Tugas 1 Softskill Audit Teknologi Sistem Informasi

Audit Sistem Informasi


Konsep Audit

Secara umum, audit adalah sebuah proses evaluasi suatu sistem yang dilaksanakan oleh auditor yang kompeten, objektif dan netral. Tujuan dari audit adalah untuk memverifikasi bahwa subjek dari audit dapat berjalan sesuai dengan standar, regulasi, dan praktik yang telah disetujui dan diterima oleh pihak – pihak yang terkait.

Audit Sistem Informasi Komputer adalah sebuah evaluasi proses pengoperasian suatu Sistem Informasi Komputer yang bertujuan  untuk menilai apakah Sistem Informasi  tersebut dapat mengamankan aset, menjaga integritas data, dan mencapai tujuan dari organisasi secara efektif, serta kemampuan untuk  memanfaatkan Sumber Daya dengan efisien.
Berdasarkan ketatalokaan IT, Tujuan dari Audit Sistem Informasi dikelompokkan menjadi dua aspek utama, yakni :

  1. Conformance (Kesesuaian)
  2. Performance (Kinerja)

Menurut Ron Weber, Tujuan dari Audit Sistem Informasi adalah :

  1. Mengamankan Asset
  2. Menjaga integritas data
  3. Menjaga Efektivitas Sistem
  4. Mencapai Efisiensi Sumber Daya

Hal – hal yang harus diperhatikan selama proses Audit Yakni :

  1. Menghimpun dan mengevaluasi secara objektif
  2. Sistematis
  3. Menentukan Standar
  4. Kriteria yang Ditentukan
  5. Menyampaikan Hasil-Hasilnya
  6. Pemakai dan Kepentingannya

Konsep Audit & Kontrol Sistem Informasi terdiri dari :

  1. Peningkatan keamanan aset, yaitu : Hardware,Software, Fasilitas, Orang-orang, Data, Dokumentasi Sistem, Persediaan
  2. Peningkatan integritas data, yaitu : Kelengkapan, Kesehatan, Kemurnian, Kebenaran
  3. Peningkatan efektivitas sistem
  4. Peningkatan efisiensi sistem, yaitu : Waktu Mesin, Periferal, Perangkat Lunak Sistem, Tenaga kerja


Proses Audit

Proses – proses dalam melakukan audit terdiri dari :
1. Merencanakan Audit

  • Menetapkan ruang lingkup dan tujuan
  • Mengorganisir tim audit
  • Mengembangkan pengetahuan mengenai operasional bisnis
  • Tinjau hasil audit sebelumnya
  • Identifikasi faktor resiko
  • Siapkan program audit

2. Mengumpulkan Bukti Audit

  • Pengamatan atas kegiatan operasional
  • Tinjauan dokumentasi
  • Kuesioner
  • Berdiskusi dengan pegawai
  • Pemeriksaan fisik aset
  • Konfirmasi melalui pihak ketiga
  • Melakukan ulang prosedur
  • Pembuktian dengan dokumen sumber
  • Review analitis
  • Pengambilan sample audit

3. Mengevaluasi Bukti Audit

  • Nilai kualitas pengendalian internal
  • Nilai kehandalan informasi
  • Nilai kinerja operasional
  • Pertimbangkan kebutuhan atas bukti tambahan
  • Pertimbangkan faktor-faktor resiko
  • Pertimbangkan faktor materialitas
  • Dokumentasikan penemuan-penemuan audit

4. Mengkomunikasikan Hasil Audit

  • Memformulasikan kesimpulan audit
  • Membuat rekomendasi bagi pihak manajemen
  • Mempersiapkan laporan audit
  • Menyajikan hasil-hasil audit kepada pihak manajemen

Teknik Audit

Menurut Chris Davis, terdapat 12 jenis teknik audit, yakni :

1. Audit Pengendalian Entity Level
Pada bagian ini akan membantu Auditor untuk melihat secara keseluruhan dari perusahaan

2. Audit Data Centers dan Disaster Recovery
Fasilitas pengolahan teknologi informasi (TI), umumnya disebut sebagai pusat data, merupakan inti dari sebagian besar operasi organisasi yang mendukung hampir semua aktivitas bisnis yang bersifat kritis. Langkah-langkah untuk mengaudit pusat data kontrol terdiri dari :

a. Keamanan fisik dan pengendalian lingkungan
Sistem ini dirancang untuk mencegah interupsi tanpa izin, mendeteksi masalah sebelum menyebabkan kerusakan, dan mencegah penyebaran api.

b. Operasi pusat data
Walaupun pusat data dirancang untuk menjadi otomatis, pengoperasian pusat data harus dilakukan oleh staff / operator tertentu. Operasi pusat data wajib diatur oleh kebijakan, rencana, dan prosedur. Sehingga Auditor harus berharap menemukan bidang – bidang yang diatur oleh kebijakan, rencana, dan prosedur tersebut, yakni :

  • Kontrol akses fisik
  • Pemantauan sistem dan fasilitas
  • Perencanaan fasilitas, peralatan, pelacakan, dan pemeliharaan
  • Prosedur response untuk pemadaman, keadaan darurat, dan kondisi alarm
c. Sistem dan ketahanan situs
pusat data menggabungkan berbagai jenis pengamanan untuk memastikan bahwa sistem tetap tersedia untuk melakukan operasi bisnis yang penting. Kontrol ini dirancang ¬untuk melindungi daya (Sumber Tenaga), lingkungan komputasi, dan jaringan area luas (WAN).
Kesiapsiagaan bencana
Auditor bertugas untuk mengidentifikasi dan mengukur pengamanan secara fisik dan administratif di fasilitas - fasilitas yang mampu mengurangi risiko gangguan pemrosesan data, yang meliputi :

  • Ketahanan sistem (System Defense)
  • pencadangan dan pemulihan data (Data Backup & Recovery)
  • Perencanaan pemulihan bencana (Disaster Recovery Plan)
  • Mengaudit Router, Switch, dan Firewall (Router, Switch, and Firewall Auditing)

3. Audit  Switch, Routers dan Firewalls
Jaringan adalah latar belakang mendasar dari infrastruktur operasi TI , yang memungkinkan data dapat di akses pengguna, disimpan, dan diolah. Sedangkan Router, switch, dan firewall bekerja sama untuk memungkinkan transfer data sekaligus melindungi jaringan, data, dan end user.

4. Audit Sistem Operasi
Pada Bagian ini, Auditor akan memeriksa Jenis, Sistem Operasi yang digunakan Perusahaan, Versi dari Sistem Operasi yang digunakan Perusahaan, Originalitas Sistem Operasi yang digunakan (Original / Bajakan).

5. Audit Web Server dan Web Application
 Pada Bagian ini, Auditor akan memeriksa Jenis Web Server dan Performanya,Serta  Jenis Web Application dan Performanya.

6. Audit Database
Audit dilakukan pada komponen lockbox informasi perusahaan yang mempengaruhi operasional keamanan penyimpanan data, yakni:

  • Perizinan database
  • Keamanan sistem operasi
  • Fitur kekuatan dan manajemen kata sandi
  • Aktivitas pemantauan
  • Database enkripsi
  • Database kerentanan, integritas, dan proses patching

7. Audit Penyimpanan
Audit penyimpanan menggabungkan Keamanan platform dan datanya. Platform tersebut harus memiliki persyaratan kontrol yang sama seperti yang ditemukan di server. Data memiliki keunikan persyaratan kontrol karena perlunya menjaga kontrol yang sesuai dengan kelas data yang berbeda, dibawah ini mencakup hal-hal berikut:

  • Ikhtisar teknis singkat tentang penyimpanan
  • Bagaimana mengaudit lingkungan penyimpanan
  • Alat dan sumber daya untuk meningkatkan audit penyimpanan Anda

8. Audit Lingkungan Virtual
Audit Lingkungan Virtual menggabungkan kekhawatiran hypervisor dan Sistem Operasi client. Cara memastikan virtualisasi dari luar lingkungan dikelola dan diamankan dengan benar meliputi:

  • Sekilas singkat teknis virtualisasi
  • Metode Audit Lingkungan Virtual
  • Alat dan sumber daya untuk meningkatkan Audit Lingkungan Virtual Client


9. Audit WLAN dan Mobile Devices
Audit WLAN meliputi Client, komunikasi, jalur akses, dan faktor operasional yang memungkinkan WLAN aktif, jaringan Audit perangkat mobile data-enabled meliputi Blackberry, iPhone, Droid, dan perangkat data-enabled serupa dan infrastruktur yang mendukungnya.

10. Audit Aplikasi
Tiap Aplikasi memiliki jejak audit yang unik baik itu untuk mendukung fungsi keuangan maupun operasional, dengan demikian tiap aplikasi memiliki persyaratan kontrol tersendiri

11. Audit Cloud Computing dan Outsourced Operations
Metode Cloud Computing dan Outsourced Operations adalah kunci yang harus dicari pada saat audit TI Operasi yang telah dialirkan ke perusahaan eksternal.

12. Audit Proyek Perusahaan / Organisasi
Audit Proyek Perusahaan adalah kontrol kunci yang harus dicari saat mengaudit proses yang digunakan untuk mengelola proyek perusahaan, terutama yang berkaitan dengan manajemen proyek audit teknologi informasi, yakni:

  • Kunci keberhasilan manajemen proyek
  • Pengumpulan Kebutuhan dan desain awal
  • Desain dan pengembangan system
  • Pengujian
  • Implementasi
  • Pelatihan
  • Wrapping proyek

Regulasi Audit

Uji kepatutan (compliance test) dilakukan dengan menguji kepatutan Proses TI dengan melihat kepatutan proses yang berlangsung terhadap standard dan regulasi yang berlaku. Kepatutan tersebut dapat diketahui dari hasil pengumpulan bukti. Adapun langkah-langkah yang dilakukan dalam uji tersebut antara lain :

1. Tahapan Pengidentifikasian Objek yang Diaudit
Tujuan dari langkah ini agar Auditor mengenal lebih jauh terkait dengan hal-hal yang harus dipenuhi dalam objektif kontrol yang membawa kepada penugasan kepada pihak-pihak yang bertanggung jawab. Aktivitas yang berlangsung juga meliputi pengidentifikasian pengelolaan aktivitas yang didukung TI untuk memenuhi objektif kontrol terkait.

2. Tahapan Evaluasi Audit
Tujuan dari tahapan ini adalah untuk mendapatkan prosedur tertulis dan memperkirakan jika prosedur yang ada telah menghasilkan struktur kontrol yang efektif. Pengujian yang dilakukan pada tahapan ini yaitu mengevaluasi pemisahan tanggung jawab yang terkait dengan pengelolaan SI/TI. Dari hasil evaluasi, ditemukan terdapat pemisahan terhadap tugas dan tanggung jawab yang harus dilakukan oleh masing-masing pihak yang bersangkutan.

Standar dan Kerangka Kerja Audit

Standar dan Kerangka Kerja Audit muncul untuk memberikan panduan bagi pengelolaan dan evaluasi proses TI.  Beberapa standar dan  kerangka kerja yang  popular terkait dengan penggunaan teknologi.

Standar yang dapat dipakai untuk audit TI terdiri dari 11 standar, yaitu:
  • Audit charter
  • AuditIndependent
  • Profesional Ethic and standard
  • Profesional competence
  • Planning
  • Performance of Audit Work
  • Reporting
  • Follow-Up Activity
  • Irregularities and Irregular Act
  • IT Governance
  • Use of Risk Assestment in Audit Planning.


Manajemen Resiko

Siklus Hidup Manajemen Risiko TI dimulai dengan identifikasi aset informasi dan berpuncak pada manajemen Perusahaan. Fase spesifiknya adalah sebagai berikut:

1. Mengidentifikasi aset informasi: tahap pertama dalam siklus pengelolaan risiko adalah mengidentifikasi informasi organisasi aktiva.
Tujuan dari tahap ini adalah untuk mengidentifikasi semua aset informasi dan menetapkan setiap informasi. Aset merupakan nilai kekritisan yang tinggi, sedang, atau rendah untuk kerahasiaan, integritas, dan persyaratan ketersediaan.

2. Mengukur dan memenuhi syarat ancaman
Tujuan dari tahap ini adalah untuk mengidentifikasi semua aset informasi dan menetapkan setiap informasi. Aset merupakan nilai kekritisan yang tinggi, sedang, atau rendah untuk kerahasiaan, integritas, dan persyaratan ketersediaan.

3. Mengukur dan memenuhi syarat ancaman

4. Menilai kerentanan

5. Remediate control gap: pada titik ini, risiko harus dikategorikan tinggi, menengah, atau rendah.

Daftar Pustaka


  1. IT Auditing : Using controls to protect information assets, Chris Davis, Mike Sciller, McGrowHill, 2011.
  2. Audit dan Kontrol Teknologi Informasi, Mardhani Riasetiawan, Inside technology Publisher, 2016.


Komentar

Posting Komentar

Postingan Populer