TUGAS
1. Tabel Perbandingan +/- standar Audit SI
|
Audit SI |
Kelebihan |
Kekurangan |
|
COBIT |
·
Rahasia ·
Integritas ·
Dapat memberi proteksi terhadap informasi yg sensitif dari akses orang tidak
bertanggung jawab |
·
Cobit hanya berfokus pada kendali dan pengukuran ·
Cobit hanya memberikan panduan kendali dan tidak memberikan panduan
implementasi operasional |
|
ITIL (Information Technology Infrastructure
Library) |
·
Memberi deskripsi rinci sejumlah praktik penting TI dan menyediakan daftar
komprehensif tugas dan prosedur ·
bukan merupakan standard yang memberikan prescription tetapi lebih kepada
merekomendasikan, oleh karena itu implementasi antara satu organisasi dengan
organisasi lain dapat dipastikan terdapat perbedaan. Dengan demikian kita
tidak bisa membandingkan / melakukan benchmark secara pasti. |
·
buku-buku ITIL sulit terjangkau bagi pengguna non komersial, ITIL bersifat
holistic yang mencakup semua kerangka kerja untuk tatakelola TI, pelaksanaan
pedoman dalam buku ITIL memerlukan pelatihan khusus dan biaya pelatihan atau
sertifikasi ITIL terlalu tinggi. |
|
ISO/IEC 38500 |
·
Menjamin akuntabilitas diberikan untuk semua Resiko IT dan aktivitasnya ·
Memberikan panduan kepada advisor perusahaan. ·
Memberikan prinsip panduan bagi direksi organisasi (termasuk pemilik, anggota
dewan, direktur, mitra, eksekutif senior, atau yang sejenisnya) mengenai
penggunaan Teknologi Informasi (TI) yang efektif, efisien, dan dapat diterima
di dalam organisasi mereka. |
·
Tidak cocok digunakan sebagai IT management fram |
2. A). Konsep dasar kontrol dan audit sistem informasi (SI)
Audit sistem informasi berbasis
kendali merupakan suatu sistem yang mencegah, mendeteksi atau
memperbaiki kejadian yang tidak dibenarkan (unlawfulevents) seperti:
unautorized (tidak nyambung), innacurrete(kurang baik), incomplete(tidak
komplet/tidak sesuai), redundant(mubazir), ineffective, ineffeicient
event.tujuanya yaitu untuk mengurangi kesalahan yang mungkin terjadi dari
kejadian yang dibenarkan.
Berdasarkan standar manajemen yang dikeluarkan oleh Internasional Standar Organization (ISO) yaitu ISO 9001-2000, penilaian kondisi sistem mutu mempunyai 4 skala yaitu:
- P (Poor) yaitu sistem mutu praktis belum terbentuk. Disarankan untuk meninjau ulang keseluruhan proses.
- W (Weak) yaitu masih banyak elemen sistem manajemen mutu yang tidak sesuai standar.
- F (Fair) yaitu beberapa elemen sistem telah sesuai standar tetapi masih ada yang belum sesuai bahkan tidak ada sama sekali.
- S (Strong) yaitu Sebagian besar persyaratan ISO 9001-2000 telah dapat dipenuhi oleh sistem.
B). Prinsip-prinsip dasar proses audit SI.
- Audit dititik beratkan pada objek audit yang mempunyai peluang untuk diperbaiki.
- Prasyarat Penilaian terhadap kegiatan objek audit.
- Pengungkapan dalam laporan adanya temuan-temuan yang bersifat positif.
- Identifikasi individu yang bertanggung jawab terhadap kekurangan-kekurangan yang terjadi.
- Penentuan tindakan terhadap petugas yang seharusnya bertanggung jawab.
- Pelanggaran hukum.
- Penyelidikan dan pencegahan kecurangan.
Panduan yang dipergunakan dalam Audit
Sistem Informasi di Indonesia adalah Standar Atestasi, dan aturan-aturan yang dikeluarkan
oleh organisasi profesi akuntansi (IAI di Indonesia, AICPA di USA, atau CICA
untuk Kanada), maupun yang lebih khusus lagi, yaitu dari ISACA atau IIA. Model
referensi sistem pengendalian intern (internal
controls model/framework) lazimnya adalah
COBIT. Audit objectives dalam audit terhadap
IT governance (menurut
COBIT adalah: effectiveness, confidentiality, data integrity, availability,
efficiency, dan realibility). Karena yang diperiksa adalah tata-kelola
Teknologi Informasi (IT governance), maka yang diperiksa antara lain adalah
Teknologi Informasi itu sendiri. Karena itu istilah audit arround the computer dan audit
through the computer tidak relevan lagi di sini.
Standar Audit SI ada 3, yaitu :.
- ISACA
- COBIT
- ISO 1799
·
Pengendalian intern (internal control) adalah untuk membantu manajemen
dengan tujuan tercapainya mekanisme kerja yang lebih efisien dan
efektif. Struktur pengendalian intern sebagai suatu tipe pengawasan
diperlukan karena adanya keharusan untuk mendelegasikan wewenang dan tanggung
jawab dalam suatu organisasi.
·
Ruang lingkup audit sistem informasi
dibatasi pada pengendalian internal, sementara ruang lingkup audit operasional
lebih luas, melintasi seluruh aspek manajemen sistem informasi.
prosedur pengumpulan buktinya :
1.
Mengamati fungsi – fungsi dan
kegiatan operasional.
2.
Memeriksa rencana dan laporan
keuangan serta operasional
3.
Menguji akurasi informasi operasional
4.
Menguji pengendalian
·
Control is a system that prevents,
detects, or corects unlawful events .
1. A system : komponen-komponen yang saling berkaitan untuk
mencapai tujuan bersama
Evaluasi terhadap kontrol harus mempertimbangkan
keterkaitannya dari perspektif sistem (= IS / organization
perspective)
2. Focus on unlawful events (=kejadian tdk sah/tdk benar).
Unlawful events : unauthorized, inaccurate, incomplete,
redundant, ineffective, or inefficient input enters the system
3. Controls are used to prevents, detects, or corects unlawful
events.
Untuk mengurangi kerugian yang mungkin terjadi karena
kemunculan unlawful events dalam sistem.
B). Control Objectives, Control Risk
·
Control objectives ialah sekumpulan
best practices (framework) untukmanajemen IT, berupa sekumpulan ukuran, indikator,
proses dan best practives untuk memaksimalkan manfaat penggunaan IT, dan
melakukan tata kelola serta kontrol IT dalam perusahaan
·
Control Risk audit sistem
informasi tidak dapat mendeteksi kelemahan kendali
C). Management Control Framework & Application
Control Framework
Application control adalah sistem
pengendalian intern komputer yang berkaitan dengan pekerjaan atau kegiatan
tertentu yang telah ditentukan.
Tujuan pengendalian aplikasi :
1.
Input data akurat, lengkap, terotorisasi
dan benar
2.
Data diproses sebagaimana mestinya
dalam periode waktu yang tepat
3.
Data disimpan secara tepat dan
lengkap
4.
Output yang dihasilkan akurat dan
lengkap
5.
Adanya catatan mengenai pemrosesan
data dari input sampai menjadi output
management control adalah melindungi
terhadap akses tidak sah atau kerusakan data & memadai backup data. Adapun
control tersebut meliputi kontrol terhadap:
1.
access – encryption, user authorization tables,
inference controls and biometric devices are a few examples
2.
backup – grandfather-father-son and direct access
backup; recovery procedures
D). Corporate IT Governance
IT Governance adalah tanggung jawab dewan direksi dan
manajemen eksekutif dan merupakan bagian integral dari tata kelola perusahaan.
IT governance terdiri dari kepemimpinan dan organisasi struktur dan
proses yang memastikan bahwa organisasi IT ini menopang dalam arti luas
strategi dan tujuan organisasi
4. Aspek pada management control framework
- Planning and Organization
- Acquisition and Implementation
- Delivery and Support
- Monitoring
Application control framework
Boundary controls
A). Cryptographic control
·
Transposition ciphers: menggunakan
permutasi urutan karakter dari sederet string
·
Subtitution ciphers: mengganti
karakter dengan karakter lain sesuai aturan tertentu
·
Product ciphers: kombinasi
transposition dan subtitution ciphers
B). Access control
·
Acccess controls yang digunakan dan
kemungkinan masalahnya
·
Ukuran proteksi yang ditekankan pada
mekanisme access controls
·
Apakah organisasi menggunakan access
controls yang disediakan dalam paket perangkat lunak
C). Personal Identification Numbers
(PIN)
·
Generasi PIN
·
Penerbitan dan penyampaian PIN kepada
pengguna
·
Validasi PIN
·
Transmisi PIN di seluruh jalur
komunikasi
·
Pemrosesan PIN
·
Penyimpanan PIN
·
Perubahan PIN
·
Penggantian PIN
·
Penghentian PIN
D). Digital signature
pengujian sistem manajemen yang
digunakan untuk mengelola tanda tangan digital, penggunaan dan penyebarannya
E. Plastic cards
- Pengajuan kartu
- Persiapan kartu
- Penerbitan kartu
- Penggunaan kartu
- Pengembalian/ penghancuran kartu.
Tidak ada komentar:
Posting Komentar