AUDIT TEKNOLOGI SISTEM INFORMASI
Disusun
Oleh :
Kelompok
3
Ayunda
Maudiatama (11115193)
Hana Mansjur (13115011)
Markus Parlindungan (17115833)
Septi Indriarti
(16115469)
Kelas
: 4KA08
Dosen
: Priyo Sarjono Wibowo
JURUSAN
SISTEM INFORMASI
FAKULTAS
ILMU KOMPUTER DAN TEKNOLOGI INFORMASI
UNIVERSITAS
GUNADARMA
TAHUN
2018/2019
1. Konsep Audit
1.1 Definisi Audit
a) Menurut Konrath (2002)
Auditing sebagai “suatu proses mendapatkan dan mengevaluasi bukti, mengenai asersi tentang kegiatan-kegiatan dan kejadian-kejadian ekonomi perusahaan, untuk menyakinkan tingkat keterkaitan antara asersi tersebut dan kriteria yang telah ditetapkan dan mengkomunikasikan hasilnya kepada pihak-pihak yang berkepentingan.
b) Menurut Sukrisno Agoes (2004)
Auditing adalah “ Suatu pemeriksaan yang dilakukan secara kritis dan sistematis, oleh pihak yang independen, terhadap laporan keuangan yang telah disusun oleh manajemen, beserta catatan-catatan pembukuan dan bukti-bukti pendukungnya, dengan tujuan untuk dapat memberikan pendapat mengenai kewajaran laporan keuangan tersebut
c) Menurut Arens and Beaslev (2008)
Auditing adalah pengumpulan dan evaluasi tentang informasi untuk menentukan dan melaporkan derajat kesesuaian antara informasi itu dan kriteria yang telah ditetapkan. Auditing harus dilakukan oleh orang yang kompeten dan independen.
Jadi, dapat disimpulkan bahwa audit merupakan suatu proses pengumpulan dan evaluasi bukti serta pemeriksaan yang dilakukan secara kritis dan sistematis yang berhubungan dengan asersi tentang kegiatan-kegiatan dan kejadian-kejadian ekonomi, dengan tujuan untuk menentukan dan melaporkan derajat kesesuaian antara informasi itu dan kriteria yang telah ditetapkan.
1.2 Definisi Audit Sistem Informasi
a) Menurut Weber (2000)
Audit sistem informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif , serta menggunakan sumber daya yang dimiliki secara efisien.
b) Menurut Weber (1999)
Audit sistem informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian intern yang memadai, semua aktiva dilindungi dengan baik atau tidak disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas dan efesiensi penyelenggaraan sistem informasi berbasis komputer.
c) Menurut Romney (2003)
Audit sistem informasi mereview pengendalian umum dan pengendalian aplikasi dari sistem informasi akuntansi untuk menilai ketaatan sistemterhadap kebijakan dan prosedur pengendalian internal secara efektifitas dalam melindungi aset.
Istilah lain dari audit sistem informasi adalah audit berbasis komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dana integratif dalam mencapai target organisasinya. Jadi, dapat disimpulkan bahwa audit sistem informasi merupakan suatu proses pengumpulan dan pengevaluasian bahan bukti audit untuk menentukan apakah sistem komputer dapat mengamankan aset, keefektifitasan dan keefisienan dalam mencapai tujuan organisasi, dan menjaga integritas data.
1.3 Tujuan Audit Sistem Informasi
Menurut Weber (1999), tujuan audit sistem informasi sebagai berikut :
a) Meningkatkan keamanan aset-aset perusahaan
Aset Informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia (SDM), file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset.
b) Meningkatkan dan menjaga integritasi data
Integritas data (data integiry) adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut tertentu seperti kelengkapan, kebenaran, dan keakuratan. Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benaratau kejadian yang ada tidak terungkap seperti apa adanya.
c) Meningkatkan efektifitas sistem
Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Suatu sistem infromasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user.
d) Meningkatkan efisien sistem
Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memiliki kapasitas yang memadai.
e) Ekonomis
Ekonomis mencerminkan kalkulasi untuk rugi ekonomi (cost/benefit) yang lebih bersifat kuantifikasi nilai moneter (uang).
1.4 Jenis-jenis Audit
Dilihat dari Jenis pemeriksaan :
a) Manajemen audit (operasional audit)
Suatu pemeriksaan terhadap kegiatan perusahaan termasuk kebijakan akuntansi dan kebijakan operasional yang telah ditentukan oleh menajemen, untuk mengetahui apakah kegiatan operasi tersebut sudah dilakukan secara efektif, efisien dan ekonomis. Manajemen audit dapat dilakukan oleh Internal auditor, Kantor Akuntan Publik dan Manajemen Consultant.
Audit yang dilakukan mencakup :
• Analytical review procedurs
• Evaluasi atas management control system
• Compliance test (pengujian ketaatan)
Tahapan yang dilakukan :
1. Prelininary survey ( survei pendahuluan)
2. Review and testing of management control system (Penelaahan dan pengujian atas sistem pengendalian manajemen)
3. Detailed examination (Pengujian terinci)
4. Report development (pengembangan Laporan)
b) Compliance Audit (Pemeriksaan Ketaatan)
Pemeriksaan yang dilakukan untuk mengetahui apakah perusahaan sudah mentaati peraturan-peraturan dan kebijakan-kebijakan yang berlakuk baik yang ditetapkan oleh pihak intern perusahaan (manajemen, dewan komisaris) maupun pihak ectern ( pemerintah, bapepam, bank indonesia, Direktorat Jendral Pajak, dll). Pemeriksaan dapat dilakukan oleh : KAP, Internal Audit, pemeriksa pemerintah.
c) Internal Audit (pemeriksaan intern)
Pemeriksaan yang dilakukan oleh bagian internal audit perusahaan baik terhadap laporan keuangan dan catatan akuntansi perusahaan maupun ketaatan terhadap kebijakan manajemen yang telah ditentukan.
d) Audit Independen (Pemeriksaan Eksternal)
Pemeriksaan yang dilakukan oleh pihak yang bebas /independen terhadap laporan kekuangan perusahaan untuk menilai kewajaran laporan keuangan perusahaan yang diperlukan oleh pihak luar perusahaan. Pemeriksaan ini dilakukan oleh Kantor Akuntan Publik.
e) Audit EDP (Electronic Data Processing)
Pemeriksaan oleh KAP terhadap perusahaan yang memproses data akuntansinya dengan menggunakan EDP system.
Metode yang bisa dilakukan oleh auditor :
1. Audit around the computer.
Audit terhadap suatu penyelenggaraan sistem informasi berbasis komputer tanpa menggunakan kemampuan dari peralatan itu sendiri. Belum dilakukan pemeriksaan secara langsung terhadap data atau program.
2. Audit through the computer
Audit terhadap suatu penyelenggaraan sistem informasi berbasis komputer dengan menggunakan fasilitas dan kemampuan komputer yang digunakan. Tujuannya adalah untuk memeriksa kebenaran software aplikasi (perhitungan), memastikan kehandalan dari program aplikasi.
3. Audit With The Computer
Audit terhadap suatu penyelenggaraan sistem informasi berbasis komputer dengan menggunakan komputer yang telah dilengkapi dengan software yang dapat membantu auditor untuk menghasilkan output yang digunakan untuk maksud audit.
1.5 Penggolongan Audit Sistem Informasi
a) Audit laporan keuangan
• Audit terhadap sistem informasi akuntansi berbasis teknologi informasi untuk menilai apakah laporan keuangan yang dihasilkan oleh sistem informasi akuntansi tersebut sesuai dengan standar akuntansi keuangan.
• Kualifikasi auditornya adalah akuntan beregister (CPA) / auditor eksternal.
• Panduan yang digunakan dalam audit adalah Standar Profesional Akuntan Publik (SPAP).
• Referensi model sistem pengendalian internalnya adalah Committee of Sponsoring Organization (COSO).
• Bahan bukti utama audit adalah data akuntansi dan internal kontrol.
b) Audit sistem informasi sebagai kegiatan TI
• Sebagai suatu audit operasional terhadap manajemen sumberdaya informasi untuk menilai apakah pengelolaan SI pada suatu organisasi berjalan secara efektif, efisien, dan ekonomis.
• Audit dilakukan oleh auditor internal (tidak menutup kemungkinan oleh auditor eksternal.
• Panduan audit mengacu pada standar atestasi yang dikeluarkan organisasi profesi (IAI di Indonesia, AICPA di USA, CICA untuk Kanada).
• Referensi model sistem pengendalian internalnya adalah CobIT.
1.6 Persamaan Audit Konvensonal dengan Audit SI
a) Definisi
Proses pengumpulan dan penilaian bukti guna menentukan dan melaporkan kesesuaian bukti dengan kriterianya.
b) Auditor
Pemeriksaan dapat dilakukan oleh internal auditor (pemeriksa intern), eksternal auditor (pemeriksa ektern), atau pemeriksaan khusus (campuran antara internal dan eksternal).
c) Tujuan
Bagi pemeriksa internal bertujuan menilai 3E (efektifitas, efesiensi, ekonomis) dan operasi manajemen. Dalam pemeriksaan umum oleh akuntan publik tujuannya menilai kewajaran penyajian laporan keuangan dan kesesuaiannya dengan SAK (Standar Akuntansi Keuangan).
d) Opini
Terdiri dari empat jenis opini, yaitu unqualified (wajar tanpa syarat), qualified (dengan syarat), adverse (tidak setuju), dan disclaimer (menolak memberikan pendapat).
e) Norma Pemeriksaan
Standar Profesional Akuntan Publik (SPAP) yang di Indonesia diterbitkan oleh IAI terdiri dari standar umum, standar pekerjaan lapangan, dan standar pelaporan.
1.7 Peran Tim Audit IT
a) Aplikasi auditor
Tim audit fokus pada layer aplikasi. Mereka tidak me-review kontrol dasar yang bergantung pada sistem seperti keamanan jaringan dan lingkungan operasi sistem. Jika area nya tidak terkontrol dengan baik,akan seperti pintu yang terkunci tetapi keluar dari jendela terbuka. Orang-orang bisa mengekploitasi kelemahan sistem dari layer lainnya dengan berbagai cara dan integritas yg trganggu,kepercayaan,dan keamanan aplikasi sistem.
b) Ekstraksi data dan spesialis analisis
Implementasi yang efektif pada model ini adalah melibatkan analitik yang berkembang yang mengizinkan monitoring berkelanjutan untuk bukti penipuan,pelanggaran pengendalian internal,ketidakpatuhan kebijakan dan penyalahgunaan lainnya. Data spesialis juga menyediakan dukungan utk mengaudit,membantu tim audit utk menghasilkan dan menganalisis data yang relevan tetapi tidak fokus pada data yang utama. Jenis auditor ini dapat menjadi bagian departemen audit yang berharga.
c) Auditor IT
Departemen lainnya memiliki auditor it yang menghabiskan sebagian besar wkt mereka terfokus pada area dibawah lapisan aplikasi. Tim audit ini terdiri dari professional it dibandingkan dengan orang-orang bisnis yang mengerti bagaimana menggunakan sistem aplikasi. Auditor it dapat membantu untuk review beberapa kontrol aplikasi umum seperti mengubah kontrol dan seluruh administrasi akses sistem
2. Proses Audit
Hal yang harus dimengerti sebelum memasuki proses audit adalah salah satu konsep yang sangat mendasar dalam audit, yaitu kendali internal (internal controls). Kendali internal adalah mekanisme yang memastikan fungsi pada proses dalam perusahaan dijalankan dengan benar. Setiap sistem dan proses dalam suatu perusahaan ada untuk beberapa tujuan bisnis tertentu. Auditor harus mencari keberadaan risiko untuk tujuan-tujuan tersebut, kemudian memastikan bahwa kendali internal tersedia untuk meringankan risiko-risiko itu.
Kendali internal (internal controls) adalah kendali yang dapat berupa pencegahan,pendeteksi, atau pereaksi, dan dapat mempunyai implementasi administratif, teknis, dan teknis. Contoh implementasi administratif menyangkut beberapa hal, seperti kebijakan dan proses. Implementasi teknis adalah alat dan perangkat lunak yang secara logis menegakkan kendali (contohnya kata sandi). Implementasi fisik menyangkut kendali yang mempunyai contoh setiap pintu dikunci dan menggunakan id user dengan kata kunci yang unik.
1) Kendali Pencegahan (Preventive Controls)
Kendali untuk menghentikan kejadian yang tidak diinginkan. Contoh dari kendali ini adalah meminta ID dan kata sandi untuk mengakses suatu sistem. Kendali ini mencegah orang-orang yang tidak berhak untuk memasuki suatu sistem. Namun, kendali ini tidak selalu merupakan solusi yang efektif dalam biaya. Jenis kendali yang lain mungkin lebih masuk akal dari sudut pandang biaya/manfaat.
2) Kendali Pendeteksi (Detective Controls)
Kendali ini mencatat sebuah peristiwa buruk setelah baru saja terjadi. Misalnya, pencatatan semua aktivitas yang dilakukan pada sistem akan memungkinkan Anda meninjau log untuk mencari kegiatan yang tidak baik setelah peristiwa.
3) Kendali Pereaksi / Kendali Pengoreksi (Reactive Controls / Corrective Controls)
Kendali yang menyediakan jalan sistematik untuk mendeteksi saat peristiwa buruk terjadi dan membenarkan situasi. Misalnya, Anda mempunyai sistem anti virus utama yang mendeteksi kemungkinan masing-masing user PC mempunyai file terkini yang dipasang. Idealnya, Anda bisa melarang akses jaringan ke mesin apa pun yang tidak sesuai. Namun, ini mungkin tidak praktis dari sudut pandang bisnis. Oleh karena itu, alternatifnya mungkin untuk login PC yang tidak sesuai dan melakukan beberapa tindak lanjut kegiatan untuk mendapatkan PC sesuai atau menghapus kemampuannya untuk mengakses jaringan.
Contoh kendali internal (internal controls) :
a) Kendali Pada Perubahan Perangkat Lunak
Kendali internal pada perubahan perangkat lunak dapat mengurangi resiko ketidakpercayaan pada integritas data dalam sistem yang menghasilkan ketidakmampuan untuk mengetahui dengan pasti siapa yang telah membayar perusahaan Anda dan siapa yang tidak, dengan cara :
- Tidak mengizinkan akses logis pemrogram untuk memperbarui kode produksi
- Tidak membiarkan orang yang memiliki akses logis untuk memperbarui kode produksi, kecuali dengan bukti pengujian dan persetujuan
-
b) Kendali Akses
Kendali internal pada akses dapat mengurangi resiko perubahan, penambahan, atau penghapusan data yang tidak benar oleh pihak yang tidak mempunyai kebutuhan untuk mengaksesnya dengan cara :
- Mengharuskan user menginput ID dan kata sandi untuk mengakses sistem
- Memiliki sejumlah administrator keamanan aplikasi yang mengontrol
kemampuan untuk menambah akun pengguna baru ke sistem
- Memastikan bahwa administrator keamanan aplikasi adalah individu yang berpengetahuan, yaitu dengan mengetahui pengguna mana yang sebenarnya membutuhkan akses ke sistem
-
c) Rencana Pada Cadangan dan Pemulihan
Kendali internal dalam rencana pada cadangan dan pemulihan dapat mengurangi resiko ketidakmampuan untuk melacak piutang yang belum dilunasi atau membuat pembayaran baru karena tidak tersedianya fungsi sistem yang mengakibatkan hilangnya data pada sistem, dengan cara :
- Mengadakan cadangan sistem dan datanya secara berkala
- Mengirimkan kaset cadangan ke luar kantor
- Mendokumentasikan rencana pemulihan
2.1 Tahapan Audit
Dalam melakukan proses audit terdapat hal yang paling penting dilakukan oleh bagian audit internal, yaitu menentukan apa yang harus diaudit. Rencana audit Anda harus memfokuskan auditor Anda pada area yang paling berisiko dan pada area dimana Anda dapat menambahkan nilai yang paling banyak. Anda harus efisien dan efektif dalam menggunakan sumber daya Anda yang terbatas dengan menghabiskan waktu audit TI Anda dengan area yang paling penting. Hal ini tidak boleh dilakukan secara sewenang-wenang dengan menarik potensi audit keluar dari jalurnya, sebaliknya, ini harus menjadi proses logis dan teratur yang memastikan semua potensi audit telah dipertimbangkan.
1. Perencanaan
Sebelum Anda mulai mengerjakan audit apa pun, Anda harus menentukan apa yang Anda rencanakan untuk ditinjau. Jika proses perencanaan dilaksanakan secara efektif, itu akan membentuk tim audit untuk sukses. Sebaliknya, jika dilakukan dengan buruk dan pekerjaan dimulai tanpa rencana dan tanpa kejelasan arah, upaya tim audit bisa mengakibatkan kegagalan.
Tujuan dari proses perencanaan adalah untuk menentukan tujuan dan ruang lingkup audit. Anda perlu menentukan apa yang ingin Anda capai dengan peninjauan. Sebagai bagian dari proses ini, Anda harus mengembangkan serangkaian langkah yang harus dilaksanakan untuk mencapai tujuan audit. Proses perencanaan ini akan membutuhkan penelitian yang cermat, pemikiran, dan pertimbangan untuk setiap audit. Berikut adalah beberapa sumber dasar yang seharusnya dirujuk sebagai bagian dari setiap proses perencanaan audit:
- Hand off dari manajer audit
- Survei pendahuluan
- Permintaan pelanggan
- Daftar periksa standar
- Penelitian
- Penilaian
- Penjadwalan
- Pertemuan pertama sebuah proyek
2. Pekerjaan Lapangan dan Dokumentasi
Sebagian besar audit terjadi selama fase ini, ketika langkah audit dibuat pada tahap sebelumnya yang dilaksanakan oleh tim audit. Sekarang, tim memperoleh data dan melakukan wawancara yang akan membantu anggota tim untuk menganalisa potensi risiko dan menentukan risiko mana yang belum dikurangi dengan tepat. Auditor harus mencari cara untuk memvalidasi informasi yang disediakan secara independen dan efektivitas lingkungan kontrol. Sebagai contoh, jika pelanggan audit menggambarkan proses untuk menyetujui permintaan akun pengguna baru, auditor harus berusaha menarik sampel pengguna yang baru ditambahkan untuk melihat apakah mereka memang menerima persetujuan yang tepat. Ini akan memberikan bukti yang jauh lebih meyakinkan bahwa proses diikuti daripada wawancara.
Dokumentasi juga merupakan bagian penting dari kerja lapangan. Auditor harus melakukan pekerjaan yang cukup untuk mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat dibuktikan. Tujuan itu harus untuk mendokumentasikan pekerjaan dalam cukup detail, sehingga orang yang telah mendapat cukup informasi dapat memahami apa yang telah dilakukan dan sampai pada kesimpulan yang sama seperti auditor. Dokumentasi merupakan hal yang penting. Pertama, dibutuhkan untuk memenuhi standar profesi. Kedua, ada kemungkinan bahwa di masa depan temuan audit dapat dipertanyakan atau ditantang, dan auditor yang melakukan pekerjaan mungkin tidak lagi dipekerjakan oleh perusahaan atau departemen pada saat itu (atau mungkin baru saja melupakan detail audit). Akan sangat penting dokumentasi itu ada untuk menjelaskan proses audit dan memperkuat kesimpulan. Ketiga, jika audit dilakukan lagi suatu hari nanti, dengan mempertahankan dokumentasi rinci akan memungkinkan tim audit selanjutnya untuk belajar dari pengalaman tim audit sebelumnya, sehingga memungkinkan perbaikan dan efisiensi secara terus menerus.
Catatan penting tentang pekerjaan lapangan, yaitu:
1. Selama fase perencanaan, Anda akan mengembangkan daftar periksa seperti apa yang Anda rencanakan untuk ditinjau selama audit.
2. Pastikan daftar periksa itu tidak menghasilkan anggota tim audit untuk menghentikan penilaian mereka yang baik.
3. Tim harus tetap fleksibel selama audit dan bersiap untuk mengeksplorasi jalan yang tidak dipertimbangkan selama fase perencanaan
4. Anggota tim selalu perlu diingatkan tujuan keseluruhan dari audit
5. Setiap anggota tim memahami tujuan di balik tugas yang ditetapkan dalam langkah-langkah audit. Langkah-langkah ini harus berfungsi sebagai pedoman untuk mencapai suatu tujuan
6. Setiap auditor harus tetap kreatif dalam bagaimana langkah itu dilakukan. Jika langkahnya dilakukan, tetapi tidak benar-benar mengatasi risiko yang sedang diselidiki, maka auditor telah gagal
3. Penemuan Masalah dan Validasi
Saat melaksanakan kerja lapangan, auditor akan mengembangkan daftar masalah potensial. Ini adalah salah satu fase yang penting dari audit, dan auditor harus hati-hati menghapus daftar potensi masalah untuk memastikan bahwa semua masalah valid dan relevan. Selain memvalidasi bahwa Anda memiliki fakta yang benar, Anda perlu memvalidasi risiko yang disajikan oleh masalah ini cukup signifikan untuk dilaporkan dan ditangani dengan layak. Jangan mengajukan masalah demi mengangkat masalah. Sebaliknya, isu yang diangkat harus ada risiko signifikan bagi perusahaan. Pertimbangkan untuk mengurangi kendali, dan pahami seluruh gambaran sebelum menentukan apakah Anda memiliki masalah yang layak dilaporkan.
4. Pengembangan Solusi
Setelah Anda mengidentifikasi masalah potensial di area yang Anda audit dan mempunyai fakta dan risiko yang divalidasi, Anda dapat bekerja dengan pelanggan Anda untuk mengembangkan rencana aksi untuk menangani setiap masalah. Dengan hanya mengangkat masalah tidak membuat perusahaan menjadi baik, kecuali masalah-masalah itu benar-benar diatasi. Tiga pendekatan umum yang digunakan untuk mengembangkan dan menugaskan item tindakan untuk mengatasi masalah audit adalah:
• Pendekatan rekomendasi
Dengan menggunakan pendekatan umum ini, auditor mengangkat masalah dan memberikan rekomendasi untuk memanggil pelanggan. Auditor kemudian bertanya kepada pelanggan apakah mereka setuju dengan rekomendasi tersebut. Setelah mereka setuju, auditor menanyakan pelanggan kapan mereka ingin masalah diselesaikan.
• Pendekatan respon manajemen
Dengan pendekatan respon manajemen, auditor mengembangkan daftar masalah dan kemudian memberikannya kepada pelanggan untuk respon dan rencana aksi mereka. Terkadang auditor mengirim rekomendasi mereka untuk resolusi bersama dengan masalah, dan terkadang mereka hanya mengirim masalah tanpa rekomendasi. Baiknya, pelanggan harus mengirim kembali tanggapan mereka untuk dimasukkan ke dalam laporan audit.
• Pendekatan solusi
Dengan menggunakan pendekatan ini, auditor bekerja dengan pelanggan untuk mengembangkan sebuah solusi yang menyajikan sebuah rencana aksi yang dikembangkan bersama dan disepakati untuk mengatasi masalah yang diangkat selama audit.
Pendekatan ini adalah kombinasi dari dua pendekatan sebelumnya yang membawa hal terbaik dari masing-masing pendekatan. Seperti halnya pendekatan rekomendasi, auditor menyediakan ide untuk resolusi berdasarkan pengetahuan kendali mereka. Seperti pendekatan respon manajemen, pelanggan menyediakan ide untuk resolusi berdasarkan pengetahuan operasional kehidupan nyata mereka. Hasilnya adalah solusi yang pelanggan miliki dan memuaskan auditor.
5. Pembuatan dan Penerbitan Laporan
Setelah Anda menemukan masalah di lingkungan yang diaudit, memvalidasikannya
dengan pelanggan, dan mengembangkan solusi untuk mengatasinya, Anda dapat menyusun laporan audit. Laporan audit adalah sarana dimana Anda mendokumentasikan hasil dari audit. Laporan audit melayani dua fungsi utama:
- Bagi Anda dan pelanggan audit, ini berfungsi sebagai catatan audit, hasil audit, dan rencana aksi yang dihasilkan.
- Bagi manajemen senior dan komite audit, ini berfungsi sebagai "kartu laporan" pada area yang diaudit.
• Elemen Penting dari Laporan Audit
Ada banyak format laporan audit karena adanya departemen audit internal. Namun, berikut ini adalah elemen penting dari laporan audit:
- Pernyataan ruang lingkup audit
- Ringkasan pelaksana
- Daftar masalah, bersama dengan rencana aksi untuk menyelesaikannya
Setelah Anda menyusun laporan, Anda harus membiarkan pelanggan meninjau dan berkomentar di atasnya sebelum diterbitkan. Bersedialah membuat perubahan pada kata-kata singkat selama mereka tidak mengubah pesan dari apa yang Anda katakan. Tujuannya agar pelanggan merasa nyaman dan sesuai dengan apa yang ada di laporan.
Setelah laporan disusun dan ditinjau oleh pelanggan, sekarang saatnya untuk menerbitkan laporan. Sebagian besar departemen audit mengeluarkan semua laporan audit kepada manajemen senior (termasuk CIO, CFO, dan CEO) dan kadang-kadang bahkan ke komite audit. Hal ini tentu cocok dengan tujuan departemen untuk memberikan manajemen senior dengan jaminan independen dalam keadaan kendali internal di perusahaan.
6. Pelacakan Masalah
Audit tidak benar-benar lengkap sampai masalah yang diangkat dalam audit diselesaikan, baik dengan diperbaiki atau dengan diterima oleh tingkat manajemen yang sesuai. Departemen audit harus mengembangkan proses di mana anggotanya dapat melacak dan mengikuti masalah sampai mereka terselesaikan. Ini kemungkinan akan melibatkan pemeliharaan database yang berisi semua poin audit dan tanggal jatuh tempo mereka, bersama dengan mekanisme untuk menandai mereka sebagai tertutup, terlambat, dan seterusnya.
Keputusan perlu dibuat mengenai sebuah validasi solusi yang diterapkan untuk mengatasi masalah audit. Jika solusinya adalah memodifikasi pengaturan sistem, maka auditor tentu dapat memeriksa pengaturannya. Jika solusinya adalah membuat rencana pemulihan, auditor tentu bisa melihat rencananya. Namun, terkadang jawaban praktis adalah meminta pelanggan untuk menjelaskan dan berjalan melalui proses atau sistem yang telah diimplementasikan tanpa benar-benar menguji keefektifannya. Ini adalah area lain dimana penilaian auditor dan pikiran yang wajar perlu diterapkan.
3. Teknik Audit
Teknik audit adalah cara-cara yang ditempuh auditor untuk memperoleh pembuktian dalam membandingkan keadaan yang sebenarnya dengan keadaan yang seharusnya. Terdapat 13 teknik audit, yaitu :
1. Teknik Audit Kendali Tingkat Entitas
Pada bagian ini akan membantu Auditor untuk melihat secara keseluruhan dari perusahaan, seperti : perencanaan strategis dan technology roadmaps, indikator dan matriks kinerja, persetujuan proyek dan proses pengawasan, kebijakan, standar dan prosedur, manajamen karyawan, manajemen aset dan kapasitas, serta konfigurasi sistem dan manajemen perubahan.
2. Teknik Audit Data Centers dan Disaster Recovery
Pusat data adalah fasilitas yang dirancang untuk menyimpan sistem penting organisasi, yang terdiri dari perangkat keras komputer, sistem operasi, dan aplikasi. Aplikasi dimanfaatkan untuk mendukung proses bisnis tertentu seperti pemenuhan pesanan, manajemen hubungan pelanggan (CRM), dan akuntansi.
Pusat data saat ini menyediakan infrastruktur kontrol akses fisik, kontrol lingkungan, konektivitas daya dan jaringan, sistem pencegah kebakaran, dan sistem alarm. Infrastruktur pusat data ini dirancang untuk menjaga lingkungan komputasi konstan yang konstan. Peran auditor adalah untuk memverifikasi dan memvalidasi bahwa semua sistem dan prosedur yang diperlukan hadir dan berfungsi dengan baik untuk melindungi kerahasiaan, integritas, dan ketersediaan sistem dan data perusahaan.
3. Teknik Audit switch, routers dan firewalls
Langkah-langkah dalam teknik audit ini dibagi menjadi langkah-langkah umum dan langkah-langkah spesifik. Langkah-langkah audit umum berlaku untuk peralatan jaringan secara umum, diikuti oleh bagian khusus untuk router, switch, dan firewall. Kerjakan bagian pertama dari kontrol umum tanpa menghiraukan audit Anda dan kemudian pindah ke bagian tertentu yang Anda butuhkan untuk menyelesaikan audit.
4. Teknik Audit Sistem Operasi Windows
Kunci untuk audit yang sukses dari server Windows atau klien adalah untuk meninjau host secara menyeluruh dengan sendirinya dan bersama dengan banyak koneksi lain yang mungkin yang meneruskan data ke dan dari host. Langkah-langkah audit berikut hanya berfokus pada tuan rumah dan tidak mencakup ulasan ekstensif tentang aplikasi di atasnya atau hubungan kepercayaan dengan sistem luar. Juga tidak tercakup adalah input data dan metode output data atau validitasnya. Anda akan berurusan dengan ini secara per-host menggunakan teknik dan alat-alat yang dibahas di bagian lain dalam buku ini. Langkah-langkah yang ditunjukkan di sini adalah tipikal dari banyak audit server dan mewakili tradeoff yang baik antara jumlah risiko yang ditanggung dan jumlah waktu yang diperlukan untuk meninjau host.
5. Teknik Audit Sistem Operasi Unix dan Linux
Langkah-langkah untuk melakukan audit Sistem Operasi Unix dan Linux terbagi menjadi 5 bagian :
• Pengendalian akun dan kata sandi
• Keamanan file dan pengendalian
• Keamanan jaringan dan pengendalian
• Log audit
• Pemantauan keamanan dan pengendalian umum
6. Teknik Audit Web Server dan Web Aplikasi
Hal yang menjadi perhatian utama dalam melakukan audit web server adalah pengaturan default, kode sampel, kesalahan konfigurasi umum, dan pencatatan. Dalam audit web aplikasi hal yang menjadi perhatian utama adalah pengaturan keamanan framework, pengaturan aplikasi default, validasi input, penyajian data yang salah, akses ke data rahasia perusahaan, dan kesalahan konfigurasi umum.
7. Teknik Audit database
Untuk mengaudit database secara efektif, auditor memerlukan pemahaman dasar tentang cara kerja database. Auditor perlu memahami seperangkat komponen yang luas untuk mengaudit database dengan benar. Biasanya, audit mencakup peninjauan yang cukup mendalam terhadap berbagai bidang, yaitu sistem operasi, kebijakan, dan sebagainya. Jika waktu memungkinkan, audit mencakup satu atau dua dari database yang paling penting.
8. Teknik Audit Penyimpanan
Penyimpanan memperluas batas lingkungan komputasi untuk memungkinkan data menjadi dapat terbagi antara pengguna dan aplikasi. Platform penyimpanan telah tumbuh sangat efisien, sehingga server dapat menggunakan lingkungan penyimpanan, dibandingkan dengan penyimpanan asli ke server dan bentuk penyimpanan terpasang langsung lainnya untuk persyaratan penyimpanan utama server.
Dalam melakukan audit, auditor harus mengerti komponen dasar yang membentuk lingkungan penyimpanan, yaitu infrastruktur penyimpanan yang mencakup komponen terkait dengan host, jaringan, dan penyimpanan yang berfungsi secara bersama untuk menyediakan fasilitas penyimpanan bagi pengguna dan aplikasi.
9. Teknik Audit Lingkungan Virtual
Virtualisasi memungkinkan pemisa han sistem operasi dari perangkat keras, menggunakan layer yang disebut hypervisor untuk duduk di antara perangkat keras dan sistem operasi. Sebuah hypervisor mengabstraksikan perangkat keras fisik dan menyajikan perangkat keras yang ditetapkan ke sistem operasi. Abstraksi yang dihasilkan dari sistem operasi yang berasal dari server fisik yang spesifik memberikan kebebasan kreasi yang luar biasa untuk membuat cadangan, menyalin, memulihkan, dan bergerak menjalankan sistem operasi, lengkap dengan aplikasi yang dipasang.
Auditor dalam melakukan audit memerlukan pemahaman dasar tentang komponen yang membentuk lingkungan virtualisasi, yaitu model keamanan, penyelarasan bisnis, perencanaan kapasitas, dan manajemen kinerja. Lingkungan yang lebih kecil mungkin memiliki beberapa server yang dijalankan secara virtual yang berjalan pada sebuah server dengan fisik yang kuat. Lingkungan yang lebih besar mendukung ratusan atau ribuan server yang dijalankan secara virtual dan desktop yang berjalan pada infrastruktur kompleks dari kumpulan server yang terhubung ke Storage Area Network (SAN). Sebuah ukuran dapat mengubah ruang lingkup atau pendekatan untuk audit, tetapi persyaratan dan pengendalian bisnis yang sama tetap ada. Pengelolaan sumber daya dan pemantauan masing-masing komponen secara terpisah dan kolektif memungkinkan lingkungan virtual berfungsi.
10. Teknik Audit Perangkat WLAN dan Seluler Data Aktif
Dalam melakukan audit perangkat WLAN dan seluler data aktif membutuhkan pemahaman tentang bagaimana teknologi diimplementasikan pada suatu organisasi. WLAN biasanya dikelola oleh tim jaringan tim, sedangkan perangkat seluler data aktif dapat dipengaruhi kinerjanya oleh jaringan, helpdesk, e-mail, produktivitas, dan tim lain dalam organisasi.
11. Teknik Audit aplikasi
Auditor harus dapat melakukan pertimbangan pada setiap aplikasi ketika memberi urutan yang beresiko dan menentukan apa yang harus diaudit, dan tidak hanya berfokus pada aplikasi yang lebih besar demi mendukung proses bisnis penting.
12. Teknik Audit Cloud Computing dan Outsourced Operations
Untuk melakukan audit cloud computing dan outsourced operations terdapat hal yang harus diperhatikan oleh auditor. Pertama, apa pun langkah audit yang ingin dilakukan jika layanan tersebut sedang dilakukan oleh perusahaan, maka harus dipertimbangkan saat mengaudit fungsi yang diambil alih. Kedua, auditor perlu menentukan apakah akan mengaudit vendor dan mengevaluasi kendalinya atau akan mengaudit perusahaan auditor sendiri dan memastikan bahwa vendor menyediakan kendali yang diperlukan.
13. Teknik Audit Proyek
Audit proyek dilakukan untuk mengidentifikasi risiko terhadap keberhasilan proyek-proyek perusahaan. Dua pendekatan dasar dapat diambil dari audit proyek. Pendekatan pertama cepat dan jangka pendek. Pendekatan kedua mengambil pandangan jangka panjang proyek dan merupakan pendekatan yang lebih konsisten. Pendekatan jangka pendek dapat menjadi tantangan; auditor memilih satu titik dalam proyek untuk melakukan audit mereka, dan kemudian mereka meninjau proyek pada titik waktu dan membuat penilaian berdasarkan apa yang telah terjadi dan apa yang direncanakan.
Pendekatan ini mengakibatkan hal yang buruk. Pertama, sulit bagi auditor untuk mempengaruhi fase yang telah selesai. Kedua, sulit untuk memulai fase evaluasi penuh. Auditor dapat meninjau rencana untuk pengujian penerimaan pengguna di awal proyek, tetapi sampai rencana tersebut sepenuhnya dikembangkan dan dilaksanakan, auditor akan sulit untuk mengevaluasi keefektifan mereka yang sebenarnya
4. Regulasi Audit
a. The Sarbanes-Oxley Act of 2002
The Sarbanes-Oxley (SOX) Act of 2002 (secara resmi dikenal sebagai Perubahan Akuntansi Perusahaan Umum dan Aksi Perlindungan Investor) adalah tanggapan dari pemerintah ASuntuk segerombolan skandal perusahaan terkenal yang dimulai dengan Enron dan Arthur Andersen, diikuti oleh Tyco, Adelphia Communications, WorldCom, HealthSouth, dan banyak lainnya. The Sarbanes-Oxley Act dan the Public Company Accounting Oversight Board (PCAOB) atau Dewan Pengawas Akuntansi Perusahaan Publik diciptakan untuk memulihkan kepercayaan investor di pasar umum AS. Tujuan utamanya adalah untuk meningkatkan tanggung jawab perusahaan, meningkatkan pengungkapan keuangan, dan mencegah penipuan perusahaan dan akuntansi. Dengan demikian, kendali yang diperlukan untuk mematuhi SOX fokus pada kendali utama yang penting untuk memastikan kerahasiaan, integritas, dan ketersediaan data keuangan.
b. Gramm-Leach-Bliley Act
Judul resmi dari peraturan ini adalah Modernisasi Jasa Keuangan. Tindakan itu umumnya dikenal sebagai Gramm-Leach-Bliley Act (GLBA), terutama diarahkan untuk memungkinkan perluasan fungsi dan hubungan antar lembaga keuangan. Peraturan ini mencakup bagaimana dan dalam keadaan apa perusahaan induk bank dapat melakukan afiliasi baru dan terlibat dalam aktivitas yang sebelumnya dibatasi.
c. California SB 1386
California SB 1386 adalah salah satu peraturan negara bagian pertama dan yang paling terlihat menangani pelanggaran keamanan yang menyebabkan informasi pribadi terungkap. Beberapa negara bagian telah mengadopsi atau mempertimbangkan peraturan serupa. Peraturan ini mewajibkan agen, orang, atau bisnis yang menjalankan bisnis di California dan memiliki atau melisensi informasi pribadi yang terkomputerisasi untuk mengungkapkan pelanggaran keamanan kepada setiap penduduk yang datanya tidak terenkripsi. Peraturan tidak hanya berlaku untuk perusahaan dengan operasi langsung tetapi juga mereka yang beroperasi di luar negara bagian dan memiliki data penduduk California dalam file. Yang termasuk dalam peraturan ini adalah definisi dari apa yang dianggap sebagai informasi pribadi, mengevaluasi metode apakah informasi telah diungkapkan secara sah atau tidak, dan persyaratan untuk pemberitahuan warga California.
d. Health Insurance Portability and Accountability Act of 1996
Pada tahun 1996, Kongres AS mengeluarkan Health Insurance Portability and Accountability Act (HIPAA) atau Tindakan Portabilitas dan Akuntabilitas Asuransi Kesehatan. Tindakan itu mencakup dua bagian. Judul I memberikan jaminan asuransi kesehatan setelah karyawan kehilangan atau mengganti pekerjaan. Judul II berkaitan dengan tindakan administratif yang dimaksudkan untuk menyederhanakan dan menstandarisasi informasi kesehatan. Judul II bagian TI berurusan dengan keamanan dan penanganan informasi kesehatan pada masa elektronik. Komponen-komponen TI dari peraturan tersebut menetapkan metodologi standar untuk keamanan. Lebih lanjut, HIPAA menstandarisasi format untuk informasi yang berhubungan dengan kesehatan. Standar mencakup metode yang memastikan kerahasiaan pasien dan integritas data untuk informasi apa pun yang dapat dikaitkan dengan individu pasien.
Komponen tindakan yang paling sering diidentifikasi adalah kumpulan data secara kolektif yang dikenal sebagai Protected Health Information (PHI) atau Electronic Protected Health Information (EPHI) yang mencakup informasi kesehatan individu yang dapat diidentifikasi atau Individually Identifiable Health Information (IIHI). IIHI berhubungan dengan kondisi medis individu, perawatan, atau pembayaran untuk perawatan. Setiap entitas yang mempertahankan dan menggunakan PHI yang dapat diidentifikasi secara individu berarti patuh pada aturan tersebut. Ruang lingkup efektif HIPAA mencakup entitas dari rumah sakit, perusahaan asuransi, dokter (semua jenisnya), laboratorium, dan perusahaan yang beroperasi atau berpartisipasi dalam rencana kesehatan. Organisasi yang dipengaruhi oleh HIPAA dimaksudkan oleh peraturan sebagai entitas yang tertutup.
e. Basel II
Basel II adalah persatuan bank-bank internasional terutama di Eropa, juga di Amerika Serikat dan Kanada. Dimulai pada 1974, persatuan ini menerbitkan perjanjian yang mencakup berbagai macam topik perbankan dan dimaksudkan untuk memberikan peningkatan pengawasan dan pengawasan bank internasional. Komite penasihat dalam persatuan ini dimaksudkan untuk menyebarluaskan berbagai standar teknis dan keuangan. Fokus persatuan ini adalah untuk menyediakan kerangka manajemen risiko di sekitar standar kapitalisasi untuk bank internasional. Perjanjian Basel II sepenuhnya bersifat sukarela, dan setiap pemakaian diatur oleh bank sentral masing-masing negara. Secara umum, Basel II menyediakan kendali TI seputar manajemen resiko yang berhubungan dengan pinjaman. Oleh karena itu, seperti halnya SOX, auditor TI harus memperhatikan kendali yang melindungi integritas informasi keuangan.
5. Kerangka dan Standar
a. Pengantar Kontrol, Kerangka, dan Standar Internal TI
Pada tahun 1970-an, kekhawatiran atas meningkatnya kebangkrutan perusahaan dan keruntuhan keuangan mulai meningkatkan permintaan akan akuntabilitas dan transparansi yang lebih besar di antara perusahaan-perusahaan yang dimiliki publik. Undang-Undang Praktik Korupsi Asing tahun 1977 (FCPA) mengkriminalisasi suap di negara-negara asing dan merupakan peraturan pertama yang mengharuskan perusahaan untuk menerapkan program pengendalian internal untuk menyimpan catatan ekstensif transaksi untuk tujuan pengungkapan.
Ketika industri tabungan dan pinjaman runtuh pada pertengahan 1980-an, ada teriakan untuk pengawasan pemerintah terhadap standar akuntansi dan profesi audit. Dalam upaya untuk menghalangi intervensi pemerintah, inisiatif sektor swasta yang independen, yang kemudian disebut Komite Organisasi Pensponsoran (COSO), dimulai pada 1985 untuk menilai bagaimana cara terbaik untuk meningkatkan kualitas pelaporan keuangan. COSO meresmikan konsep pengendalian internal dan kerangka kerja pada tahun 1992 ketika menerbitkan publikasi tengara Internal Control – Integrated Framework.
b. COSO
• Konsep Kunci Pengendalian Internal
Berikut ini adalah konsep kunci dari pengendalian internal menurut COSO:
- Kontrol internal adalah suatu proses. Ini adalah sarana untuk mencapai tujuan, bukan tujuan itu sendiri.
- Kontrol internal dipengaruhi oleh orang. Ini bukan hanya panduan dan bentuk kebijakan, tetapi orang-orang di setiap tingkat organisasi.
- Kontrol internal dapat diharapkan hanya memberikan jaminan yang wajar, bukan jaminan mutlak, kepada manajemen dan dewan entitas.
- Kontrol internal diarahkan untuk pencapaian tujuan dalam satu atau lebih kategori yang terpisah tetapi tumpang tindih.
• Kerangka Kontrol Internal – Terintegrasi
Sebagaimana dijelaskan oleh COSO, pengendalian internal terdiri dari lima komponen yang saling terkait:
- Lingkungan kontrol
- Tugas beresiko
- Aktivitas kontrol
- Informasi dan Komunikasi
- Pemantauan
• Definisi COSO Manajemen Risiko Perusahaan
Manajemen risiko perusahaan adalah suatu proses, dipengaruhi oleh dewan direksi entitas, manajemen, dan personel lainnya, diterapkan dalam pengaturan strategi dan di seluruh perusahaan dan dirancang untuk mengidentifikasi peristiwa potensial yang dapat mempengaruhi entitas, dan mengelola risiko untuk berada dalam risk appetite , untuk memberikan jaminan yang wajar mengenai pencapaian tujuan entitas.
Definisi ini mencerminkan konsep dasar tertentu. Manajemen risiko perusahaan :
- Suatu proses, yang sedang berlangsung dan mengalir melalui suatu entitas;
- Terpengaruh oleh orang di setiap tingkat organisasi;
- Diterapkan dalam pengaturan strategi;
- Diterapkan di seluruh perusahaan, di setiap tingkat dan unit, dan termasuk mengambil pandangan portofolio tingkat entitas risiko;
- Dirancang untuk mengidentifikasi peristiwa potensial yang, jika terjadi, akan mempengaruhi entitas dan mengelola risiko dalam risk appetite;
- Mampu memberikan jaminan yang wajar kepada manajemen dan dewan direksi entitas;
- Diarahkan ke arah pencapaian tujuan dalam satu atau lebih kategori yang terpisah tetapi tumpang tindih.
• Enterprise Risk Management – Konsep Kerangka Kerja Terpadu
Dalam publikasi Enterprise Risk Management – Integrated Framework, kubus COSO asli diperluas.
Kerangka kerja manajemen risiko perusahaan ini diarahkan untuk mencapai tujuan entitas, yang ditetapkan dalam empat kategori:
- Tujuan tingkat tinggi Strategis, selaras dengan dan mendukung misinya
- Operasi Penggunaan sumber daya yang efektif dan efisien
- Pelaporan Keandalan pelaporan
- Kepatuhan Kepatuhan dengan hukum dan peraturan yang berlaku
Manajemen risiko perusahaan terdiri dari delapan komponen yang saling terkait. Ini berasal dari cara manajemen menjalankan suatu perusahaan dan terintegrasi dengan proses manajemen.
- Lingkungan internal
- Pengaturan tujuan
- Identifikasi acara
- Tugas beresiko
- Respons risiko
- Aktivitas kontrol
- Informasi dan Komunikasi
- Pemantauan
• Dampak COSO
Prinsip-prinsip jangkauan luas yang digariskan dalam dokumen-dokumen COSO tengara secara bertahap diimplementasikan di seluruh Amerika Serikat di perusahaan-perusahaan yang dimiliki publik. COSO adalah satu-satunya kerangka kerja untuk pengendalian internal yang disebutkan oleh AS Securities and Exchange Commission (SEC) dan Dewan Pengawas Akuntansi Perusahaan Umum (PCAOB) sebagai kerangka kerja untuk pengendalian internal.
• Efek COSO pada Kontrol TI
COSO memperkenalkan konsep kontrol atas sistem informasi. Dalam Pengendalian Internal - Kerangka Terpadu, COSO menyatakan bahwa karena ketergantungan luas pada sistem informasi, kontrol diperlukan atas sistem yang signifikan. Ini mengklasifikasikan aktivitas kontrol sistem informasi menjadi dua kelompok besar. Yang pertama adalah kontrol komputer umum, yang mencakup kontrol atas manajemen TI, infrastruktur TI, manajemen keamanan, dan akuisisi perangkat lunak, pengembangan, dan pemeliharaan. Kontrol ini berlaku untuk semua sistem — dari mainframe ke client-server hingga lingkungan komputer desktop.
Pengelompokan kedua adalah kontrol aplikasi, yang meliputi langkah-langkah komputerisasi dalam perangkat lunak aplikasi untuk mengontrol aplikasi teknologi. Dikombinasikan dengan kontrol proses manual lainnya jika diperlukan, kontrol ini memastikan kelengkapan, akurasi, dan validitas informasi.
c. COBIT
COBIT, Tujuan Kontrol untuk Informasi dan Teknologi Terkait, pertama kali diterbitkan pada bulan April 1996. Ini adalah kerangka kerja yang diakui secara internasional untuk tata kelola dan kontrol TI. Versi terbaru, COBIT 4.1, dirilis pada tahun 2007.
• Fitur COBIT
Berikut ini adalah beberapa fitur tambahan yang disediakan COBIT:
- COBIT mewakili standar praktik yang berlaku umum dan dapat diterima secara internasional untuk kontrol TI.
- COBIT tidak bergantung pada platform teknis.
- COBIT adalah manajemen dan proses bisnis yang berorientasi pada pemilik.
- COBIT telah menjadi standar de facto internasional untuk tata kelola TI.
d. ITIL
IT Infrastructure Library (ITIL) dikembangkan oleh pemerintah Inggris pada pertengahan 1980-an dan telah menjadi standar de facto untuk praktik terbaik dalam penyediaan manajemen infrastruktur TI dan penyampaian layanan. ITIL adalah merek dagang terdaftar dari Kantor Perdagangan Pemerintah AS (OGC), yang memiliki dan mengembangkan kerangka praktik terbaik ITIL.
• Konsep ITIL
ITIL menyediakan serangkaian referensi praktis dan standar khusus untuk manajemen infrastruktur dan layanan yang dapat disesuaikan secara virtual untuk organisasi mana pun. Fungsi-fungsi dukungan layanan mengatasi masalah-masalah seperti manajemen masalah, manajemen insiden, meja layanan, manajemen perubahan, manajemen rilis, dan manajemen konfigurasi. Fungsi-fungsi pengiriman layanan membahas manajemen kapasitas, manajemen ketersediaan, manajemen keuangan, manajemen kontinuitas, dan tingkat layanan.
e. ISO 27001
Sejak didirikan pada tahun 1947, Organisasi Internasional untuk Standardisasi (ISO) telah menciptakan sejumlah standar untuk manajemen keamanan jaringan, pengembangan perangkat lunak, dan kontrol kualitas, di samping sejumlah standar lain untuk berbagai fungsi bisnis dan pemerintahan.
• Konsep ISO 27001
Juga disebut sebagai Kode Praktik untuk Manajemen Keamanan Informasi, ISO 27001: 2005 alamat 11 bidang utama dalam disiplin keamanan informasi. Standar menguraikan 133 kontrol keamanan dalam 11 bidang berikut:
- Kebijakan keamanan
- Organisasi keamanan informasi
- Manajemen aset
- Keamanan sumber daya manusia
- Keamanan fisik dan lingkungan
- Komunikasi dan manajemen operasi
- Kontrol akses
- Akuisisi sistem informasi, pengembangan, dan pemeliharaan
- Manajemen insiden keamanan informasi
- Manajemen kontinuitas bisnis
- Kepatuhan
f. Metodologi Penilaian NSA INFOSEC
Badan Metodologi Keamanan Nasional INFOSEC Assessment Methodology (NSA IAM) dikembangkan oleh Badan Keamanan Nasional AS dan dimasukkan ke dalam Program Pelatihan dan Rating INFOSEC (IATRP) pada awal tahun 2002. Meskipun program IATRP dan dukungan untuk NSA IAM dihentikan oleh NSA pada tahun 2009, masih digunakan secara luas dan sekarang dikelola oleh Security Horizon, yang merupakan salah satu perusahaan yang memberikan pelatihan NSA IAM dan IEM untuk NSA.
• Konsep Metodologi Penilaian NSA INFOSEC
The NSA IAM adalah metodologi penilaian keamanan informasi yang kegiatan penilaian baseline. Ini memecah informasi keamanan penilaian menjadi tiga fase: pra-penilaian, kegiatan di tempat, dan pasca-penilaian. Masing-masing fase ini berisi kegiatan wajib untuk memastikan konsistensi penilaian keamanan informasi. Penting untuk dicatat, bagaimanapun, bahwa penilaian NSA IAM hanya terdiri dari tinjauan dokumentasi, wawancara, dan observasi. Tidak ada pengujian yang terjadi selama penilaian IAM NSA. NSA merilis Metodologi Evaluasi INFOSEC untuk kegiatan pengujian awal.
g. Kerangka dan Kecendrungan Standar
Persyaratan dan praktik bisnis bervariasi secara signifikan di seluruh dunia, seperti halnya kepentingan politik dari banyak organisasi yang menciptakan standar. Tidak mungkin satu set kerangka kerja dan standar akan muncul dalam waktu dekat untuk memenuhi kebutuhan semua orang. Kerumitan memetakan ratusan dokumen otoritas dari peraturan (internasional, nasional, lokal / negara bagian, dan sebagainya) dan standar (ISO, industri khusus, vendor, dan sebagainya) menciptakan peluang dan ceruk pasar. Vendor teknologi berhak mengidentifikasi ceruk pasar yang penting ini, atau pembeda, untuk meningkatkan penjualan produk dengan mengidentifikasi cara mendapatkan produk mereka untuk memenuhi persyaratan otoritas. Vendor melompat pada kesempatan untuk memetakan kemampuan mereka untuk mengatasi kontrol tertentu dari berbagai peraturan dan standar.
Network Frontiers mungkin adalah perusahaan paling terkenal yang berusaha melakukan hal yang mustahil: untuk membuat pemetaan umum kontrol TI di setiap peraturan, standar, dan praktik terbaik yang ada. Hasilnya disebut Kerangka Kerja Kepatuhan TI, dan dapat ditemukan di www.unifiedcompliance.com. Selanjutnya, pemetaan ini diadopsi oleh Archer Technologies, Microsoft, Computer Associates, McAfee, dan beberapa vendor lain untuk membantu menjembatani keselarasan kontrol yang dikelola atau dilacak oleh vendor dengan persyaratan dokumen otoritas individu.
1. Konsep Audit
1.1 Definisi Audit
a) Menurut Konrath (2002)
Auditing sebagai “suatu proses mendapatkan dan mengevaluasi bukti, mengenai asersi tentang kegiatan-kegiatan dan kejadian-kejadian ekonomi perusahaan, untuk menyakinkan tingkat keterkaitan antara asersi tersebut dan kriteria yang telah ditetapkan dan mengkomunikasikan hasilnya kepada pihak-pihak yang berkepentingan.
b) Menurut Sukrisno Agoes (2004)
Auditing adalah “ Suatu pemeriksaan yang dilakukan secara kritis dan sistematis, oleh pihak yang independen, terhadap laporan keuangan yang telah disusun oleh manajemen, beserta catatan-catatan pembukuan dan bukti-bukti pendukungnya, dengan tujuan untuk dapat memberikan pendapat mengenai kewajaran laporan keuangan tersebut
c) Menurut Arens and Beaslev (2008)
Auditing adalah pengumpulan dan evaluasi tentang informasi untuk menentukan dan melaporkan derajat kesesuaian antara informasi itu dan kriteria yang telah ditetapkan. Auditing harus dilakukan oleh orang yang kompeten dan independen.
Jadi, dapat disimpulkan bahwa audit merupakan suatu proses pengumpulan dan evaluasi bukti serta pemeriksaan yang dilakukan secara kritis dan sistematis yang berhubungan dengan asersi tentang kegiatan-kegiatan dan kejadian-kejadian ekonomi, dengan tujuan untuk menentukan dan melaporkan derajat kesesuaian antara informasi itu dan kriteria yang telah ditetapkan.
1.2 Definisi Audit Sistem Informasi
a) Menurut Weber (2000)
Audit sistem informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif , serta menggunakan sumber daya yang dimiliki secara efisien.
b) Menurut Weber (1999)
Audit sistem informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian intern yang memadai, semua aktiva dilindungi dengan baik atau tidak disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas dan efesiensi penyelenggaraan sistem informasi berbasis komputer.
c) Menurut Romney (2003)
Audit sistem informasi mereview pengendalian umum dan pengendalian aplikasi dari sistem informasi akuntansi untuk menilai ketaatan sistemterhadap kebijakan dan prosedur pengendalian internal secara efektifitas dalam melindungi aset.
Istilah lain dari audit sistem informasi adalah audit berbasis komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dana integratif dalam mencapai target organisasinya. Jadi, dapat disimpulkan bahwa audit sistem informasi merupakan suatu proses pengumpulan dan pengevaluasian bahan bukti audit untuk menentukan apakah sistem komputer dapat mengamankan aset, keefektifitasan dan keefisienan dalam mencapai tujuan organisasi, dan menjaga integritas data.
1.3 Tujuan Audit Sistem Informasi
Menurut Weber (1999), tujuan audit sistem informasi sebagai berikut :
a) Meningkatkan keamanan aset-aset perusahaan
Aset Informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia (SDM), file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset.
b) Meningkatkan dan menjaga integritasi data
Integritas data (data integiry) adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut tertentu seperti kelengkapan, kebenaran, dan keakuratan. Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benaratau kejadian yang ada tidak terungkap seperti apa adanya.
c) Meningkatkan efektifitas sistem
Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Suatu sistem infromasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user.
d) Meningkatkan efisien sistem
Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memiliki kapasitas yang memadai.
e) Ekonomis
Ekonomis mencerminkan kalkulasi untuk rugi ekonomi (cost/benefit) yang lebih bersifat kuantifikasi nilai moneter (uang).
1.4 Jenis-jenis Audit
Dilihat dari Jenis pemeriksaan :
a) Manajemen audit (operasional audit)
Suatu pemeriksaan terhadap kegiatan perusahaan termasuk kebijakan akuntansi dan kebijakan operasional yang telah ditentukan oleh menajemen, untuk mengetahui apakah kegiatan operasi tersebut sudah dilakukan secara efektif, efisien dan ekonomis. Manajemen audit dapat dilakukan oleh Internal auditor, Kantor Akuntan Publik dan Manajemen Consultant.
Audit yang dilakukan mencakup :
• Analytical review procedurs
• Evaluasi atas management control system
• Compliance test (pengujian ketaatan)
Tahapan yang dilakukan :
1. Prelininary survey ( survei pendahuluan)
2. Review and testing of management control system (Penelaahan dan pengujian atas sistem pengendalian manajemen)
3. Detailed examination (Pengujian terinci)
4. Report development (pengembangan Laporan)
b) Compliance Audit (Pemeriksaan Ketaatan)
Pemeriksaan yang dilakukan untuk mengetahui apakah perusahaan sudah mentaati peraturan-peraturan dan kebijakan-kebijakan yang berlakuk baik yang ditetapkan oleh pihak intern perusahaan (manajemen, dewan komisaris) maupun pihak ectern ( pemerintah, bapepam, bank indonesia, Direktorat Jendral Pajak, dll). Pemeriksaan dapat dilakukan oleh : KAP, Internal Audit, pemeriksa pemerintah.
c) Internal Audit (pemeriksaan intern)
Pemeriksaan yang dilakukan oleh bagian internal audit perusahaan baik terhadap laporan keuangan dan catatan akuntansi perusahaan maupun ketaatan terhadap kebijakan manajemen yang telah ditentukan.
d) Audit Independen (Pemeriksaan Eksternal)
Pemeriksaan yang dilakukan oleh pihak yang bebas /independen terhadap laporan kekuangan perusahaan untuk menilai kewajaran laporan keuangan perusahaan yang diperlukan oleh pihak luar perusahaan. Pemeriksaan ini dilakukan oleh Kantor Akuntan Publik.
e) Audit EDP (Electronic Data Processing)
Pemeriksaan oleh KAP terhadap perusahaan yang memproses data akuntansinya dengan menggunakan EDP system.
Metode yang bisa dilakukan oleh auditor :
1. Audit around the computer.
Audit terhadap suatu penyelenggaraan sistem informasi berbasis komputer tanpa menggunakan kemampuan dari peralatan itu sendiri. Belum dilakukan pemeriksaan secara langsung terhadap data atau program.
2. Audit through the computer
Audit terhadap suatu penyelenggaraan sistem informasi berbasis komputer dengan menggunakan fasilitas dan kemampuan komputer yang digunakan. Tujuannya adalah untuk memeriksa kebenaran software aplikasi (perhitungan), memastikan kehandalan dari program aplikasi.
3. Audit With The Computer
Audit terhadap suatu penyelenggaraan sistem informasi berbasis komputer dengan menggunakan komputer yang telah dilengkapi dengan software yang dapat membantu auditor untuk menghasilkan output yang digunakan untuk maksud audit.
1.5 Penggolongan Audit Sistem Informasi
a) Audit laporan keuangan
• Audit terhadap sistem informasi akuntansi berbasis teknologi informasi untuk menilai apakah laporan keuangan yang dihasilkan oleh sistem informasi akuntansi tersebut sesuai dengan standar akuntansi keuangan.
• Kualifikasi auditornya adalah akuntan beregister (CPA) / auditor eksternal.
• Panduan yang digunakan dalam audit adalah Standar Profesional Akuntan Publik (SPAP).
• Referensi model sistem pengendalian internalnya adalah Committee of Sponsoring Organization (COSO).
• Bahan bukti utama audit adalah data akuntansi dan internal kontrol.
b) Audit sistem informasi sebagai kegiatan TI
• Sebagai suatu audit operasional terhadap manajemen sumberdaya informasi untuk menilai apakah pengelolaan SI pada suatu organisasi berjalan secara efektif, efisien, dan ekonomis.
• Audit dilakukan oleh auditor internal (tidak menutup kemungkinan oleh auditor eksternal.
• Panduan audit mengacu pada standar atestasi yang dikeluarkan organisasi profesi (IAI di Indonesia, AICPA di USA, CICA untuk Kanada).
• Referensi model sistem pengendalian internalnya adalah CobIT.
1.6 Persamaan Audit Konvensonal dengan Audit SI
a) Definisi
Proses pengumpulan dan penilaian bukti guna menentukan dan melaporkan kesesuaian bukti dengan kriterianya.
b) Auditor
Pemeriksaan dapat dilakukan oleh internal auditor (pemeriksa intern), eksternal auditor (pemeriksa ektern), atau pemeriksaan khusus (campuran antara internal dan eksternal).
c) Tujuan
Bagi pemeriksa internal bertujuan menilai 3E (efektifitas, efesiensi, ekonomis) dan operasi manajemen. Dalam pemeriksaan umum oleh akuntan publik tujuannya menilai kewajaran penyajian laporan keuangan dan kesesuaiannya dengan SAK (Standar Akuntansi Keuangan).
d) Opini
Terdiri dari empat jenis opini, yaitu unqualified (wajar tanpa syarat), qualified (dengan syarat), adverse (tidak setuju), dan disclaimer (menolak memberikan pendapat).
e) Norma Pemeriksaan
Standar Profesional Akuntan Publik (SPAP) yang di Indonesia diterbitkan oleh IAI terdiri dari standar umum, standar pekerjaan lapangan, dan standar pelaporan.
1.7 Peran Tim Audit IT
a) Aplikasi auditor
Tim audit fokus pada layer aplikasi. Mereka tidak me-review kontrol dasar yang bergantung pada sistem seperti keamanan jaringan dan lingkungan operasi sistem. Jika area nya tidak terkontrol dengan baik,akan seperti pintu yang terkunci tetapi keluar dari jendela terbuka. Orang-orang bisa mengekploitasi kelemahan sistem dari layer lainnya dengan berbagai cara dan integritas yg trganggu,kepercayaan,dan keamanan aplikasi sistem.
b) Ekstraksi data dan spesialis analisis
Implementasi yang efektif pada model ini adalah melibatkan analitik yang berkembang yang mengizinkan monitoring berkelanjutan untuk bukti penipuan,pelanggaran pengendalian internal,ketidakpatuhan kebijakan dan penyalahgunaan lainnya. Data spesialis juga menyediakan dukungan utk mengaudit,membantu tim audit utk menghasilkan dan menganalisis data yang relevan tetapi tidak fokus pada data yang utama. Jenis auditor ini dapat menjadi bagian departemen audit yang berharga.
c) Auditor IT
Departemen lainnya memiliki auditor it yang menghabiskan sebagian besar wkt mereka terfokus pada area dibawah lapisan aplikasi. Tim audit ini terdiri dari professional it dibandingkan dengan orang-orang bisnis yang mengerti bagaimana menggunakan sistem aplikasi. Auditor it dapat membantu untuk review beberapa kontrol aplikasi umum seperti mengubah kontrol dan seluruh administrasi akses sistem
2. Proses Audit
Hal yang harus dimengerti sebelum memasuki proses audit adalah salah satu konsep yang sangat mendasar dalam audit, yaitu kendali internal (internal controls). Kendali internal adalah mekanisme yang memastikan fungsi pada proses dalam perusahaan dijalankan dengan benar. Setiap sistem dan proses dalam suatu perusahaan ada untuk beberapa tujuan bisnis tertentu. Auditor harus mencari keberadaan risiko untuk tujuan-tujuan tersebut, kemudian memastikan bahwa kendali internal tersedia untuk meringankan risiko-risiko itu.
Kendali internal (internal controls) adalah kendali yang dapat berupa pencegahan,pendeteksi, atau pereaksi, dan dapat mempunyai implementasi administratif, teknis, dan teknis. Contoh implementasi administratif menyangkut beberapa hal, seperti kebijakan dan proses. Implementasi teknis adalah alat dan perangkat lunak yang secara logis menegakkan kendali (contohnya kata sandi). Implementasi fisik menyangkut kendali yang mempunyai contoh setiap pintu dikunci dan menggunakan id user dengan kata kunci yang unik.
1) Kendali Pencegahan (Preventive Controls)
Kendali untuk menghentikan kejadian yang tidak diinginkan. Contoh dari kendali ini adalah meminta ID dan kata sandi untuk mengakses suatu sistem. Kendali ini mencegah orang-orang yang tidak berhak untuk memasuki suatu sistem. Namun, kendali ini tidak selalu merupakan solusi yang efektif dalam biaya. Jenis kendali yang lain mungkin lebih masuk akal dari sudut pandang biaya/manfaat.
2) Kendali Pendeteksi (Detective Controls)
Kendali ini mencatat sebuah peristiwa buruk setelah baru saja terjadi. Misalnya, pencatatan semua aktivitas yang dilakukan pada sistem akan memungkinkan Anda meninjau log untuk mencari kegiatan yang tidak baik setelah peristiwa.
3) Kendali Pereaksi / Kendali Pengoreksi (Reactive Controls / Corrective Controls)
Kendali yang menyediakan jalan sistematik untuk mendeteksi saat peristiwa buruk terjadi dan membenarkan situasi. Misalnya, Anda mempunyai sistem anti virus utama yang mendeteksi kemungkinan masing-masing user PC mempunyai file terkini yang dipasang. Idealnya, Anda bisa melarang akses jaringan ke mesin apa pun yang tidak sesuai. Namun, ini mungkin tidak praktis dari sudut pandang bisnis. Oleh karena itu, alternatifnya mungkin untuk login PC yang tidak sesuai dan melakukan beberapa tindak lanjut kegiatan untuk mendapatkan PC sesuai atau menghapus kemampuannya untuk mengakses jaringan.
Contoh kendali internal (internal controls) :
a) Kendali Pada Perubahan Perangkat Lunak
Kendali internal pada perubahan perangkat lunak dapat mengurangi resiko ketidakpercayaan pada integritas data dalam sistem yang menghasilkan ketidakmampuan untuk mengetahui dengan pasti siapa yang telah membayar perusahaan Anda dan siapa yang tidak, dengan cara :
- Tidak mengizinkan akses logis pemrogram untuk memperbarui kode produksi
- Tidak membiarkan orang yang memiliki akses logis untuk memperbarui kode produksi, kecuali dengan bukti pengujian dan persetujuan
-
b) Kendali Akses
Kendali internal pada akses dapat mengurangi resiko perubahan, penambahan, atau penghapusan data yang tidak benar oleh pihak yang tidak mempunyai kebutuhan untuk mengaksesnya dengan cara :
- Mengharuskan user menginput ID dan kata sandi untuk mengakses sistem
- Memiliki sejumlah administrator keamanan aplikasi yang mengontrol
kemampuan untuk menambah akun pengguna baru ke sistem
- Memastikan bahwa administrator keamanan aplikasi adalah individu yang berpengetahuan, yaitu dengan mengetahui pengguna mana yang sebenarnya membutuhkan akses ke sistem
-
c) Rencana Pada Cadangan dan Pemulihan
Kendali internal dalam rencana pada cadangan dan pemulihan dapat mengurangi resiko ketidakmampuan untuk melacak piutang yang belum dilunasi atau membuat pembayaran baru karena tidak tersedianya fungsi sistem yang mengakibatkan hilangnya data pada sistem, dengan cara :
- Mengadakan cadangan sistem dan datanya secara berkala
- Mengirimkan kaset cadangan ke luar kantor
- Mendokumentasikan rencana pemulihan
2.1 Tahapan Audit
Dalam melakukan proses audit terdapat hal yang paling penting dilakukan oleh bagian audit internal, yaitu menentukan apa yang harus diaudit. Rencana audit Anda harus memfokuskan auditor Anda pada area yang paling berisiko dan pada area dimana Anda dapat menambahkan nilai yang paling banyak. Anda harus efisien dan efektif dalam menggunakan sumber daya Anda yang terbatas dengan menghabiskan waktu audit TI Anda dengan area yang paling penting. Hal ini tidak boleh dilakukan secara sewenang-wenang dengan menarik potensi audit keluar dari jalurnya, sebaliknya, ini harus menjadi proses logis dan teratur yang memastikan semua potensi audit telah dipertimbangkan.
1. Perencanaan
Sebelum Anda mulai mengerjakan audit apa pun, Anda harus menentukan apa yang Anda rencanakan untuk ditinjau. Jika proses perencanaan dilaksanakan secara efektif, itu akan membentuk tim audit untuk sukses. Sebaliknya, jika dilakukan dengan buruk dan pekerjaan dimulai tanpa rencana dan tanpa kejelasan arah, upaya tim audit bisa mengakibatkan kegagalan.
Tujuan dari proses perencanaan adalah untuk menentukan tujuan dan ruang lingkup audit. Anda perlu menentukan apa yang ingin Anda capai dengan peninjauan. Sebagai bagian dari proses ini, Anda harus mengembangkan serangkaian langkah yang harus dilaksanakan untuk mencapai tujuan audit. Proses perencanaan ini akan membutuhkan penelitian yang cermat, pemikiran, dan pertimbangan untuk setiap audit. Berikut adalah beberapa sumber dasar yang seharusnya dirujuk sebagai bagian dari setiap proses perencanaan audit:
- Hand off dari manajer audit
- Survei pendahuluan
- Permintaan pelanggan
- Daftar periksa standar
- Penelitian
- Penilaian
- Penjadwalan
- Pertemuan pertama sebuah proyek
2. Pekerjaan Lapangan dan Dokumentasi
Sebagian besar audit terjadi selama fase ini, ketika langkah audit dibuat pada tahap sebelumnya yang dilaksanakan oleh tim audit. Sekarang, tim memperoleh data dan melakukan wawancara yang akan membantu anggota tim untuk menganalisa potensi risiko dan menentukan risiko mana yang belum dikurangi dengan tepat. Auditor harus mencari cara untuk memvalidasi informasi yang disediakan secara independen dan efektivitas lingkungan kontrol. Sebagai contoh, jika pelanggan audit menggambarkan proses untuk menyetujui permintaan akun pengguna baru, auditor harus berusaha menarik sampel pengguna yang baru ditambahkan untuk melihat apakah mereka memang menerima persetujuan yang tepat. Ini akan memberikan bukti yang jauh lebih meyakinkan bahwa proses diikuti daripada wawancara.
Dokumentasi juga merupakan bagian penting dari kerja lapangan. Auditor harus melakukan pekerjaan yang cukup untuk mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat dibuktikan. Tujuan itu harus untuk mendokumentasikan pekerjaan dalam cukup detail, sehingga orang yang telah mendapat cukup informasi dapat memahami apa yang telah dilakukan dan sampai pada kesimpulan yang sama seperti auditor. Dokumentasi merupakan hal yang penting. Pertama, dibutuhkan untuk memenuhi standar profesi. Kedua, ada kemungkinan bahwa di masa depan temuan audit dapat dipertanyakan atau ditantang, dan auditor yang melakukan pekerjaan mungkin tidak lagi dipekerjakan oleh perusahaan atau departemen pada saat itu (atau mungkin baru saja melupakan detail audit). Akan sangat penting dokumentasi itu ada untuk menjelaskan proses audit dan memperkuat kesimpulan. Ketiga, jika audit dilakukan lagi suatu hari nanti, dengan mempertahankan dokumentasi rinci akan memungkinkan tim audit selanjutnya untuk belajar dari pengalaman tim audit sebelumnya, sehingga memungkinkan perbaikan dan efisiensi secara terus menerus.
Catatan penting tentang pekerjaan lapangan, yaitu:
1. Selama fase perencanaan, Anda akan mengembangkan daftar periksa seperti apa yang Anda rencanakan untuk ditinjau selama audit.
2. Pastikan daftar periksa itu tidak menghasilkan anggota tim audit untuk menghentikan penilaian mereka yang baik.
3. Tim harus tetap fleksibel selama audit dan bersiap untuk mengeksplorasi jalan yang tidak dipertimbangkan selama fase perencanaan
4. Anggota tim selalu perlu diingatkan tujuan keseluruhan dari audit
5. Setiap anggota tim memahami tujuan di balik tugas yang ditetapkan dalam langkah-langkah audit. Langkah-langkah ini harus berfungsi sebagai pedoman untuk mencapai suatu tujuan
6. Setiap auditor harus tetap kreatif dalam bagaimana langkah itu dilakukan. Jika langkahnya dilakukan, tetapi tidak benar-benar mengatasi risiko yang sedang diselidiki, maka auditor telah gagal
3. Penemuan Masalah dan Validasi
Saat melaksanakan kerja lapangan, auditor akan mengembangkan daftar masalah potensial. Ini adalah salah satu fase yang penting dari audit, dan auditor harus hati-hati menghapus daftar potensi masalah untuk memastikan bahwa semua masalah valid dan relevan. Selain memvalidasi bahwa Anda memiliki fakta yang benar, Anda perlu memvalidasi risiko yang disajikan oleh masalah ini cukup signifikan untuk dilaporkan dan ditangani dengan layak. Jangan mengajukan masalah demi mengangkat masalah. Sebaliknya, isu yang diangkat harus ada risiko signifikan bagi perusahaan. Pertimbangkan untuk mengurangi kendali, dan pahami seluruh gambaran sebelum menentukan apakah Anda memiliki masalah yang layak dilaporkan.
4. Pengembangan Solusi
Setelah Anda mengidentifikasi masalah potensial di area yang Anda audit dan mempunyai fakta dan risiko yang divalidasi, Anda dapat bekerja dengan pelanggan Anda untuk mengembangkan rencana aksi untuk menangani setiap masalah. Dengan hanya mengangkat masalah tidak membuat perusahaan menjadi baik, kecuali masalah-masalah itu benar-benar diatasi. Tiga pendekatan umum yang digunakan untuk mengembangkan dan menugaskan item tindakan untuk mengatasi masalah audit adalah:
• Pendekatan rekomendasi
Dengan menggunakan pendekatan umum ini, auditor mengangkat masalah dan memberikan rekomendasi untuk memanggil pelanggan. Auditor kemudian bertanya kepada pelanggan apakah mereka setuju dengan rekomendasi tersebut. Setelah mereka setuju, auditor menanyakan pelanggan kapan mereka ingin masalah diselesaikan.
• Pendekatan respon manajemen
Dengan pendekatan respon manajemen, auditor mengembangkan daftar masalah dan kemudian memberikannya kepada pelanggan untuk respon dan rencana aksi mereka. Terkadang auditor mengirim rekomendasi mereka untuk resolusi bersama dengan masalah, dan terkadang mereka hanya mengirim masalah tanpa rekomendasi. Baiknya, pelanggan harus mengirim kembali tanggapan mereka untuk dimasukkan ke dalam laporan audit.
• Pendekatan solusi
Dengan menggunakan pendekatan ini, auditor bekerja dengan pelanggan untuk mengembangkan sebuah solusi yang menyajikan sebuah rencana aksi yang dikembangkan bersama dan disepakati untuk mengatasi masalah yang diangkat selama audit.
Pendekatan ini adalah kombinasi dari dua pendekatan sebelumnya yang membawa hal terbaik dari masing-masing pendekatan. Seperti halnya pendekatan rekomendasi, auditor menyediakan ide untuk resolusi berdasarkan pengetahuan kendali mereka. Seperti pendekatan respon manajemen, pelanggan menyediakan ide untuk resolusi berdasarkan pengetahuan operasional kehidupan nyata mereka. Hasilnya adalah solusi yang pelanggan miliki dan memuaskan auditor.
5. Pembuatan dan Penerbitan Laporan
Setelah Anda menemukan masalah di lingkungan yang diaudit, memvalidasikannya
dengan pelanggan, dan mengembangkan solusi untuk mengatasinya, Anda dapat menyusun laporan audit. Laporan audit adalah sarana dimana Anda mendokumentasikan hasil dari audit. Laporan audit melayani dua fungsi utama:
- Bagi Anda dan pelanggan audit, ini berfungsi sebagai catatan audit, hasil audit, dan rencana aksi yang dihasilkan.
- Bagi manajemen senior dan komite audit, ini berfungsi sebagai "kartu laporan" pada area yang diaudit.
• Elemen Penting dari Laporan Audit
Ada banyak format laporan audit karena adanya departemen audit internal. Namun, berikut ini adalah elemen penting dari laporan audit:
- Pernyataan ruang lingkup audit
- Ringkasan pelaksana
- Daftar masalah, bersama dengan rencana aksi untuk menyelesaikannya
Setelah Anda menyusun laporan, Anda harus membiarkan pelanggan meninjau dan berkomentar di atasnya sebelum diterbitkan. Bersedialah membuat perubahan pada kata-kata singkat selama mereka tidak mengubah pesan dari apa yang Anda katakan. Tujuannya agar pelanggan merasa nyaman dan sesuai dengan apa yang ada di laporan.
Setelah laporan disusun dan ditinjau oleh pelanggan, sekarang saatnya untuk menerbitkan laporan. Sebagian besar departemen audit mengeluarkan semua laporan audit kepada manajemen senior (termasuk CIO, CFO, dan CEO) dan kadang-kadang bahkan ke komite audit. Hal ini tentu cocok dengan tujuan departemen untuk memberikan manajemen senior dengan jaminan independen dalam keadaan kendali internal di perusahaan.
6. Pelacakan Masalah
Audit tidak benar-benar lengkap sampai masalah yang diangkat dalam audit diselesaikan, baik dengan diperbaiki atau dengan diterima oleh tingkat manajemen yang sesuai. Departemen audit harus mengembangkan proses di mana anggotanya dapat melacak dan mengikuti masalah sampai mereka terselesaikan. Ini kemungkinan akan melibatkan pemeliharaan database yang berisi semua poin audit dan tanggal jatuh tempo mereka, bersama dengan mekanisme untuk menandai mereka sebagai tertutup, terlambat, dan seterusnya.
Keputusan perlu dibuat mengenai sebuah validasi solusi yang diterapkan untuk mengatasi masalah audit. Jika solusinya adalah memodifikasi pengaturan sistem, maka auditor tentu dapat memeriksa pengaturannya. Jika solusinya adalah membuat rencana pemulihan, auditor tentu bisa melihat rencananya. Namun, terkadang jawaban praktis adalah meminta pelanggan untuk menjelaskan dan berjalan melalui proses atau sistem yang telah diimplementasikan tanpa benar-benar menguji keefektifannya. Ini adalah area lain dimana penilaian auditor dan pikiran yang wajar perlu diterapkan.
3. Teknik Audit
Teknik audit adalah cara-cara yang ditempuh auditor untuk memperoleh pembuktian dalam membandingkan keadaan yang sebenarnya dengan keadaan yang seharusnya. Terdapat 13 teknik audit, yaitu :
1. Teknik Audit Kendali Tingkat Entitas
Pada bagian ini akan membantu Auditor untuk melihat secara keseluruhan dari perusahaan, seperti : perencanaan strategis dan technology roadmaps, indikator dan matriks kinerja, persetujuan proyek dan proses pengawasan, kebijakan, standar dan prosedur, manajamen karyawan, manajemen aset dan kapasitas, serta konfigurasi sistem dan manajemen perubahan.
2. Teknik Audit Data Centers dan Disaster Recovery
Pusat data adalah fasilitas yang dirancang untuk menyimpan sistem penting organisasi, yang terdiri dari perangkat keras komputer, sistem operasi, dan aplikasi. Aplikasi dimanfaatkan untuk mendukung proses bisnis tertentu seperti pemenuhan pesanan, manajemen hubungan pelanggan (CRM), dan akuntansi.
Pusat data saat ini menyediakan infrastruktur kontrol akses fisik, kontrol lingkungan, konektivitas daya dan jaringan, sistem pencegah kebakaran, dan sistem alarm. Infrastruktur pusat data ini dirancang untuk menjaga lingkungan komputasi konstan yang konstan. Peran auditor adalah untuk memverifikasi dan memvalidasi bahwa semua sistem dan prosedur yang diperlukan hadir dan berfungsi dengan baik untuk melindungi kerahasiaan, integritas, dan ketersediaan sistem dan data perusahaan.
3. Teknik Audit switch, routers dan firewalls
Langkah-langkah dalam teknik audit ini dibagi menjadi langkah-langkah umum dan langkah-langkah spesifik. Langkah-langkah audit umum berlaku untuk peralatan jaringan secara umum, diikuti oleh bagian khusus untuk router, switch, dan firewall. Kerjakan bagian pertama dari kontrol umum tanpa menghiraukan audit Anda dan kemudian pindah ke bagian tertentu yang Anda butuhkan untuk menyelesaikan audit.
4. Teknik Audit Sistem Operasi Windows
Kunci untuk audit yang sukses dari server Windows atau klien adalah untuk meninjau host secara menyeluruh dengan sendirinya dan bersama dengan banyak koneksi lain yang mungkin yang meneruskan data ke dan dari host. Langkah-langkah audit berikut hanya berfokus pada tuan rumah dan tidak mencakup ulasan ekstensif tentang aplikasi di atasnya atau hubungan kepercayaan dengan sistem luar. Juga tidak tercakup adalah input data dan metode output data atau validitasnya. Anda akan berurusan dengan ini secara per-host menggunakan teknik dan alat-alat yang dibahas di bagian lain dalam buku ini. Langkah-langkah yang ditunjukkan di sini adalah tipikal dari banyak audit server dan mewakili tradeoff yang baik antara jumlah risiko yang ditanggung dan jumlah waktu yang diperlukan untuk meninjau host.
5. Teknik Audit Sistem Operasi Unix dan Linux
Langkah-langkah untuk melakukan audit Sistem Operasi Unix dan Linux terbagi menjadi 5 bagian :
• Pengendalian akun dan kata sandi
• Keamanan file dan pengendalian
• Keamanan jaringan dan pengendalian
• Log audit
• Pemantauan keamanan dan pengendalian umum
6. Teknik Audit Web Server dan Web Aplikasi
Hal yang menjadi perhatian utama dalam melakukan audit web server adalah pengaturan default, kode sampel, kesalahan konfigurasi umum, dan pencatatan. Dalam audit web aplikasi hal yang menjadi perhatian utama adalah pengaturan keamanan framework, pengaturan aplikasi default, validasi input, penyajian data yang salah, akses ke data rahasia perusahaan, dan kesalahan konfigurasi umum.
7. Teknik Audit database
Untuk mengaudit database secara efektif, auditor memerlukan pemahaman dasar tentang cara kerja database. Auditor perlu memahami seperangkat komponen yang luas untuk mengaudit database dengan benar. Biasanya, audit mencakup peninjauan yang cukup mendalam terhadap berbagai bidang, yaitu sistem operasi, kebijakan, dan sebagainya. Jika waktu memungkinkan, audit mencakup satu atau dua dari database yang paling penting.
8. Teknik Audit Penyimpanan
Penyimpanan memperluas batas lingkungan komputasi untuk memungkinkan data menjadi dapat terbagi antara pengguna dan aplikasi. Platform penyimpanan telah tumbuh sangat efisien, sehingga server dapat menggunakan lingkungan penyimpanan, dibandingkan dengan penyimpanan asli ke server dan bentuk penyimpanan terpasang langsung lainnya untuk persyaratan penyimpanan utama server.
Dalam melakukan audit, auditor harus mengerti komponen dasar yang membentuk lingkungan penyimpanan, yaitu infrastruktur penyimpanan yang mencakup komponen terkait dengan host, jaringan, dan penyimpanan yang berfungsi secara bersama untuk menyediakan fasilitas penyimpanan bagi pengguna dan aplikasi.
9. Teknik Audit Lingkungan Virtual
Virtualisasi memungkinkan pemisa han sistem operasi dari perangkat keras, menggunakan layer yang disebut hypervisor untuk duduk di antara perangkat keras dan sistem operasi. Sebuah hypervisor mengabstraksikan perangkat keras fisik dan menyajikan perangkat keras yang ditetapkan ke sistem operasi. Abstraksi yang dihasilkan dari sistem operasi yang berasal dari server fisik yang spesifik memberikan kebebasan kreasi yang luar biasa untuk membuat cadangan, menyalin, memulihkan, dan bergerak menjalankan sistem operasi, lengkap dengan aplikasi yang dipasang.
Auditor dalam melakukan audit memerlukan pemahaman dasar tentang komponen yang membentuk lingkungan virtualisasi, yaitu model keamanan, penyelarasan bisnis, perencanaan kapasitas, dan manajemen kinerja. Lingkungan yang lebih kecil mungkin memiliki beberapa server yang dijalankan secara virtual yang berjalan pada sebuah server dengan fisik yang kuat. Lingkungan yang lebih besar mendukung ratusan atau ribuan server yang dijalankan secara virtual dan desktop yang berjalan pada infrastruktur kompleks dari kumpulan server yang terhubung ke Storage Area Network (SAN). Sebuah ukuran dapat mengubah ruang lingkup atau pendekatan untuk audit, tetapi persyaratan dan pengendalian bisnis yang sama tetap ada. Pengelolaan sumber daya dan pemantauan masing-masing komponen secara terpisah dan kolektif memungkinkan lingkungan virtual berfungsi.
10. Teknik Audit Perangkat WLAN dan Seluler Data Aktif
Dalam melakukan audit perangkat WLAN dan seluler data aktif membutuhkan pemahaman tentang bagaimana teknologi diimplementasikan pada suatu organisasi. WLAN biasanya dikelola oleh tim jaringan tim, sedangkan perangkat seluler data aktif dapat dipengaruhi kinerjanya oleh jaringan, helpdesk, e-mail, produktivitas, dan tim lain dalam organisasi.
11. Teknik Audit aplikasi
Auditor harus dapat melakukan pertimbangan pada setiap aplikasi ketika memberi urutan yang beresiko dan menentukan apa yang harus diaudit, dan tidak hanya berfokus pada aplikasi yang lebih besar demi mendukung proses bisnis penting.
12. Teknik Audit Cloud Computing dan Outsourced Operations
Untuk melakukan audit cloud computing dan outsourced operations terdapat hal yang harus diperhatikan oleh auditor. Pertama, apa pun langkah audit yang ingin dilakukan jika layanan tersebut sedang dilakukan oleh perusahaan, maka harus dipertimbangkan saat mengaudit fungsi yang diambil alih. Kedua, auditor perlu menentukan apakah akan mengaudit vendor dan mengevaluasi kendalinya atau akan mengaudit perusahaan auditor sendiri dan memastikan bahwa vendor menyediakan kendali yang diperlukan.
13. Teknik Audit Proyek
Audit proyek dilakukan untuk mengidentifikasi risiko terhadap keberhasilan proyek-proyek perusahaan. Dua pendekatan dasar dapat diambil dari audit proyek. Pendekatan pertama cepat dan jangka pendek. Pendekatan kedua mengambil pandangan jangka panjang proyek dan merupakan pendekatan yang lebih konsisten. Pendekatan jangka pendek dapat menjadi tantangan; auditor memilih satu titik dalam proyek untuk melakukan audit mereka, dan kemudian mereka meninjau proyek pada titik waktu dan membuat penilaian berdasarkan apa yang telah terjadi dan apa yang direncanakan.
Pendekatan ini mengakibatkan hal yang buruk. Pertama, sulit bagi auditor untuk mempengaruhi fase yang telah selesai. Kedua, sulit untuk memulai fase evaluasi penuh. Auditor dapat meninjau rencana untuk pengujian penerimaan pengguna di awal proyek, tetapi sampai rencana tersebut sepenuhnya dikembangkan dan dilaksanakan, auditor akan sulit untuk mengevaluasi keefektifan mereka yang sebenarnya
4. Regulasi Audit
a. The Sarbanes-Oxley Act of 2002
The Sarbanes-Oxley (SOX) Act of 2002 (secara resmi dikenal sebagai Perubahan Akuntansi Perusahaan Umum dan Aksi Perlindungan Investor) adalah tanggapan dari pemerintah ASuntuk segerombolan skandal perusahaan terkenal yang dimulai dengan Enron dan Arthur Andersen, diikuti oleh Tyco, Adelphia Communications, WorldCom, HealthSouth, dan banyak lainnya. The Sarbanes-Oxley Act dan the Public Company Accounting Oversight Board (PCAOB) atau Dewan Pengawas Akuntansi Perusahaan Publik diciptakan untuk memulihkan kepercayaan investor di pasar umum AS. Tujuan utamanya adalah untuk meningkatkan tanggung jawab perusahaan, meningkatkan pengungkapan keuangan, dan mencegah penipuan perusahaan dan akuntansi. Dengan demikian, kendali yang diperlukan untuk mematuhi SOX fokus pada kendali utama yang penting untuk memastikan kerahasiaan, integritas, dan ketersediaan data keuangan.
b. Gramm-Leach-Bliley Act
Judul resmi dari peraturan ini adalah Modernisasi Jasa Keuangan. Tindakan itu umumnya dikenal sebagai Gramm-Leach-Bliley Act (GLBA), terutama diarahkan untuk memungkinkan perluasan fungsi dan hubungan antar lembaga keuangan. Peraturan ini mencakup bagaimana dan dalam keadaan apa perusahaan induk bank dapat melakukan afiliasi baru dan terlibat dalam aktivitas yang sebelumnya dibatasi.
c. California SB 1386
California SB 1386 adalah salah satu peraturan negara bagian pertama dan yang paling terlihat menangani pelanggaran keamanan yang menyebabkan informasi pribadi terungkap. Beberapa negara bagian telah mengadopsi atau mempertimbangkan peraturan serupa. Peraturan ini mewajibkan agen, orang, atau bisnis yang menjalankan bisnis di California dan memiliki atau melisensi informasi pribadi yang terkomputerisasi untuk mengungkapkan pelanggaran keamanan kepada setiap penduduk yang datanya tidak terenkripsi. Peraturan tidak hanya berlaku untuk perusahaan dengan operasi langsung tetapi juga mereka yang beroperasi di luar negara bagian dan memiliki data penduduk California dalam file. Yang termasuk dalam peraturan ini adalah definisi dari apa yang dianggap sebagai informasi pribadi, mengevaluasi metode apakah informasi telah diungkapkan secara sah atau tidak, dan persyaratan untuk pemberitahuan warga California.
d. Health Insurance Portability and Accountability Act of 1996
Pada tahun 1996, Kongres AS mengeluarkan Health Insurance Portability and Accountability Act (HIPAA) atau Tindakan Portabilitas dan Akuntabilitas Asuransi Kesehatan. Tindakan itu mencakup dua bagian. Judul I memberikan jaminan asuransi kesehatan setelah karyawan kehilangan atau mengganti pekerjaan. Judul II berkaitan dengan tindakan administratif yang dimaksudkan untuk menyederhanakan dan menstandarisasi informasi kesehatan. Judul II bagian TI berurusan dengan keamanan dan penanganan informasi kesehatan pada masa elektronik. Komponen-komponen TI dari peraturan tersebut menetapkan metodologi standar untuk keamanan. Lebih lanjut, HIPAA menstandarisasi format untuk informasi yang berhubungan dengan kesehatan. Standar mencakup metode yang memastikan kerahasiaan pasien dan integritas data untuk informasi apa pun yang dapat dikaitkan dengan individu pasien.
Komponen tindakan yang paling sering diidentifikasi adalah kumpulan data secara kolektif yang dikenal sebagai Protected Health Information (PHI) atau Electronic Protected Health Information (EPHI) yang mencakup informasi kesehatan individu yang dapat diidentifikasi atau Individually Identifiable Health Information (IIHI). IIHI berhubungan dengan kondisi medis individu, perawatan, atau pembayaran untuk perawatan. Setiap entitas yang mempertahankan dan menggunakan PHI yang dapat diidentifikasi secara individu berarti patuh pada aturan tersebut. Ruang lingkup efektif HIPAA mencakup entitas dari rumah sakit, perusahaan asuransi, dokter (semua jenisnya), laboratorium, dan perusahaan yang beroperasi atau berpartisipasi dalam rencana kesehatan. Organisasi yang dipengaruhi oleh HIPAA dimaksudkan oleh peraturan sebagai entitas yang tertutup.
e. Basel II
Basel II adalah persatuan bank-bank internasional terutama di Eropa, juga di Amerika Serikat dan Kanada. Dimulai pada 1974, persatuan ini menerbitkan perjanjian yang mencakup berbagai macam topik perbankan dan dimaksudkan untuk memberikan peningkatan pengawasan dan pengawasan bank internasional. Komite penasihat dalam persatuan ini dimaksudkan untuk menyebarluaskan berbagai standar teknis dan keuangan. Fokus persatuan ini adalah untuk menyediakan kerangka manajemen risiko di sekitar standar kapitalisasi untuk bank internasional. Perjanjian Basel II sepenuhnya bersifat sukarela, dan setiap pemakaian diatur oleh bank sentral masing-masing negara. Secara umum, Basel II menyediakan kendali TI seputar manajemen resiko yang berhubungan dengan pinjaman. Oleh karena itu, seperti halnya SOX, auditor TI harus memperhatikan kendali yang melindungi integritas informasi keuangan.
5. Kerangka dan Standar
a. Pengantar Kontrol, Kerangka, dan Standar Internal TI
Pada tahun 1970-an, kekhawatiran atas meningkatnya kebangkrutan perusahaan dan keruntuhan keuangan mulai meningkatkan permintaan akan akuntabilitas dan transparansi yang lebih besar di antara perusahaan-perusahaan yang dimiliki publik. Undang-Undang Praktik Korupsi Asing tahun 1977 (FCPA) mengkriminalisasi suap di negara-negara asing dan merupakan peraturan pertama yang mengharuskan perusahaan untuk menerapkan program pengendalian internal untuk menyimpan catatan ekstensif transaksi untuk tujuan pengungkapan.
Ketika industri tabungan dan pinjaman runtuh pada pertengahan 1980-an, ada teriakan untuk pengawasan pemerintah terhadap standar akuntansi dan profesi audit. Dalam upaya untuk menghalangi intervensi pemerintah, inisiatif sektor swasta yang independen, yang kemudian disebut Komite Organisasi Pensponsoran (COSO), dimulai pada 1985 untuk menilai bagaimana cara terbaik untuk meningkatkan kualitas pelaporan keuangan. COSO meresmikan konsep pengendalian internal dan kerangka kerja pada tahun 1992 ketika menerbitkan publikasi tengara Internal Control – Integrated Framework.
b. COSO
• Konsep Kunci Pengendalian Internal
Berikut ini adalah konsep kunci dari pengendalian internal menurut COSO:
- Kontrol internal adalah suatu proses. Ini adalah sarana untuk mencapai tujuan, bukan tujuan itu sendiri.
- Kontrol internal dipengaruhi oleh orang. Ini bukan hanya panduan dan bentuk kebijakan, tetapi orang-orang di setiap tingkat organisasi.
- Kontrol internal dapat diharapkan hanya memberikan jaminan yang wajar, bukan jaminan mutlak, kepada manajemen dan dewan entitas.
- Kontrol internal diarahkan untuk pencapaian tujuan dalam satu atau lebih kategori yang terpisah tetapi tumpang tindih.
• Kerangka Kontrol Internal – Terintegrasi
Sebagaimana dijelaskan oleh COSO, pengendalian internal terdiri dari lima komponen yang saling terkait:
- Lingkungan kontrol
- Tugas beresiko
- Aktivitas kontrol
- Informasi dan Komunikasi
- Pemantauan
• Definisi COSO Manajemen Risiko Perusahaan
Manajemen risiko perusahaan adalah suatu proses, dipengaruhi oleh dewan direksi entitas, manajemen, dan personel lainnya, diterapkan dalam pengaturan strategi dan di seluruh perusahaan dan dirancang untuk mengidentifikasi peristiwa potensial yang dapat mempengaruhi entitas, dan mengelola risiko untuk berada dalam risk appetite , untuk memberikan jaminan yang wajar mengenai pencapaian tujuan entitas.
Definisi ini mencerminkan konsep dasar tertentu. Manajemen risiko perusahaan :
- Suatu proses, yang sedang berlangsung dan mengalir melalui suatu entitas;
- Terpengaruh oleh orang di setiap tingkat organisasi;
- Diterapkan dalam pengaturan strategi;
- Diterapkan di seluruh perusahaan, di setiap tingkat dan unit, dan termasuk mengambil pandangan portofolio tingkat entitas risiko;
- Dirancang untuk mengidentifikasi peristiwa potensial yang, jika terjadi, akan mempengaruhi entitas dan mengelola risiko dalam risk appetite;
- Mampu memberikan jaminan yang wajar kepada manajemen dan dewan direksi entitas;
- Diarahkan ke arah pencapaian tujuan dalam satu atau lebih kategori yang terpisah tetapi tumpang tindih.
• Enterprise Risk Management – Konsep Kerangka Kerja Terpadu
Dalam publikasi Enterprise Risk Management – Integrated Framework, kubus COSO asli diperluas.
Kerangka kerja manajemen risiko perusahaan ini diarahkan untuk mencapai tujuan entitas, yang ditetapkan dalam empat kategori:
- Tujuan tingkat tinggi Strategis, selaras dengan dan mendukung misinya
- Operasi Penggunaan sumber daya yang efektif dan efisien
- Pelaporan Keandalan pelaporan
- Kepatuhan Kepatuhan dengan hukum dan peraturan yang berlaku
Manajemen risiko perusahaan terdiri dari delapan komponen yang saling terkait. Ini berasal dari cara manajemen menjalankan suatu perusahaan dan terintegrasi dengan proses manajemen.
- Lingkungan internal
- Pengaturan tujuan
- Identifikasi acara
- Tugas beresiko
- Respons risiko
- Aktivitas kontrol
- Informasi dan Komunikasi
- Pemantauan
• Dampak COSO
Prinsip-prinsip jangkauan luas yang digariskan dalam dokumen-dokumen COSO tengara secara bertahap diimplementasikan di seluruh Amerika Serikat di perusahaan-perusahaan yang dimiliki publik. COSO adalah satu-satunya kerangka kerja untuk pengendalian internal yang disebutkan oleh AS Securities and Exchange Commission (SEC) dan Dewan Pengawas Akuntansi Perusahaan Umum (PCAOB) sebagai kerangka kerja untuk pengendalian internal.
• Efek COSO pada Kontrol TI
COSO memperkenalkan konsep kontrol atas sistem informasi. Dalam Pengendalian Internal - Kerangka Terpadu, COSO menyatakan bahwa karena ketergantungan luas pada sistem informasi, kontrol diperlukan atas sistem yang signifikan. Ini mengklasifikasikan aktivitas kontrol sistem informasi menjadi dua kelompok besar. Yang pertama adalah kontrol komputer umum, yang mencakup kontrol atas manajemen TI, infrastruktur TI, manajemen keamanan, dan akuisisi perangkat lunak, pengembangan, dan pemeliharaan. Kontrol ini berlaku untuk semua sistem — dari mainframe ke client-server hingga lingkungan komputer desktop.
Pengelompokan kedua adalah kontrol aplikasi, yang meliputi langkah-langkah komputerisasi dalam perangkat lunak aplikasi untuk mengontrol aplikasi teknologi. Dikombinasikan dengan kontrol proses manual lainnya jika diperlukan, kontrol ini memastikan kelengkapan, akurasi, dan validitas informasi.
c. COBIT
COBIT, Tujuan Kontrol untuk Informasi dan Teknologi Terkait, pertama kali diterbitkan pada bulan April 1996. Ini adalah kerangka kerja yang diakui secara internasional untuk tata kelola dan kontrol TI. Versi terbaru, COBIT 4.1, dirilis pada tahun 2007.
• Fitur COBIT
Berikut ini adalah beberapa fitur tambahan yang disediakan COBIT:
- COBIT mewakili standar praktik yang berlaku umum dan dapat diterima secara internasional untuk kontrol TI.
- COBIT tidak bergantung pada platform teknis.
- COBIT adalah manajemen dan proses bisnis yang berorientasi pada pemilik.
- COBIT telah menjadi standar de facto internasional untuk tata kelola TI.
d. ITIL
IT Infrastructure Library (ITIL) dikembangkan oleh pemerintah Inggris pada pertengahan 1980-an dan telah menjadi standar de facto untuk praktik terbaik dalam penyediaan manajemen infrastruktur TI dan penyampaian layanan. ITIL adalah merek dagang terdaftar dari Kantor Perdagangan Pemerintah AS (OGC), yang memiliki dan mengembangkan kerangka praktik terbaik ITIL.
• Konsep ITIL
ITIL menyediakan serangkaian referensi praktis dan standar khusus untuk manajemen infrastruktur dan layanan yang dapat disesuaikan secara virtual untuk organisasi mana pun. Fungsi-fungsi dukungan layanan mengatasi masalah-masalah seperti manajemen masalah, manajemen insiden, meja layanan, manajemen perubahan, manajemen rilis, dan manajemen konfigurasi. Fungsi-fungsi pengiriman layanan membahas manajemen kapasitas, manajemen ketersediaan, manajemen keuangan, manajemen kontinuitas, dan tingkat layanan.
e. ISO 27001
Sejak didirikan pada tahun 1947, Organisasi Internasional untuk Standardisasi (ISO) telah menciptakan sejumlah standar untuk manajemen keamanan jaringan, pengembangan perangkat lunak, dan kontrol kualitas, di samping sejumlah standar lain untuk berbagai fungsi bisnis dan pemerintahan.
• Konsep ISO 27001
Juga disebut sebagai Kode Praktik untuk Manajemen Keamanan Informasi, ISO 27001: 2005 alamat 11 bidang utama dalam disiplin keamanan informasi. Standar menguraikan 133 kontrol keamanan dalam 11 bidang berikut:
- Kebijakan keamanan
- Organisasi keamanan informasi
- Manajemen aset
- Keamanan sumber daya manusia
- Keamanan fisik dan lingkungan
- Komunikasi dan manajemen operasi
- Kontrol akses
- Akuisisi sistem informasi, pengembangan, dan pemeliharaan
- Manajemen insiden keamanan informasi
- Manajemen kontinuitas bisnis
- Kepatuhan
f. Metodologi Penilaian NSA INFOSEC
Badan Metodologi Keamanan Nasional INFOSEC Assessment Methodology (NSA IAM) dikembangkan oleh Badan Keamanan Nasional AS dan dimasukkan ke dalam Program Pelatihan dan Rating INFOSEC (IATRP) pada awal tahun 2002. Meskipun program IATRP dan dukungan untuk NSA IAM dihentikan oleh NSA pada tahun 2009, masih digunakan secara luas dan sekarang dikelola oleh Security Horizon, yang merupakan salah satu perusahaan yang memberikan pelatihan NSA IAM dan IEM untuk NSA.
• Konsep Metodologi Penilaian NSA INFOSEC
The NSA IAM adalah metodologi penilaian keamanan informasi yang kegiatan penilaian baseline. Ini memecah informasi keamanan penilaian menjadi tiga fase: pra-penilaian, kegiatan di tempat, dan pasca-penilaian. Masing-masing fase ini berisi kegiatan wajib untuk memastikan konsistensi penilaian keamanan informasi. Penting untuk dicatat, bagaimanapun, bahwa penilaian NSA IAM hanya terdiri dari tinjauan dokumentasi, wawancara, dan observasi. Tidak ada pengujian yang terjadi selama penilaian IAM NSA. NSA merilis Metodologi Evaluasi INFOSEC untuk kegiatan pengujian awal.
g. Kerangka dan Kecendrungan Standar
Persyaratan dan praktik bisnis bervariasi secara signifikan di seluruh dunia, seperti halnya kepentingan politik dari banyak organisasi yang menciptakan standar. Tidak mungkin satu set kerangka kerja dan standar akan muncul dalam waktu dekat untuk memenuhi kebutuhan semua orang. Kerumitan memetakan ratusan dokumen otoritas dari peraturan (internasional, nasional, lokal / negara bagian, dan sebagainya) dan standar (ISO, industri khusus, vendor, dan sebagainya) menciptakan peluang dan ceruk pasar. Vendor teknologi berhak mengidentifikasi ceruk pasar yang penting ini, atau pembeda, untuk meningkatkan penjualan produk dengan mengidentifikasi cara mendapatkan produk mereka untuk memenuhi persyaratan otoritas. Vendor melompat pada kesempatan untuk memetakan kemampuan mereka untuk mengatasi kontrol tertentu dari berbagai peraturan dan standar.
Network Frontiers mungkin adalah perusahaan paling terkenal yang berusaha melakukan hal yang mustahil: untuk membuat pemetaan umum kontrol TI di setiap peraturan, standar, dan praktik terbaik yang ada. Hasilnya disebut Kerangka Kerja Kepatuhan TI, dan dapat ditemukan di www.unifiedcompliance.com. Selanjutnya, pemetaan ini diadopsi oleh Archer Technologies, Microsoft, Computer Associates, McAfee, dan beberapa vendor lain untuk membantu menjembatani keselarasan kontrol yang dikelola atau dilacak oleh vendor dengan persyaratan dokumen otoritas individu.
6. Manajemen
Resiko
6. Manajemen
Resiko
6.1 Manfaat
Manajemen Risiko
6.2 Manajemen
Risiko dari Perspektif Eksekutif
6.2.1
Mengatasi Risiko
2.
Mitigasi
Risiko
3.
Transfer
Risiko
6.2.2 Analisis Risiko Kuantitatif vs Kualitatif
Risiko dapat dianalisis dalam dua cara, yaitu kuantitatif dan kualitatif. Masing-masing memiliki kelebihan dan kekurangan, sebagai berikut :
Tabel Kelebihan dan Kekurangan Analisis Risiko Kuantitatif dan Kualitatif
Kuantitatif
Kualitatif
Kelebihan
Lebih obyektif dan mengekspresikan risiko dalam hal keuangan yang dapat lebih mudah dibenarkan oleh pembuat keputusan
Lebih cocok untuk menyajikan pandangan risiko bertingkat, tetapi bisa lebih subjektif.
Kekurangan
Lebih memakan waktu.
Karena bisa lebih subjektif, maka karena itu jadi sulit dibuktikan
6.1 Manfaat
Manajemen Risiko
Selama beberapa tahun terakhir,
banyak organisasi telah meningkatkan efektivitas kontrol IT mereka atau
mengurangi biaya mereka dengan menggunakan analisis risiko dan praktik
manajemen risiko yang baik. Ketika manajemen memiliki pandangan yang mewakili eksposur
IT organisasi, ia dapat mengarahkan sumber daya yang tepat untuk mengurangi
area dengan risiko tertinggi daripada menghabiskan sumber daya yang langka di
daerah-daerah yang memberikan sedikit atau tanpa pengembalian investasi (ROI).
Hasil bersihnya adalah tingkat pengurangan risiko yang lebih tinggi untuk
setiap dolar yang dibelanjakan.
6.2 Manajemen
Risiko dari Perspektif Eksekutif
Bisnis adalah
tentang risiko dan imbalan. Eksekutif diminta untuk mempertimbangkan manfaat
investasi dengan risiko yang terkait dengan mereka. Sebagai akibatnya, sebagian
besar telah cukup mahir mengukur risiko melalui analisis ROI, indikator kinerja
utama, dan segudang alat analisis keuangan dan operasional lainnya. Agar
berhasil dalam mengelola risiko IT organisasi, harus memahami bahwa eksekutif
melihat risiko dalam hal keuangan. Akibatnya, beberapa jenis analisis keuangan
biasanya diperlukan untuk membuat kasus bisnis untuk investasi dalam kontrol
tambahan.
6.2.1
Mengatasi Risiko
Resiko dapat
diatasi dengan tiga cara, yaitu :
1.
Penerimaan
Risiko
Nilai finansial dari suatu risiko
seringkali lebih kecil daripada biaya mitigasi atau transfernya. Dalam hal ini,
opsi yang paling masuk akal adalah menerima risiko. Namun, jika organisasi
memilih untuk menerima risiko, ia harus menunjukkan bahwa risiko memang dinilai
dan mendokumentasikan alasan di balik keputusan tersebut.
2.
Mitigasi
Risiko
Ketika suatu risiko memiliki nilai
finansial yang signifikan, seringkali lebih tepat untuk mengurangi risiko
daripada menerimanya. Dengan sedikit pengecualian, biaya penerapan dan
pemeliharaan kontrol harus lebih kecil daripada nilai moneter dari risiko yang
dimitigasi.
3.
Transfer
Risiko
Industri asuransi didasarkan pada
transferensi risiko. Organisasi sering membeli asuransi untuk menutupi biaya
dari pelanggaran keamanan atau pemadaman sistem bencana. Penting untuk dicatat
bahwa perusahaan asuransi yang menawarkan jenis-jenis kebijakan ini sering
mengharuskan pemegang polis menerapkan kontrol tertentu. Kegagalan untuk
mematuhi persyaratan kontrol dapat membatalkan kebijakan. Ketika manajemen
sistem IT dialihkan ke pihak ketiga, tingkat risiko tertentu dapat secara
kontraktual ditransfer ke pihak ketiga juga. Dalam kasus ini, adalah tanggung
jawab organisasi yang mengalihdayakan sistemnya untuk memverifikasi bahwa
risiko IT direduksi menjadi tingkat yang dapat diterima dan bahwa perusahaan
yang mengelola sistemnya memiliki kekuatan keuangan untuk menutupi kerugian
jika itu terjadi.
6.2.2 Analisis Risiko Kuantitatif vs Kualitatif
Risiko dapat dianalisis dalam dua cara, yaitu kuantitatif dan kualitatif. Masing-masing memiliki kelebihan dan kekurangan, sebagai berikut :
Tabel Kelebihan dan Kekurangan Analisis Risiko Kuantitatif dan Kualitatif
Kuantitatif |
Kualitatif |
|
Kelebihan |
Lebih obyektif dan mengekspresikan risiko dalam hal keuangan yang dapat lebih mudah dibenarkan oleh pembuat keputusan |
Lebih cocok untuk menyajikan pandangan risiko bertingkat, tetapi bisa lebih subjektif. |
Kekurangan |
Lebih memakan waktu. |
Karena bisa lebih subjektif, maka karena itu jadi sulit dibuktikan |
Organisasi dengan program manajemen risiko yang lebih sukses cenderung lebih mengandalkan analisis risiko kualitatif untuk mengidentifikasi area fokus dan kemudian menggunakan teknik analisis risiko kuantitatif untuk membenarkan pengeluaran mitigasi risiko.
a) Analisis Risiko Kuantitatif
Risiko kuantitatif dapat didefinisikan dengan perhitungan berikut:
Seperti yang telah dilihat dalam persamaan sebelumnya, risiko kuantitaitf terdiri dari tiga elemen, yaitu :
1. Aset
Aset Biasanya direpresentasikan sebagai nilai moneter, aset dapat didefinisikan sebagai sesuatu yang berharga bagi organisasi yang dapat rusak, dikompromikan, atau dihancurkan oleh tindakan yang disengaja atau disengaja. Pada kenyataannya, nilai aset jarang merupakan biaya penggantian sederhana; Oleh karena itu, untuk mendapatkan ukuran risiko yang akurat, aset harus dinilai dengan memperhitungkan biaya bottom-line kompromi.
2. Ancaman
Ancaman dapat didefinisikan sebagai peristiwa potensial yang, jika disadari, akan menyebabkan dampak yang tidak diinginkan. Dampak yang tidak diinginkan bisa datang dalam berbagai bentuk, tetapi sering mengakibatkan kerugian finansial. Ancaman digeneralisasikan sebagai persentase, tetapi dua faktor bermain dalam tingkat keparahan ancaman: tingkat kehilangan dan kemungkinan terjadinya. Faktor eksposur digunakan untuk mewakili tingkat kehilangan. Ini hanyalah perkiraan persentase kerugian aset jika ancaman direalisasikan.
3. Kerentanan
Kerentanan dapat didefinisikan sebagai tidak adanya atau kelemahan kontrol kumulatif yang melindungi aset tertentu. Kerentanan diperkirakan sebagai persentase berdasarkan tingkat kelemahan kontrol. Kami dapat menghitung defisiensi kontrol (CD) dengan mengurangi efektivitas kontrol dengan 1 atau 100 persen.
b) Analisis Risiko Kualitatif
Teknik analisis risiko kualitatif dapat memberikan pandangan tingkat tinggi ke dalam risiko perusahaan. Analisis risiko kualitatif akan berfokus pada nilai-nilai seperti tinggi, sedang, dan rendah atau warna seperti merah, kuning, dan hijau untuk mengevaluasi risiko. Sebagian besar organisasi mendasarkan metodologi manajemen risiko mereka pada metode kualitatif, menggunakan rumus kuantitatif untuk membangun kasus bisnis untuk investasi mitigasi risiko.
6.3 Siklus Hidup Manajemen Risiko IT
Siklus hidup manajemen risiko IT terdiri dari beberapa fase. Fase spesifiknya adalah sebagai berikut:
• Fase 1 : Identifikasi aset informasi.
Agar berhasil, harus menyelesaikan beberapa tugas:
1. Tentukan nilai-nilai kekritisan informasi.
2. Identifikasi fungsi bisnis.
3. Memetakan proses informasi.
4. Identifikasi aset informasi.
5. Menetapkan nilai kekritisan ke aset informasi.
Sasaran fase ini adalah untuk mengidentifikasi semua aset informasi dan menetapkan setiap aset informasi sebagai nilai kritikalitas tinggi, sedang, atau rendah untuk persyaratan kerahasiaan, integritas, dan ketersediaannya. Misalnya, kami dapat mengidentifikasi informasi kartu kredit sebagai aset informasi yang diproses oleh sistem ritel kami. Aset informasi ini diatur oleh standar keamanan data Industri Kartu Pembayaran (PCI) dan berharga bagi pencuri jika diungkapkan secara tidak sah. Kami juga tahu bahwa jika diubah, informasi ini tidak berguna bagi kami, tetapi dalam banyak kasus kehilangan akses sementara ke informasi ini dapat ditolerir. Akibatnya, kami akan menetapkan nilai informasi kartu kredit yang tinggi baik untuk kerahasiaan dan integritas dan menengah untuk ketersediaan.
Cara terbaik untuk mengidentifikasi aset informasi adalah dengan mengambil pendekatan top-down yang dimulai dengan fungsi-fungsi organisasi, mengidentifikasi proses yang mendukung fungsi-fungsi bisnis, dan melakukan pengeboran ke aset informasi yang diproses oleh sistem yang mendukung setiap fungsi bisnis.
• Fase 2 : Hitung dan kualifikasi ancaman.
Melakukan pendekatan top-down saat mengidentifikasi ancaman, dimulai dengan ancaman bisnis dan beralih ke ancaman teknis yang dapat meningkatkan ancaman bisnis yang teridentifikasi. Fase siklus hidup manajemen risiko ini memerlukan langkah-langkah berikut:
1. Menilai ancaman bisnis.
2. Mengidentifikasi ancaman teknis, fisik, dan administratif.
3. Hitung dampak ancaman dan probabilitas.
4. Mengevaluasi aliran proses untuk kelemahan.
5. Identifikasi ancaman komponen proses.
• Fase 3 : Menilai kerentanan.
Pada fase ini, akan menilai kerentanan. Dalam memeriksa ancaman, common denominator adalah aset informasi, karena setiap ancaman terkait dengan aset informasi. Ketika menilai kerentanan, di sisi lain, denominator umum adalah proses informasi. Mula-mula akan mengidentifikasi kerentanan komponen proses terlebih dahulu dan kemudian menggabungkannya untuk menentukan kerentanan proses. Kerentanan proses kemudian akan digabungkan untuk menentukan kerentanan fungsi bisnis.
Berikut langkah-langkah dalam menganalisis kerentanan:
1. Identifikasi kontrol yang ada dalam kaitannya dengan ancaman.
2. Tentukan kesenjangan kontrol komponen proses.
3. Gabungkan celah kontrol ke dalam proses dan kemudian fungsi bisnis.
4. Mengkategorikan kesenjangan kontrol berdasarkan tingkat keparahan.
5. Menetapkan peringkat risiko.
• Fase 4 : Mengurangi kesengajaan kontrol.
Pada titik ini, risiko harus dikategorikan sebagai tinggi, sedang, atau rendah. Awalnya, fokus untuk mengurangi risiko yang paling parah, karena kemungkinan besar akan melihat laba tertinggi atas investasi. Intinya, dapat mengurangi lebih banyak risiko dengan lebih sedikit uang. Berikut langkah-langkah dalam remediasi kesenjangan kontrol:
1. Pilih kontrol.
2. Implementasikan kontrol.
3. Validasi kontrol baru.
4. Hitung ulang peringkat risiko.
• Fase 5 : Mengelola risiko residual.
Risiko pada dasarnya bersifat dinamis, terutama komponen ancaman risiko. Akibatnya, diperlukan mengukur risiko secara terus-menerus dan berinvestasi dalam kontrol baru untuk merespons ancaman yang muncul. Fase ini terdiri dari dua langkah:
1. Buat baseline risiko
2. Tentukan kembali risiko
DAFTAR PUSTAKA
IT Auditing : Using controls to protect information assets, Chris Davis, Mike Sciller, McGrowHill, 2011.
Sutabri, Tata. 2012. Konsep Sistem Informasi. Jakarta : CV. ANDI OFFSET.
Imas.staff.gunadarma.ac.id
ebook.gunadarma.ac.id/s2-mm/audit-bagian-1/
Seperti yang telah dilihat dalam persamaan sebelumnya, risiko kuantitaitf terdiri dari tiga elemen, yaitu :
1. Aset
Aset Biasanya direpresentasikan sebagai nilai moneter, aset dapat didefinisikan sebagai sesuatu yang berharga bagi organisasi yang dapat rusak, dikompromikan, atau dihancurkan oleh tindakan yang disengaja atau disengaja. Pada kenyataannya, nilai aset jarang merupakan biaya penggantian sederhana; Oleh karena itu, untuk mendapatkan ukuran risiko yang akurat, aset harus dinilai dengan memperhitungkan biaya bottom-line kompromi.
2. Ancaman
Ancaman dapat didefinisikan sebagai peristiwa potensial yang, jika disadari, akan menyebabkan dampak yang tidak diinginkan. Dampak yang tidak diinginkan bisa datang dalam berbagai bentuk, tetapi sering mengakibatkan kerugian finansial. Ancaman digeneralisasikan sebagai persentase, tetapi dua faktor bermain dalam tingkat keparahan ancaman: tingkat kehilangan dan kemungkinan terjadinya. Faktor eksposur digunakan untuk mewakili tingkat kehilangan. Ini hanyalah perkiraan persentase kerugian aset jika ancaman direalisasikan.
3. Kerentanan
Kerentanan dapat didefinisikan sebagai tidak adanya atau kelemahan kontrol kumulatif yang melindungi aset tertentu. Kerentanan diperkirakan sebagai persentase berdasarkan tingkat kelemahan kontrol. Kami dapat menghitung defisiensi kontrol (CD) dengan mengurangi efektivitas kontrol dengan 1 atau 100 persen.
b) Analisis Risiko Kualitatif
Teknik analisis risiko kualitatif dapat memberikan pandangan tingkat tinggi ke dalam risiko perusahaan. Analisis risiko kualitatif akan berfokus pada nilai-nilai seperti tinggi, sedang, dan rendah atau warna seperti merah, kuning, dan hijau untuk mengevaluasi risiko. Sebagian besar organisasi mendasarkan metodologi manajemen risiko mereka pada metode kualitatif, menggunakan rumus kuantitatif untuk membangun kasus bisnis untuk investasi mitigasi risiko.
6.3 Siklus Hidup Manajemen Risiko IT
Siklus hidup manajemen risiko IT terdiri dari beberapa fase. Fase spesifiknya adalah sebagai berikut:
• Fase 1 : Identifikasi aset informasi.
Agar berhasil, harus menyelesaikan beberapa tugas:
1. Tentukan nilai-nilai kekritisan informasi.
2. Identifikasi fungsi bisnis.
3. Memetakan proses informasi.
4. Identifikasi aset informasi.
5. Menetapkan nilai kekritisan ke aset informasi.
Sasaran fase ini adalah untuk mengidentifikasi semua aset informasi dan menetapkan setiap aset informasi sebagai nilai kritikalitas tinggi, sedang, atau rendah untuk persyaratan kerahasiaan, integritas, dan ketersediaannya. Misalnya, kami dapat mengidentifikasi informasi kartu kredit sebagai aset informasi yang diproses oleh sistem ritel kami. Aset informasi ini diatur oleh standar keamanan data Industri Kartu Pembayaran (PCI) dan berharga bagi pencuri jika diungkapkan secara tidak sah. Kami juga tahu bahwa jika diubah, informasi ini tidak berguna bagi kami, tetapi dalam banyak kasus kehilangan akses sementara ke informasi ini dapat ditolerir. Akibatnya, kami akan menetapkan nilai informasi kartu kredit yang tinggi baik untuk kerahasiaan dan integritas dan menengah untuk ketersediaan.
Cara terbaik untuk mengidentifikasi aset informasi adalah dengan mengambil pendekatan top-down yang dimulai dengan fungsi-fungsi organisasi, mengidentifikasi proses yang mendukung fungsi-fungsi bisnis, dan melakukan pengeboran ke aset informasi yang diproses oleh sistem yang mendukung setiap fungsi bisnis.
• Fase 2 : Hitung dan kualifikasi ancaman.
Melakukan pendekatan top-down saat mengidentifikasi ancaman, dimulai dengan ancaman bisnis dan beralih ke ancaman teknis yang dapat meningkatkan ancaman bisnis yang teridentifikasi. Fase siklus hidup manajemen risiko ini memerlukan langkah-langkah berikut:
1. Menilai ancaman bisnis.
2. Mengidentifikasi ancaman teknis, fisik, dan administratif.
3. Hitung dampak ancaman dan probabilitas.
4. Mengevaluasi aliran proses untuk kelemahan.
5. Identifikasi ancaman komponen proses.
• Fase 3 : Menilai kerentanan.
Pada fase ini, akan menilai kerentanan. Dalam memeriksa ancaman, common denominator adalah aset informasi, karena setiap ancaman terkait dengan aset informasi. Ketika menilai kerentanan, di sisi lain, denominator umum adalah proses informasi. Mula-mula akan mengidentifikasi kerentanan komponen proses terlebih dahulu dan kemudian menggabungkannya untuk menentukan kerentanan proses. Kerentanan proses kemudian akan digabungkan untuk menentukan kerentanan fungsi bisnis.
Berikut langkah-langkah dalam menganalisis kerentanan:
1. Identifikasi kontrol yang ada dalam kaitannya dengan ancaman.
2. Tentukan kesenjangan kontrol komponen proses.
3. Gabungkan celah kontrol ke dalam proses dan kemudian fungsi bisnis.
4. Mengkategorikan kesenjangan kontrol berdasarkan tingkat keparahan.
5. Menetapkan peringkat risiko.
• Fase 4 : Mengurangi kesengajaan kontrol.
Pada titik ini, risiko harus dikategorikan sebagai tinggi, sedang, atau rendah. Awalnya, fokus untuk mengurangi risiko yang paling parah, karena kemungkinan besar akan melihat laba tertinggi atas investasi. Intinya, dapat mengurangi lebih banyak risiko dengan lebih sedikit uang. Berikut langkah-langkah dalam remediasi kesenjangan kontrol:
1. Pilih kontrol.
2. Implementasikan kontrol.
3. Validasi kontrol baru.
4. Hitung ulang peringkat risiko.
• Fase 5 : Mengelola risiko residual.
Risiko pada dasarnya bersifat dinamis, terutama komponen ancaman risiko. Akibatnya, diperlukan mengukur risiko secara terus-menerus dan berinvestasi dalam kontrol baru untuk merespons ancaman yang muncul. Fase ini terdiri dari dua langkah:
1. Buat baseline risiko
2. Tentukan kembali risiko
DAFTAR PUSTAKA
IT Auditing : Using controls to protect information assets, Chris Davis, Mike Sciller, McGrowHill, 2011.
Sutabri, Tata. 2012. Konsep Sistem Informasi. Jakarta : CV. ANDI OFFSET.
Imas.staff.gunadarma.ac.id
ebook.gunadarma.ac.id/s2-mm/audit-bagian-1/
