1. Konsep
audit
IT Audit dan Kontrol menjelaskan tentang sebuah proses untuk mereview dan memposisikan IT sebagai instrument penting dalam pencapaian usaha/bisnis korporasi. Audit IT dan control melakukan proses sistematik, terencana, dan menggunakan keahlian IT untuk mengetahui tingkat kepatuhan, kinerja, nilai, dan resiko dari implementasi teknologi. Kemampuan mengetahui pengetahuan dan skill pada IT Audit dan control selain juga menunjukkan jenjang professional tertentu dalam professional, juga membuat seseorang akan menganalisa, merancang, membangun, mengimplementasikan, memonitor dan melakukan pengembangan berkelanjutan TIK tidak sekedar beroperasi tetapi juga mengikuti kaidah industri dan standar internasional.
Penerapan IT audit sendiri dibentuk pada pertengahan 1960-an dan sejak saat itu telah berubah spesifikasi nya berkali-kali karena perkembangan pesat teknologi dan penggabungan ke dalam bisnis. Audit teknologi selalu mengacu pada pemeriksaan kontrol dalam infrastruktur TI. Praktek Audit menjamin kelangsungan bisnis dengan mengidentifikasi integritas data organisasi, operasi efektivitas dan tindakan perlindungan untuk melindungi 36 aset IT.
Penerapan IT audit sendiri dibentuk pada pertengahan 1960-an dan sejak saat itu telah berubah spesifikasi nya berkali-kali karena perkembangan pesat teknologi dan penggabungan ke dalam bisnis. Audit teknologi selalu mengacu pada pemeriksaan kontrol dalam infrastruktur TI. Praktek Audit menjamin kelangsungan bisnis dengan mengidentifikasi integritas data organisasi, operasi efektivitas dan tindakan perlindungan untuk melindungi 36 aset IT.
- Kontrol internal
- Memilih apa yang harus di audit
- Melakukan tahap dasar audit
- Perencanaan
- Kerja lapangan dan dokumentasi
- Mengeluarkan penemuan dan validasi masalah
- Solusi pengembangan
- Melaporkan penyusunan dan penerbitan
- Pelacakan masalah.
Proses Audit 2.
Setelah memahami proses memilih apa yang harus di audit,
tahap untuk melakukan masing-masing audit terdiri dari enam fase audit, yaitu :
1. Perencanaan.
1. Perencanaan.
Jika proses perencanaan dilaksanakan secara efektif, maka tim
audit akan sukses. Sebaliknya, jika dilakukan dengan buruk dan pekerjaan dimulai
tanpa rencana dan tanpa arah yang jelas, maka upaya tim audit bisa berakibat
pada kegagalan. Tujuan dari proses perencanaan adalah untuk menentukan tujuan
dan ruang lingkup audit. Proses perencanaan ini membutuhkan penelitian
yang cermat, pemikiran, dan pertimbangan untuk setiap audit.
2. Kerja lapangan dan dokumentasi.
2. Kerja lapangan dan dokumentasi.
Sebagian besar audit terjadi selama fase ini, ketika langkah -
langkah audit dibuat selama tahap sebelumnya dilaksanakan oleh tim audit.
Sekarang, tim memperoleh data dan melakukan wawancara yang akan membantu
anggota tim untuk menganalisis potensi risiko dan menentukan risiko mana yang
tidak dimitigasi secara tepat.
3. Terbitkan penemuan dan validasi.
3. Terbitkan penemuan dan validasi.
Saat melaksanakan penelitian lapangan, auditor akan
mengembangkan daftar masalah potensial. jelas salah satu fase audit yang lebih
penting, dan auditor harus mengambilnya untuk menggandakan daftar isu potensial
untuk memastikan bahwa semua masalah tersebut valid dan relevan.
4. Solusi pengembangan
4. Solusi pengembangan
Tiga pendekatan umum digunakan untuk pengembangan dan menetapkan item
tindakan untuk menangani masalah audit.
- Pendekatan rekomendasi
- Pendekatan manajemen-respon.
- Pendekatan solusi.
dengan menggunakan pendekatan umum ini, auditor akan
mengangkat isu dan memberikan rekomendasi serta cara mengatasinya. kemudian Auditor akan bertanya kepada pelanggan apakah
mereka menyetujui rekomendasi tersebut dan jika demikian, kapan mereka akan
menyelesaikannya.
5. Melaporkan penyusunan dan
penerbitan.
Laporan audit adalah kendaraan yang digunakan untuk
mendokumentasikan hasil audit. Yang melayani dua fungsi utama yaitu :
- Bagi Anda dan pelanggan audit, laporan ini berfungsi sebagai catatan audit, hasilnya, dan rencana aksi yang dihasilkan.
- Untuk manajemen senior dan komite audit, laporan ini berfungsi sebagai "rapor" di area yang diaudit.
Berikut adalah elemen
penting dari laporan audit :
- Pernyataan lingkup audit.
- Ringkasan bisnis plan.
- Daftar masalah, beserta rencana tindakan untuk menyelesaikannya
6. Pelacakan masalah
Adalah hal yang umum bagi auditor dan akan terus ada sampai laporan
auditnya "selesai". Seperti yang telah dibahas sebelumnya dalam
mengeluarkan laporan, audit tidak memberikan nilai tambah ke perusahaan kecuali jika
hasil tindakan diambil. Auditnya tidak benar-benar lengkap sampai masalah yang
diangkat dalam audit diselesaikan, baik dengan diperbaiki atau dengan diterima
oleh tingkat manajemen yang sesuai.
3.
Teknik audit
Ada 13 tehnik Audit :
- Auditing Entity-Level Controls
- Mengaudit Pusat Data dan Pemulihan Bencana
- Mengaudit, Router, dan Firewall
- Mengaudit Sistem Operasi Windows
- Mengaudit Sistem Operasi Unix dan Linux
- Mengaudit Server Web dan Aplikasi Web
- Mengaudit Database
- Penyimpanan Audit
- Mengaudit Lingkungan Virtualized
- Mengaudit WLAN dan Perangkat Mobile
- Mengaudit Aplikasi
- Mengaudit Komputasi Awan dan Operasi Outsource
- Mengaudit Proyek Perusahaan
4.
Regulasi audit
Adalah peraturan dan undang-undang baru yang berlaku mempengaruhi
dan meningkatkan tanggung jawab perusahaan
untuk pengendalian internal.
Pengantar undang-undang
yang terkait dengan pengendalian internal :
- Sarbanes-Oxley Act tahun 2002
- Tindakan Gramm-Leach-Bliley
- Peraturan privasi seperti California SB1386
- Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996.
- Komisi EU dan Basel II
- Standard Keamanan Data Kartu Pembayaran (PCI)
- Tren peraturan lainnya
Dampak Regulatory terhadap Audit TI :
Dampak peraturan terhadap audit TI berkembang seiring
bisnis beradaptasi dengan kompleksitasnya yang mematuhi beberapa otoritas. Selama dekade terakhir, pemerintah A.S.
telah melewati banyak tindakan privasi khusus industri dan peraturan lainnya.
Masing-masing telah disahkan dengan maksud
melindungi konsumen bisnis. Akibatnya, internal dan kelompok audit eksternal
ditugaskan untuk meninjau proses dan prosedur bisnis dan memastikan kontrol yang tepat akan melindungi kepentingan bisnis dan konsumen.
5.
Standar dan kerangka kerja
audit
Standar Audit Sistem Informasi (SASI) IASII diresmikan
oleh Rapat Anggota IASII Tahun 2006 pada
tanggal 25 Februari 2006 bertempat di Jakarta. SASI IASII berlaku bagi seluruh
Anggota IASII (sesuai AD/ART IASII) yang melaksanakan kegiatan Audit Sistem
Informasi. Standar ini mulai berlaku
efektif sejak tanggal 01 Januari 2007 dan dapat diterapkan sebelum tanggal
tersebut. Adapun beberapa aturan yang
standarisasikan, antara lain:
1. Penugasan Audit,
mencakup: Tanggung Jawab, Wewenang dan ,Akuntabilitas
2. Independensi &
Obyektifitas
3. Profesionalisme &
Kompetensi
4. Perencanaan
5.Pelaksanaan, yang
mencakup :
- Pengawasan
- Bukti-bukti Audit.
- Kertas KerjaAudit
6).Pelaporan
7). Tindak Lanjut
Kerangka Kerja Audit Sistem Informasi dapat diuraikan dalam beberapa tahapan berdasarkan kerangka pikir
manajemen, teknologi informasi dan pertimbangan sistem ahli yang semuanya
mengacu pada kerangka kerja menghasilkan laporan audit sistem informasi.
6.
Manajemen Resiko
Siklus Hidup Manajemen Risiko TI dimulai dengan identifikasi aset
informasi dan berpuncak pada manajemen PT risiko residual. Fase spesifiknya
adalah sebagai berikut:
1. Mengidentifikasi
aset informasi: tahap pertama dalam siklus pengelolaan risiko adalah
mengidentifikasi informasi organisasi aktiva. Agar sukses, Anda harus
menyelesaikan beberapa tugas:
- Tentukan nilai kekritisan informasi.
- Mengidentifikasi fungsi bisnis.
- Proses informasi peta.
- Mengidentifikasi aset informasi.
- Tetapkan nilai kekritisan pada aset informasi
Tujuan dari tahap ini adalah untuk mengidentifikasi
semua aset informasi dan menetapkan setiap informasi. Aset merupakan nilai
kekritisan yang tinggi, sedang, atau rendah untuk kerahasiaan, integritas, dan
persyaratan ketersediaan.
2. Mengukur dan memenuhi syarat ancaman: tahap siklus pengelolaan risiko ini memerlukan langkah-langkah berikut :
2. Mengukur dan memenuhi syarat ancaman: tahap siklus pengelolaan risiko ini memerlukan langkah-langkah berikut :
- Menilai ancaman bisnis
- Mengidentifikasi ancaman teknis, fisik, dan administratif.
- Mengukur dampak dan kemungkinan ancaman
- Mengevaluasi arus proses untuk kelemahan.
- Mengidentifikasi ancaman komponen-komponen.
3. Menilai
kerentanan: kita akan menggunakan langkah-langkah berikut dalam menganalisis
kerentanan:
- Identifikasi kontrol yang ada dalam kaitannya dengan ancaman.
- Tentukan gap kontrol komponen proses.
- Gabungkan celah kontrol ke dalam proses dan kemudian fungsi bisnis.
- Kategorikan kesenjangan kontrol dengan tingkat keparahan.
- Tetapkan peringkat risiko.
4. Remediate
control gap: pada titik ini, risiko harus dikategorikan tinggi, menengah, atau
rendah. Gunakan langkah-langkah berikut dalam remisiasi gap:
- Pilih kontrol.
- Melaksanakan kontrol.
- Validasi kontrol baru.
- Hitung ulang peringkat risiko.
5. Mengelola
risiko residual, Fase ini terdiri dari dua tahap:
- Buat garis dasar risiko
- Menilai kembali risiko
Referensi :
IT auditing : Using controls to protect information assets, chris davis, 2011
Tidak ada komentar:
Posting Komentar