, memberikan dan mendukung, dan memantau dan
mengevaluasi. Kerangka ini menyoroti tujuh kualitas informasi:
• Efektivitas
• Efisiensi
• Kerahasiaan
• Integritas
• Ketersediaan
• Kepatuhan
• Keandalan
ITIL
IT Infrastructure
Library (ITIL) dikembangkan oleh pemerintah Inggris pada pertengahan tahun
1980-an dan telah menjadi standar de facto untuk praktik terbaik dalam
penyediaan manajemen infrastruktur TI dan pemberian layanan. ITIL adalah merek
dagang terdaftar dari Kantor Dagang Pemerintah Inggris (OGC), yang memiliki dan
mengembangkan kerangka praktik terbaik ITIL.
Konsep
ITIL
ITIL menyediakan
serangkaian referensi praktis dan standar khusus untuk manajemen infrastruktur
dan layanan yang dapat disesuaikan secara virtual dengan organisasi manapun.
Fungsi layanan dukungan menangani masalah seperti manajemen masalah, manajemen
kejadian, meja layanan, manajemen perubahan, manajemen rilis, dan manajemen
konfigurasi. Fungsi pengiriman layanan menangani manajemen kapasitas, manajemen
ketersediaan, manajemen keuangan, manajemen kontinuitas, dan tingkat layanan.
ISO
27001
Sejak didirikan pada
tahun 1947, International Organization for Standardization (ISO) telah
menciptakan sejumlah standar untuk manajemen keamanan jaringan, pengembangan
perangkat lunak, dan kontrol kualitas, disamping sejumlah standar lain untuk
berbagai fungsi bisnis dan pemerintahan. ISO 27001, ISO 17799, dan BS 7799 pada
dasarnya adalah standar inti yang sama yang menangani beberapa aspek praktik
keamanan informasi, manajemen keamanan informasi, dan manajemen risiko keamanan
informasi.
Konsep
ISO 27001
Juga disebut sebagai
Kode Praktik untuk Manajemen Keamanan Informasi, ISO 27001: 2005 membahas 11
bidang utama dalam disiplin keamanan informasi.
Standar tersebut menguraikan 133
kontrol keamanan di 11 area berikut:
• Kebijakan keamanan
• Organisasi keamanan
informasi
• Manajemen aset
• Keamanan sumber daya
manusia
• Keamanan fisik dan
lingkungan
• Manajemen komunikasi
dan operasi
• Kontrol akses
• Akuisisi,
pengembangan, dan pemeliharaan sistem informasi
• Manajemen insiden
keamanan informasi
• Pengelolaan
kesinambungan bisnis
• Kepatuhan
Metodologi
Penilaian NSA INFOSEC
The National Security
Agency INFOSEC Assessment Methodology (NSA IAM) dikembangkan oleh Badan
Keamanan Nasional AS dan dimasukkan ke dalam Program Pelatihan dan Penilaian
INFOSEC (IATRP) pada awal tahun 2002. Meskipun program IATRP dan dukungan untuk
NSA IAM dihentikan oleh NSA Pada tahun 2009, masih banyak digunakan dan
sekarang dikelola oleh Security Horizon, yang merupakan salah satu perusahaan
yang menyediakan pelatihan NSA IAM dan IEM untuk NSA.
Konsep
Metodologi Penilaian NSA INFOSEC
NSA IAM adalah
metodologi penilaian keamanan informasi yang mendasari kegiatan penilaian. Ini
memecahkan penilaian keamanan informasi menjadi tiga tahap: pra-penilaian,
aktivitas di tempat, dan pasca penilaian. Masing-masing fase ini berisi
kegiatan wajib untuk memastikan konsistensi penilaian keamanan informasi.
Penting untuk dicatat, bagaimanapun, bahwa penilaian NSA IAM hanya terdiri dari
tinjauan dokumentasi, wawancara, dan observasi. Tidak ada pengujian yang
terjadi selama penilaian IAM NSA. NSA merilis INFOSEC Evaluation Methodology
pada kegiatan pengujian awal.
Delapan belas area baseline dievaluasi
selama penilaian IAM:
• Dokumentasi
keamanan informasi seperti kebijakan, prosedur, dan garis dasar
• Peran dan tanggung
jawab
• Perencanaan
kontingensi
• Manajemen konfigurasi
• Identifikasi dan
otentikasi
• Manajemen akun
• Kontrol sesi
• Audit
• Kode berbahaya
perlindungan
• Perbaikan sistem
• Jaminan sistem
• Jaringan /
konektivitas
• Keamanan komunikasi
• Kontrol media
• Klasifikasi informasi
dan pelabelan
• Lingkungan fisik
• Keamanan personil
• Pendidikan, pelatihan,
dan kesadaran
6. Manajemen Resiko
Manfaat Manajemen Risiko
tidak diragukan lagi potensi pengelolaan risiko TI masih dirahasiakan dengan
baik. Selama beberapa tahun terakhir, banyak organisasi telah meningkatkan
efektivitas pengendalian TI mereka atau mengurangi biaya mereka dengan
menerapkan analisis risiko dan praktik manajemen risiko yang baik.
Manajemen
Risiko dari Perspektif Eksekutif
Eksekutif diharuskan
menimbang manfaat investasi dengan risiko yang terkait dengannya. Akibatnya,
sebagian besar telah cukup mahir dalam mengukur risiko melalui analisis ROI, indikator
kinerja utama, dan berbagai alat analisis keuangan dan operasional lainnya.
Agar sukses dalam mengelola risiko TI organisasi, Anda harus memahami bahwa
eksekutif melihat risiko secara finansial. Akibatnya, semacam analisis keuangan
biasanya diperlukan untuk membuat kasus bisnis untuk investasi dalam kontrol
tambahan.
Mengatasi
Resiko
Resiko dapat diatasi
dengan tiga cara: menerimanya, mengurangi, atau mentransfernya.
Menerima Risiko
Nilai finansial suatu
risiko seringkali lebih kecil daripada biaya untuk mengurangi atau
memindahkannya. Dalam hal ini, pilihan yang paling masuk akal adalah menerima
risiko.
Mitigasi risiko
Bila risiko memiliki
nilai keuangan yang signifikan, seringkali lebih tepat untuk mengurangi risiko
daripada menerimanya. Dengan sedikit pengecualian, biaya untuk menerapkan dan
mempertahankan kontrol harus kurang dari nilai moneter dari risiko yang
dikurangi.
Transfer Resiko
Industri asuransi
didasarkan pada transferensi risiko. Organisasi sering membeli asuransi untuk
menutupi biaya pelanggaran keamanan atau bencana sistem outage. Penting untuk
dicatat bahwa perusahaan asuransi yang menawarkan jenis kebijakan ini
seringkali mewajibkan pemegang polis menerapkan kontrol tertentu. Kegagalan
untuk mematuhi persyaratan pengendalian dapat membatalkan kebijakan.
Menganalisis
Risiko
Risiko dapat dianalisis
dengan dua cara: kuantitatif dan kualitatif. Seperti hal lainnya, masing-masing
memiliki kelebihan dan kekurangan.
Analisis
Risiko Kuantitatif
Pendekatan kuantitatif
lebih obyektif dan mengungkapkan risiko secara finansial sehingga pengambil
keputusan bisa lebih mudah dibenarkan, hal ini juga lebih menyita waktu.
Resiko dapat
didefinisikan dengan perhitungan sebagai berikut:
Risiko = nilai aset ×
ancaman × kerentanan
Aktiva
Biasanya diwakili
sebagai nilai moneter, aset dapat didefinisikan sebagai sesuatu yang layak
untuk sebuah organisasi yang dapat rusak, dikompromikan, atau dihancurkan oleh
tindakan yang disengaja atau disengaja.
Ancaman
Ancaman dapat
didefinisikan sebagai peristiwa potensial yang, jika disadari, akan menyebabkan
dampak yang tidak diinginkan. Dampak yang tidak diinginkan dapat terjadi dalam
banyak bentuk, namun seringkali mengakibatkan kerugian finansial. Misalnya,
jika kita memperkirakan bahwa kebakaran akan menyebabkan 70 persen kehilangan
nilai aset jika terjadi, faktor pemaparannya adalah 70 persen.
Kerentanan
Kerentanan dapat
didefinisikan sebagai tidak adanya atau kelemahan kontrol kumulatif yang
melindungi aset tertentu. Kerentanan diperkirakan sebagai persentase berdasarkan
tingkat kelemahan kontrol. Kita bisa menghitung defisiensi kontrol (CD) dengan
mengurangi efektifitas kontrol sebesar 1 atau 100 persen. Sebagai contoh, kita
dapat menentukan bahwa kontrol spionase industri kita 70 persen efektif, jadi
100 persen - 70 persen = 30 persen (CD). Kerentanan ini akan diwakili 30
persen, atau 0,3.
Analisis
Risiko Kualitatif
Pendekatan kualitatif
lebih cocok untuk menyajikan pandangan berlapis risiko, namun bisa jadi lebih
subjektif dan karena itu sulit untuk dibuktikan. Dimana metode kuantitatif
berfokus pada formula, analisis risiko kualitatif akan berfokus pada
nilai-nilai seperti tinggi, sedang, dan rendah atau warna seperti merah,
kuning, dan hijau untuk mengevaluasi risikonya.
Siklus
Hidup Manajemen Risiko TI
Seperti kebanyakan
metodologi, manajemen risiko, bila diterapkan dengan benar, mengambil
karakteristik siklus hidup.
Tahap
1: Identifikasi Aset Informasi
Tahap pertama dalam
siklus hidup manajemen risiko adalah mengidentifikasi aset informasi
organisasi. Agar sukses, Anda harus menyelesaikan beberapa tugas:
• Tentukan nilai
kekritisan informasi.
• Mengidentifikasi
fungsi bisnis.
• Proses informasi peta.
• Mengidentifikasi aset
informasi.
• Tetapkan nilai
kekritisan pada aset informasi.
Tujuan dari tahap ini
adalah untuk mengidentifikasi semua aset informasi dan menetapkan setiap aset
informasi sebagai nilai kekritisan yang tinggi, menengah, atau rendah untuk
persyaratan kerahasiaan, integritas, dan ketersediaannya.
Tahap
2: Mengukur dan Mengklaim Ancaman
Ancaman informasi
mempengaruhi organisasi melalui penurunan loyalitas merek, kehilangan sumber
daya, biaya pemulihan, dan tindakan hukum dan peraturan. Ketika ancaman
direalisasikan, biaya ini sering kali tidak diketahui karena tidak
diidentifikasi dengan benar.
Tahap siklus pengelolaan
risiko ini memerlukan langkah-langkah berikut:
• Menilai ancaman
bisnis.
• Mengidentifikasi
ancaman teknis, fisik, dan administratif.
• Mengukur dampak dan
kemungkinan ancaman.
• Mengevaluasi arus
proses untuk kelemahan.
• Identifikasi ancaman
komponen-komponen.
Tahap
3: Kaji Kerentanan
Ketika menilai
kerentanan, di sisi lain, common denominator adalah proses informasi.
Pertama-tama kami akan mengidentifikasi kerentanan komponen-komponen dan
menggabungkannya untuk menentukan kerentanan proses kami. Proses kerentanan
kemudian akan digabungkan untuk menentukan kerentanan fungsi bisnis.
Langkah-langkah dalam
menganalisis kerentanan:
1. Identifikasi
kontrol yang ada dalam kaitannya dengan ancaman.
2. Tentukan gap kontrol
komponen proses.
3.
Gabungkan celah kontrol ke dalam proses dan kemudian fungsi bisnis.
4. Kategorikan
kesenjangan kontrol dengan tingkat keparahan.
5. Tetapkan peringkat
risiko.
Tahap
4: Remediasi Kontrol Kesenjangan
Pada titik ini, risiko
kita harus dikategorikan tinggi, menengah, atau rendah. Awalnya,
kami akan
fokus untuk mengurangi risiko yang paling parah, karena kemungkinan besar kami
akan melihat hasil investasi tertinggi kami. Intinya, kita bisa mengurangi
lebih banyak risiko dengan sedikit uang. Kita akan menggunakan langkah-langkah
berikut dalam remediasi gap gap:
1. Pilih kontrol.
2. Melaksanakan kontrol.
3. Validasi kontrol
baru.
4. Hitung ulang
peringkat risiko
Tahap
5: Mengelola Risiko Sisa
Risiko bersifat inheren
dinamis, terutama komponen ancaman risiko. Akibatnya, kita perlu mengukur
risiko secara terus menerus dan berinvestasi pada kontrol baru untuk merespons
ancaman yang muncul. Fase ini terdiri dari dua tahap:
1. Buat garis dasar
risiko
2. Menilai kembali
risiko
Referensi:
Davis, Chris & Schiller, Mike
& Wheeler, Kevin. 2011. IT Auditing:
Using Controls to Protect Information Assets, New York, McGraw-Hill
Companies.
