SOFTSKILL
AUDIT TEKNOLOGI SISTEM INFORMASI
oleh :
Anggi Yolanda Faradila
Dimas Agus Setiawan
Dwi Fernando
Julianti
Wahyuni
Kelas : 4KA35
AUDIT TEKNOLOGI SISTEM INFORMASI
oleh :
Anggi Yolanda Faradila
Dimas Agus Setiawan
Dwi Fernando
Julianti
Wahyuni
Kelas : 4KA35
A. KONSEP
AUDIT
Membangun
Efektif 1 Fungsi Audit Internal
Dalam bab ini kita akan membahas tujuan departemen audit
internal, yaitu:
·
Misi sebenarnya
departemen audit
·
Konsep
kebebasan dan cara menghindari penyalahgunaan itu
·
Bagaimana
menambahkan nilai di luar audit formal melalui konsultasi dan keterlibatan awal
·
Bagaimana
meningkatkan efektivitas dengan membangun hubungan
·
Peran audit
teknologi informasi (TI) dan bagaimana memilih fokus yang benar
·
Bagaimana
membangun dan memelihara tim audit TI yang efektif
Meskipun bab pertama ini ditulis dari auditor internal
Perspektif, konsep dan filosofi yang disajikan di sini dapat disesuaikan untuk
memberi fungsi audit
eksternal juga. Pada dasarnya adalah auditor eksternal internal /
eksternal.
Sebagian besar departemen audit
dibentuk oleh komite audit perusahaan (subset dari PT dewan direksi) untuk
memberi panitia jaminan independen bahwa internal kontrol berada di tempat dan
berfungsi secara efektif. Dengan kata lain, komite audit menginginkan sebuah
kelompok obyektif yang akan menceritakan apa yang sebenarnya
"terjadi" di perusahaan tersebut. Hal ini penting bagi panitia untuk
berfungsi dan melayani perusahaan pemegang saham. Selain itu, sebagian besar
departemen audit perusahaan juga melapor ke eksekutif di dalam perusahaan,
seperti chief executive officer (CEO) atau chief financial petugas (CFO).
Hanya masalah pelaporan yang tidak menghasilkan apa-apa,
kecuali membuat orang terlihat buruk mereka dipecat, dan menimbulkan kebencian
terhadap auditor. Nilai sebenarnya muncul saat isu ditangani dan masalah
dipecahkan.
Dengan kata lain, melaporkan masalah tersebut adalah sarana
untuk akhir. Dalam konteks ini, hasil akhirnya memperbaiki keadaan pengendalian
internal di perusahaan. Melaporkannya menyediakan mekanisme dimana isu-isu
tersebut terungkap dan karena itu dapat menerima sumber daya dan perhatian yang
dibutuhkan untuk memperbaikinya.
Singkatnya, misi departemen audit internal ada dua:
·
Memberikan jaminan independen kepada komite audit (dan senior
manajemen) bahwa pengendalian internal berada di tempat di perusahaan dan
berfungsi secara efektif.
·
Untuk memperbaiki keadaan pengendalian internal di perusahaan
dengan mempromosikan pengendalian internal dan dengan membantu perusahaan
mengidentifikasi kelemahan pengendalian dan mengembangkan solusi hemat biaya
untuk mengatasi kelemahan tersebut. Bagian selanjutnya dari bab ini akan
membahas bagaimana misi ini dapat dicapai paling banyak efektif, khusus untuk
fungsi audit TI.
Jika auditor TI
berencana untuk pindah ke organisasi TI, Harus jelas sekarang bahwa departemen
audit internal tidak benar-benar independen. Namun demikian, konsep inti
dibalik peran auditor independen itu valid dan penting. Auditor tidak boleh
merasakan tekanan yang tidak semestinya untuk mengubur isu dan harus percaya
bahwa dia akan diizinkan untuk "melakukan hal yang benar”. Tampaknya
tujuan itu mungkin kata yang lebih tepat daripada saat independen menggambarkan
perilaku auditor internal. Objektivitas mengharuskan auditor bersikap tidak
biasa dan bahwa dia tidak terpengaruh oleh perasaan atau prasangka pribadi.
Meskipun auditor internal, menurut definisinya, tidak benar-benar independen.
Konsultasi dan
Keterlibatan Awal ada lebih untuk menjadi auditor daripada audit. Meski
melakukan audit formal tersebut fungsi kritis dan penting dari departemen
audit, biaya mengoreksi masalah dan menambahkan kontrol pasca implementasi
secara signifikan lebih tinggi daripada biaya melakukan itu benar pertama
kalinya Dari segi independensi, tidak ada perbedaan antara penyediaan penilaian
sistem atau solusi sebelum pelaksanaan dan penilaian setelah implementasi. Ada
perbedaan, bagaimanapun, seberapa besar nilai auditor adalah menambah
perusahaan.
Banyak auditor
menggunakan independensi sebagai alasan untuk tidak menambah nilai dan bukan
untuk memberikan pendapat bisa mandiri dan tetap bekerja berdampingan dengan
rekan kerja untuk membantu mereka saat mereka mengembangkan solusi untuk
masalah pengendalian internal. Menjadi independen tidak berarti tidak dapat
memberikan penilaian terhadap kontrol dalam sistem sebelum penempatan.
Berkali-kali, akan melihat audit internal departemen yang menolak memberikan
bimbingan dan masukan kepada tim yang sedang berkembang sistem atau proses baru
Mereka mengatakan bahwa mereka tidak dapat memberikan masukan tentang kontrol
di dalamnya sistem karena untuk melakukannya berarti mereka tidak lagi mandiri.
Empat Metode
untuk Konsultasi dan BAGIAN I
Keterlibatan awal Sekarang kita sudah menetapkan bahwa tidak
apa-apa untuk berbicara dengan rekan kerja Anda tentang internal Kontrol bahkan
saat Anda tidak mengauditnya, mari kita bicarakan beberapa cara terbaik untuk
melakukan ini. Kami akan membahas empat metode untuk mempromosikan pengendalian
internal di perusahaan di luar audit formal :
·
Keterlibatan awal
Setiap
perusahaan manufaktur akan memberi tahu Anda bahwa lebih murah untuk membangun
kualitas menjadi produk daripada mencoba menambahkannya setelah kejadian.
Kontrol internal adalah cara yang sama: Setelah membuat sebuah sistem,
mengujinya, dan menerapkannya, jauh lebih mahal untuk kembali dan ubah saja
jika telah melakukannya dengan benar pada kali pertama. Sebagai auditor, juga
banyak lebih mungkin untuk menghadapi resistensi setelah implementasi. Semua
orang telah pindah proyek lain, dan tidak satupun dari mereka termotivasi untuk
kembali dan melakukan perubahan yang selesai proyek. Di sisi lain, jika Anda
bisa memberikan persyaratan pengendalian internal
Pada
awal proses, mereka menjadi bagian lain dari ruang lingkup proyek kepada
pelaksana, dan mereka tidak terlalu memikirkannya (asalkan persyaratan
pengendaliannya adalah masuk akal). Bagaimana melakukannya berbeda dengan
perusahaan, tapi setiap perusahaan harus memilikinya semacam persetujuan proyek
atau proses review. Berbagai tahapan sebuah proyek sebelum bisa
diimplementasikan, mintalah untuk menjadi bagian dari sign-off kelompok. Hanya
jelaskan bahwa peran Anda adalah memberi masukan pada pengendalian internal
sistem atau teknologi dan tidak ada yang lain. Tentu saja ada kemungkinan Anda
akan membuat kesalahan dan menandatangani proyek; Meskipun sistem memiliki
kelemahan pengendalian internal.
·
Audit informal
Salah satu masalah yang dihadapi hampir setiap departemen di
hampir setiap perusahaan adalah sumber daya kendala. Tidak pernah ada cukup
waktu untuk melakukan semua hal yang ingin dilakukan, dan sebagian besar
departemen tidak punya waktu untuk mengatasi semua risiko di luar sana. Selalu
ada permintaan untuk audit yang tidak dapat dipenuhi. Sadarilah bahwa jika
audit harus menyeluruh, pasti memilikinya waktu untuk mengaudit hanya
segelintir daerah setiap tahun. menjadi usaha besar yang tidak perlu. Audit
informal adalah mekanisme untuk digunakan.
Membahas
proses potensial untuk membentuk rencana audit Anda (yaitu daftarnya audit yang
akan dilakukan).
Proses evaluasi risiko yang
membantu menyusun rencana audit setiap tahun. Bahkan dengan rencana akan
melihat dua celah utama dalam apa yang bisa diliput:
o
Jika
prosesnya berbasis risiko, Anda tidak akan pernah sampai ke beberapa daerah.
o
Kadang-kadang
manajemen meminta audit (setelah Anda mengembangkan hak
Apresiasi yang
ditunjukkan oleh orang yang Anda diaudit. Anda juga akan kagum pada berapa
banyak auditor dapat melakukannya dalam waktu singkat ketika dilepaskan dari
belenggu dari proses audit normal (yang penting untuk audit formal). Tentu
saja, penting juga untuk menambahkan peringatan pada pekerjaan dan hasilnya.
Membuat yakin bahwa orang yang Anda informasikan secara informal mengerti bahwa
ini tidak akan seperti adanya teliti sebagai audit formal, bahwa Anda tidak
mengklaim bahwa Anda akan menemukan semua masalah dan bahwa Anda tidak menguji
sampel statistik. Langkah-langkah dasar proses audit:
1.
Bagian audit harus menyetujui waktu dan ruang lingkup
informal tinjau ulang dengan orang-orang yang akan diaudit.
2.
Auditor yang akan melakukan review harus membuat daftar
periksa dasar dari area yang akan diperiksa. (Daftar periksa di seluruh buku
ini berikan titik awal yang bagus.)
3.
Auditor menjalankan langkah-langkah tersebut, menyimpan
catatan sesuai kebutuhan namun tidak menciptakannya kertas kerja untuk ditinjau
Catatan tidak perlu disimpan setelah audit lengkap
4.
Pada akhir proyek, auditor mengumpulkan semua masalah dari
tinjauan.
5.
Auditor mengadakan rapat briefing dengan orang-orang yang
diaudit diskusikan isu dan konsultasikan tentang seberapa serius isu dan
potensinya berarti untuk mengatasinya
6.
Auditor mendokumentasikan daftar akhir masalah, beserta
pemikiran yang relevan untuk menyelesaikannya, dalam sebuah memo. Memo ini
tidak perlu disertakan tanggal dan bisa termasuk peringatan yang disebutkan
sebelumnya (misalnya, ini tidak audit formal, kami tidak akan melacak masalah,
dan sebagainya). Memo itu juga harus menunjukkan kesediaan auditor untuk terus
berkonsultasi dengan tim karena menangani item ini.
7.
Auditor mengeluarkan memo dan arsipnya secara elektronik
untuk referensi di kemudian hari.
o
Berbagi pengetahuan
Sebagai auditor internal, harus memiliki perpaduan unik
antara pengetahuan perusahaan dan keahlian dalam kontrol internal Bagian audit
internal harus kreatif dalam menemukan cara baru untuk berbagi pengetahuan unik
dengan seluruh perusahaan. Tentu saja banyak dari berbagi pengetahuan harus
terjadi saat kita melakukan audit, saat kita melakukan konsultasi ulasan, dan
saat kita memberikan masukan sebagai bagian dari aktivitas keterlibatan awal
kita.
o
Penilaian diri
Untuk teknologi umum dan topik, meskipun, sangat membantu
untuk memberikan panduan kontrol menggambarkan hal-hal yang biasanya Anda
tinjau selama audit.
A.
Proses Audit
Dalam
bab ini, kita akan membahas tahap dasar proses audit, bagaimana cara melakukan
masing-masing satu secara efektif, dan berikut ini:
·
Berbagai
jenis kontrol internal
·
Bagaimana
Anda harus memilih apa yang harus di audit
·
Bagaimana
melakukan tahap dasar audit
·
Perencanaan
·
Kerja
lapangan dan dokumentasi
·
Mengeluarkan
penemuan dan validasi masalah
·
Solusi
pengembangan
·
Melaporkan
penyusunan dan penerbitan
·
Pelacakan
masalah
Kontrol
Internal
Kontrol
internal, dinyatakan dalam istilah yang paling sederhana, adalah mekanisme yang
memastikan tepat berfungsinya proses dalam perusahaan. Setiap sistem dan proses
dalam perusahaan ada untuk beberapa tujuan bisnis tertentu. Auditor harus
mencari keberadaannya risiko terhadap tujuan tersebut dan kemudian memastikan
bahwa pengendalian internal diterapkan untuk mengurangi risiko tersebut.
Jenis Pengendalian Internal
Kontrol bisa
bersifat preventif, detektif, atau reaktif, dan bisa bersifat administratif,
teknis, dan implementasi fisik. Contoh implementasi administratif termasuk item
seperti kebijakan dan proses. Implementasi teknis adalah alatnya dan perangkat
lunak yang secara logis menerapkan kontrol (seperti kata sandi).
Kontrol
Pencegahan
Kontrol
pencegahan menghentikan kejadian buruk terjadi. Misalnya, membutuhkan user ID
dan password untuk akses ke sistem adalah kontrol preventif. Ini mencegah
(secara teoritis) orang yang tidak berhak mengakses sistem Dari sudut pandang
teoritis, preventif kontrol selalu disukai, untuk alasan yang jelas. Namun,
saat Anda tampil audit, ingat bahwa kontrol preventif tidak selalu merupakan
biaya yang paling efektif solusi, dan jenis kontrol lainnya mungkin lebih masuk
akal dari sudut pandang biaya / manfaat.
Kontrol
Detektif
Kontrol
detektif merekam kejadian buruk setelah kejadian itu terjadi. Misalnya, logging
semua kegiatan yang dilakukan pada sistem akan memungkinkan Anda untuk meninjau
log untuk mencari yang tidak sesuai kegiatan setelah acara.
Kontrol
Reaktif (alias Kontrol Korektif)
Kontrol
reaktif turun antara kontrol preventif dan detektif. Mereka tidak mencegah
Kejadian buruk terjadi, namun memberikan cara sistematis untuk mendeteksi kapan
mereka yang buruk peristiwa telah terjadi dan memperbaiki situasi, itulah
sebabnya mereka terkadang dipanggil kontrol korektif misalnya, Anda mungkin memiliki sistem
antivirus pusat yang dapat mendeteksi
Contoh Pengendalian
Internal
Misalnya, Anda meninjau
sistem piutang perusahaan Anda. Sistem itu ada untuk memastikan bahwa Anda
melacak siapa yang berutang uang perusahaan Anda sehingga Anda bisa mengomel
deadbeats yang tidak membayar Anda, dan sehingga Anda benar merekam pembayaran
dari mereka yang melakukannya Auditor keuangan akan mengkhawatirkan risiko di
dalam proses piutang sendiri, namun auditor TI perlu memikirkan risikonya
sistem yang mencapai tujuan bisnisnya.
Berikut
adalah beberapa contoh dasar yang dimaksudkan untuk menggambarkan konsep
tersebut. Kontrol internal Auditor harus memahami tujuan bisnis dari apa yang
dia atau dia sedang mengaudit, memikirkan risiko untuk mencapai tujuan itu, dan
kemudian mengidentifikasi kontrol internal yang ada yang mengurangi risiko
tersebut.
Kontrol
Perubahan Perangkat Lunak
Jika
perubahan pada kode sistem itu sendiri tidak disetujui dan diuji dengan benar,
Anda mungkin menemukan bahwa logika yang dieksekusi oleh kode itu keliru. Ini
mungkin berarti Anda kehilangan kepercayaan diri Anda terhadap integritas data
di dalam sistem, yang mengakibatkan ketidakmampuan untuk mengetahui dengan
pasti siapa yang telah membayar perusahaan Anda dan siapa yang tidak. Jadi apa
saja beberapa kontrol internal yang akan mengurangi risiko ini?
·
Jangan
biarkan akses logis pemrogram untuk memperbarui kode produksi.
·
Orang
yang memiliki akses logis untuk memperbarui kode produksi mungkin tidak
melakukannya jadi tanpa bukti pengujian dan persetujuan.
Kontrol
Akses
Jika akses ke sistem diberikan
kepada orang-orang yang tidak memiliki kebutuhan akan akses tersebut, data
sistem bisa diubah, ditambah, atau dihapus secara tidak tepat. Apa saja
beberapa kontrol internal yang akan mengurangi risiko ini?
·
Mengharuskan
user ID dan password untuk mengakses sistem.
·
Memiliki
sejumlah administrator keamanan aplikasi yang mengendalikan kemampuan untuk
menambahkan akun pengguna baru ke sistem.
·
Pastikan
administrator keamanan aplikasi mengetahui individu yang tahu pengguna mana
yang benar-benar membutuhkan akses ke sistem.
Fungsi
TI terpusat
Pertama, tentukan fungsi TI apa
yang terpusat, dan letakkan masing-masing fungsi terpusat pada daftar audit TI potensial
Anda (lihat Tabel 2-1). Misalnya, jika fungsi pusat mengelola lingkungan server
Unix dan Linux Anda, salah satu audit potensial Anda mungkin merupakan tinjauan
pengelolaan lingkungan itu. Ini bisa mencakup proses administrasi seperti
manajemen akun, manajemen perubahan, manajemen masalah, manajemen patch,
pemantauan keamanan, dan proses lainnya yang akan berlaku untuk keseluruhan
lingkungan.
Fungsi
TI yang terdesentralisasi
Setelah membuat daftar semua
proses TI terpusat perusahaan, Anda dapat menentukan keseluruhan jagad audit
Anda. Mungkin Anda bisa membuat satu potensi audit per lokasi perusahaan. Audit
ini dapat terdiri dari peninjauan kembali kontrol TI terdesentralisasi yang
dimiliki oleh masing-masing lokasi, seperti keamanan fisik data center dan
pengendalian lingkungan. Dukungan server dan PC juga mungkin terdesentralisasi
di perusahaan Anda. Kuncinya adalah memahami kontrol TI yang dimiliki di
tingkat situs dan mengulasnya. Mungkin perlu lebih terperinci dari ini dan
memiliki banyak audit potensial di setiap lokasi. Semuanya tergantung pada
kompleksitas lingkungan, hirarki organisasi, dan tingkat kepegawaian Anda. Anda
harus menentukan apa yang paling efektif di lingkungan Anda.
Aplikasi
bisnis
Anda juga bisa membuat potensi
audit untuk setiap aplikasi bisnis. Anda harus melakukannya tentukan apakah
lebih efektif melakukan audit ini di audit IT universe atau di alam audit
finansial. Dalam banyak hal, sangat masuk akal jika audit ini didorong oleh
auditor keuangan, yang mungkin berada pada posisi terbaik untuk menentukan
kapan saatnya melakukan audit terhadap proses pengadaan. Jika mereka membuat
keputusan itu, mereka dapat meminta Anda untuk menentukan aspek sistem yang
relevan yang harus disertakan dalam audit pengadaan (seperti peninjauan server
tempat aplikasi pengadaan berada, kontrol perubahan perangkat lunak sistem,
pemulihan bencana sistem rencana, dan sebagainya).
Kepatuhan
terhadap peraturan
Bergantung pada layanan atau
barang yang disediakan bisnis Anda, Anda mungkin bertanggung jawab untuk
memastikan kepatuhan terhadap peraturan tertentu. Contoh umum termasuk
kepatuhan auditing dengan peraturan Sarbanes-Oxley, Peraturan Portabilitas dan
Akuntabilitas Asuransi Kesehatan (HIPPA), dan peraturan dan standar Industri
Kartu Pembayaran (PCI). Anda mungkin memiliki audit terpisah di alam audit Anda
untuk menguji kepatuhan terhadap setiap peraturan yang relevan.
Tahapan
Audit
Setelah memahami proses memilih
apa yang harus di audit, Dalam bahasan ini
berbagai tahap untuk melaksanakan setiap audit dalam rencana audit. Kita
akan membahas enam fase audit utama berikut :
1.
Perencanaan
2.
Kerja
lapangan dan dokumentasi
3.
Terbitkan
penemuan dan validasi
4.
Solusi
pengembangan
5.
Melaporkan
penyusunan dan penerbitan
6.
Pelacakan
masalah
Planning
Sebelum mulai mengerjakan audit,
harus menentukan apa yang akan tinjau. Jika Proses perencanaan dilaksanakan
secara efektif, maka tim audit akan sukses. Sebaliknya, jika dilakukan dengan
buruk dan pekerjaan dimulai tanpa rencana dan tanpa jelas arah, upaya tim audit
bisa berakibat pada kegagalan.
Tujuan dari proses perencanaan
adalah untuk menentukan tujuan dan ruang lingkup audit. Perlu menentukan apa
yang ingin Anda capai dengan ulasannya. Sebagai bagian dari proses ini, harus
mengembangkan serangkaian langkah yang harus dijalankan untuk mencapai tujuan
audit. Proses perencanaan ini memerlukan penelitian, pemikiran, dan
pertimbangan yang cermat untuk setiap audit. Berikut adalah beberapa sumber
dasar yang harus dirujuk sebagai bagian dari setiap proses perencanaan audit:
·
Hand-off
dari manajer audit
·
Survei
pendahuluan
·
Permintaan
pelanggan
·
Daftar
periksa standar
·
Penelitian
Hand-off
dari Manajer Audit
Jika audit termasuk dalam rencana
audit, pasti ada beberapa alasan. Manajer audit harus menyampaikan kepada tim
audit informasi tersebut yang menyebabkan audit dijadwalkan. Ini mungkin
termasuk komentar dari manajemen TI dan / atau masalah yang diketahui di
wilayah ini. Faktor-faktor yang menyebabkan audit dijadwalkan perlu dicakup
dalam rencana audit. Selain itu, manajer audit harus dapat memberikan tim audit
kontak kunci untuk audit tersebut.
Survei
Awal
Tim audit harus meluangkan waktu
sebelum setiap audit melakukan survei pendahuluan di wilayah tersebut untuk
diaudit untuk memahami apa yang akan dilakukan audit. Kemungkinan ini akan
mencakup wawancara dengan pelanggan audit untuk memahami fungsi sistem atau
proses yang sedang ditinjau, dan juga meninjau dokumentasi terkait. Tujuannya
adalah untuk mendapatkan latar belakang dasar dan pemahaman daerah yang akan ditinjau.
Hal ini diperlukan untuk melakukan penilaian awal terhadap risiko di daerah
tersebut.
Permintaan
Pelanggan
Bab 1 membahas pentingnya
melakukan audit akolaboratif, proses kooperatif. Sebagai bagian dari pencapaian
tujuan ini, pelanggan audit harus merasa memiliki beberapa kepemilikan dalam
audit. Tim audit harus menanyakan kepada pelanggan area mana yang mereka pikir
harus ditinjau dan area mana yang menjadi perhatian. Masukan ini harus sesuai
dengan hasil penilaian risiko objektif auditor untuk menentukan ruang lingkup
audit. Tentu, terkadang auditor tidak akan menggunakan input pelanggan.
Misalnya, terkadang pelanggan audit akan memperhatikan daerah yang lebih
operasional dan tidak memiliki dampak pengendalian internal. Dalam kasus
tersebut, sangat sah bagi tim audit untuk menjaga area tersebut tidak berada
dalam lingkup audit, dengan penjelasan kepada pelanggan mengapa tim audit tidak
diposisikan untuk melaksanakan permintaan tersebut. Penting juga untuk tidak
membiarkan pelanggan mengarahkan auditor menjauh dari meninjau area penting.
Auditor akhirnya harus menerapkan penilaian terbaik mereka. Namun, mendapatkan
masukan dari pelanggan dan memasukkannya ke dalam rencana audit jika
memungkinkan membuat pelanggan merasa memiliki kepemilikan dalam proyek audit
dan mengoptimalkan komunikasi terbuka dan jujur.
Daftar
Standar
Daftar periksa audit standar
untuk area yang sedang diperiksa adalah sering tersedia Daftar periksa di
Bagian II buku ini dapat menjadi awal yang baik titik untuk banyak audit Selain
itu, departemen audit mungkin memiliki daftar periksa sendiri untuk sistem dan
proses standar di perusahaan. Memiliki daftar periksa audit yang standar dan
berulang untuk area umum dapat memberikan awal yang berguna untuk banyak audit.
Daftar periksa tersebut, bagaimanapun, harus dievaluasi dan diubah seperlunya
untuk setiap audit tertentu. Memiliki daftar periksa standar tidak
menghilangkan persyaratan bagi auditor untuk melakukan penilaian risiko sebelum
setiap audit.
Penilitian
Setelah sumber daya ini
direferensikan, auditor harus melakukan ssessment terhadap risiko di area yang
akan ditinjau untuk mengidentifikasi langkah-langkah yang harus dilakukan
selama audit berlangsung. Konsep ini diilustrasikan di bagian "Kontrol
Internal" di awal bab ini. Seperti disebutkan, auditor harus memahami
tujuan bisnis dari area yang akan diaudit, mempertimbangkan risiko terhadap
tujuan tersebut, dan kemudian mengidentifikasi pengendalian internal yang ada
yang mengurangi risiko tersebut. Jika sebuah proses sedang ditinjau, auditor
perlu menyusun proses itu sampai akhir dan memikirkan kemana hal itu dapat
dipecah. Jika sebuah sistem atau teknologi sedang ditinjau, auditor perlu
memikirkan risiko terhadap sistem atau teknologi yang berfungsi sebagaimana
dimaksud. Hasil dari latihan sebelumnya harus menjadi penentuan ruang lingkup
audit, termasuk menentukan dan mengkomunikasikan apa saja yang berada di luar
jangkauan dan menyusun daftar langkah-langkah yang harus dilakukan untuk
mencapai cakupan tersebut. Langkah-langkah ini harus didokumentasikan dengan
rincian yang cukup untuk memungkinkan auditor melakukan audit untuk memahami
risiko yang ditangani oleh setiap langkah. Ini membantu menghindari pemeriksaan
"checklist", di mana tim audit secara mekanis menjalankan daftar
langkah audit, dan sebaliknya menempatkan fokus untuk memastikan bahwa
risikonya ditangani, dengan langkah-langkah audit hanya berfungsi sebagai
pedoman. Penting juga agar Anda mendokumentasikan langkah-langkah audit
sehingga dapat berulang dan mudah digunakan oleh orang berikutnya yang
melakukan audit serupa, sehingga berfungsi sebagai alat pelatihan dan
memungkinkan pelaksanaan audit ulang yang lebih efisien. Salah satu cara untuk
mencapai tujuan ini. adalah melengkapi setiap langkah audit dengan rincian
terdokumentasi mengenai mengapa langkah audit tersebut dilakukan (yaitu, risiko
ditangani) beserta bagaimana hal itu dapat dilakukan. Langkah-langkah audit
pada Bagian II buku ini mengikuti format ini dan dapat digunakan sebagai
pedoman.
Penjadwalan
Elemen penting dari proses
perencanaan adalah penjadwalan audit (yaitu menentukan kapan audit akan
berlangsung). Daripada mendikte kapan audit akan terjadi semata-mata
berdasarkan kenyamanan tim audit, maka penjadwalan audit harus dilakukan
bekerjasama dengan nasabah audit. Ini akan memungkinkan tim audit untuk
melakukannya pertimbangkan absensi personil dan waktu aktivitas tinggi, di mana
tim audit mungkin tidak bisa mendapatkan waktu dan perhatian yang tepat dari
organisasi mereka audit Audit penjadwalan bekerja sama dengan pelanggan audit
tidak hanya memungkinkan untuk audit yang lebih efektif, tapi juga memulai
audit off di kaki kanan, menetapkan suasana fleksibilitas dan kerja sama.
Pelanggan audit akan menghargai kenyataan tersebut bahwa kendala dan jadwal
mereka dipertimbangkan dan akan memiliki rasa saling kepemilikan atas jadwal.
A.
TEKNIK AUDIT
Auditing Entity-Level 3
Kontrol
Langkah Uji untuk Audit Entity-Level Controls
· Tinjau struktur organisasi TI secara keseluruhan untuk memastikannya menyediakan penugasan wewenang dan tanggung jawab yang jelas atas operasi TI dan menyediakan segregasi tugas yang memadai.
Struktur organisasi TI yang kurang jelas dapat menyebabkan kebingungan mengenai tanggung jawab, sehingga fungsi pendukung TI dapat dilakukan secara tidak efisien atau tidak efektif. Misalnya, fungsi kritis mungkin terbengkalai atau dilakukan secara berlebihan.
Juga, jika garis wewenang tidak jelas, maka dapat menyebabkan ketidaksepakatan sebagai kepada siapa yang memiliki kemampuan tertinggi untuk membuat keputusan akhir. Akhirnya, jika tugas IT tidak dipisahkan secara tepat, bisa mengakibatkan aktivitas penipuan dan mempengaruhi integritas informasi dan proses perusahaan.
· Tinjau proses perencanaan strategis TI dan pastikan itu selaras dengan strategi bisnis. Evaluasi organisasi TI proses untuk memantau kemajuan terhadap rencana strategis.
Untuk memberikan efektivitas jangka panjang, organisasi TI harus memiliki semacam strategi tentang di mana ia berencana untuk pergi, sebagai lawan untuk berada dalam mode reaktif terus-menerus, dimana isu dan krisis sehari-hari adalah satu-satunya pertimbangan. Organisasi IT Harus sadar akan kebutuhan bisnis dan perubahan lingkungan yang akan datang dapat merencanakan dan bereaksi sesuai dengan itu. Penting agar prioritas TI selaras dengan bisnis prioritas. Terlalu banyak organisasi IT melupakan fakta bahwa satu-satunya alasan mereka Keberadaannya adalah untuk mendukung perusahaan dalam memenuhi tujuan bisnisnya. Sebagai gantinya, IT ini organisasi fokus untuk menjadi "toko TI kelas dunia", bahkan saat tujuan ini tidak secara langsung mendukung keseluruhan tujuan perusahaan. Sangat penting bagi organisasi TI untuk tinggal berdasarkan tujuan mereka untuk mencapai tujuan perusahaan.
· Tentukan apakah teknologi dan strategi aplikasi dan roadmap ada, dan mengevaluasi proses untuk teknis jarak jauh perencanaan
TI adalah lingkungan yang berubah dengan cepat, dan penting bagi organisasi TI untuk mengerti dan merencanakan perubahan. Jika tidak, lingkungan TI perusahaan berisiko menjadi usang dan / atau tidak sepenuhnya memanfaatkan teknologi untuk menguntungkan perusahaan.
TEKNIK AUDIT WEB SERVER DAN APLIKASI WEB
Web Auditing Essentials
Laporan Insiden Data Pelanggaran
Data Verizon 2010 mengidentifikasi web sebagai yang paling umum vektor serangan
untuk pelanggaran perusahaan yang sukses, terhitung 54 persen dari keseluruhan
serangan. Serangan web ini selanjutnya menyumbang 92 persen dari semua rekaman
yang dikompromikan di semua kategori serangan Web server adalah target umum.
Mereka sulit dilakukan dengan benar aman, dan mereka sering mengandung rahasia
perusahaan, informasi pribadi, atau pemegang kartu data.
Ingat bahwa audit, sebanyak yang
ingin kita percayai sebaliknya, bukanlah sebuah sains yang tepat, dan audit server web adalah salah
satu area di mana hal ini terlihat. Prosedur audit dalam bab ini mencoba
menggunakan subset dari alat dan teknologi yang tersedia untuk mengidentifikasi
risiko umum di sistem atau proses di sekitar sistem. Ada puluhan alat dan
sumber daya yang tersedia untuk membantu Anda dalam melakukan audit aplikasi
spesifik Anda yang lebih kuat. Hindari menjadi tidak efektif karena Anda
berusaha menutupi terlalu banyak dengan terlalu sedikit sumber daya dan
pengetahuan. Sebagai kata peringatan terakhir, langkah-langkah berikut harus
dianggap sebagai titik awal audit Anda. Alat pengujian penetrasi aplikasi web
harus digunakan bersamaan dengan pelatihan yang tepat. Kontrol berlapis
tambahan, seperti Web Application Firewall (WAF), sangat disarankan.
Satu Audit dengan Beberapa
Komponen
Audit web yang lengkap
benar-benar merupakan audit terhadap tiga komponen utama, termasuk sistem operasi server, server
web, dan aplikasi web.
1. Komponen tambahan seperti
database pendukung atau infrastruktur jaringan yang relevan mungkin juga sesuai
untuk dipertimbangkan sebagai bagian dari audit Anda. Komponen pertama yang
kami diskusikan adalah platform atau sistem operasi yang mendasari server dan
aplikasi web yang terpasang dan beroperasi. Selanjutnya adalah web server itu
sendiri, seperti Internet Information Services (IIS) atau Apache, yang digunakan
untuk meng-host aplikasi web. Akhirnya, kami meliput audit aplikasi web.
Aplikasi web untuk tujuan kita mencakup kerangka kerja pengembangan terkait
seperti ASP.NET, Java, Python, atau PHP dan sistem pengelolaan konten yang
sesuai (CMS) seperti Drupal, Joomla, atau WordPress. Kesulitan utama dalam
meninjau aplikasi web berkaitan dengan jumlah komponen interaksi yang mungkin
ada yang ada dalam kerangka situs web. Volume dapat ditulis tentang setiap
server web dan kerangka aplikasi web yang ada dan pengaturan masing-masing
untuk masing-masing. Kami akan membahas konsep, menunjukkan beberapa contoh,
dan menyerahkannya kepada Anda untuk memahami bagaimana menerapkan konsep ke
situasi unik Anda. Banyak bahasa dan struktur tersedia untuk pengembangan aplikasi
web, yang mempersulit proses audit. Namun, beberapa alat dan metode juga
tersedia untuk membantu kita menentukan apa yang perlu diperhatikan.
Langkah-langkah berikut ini mencakup alat dan metode ini. Ingatlah bahwa jika
langkah-langkah berikut tidak sesuai dengan niat Anda, Anda harus meninjau Bab
13, yang mencakup aplikasi audit. Bab 13 itu sengaja diarahkan untuk secara
konseptual melanggar audit kompleks atau jarang
Masalah
Kunci Komponen Audit Web
·
Platform
Web Keamanan sistem operasi, perlindungan fisik dan jaringan ke tuan rumah
·
Server
Web Pengaturan default, kode contoh, misconfigurations umum, logging.
·
Web
application Development framework pengaturan keamanan, aplikasi default
pengaturan, validasi masukan, salah melayani data, akses ke data rahasia
perusahaan, misconfigurations umum.
Bagian 1: Langkah Uji untuk
Mengaudit Host
Sistem operasi
Audit sistem operasi host harus
dilakukan bersamaan dengan audit web server dan aplikasi web (s). Silakan lihat
Bab 6 dan 7 di Windows atau Unix yang sesuai untuk audit platform.
Bagian 2: Langkah Uji untuk
Mengaudit Server Web
Setiap langkah mungkin atau
mungkin tidak berlaku untuk server web Anda, namun Anda perlu meluangkan waktu
untuk melakukannya
tentukan ini Kami memeriksa
aplikasi yang berjalan di server web di a
audit terpisah yang mengikuti
yang satu ini.
Alat
dan Teknologi
Ada beberapa alasan mengapa
produk otomatis gagal mengaudit semua komponen server web Anda, namun bukan
berarti produk ini harus diabaikan. Review kode sebenarnya bisa berjalan sangat
cepat untuk coders berpengalaman, tapi ini tergantung pada banyak variabel.
Misalnya, bagaimana berpengalaman adalah coder? Seberapa baik resensi memahami
aplikasi web? Seberapa baik resensi memahami konstruksi bahasa pemrograman yang
digunakan untuk aplikasi? Seberapa kompleks aplikasi itu? Antarmuka eksternal
apa yang ada, dan seberapa baik peninjau memahami antarmuka eksternal ini? Jika
Anda tinggal dan bermain di dunia ini, ulasan kode mungkin mudah bagi Anda.
Jika Anda tinggal dan bermain di banyak dunia, Anda mungkin ingin
mempertimbangkan untuk menambah pencarian Anda dengan alat otomatis, terutama
jika Anda tidak memiliki anggaran untuk mendapatkan bantuan yang Anda tahu yang
Anda butuhkan. Bagian dari perbedaan antara insinyur yang baik dan insinyur
hebat adalah akal. Hanya karena Anda tidak punya uang tidak berarti Anda tidak
bisa memanfaatkannya alat dan komunitas di sekitar Anda
B.
Regulasi
Komunitas bisnis
global terus mendukung peraturan dan undang-undang baru yang berlaku
mempengaruhi dan meningkatkan tanggung jawab perusahaan untuk pengendalian
internal. Bab ini mengulas pengembangan peraturan yang terkait dengan
pengendalian internal sehubungan dengan penggunaan informasi dan teknologi.
Secara khusus, bab ini membahas hal berikut:
·
Pengantar
undang-undang yang terkait dengan pengendalian internal
·
The
Sarbanes-Oxley Act of 2002
·
The
Gramm-Leach-Bliley Act
·
Peraturan
privasi seperti California SB1386
·
Undang-Undang
Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996
·
Komisi
UE dan Basel II
·
Standar
Keamanan Data Kartu Pembayaran (PCI)
·
Tren
peraturan lainnya
Pengantar
Legislasi Terkait dengan Kontrol Internal
Sifat global bisnis dan teknologi
mendorong kebutuhan akan standar dan peraturan yang mengatur bagaimana
perusahaan bekerja sama dan bagaimana informasi dibagi. Kemitraan strategis dan
kolaboratif telah berevolusi dengan badan-badan seperti International
Organization of Standardization (ISO), International Electrotechnical
Commission (IEC), International Telecommunication Union (ITU), dan Organisasi
Perdagangan Dunia (WTO). Partisipasi dalam badan standar ini bersifat sukarela,
dengan tujuan bersama untuk mempromosikan perdagangan global untuk semua
negara. Masing-masing negara telah melangkah lebih jauh untuk membentuk kontrol
pemerintah atas aktivitas bisnis perusahaan beroperasi di dalam batas-batas
mereka.
Motivasi untuk pembuatan dan
adopsi legislasi jauh lebih kompleks dari yang terlihat. Kepentingan nasional,
perhatian industri, dan corporate jockeying membuat supir politik yang kuat.
Politik bisa memiliki konotasi negatif, namun dalam konteks ini, "Politik"
hanya mengacu pada pemahaman bahwa peraturan umumnya menguntungkan atau
melindungi sekelompok orang yang representatif. Bangsa, industri, dan
perusahaan memiliki kekhawatiran tentang kerahasiaan, integritas, dan
ketersediaan informasinya. Standar dan Perundang-undangan adalah dua metode
yang memastikan kekhawatiran ini terpenuhi.
Dampak
Regulatory terhadap Audit TI
Peraturan dampak terhadap audit
TI berkembang seiring bisnis menyesuaikan diri dengan kompleksitas kepatuhan
terhadap beberapa otoritas. Selama dekade terakhir, pemerintah A.S. telah
melewati banyak tindakan privasi khusus industri dan peraturan lainnya.
Masing-masing telah disahkan dengan maksud melindungi konsumen bisnis.
Akibatnya, internal dan kelompok audit eksternal ditugaskan untuk meninjau
proses dan prosedur bisnis pastikan kontrol yang tepat ada yang melindungi
kepentingan bisnis dan konsumen.
Pertimbangkan Rantai Nilai Porter
yang ditunjukkan pada Gambar 17-1. Masing-masing komponen fungsional bisnis saat ini terus menarik tuntutan kemitraan
yang lebih tinggi pada organisasi TI untuk mendukung proses bisnis. Hubungan
saling terkait antara IT kontrol dan fungsi bisnis pendukungnya telah
menciptakan usaha yang besar dasi kontrol TI spesifik untuk proses bisnis yang
ada dan baru. Upaya tersebut dilakukan pembuat undang-undang yang berusaha
melindungi konsumen, layanan keuangan yang berusaha melindungi aset mereka,
membantu vendor mencoba menjual lebih banyak produk, dan bisnis berusaha
mematuhi persyaratan yang tampaknya berkembang dan tidak konsisten.
Asosiasi Internasional Auditor
Internal (IIA) dan Asosiasi Audit dan Pengawasan Sistem Informasi Internasional
(ISACA) menerbitkan panduan untuk membantu anggota kelompok audit internal dan
eksternal ini dalam membangun kontrol bersama dan proses audit. Teknologi dapat
mempengaruhi setiap bagian bisnis. Dengan tekad, terkendali, dan efisien, yang
terbaik, teknologi menawarkan keunggulan kompetitif. Yang terburuk, Teknologi
adalah keunggulan pesaing Anda saat Anda tidak memiliki aktivitas dan proses
yang sesuai untuk memastikan tata kelola, manajemen risiko, atau kepatuhan
pengelolaan teknologi dan organisasi.
Sejarah
Peraturan Keuangan Perusahaan
Pada
tahun 1970an, perhatian terhadap pengendalian internal terkait dengan pelaporan
keuangan mulai dilakukan terbentuk sebagai akibat dari pertumbuhan kebangkrutan
dan keruntuhan keuangan seperti Penn Central Railroad pada tahun 1970,
kebangkrutan terbesar dalam sejarah A.S. pada saat itu waktu. Pada tahun 1976,
sebuah investigasi kongres oleh komite Moss dan Metcalf merekomendasikan
peraturan federal yang meningkat di bidang akuntansi dan auditing. Di 1977,
Foreign Corrupt Practices Act membuat sogokan perusahaan ilegal dan wajib untuk
menyimpan catatan transaksi yang ekstensif untuk tujuan pengungkapan.
Menjelang pertengahan 1980an,
industri simpan pinjam telah ambruk. Kongres melihat apakah pemerintah harus
mengambil alih penerbitan standar akuntansi dan pengawasan auditor Pada tahun
1986, Komite Sponsoring Organizations (COSO) memeriksa bagaimana manajemen
keuangan yang curang dapat dibatasi dan bagaimana auditor dapat mengurangi
kesenjangan yang diketahui antara apa yang auditor lakukan dan apa yang
diharapkan publik. COSO menerbitkan panduan formal untuk pengendalian internal
yang dikenal sebagai Kerangka Kerja Integrasi Internal-Kontrol, dijelaskan
lebih rinci pada Bab 16. Industri sukarela ini dimaksudkan untuk membantu
perusahaan publik melakukan selfregulating dan dengan demikian menghindari
kebutuhan akan peraturan pemerintah.
Pada tahun 1991, Federal Deposit
Insurance Corporation Improvement Act (FDICIA) diberlakukan untuk industri
perbankan sebagai respon terhadap keruntuhan tabungan dan pinjaman. Ini
memperkenalkan akuntabilitas manajemen atas dengan menggunakan tanda-tanda.
Namun, ketika Enron dan
perusahaan besar lainnya gagal pada tahun 2001 dan 2002, Pemerintah A.S.
bergerak cepat untuk menerapkan reformasi korporat yang paling luas dalam upaya
memulihkan kepercayaan publik terhadap operasi bisnis A.S. Sarbanes-Oxley Act
tahun 2002 dan revisi berikutnya memiliki dampak luas terhadap semua perusahaan
(asing dan domestik) yang melakukan bisnis dengan Amerika Serikat dan pada
kelompok teknologi yang mendukung bisnis tersebut. Bab ini akan merangkum
dampak Sarbanes-Oxley dan peraturan pemerintah dan industri lainnya yang
berlaku di departemen layanan informasi.
The Sarbanes-Oxley Act of 2002
Undang-undang Sarbanes-Oxley
(SOX) tahun 2002 (yang secara formal dikenal sebagai Akuntan Publik dan
Undang-Undang Perlindungan Investor) merupakan tanggapan dari pemerintah AS
terhadap ruam skandal korporat yang terkenal yang dimulai dengan Enron dan
Arthur Andersen, diikuti oleh Tyco , Adelphia Communications, WorldCom,
HealthSouth, dan banyak lainnya.
Sarbanes-Oxley Act dan Dewan
Pengawas Akuntansi Perusahaan Publik (PCAOB) diciptakan untuk memulihkan
kepercayaan investor di pasar umum A.S. Tujuan utamanya adalah untuk
meningkatkan tanggung jawab perusahaan, meningkatkan pengungkapan keuangan, dan
mencegah kecurangan perusahaan dan akuntansi. Dengan demikian, kontrol yang
diperlukan untuk kepatuhan terhadap fokus SOX pada kontrol kunci penting untuk
memastikan kerahasiaan, integritas, dan ketersediaan data keuangan.
Gramm-Leach-Bliley Act
Judul resmi undang-undang ini
adalah Undang-Undang Modernisasi Jasa Keuangan. Tindakannya, yang lebih dikenal
dengan Gramm-Leach-Bliley Act (GLBA), diarahkan terutama untuk memungkinkan
fungsi dan hubungan yang diperluas di antara institusi keuangan. Undang-undang
tersebut mencakup bagaimana dan dalam keadaan apa perusahaan induk bank dapat
melakukan afiliasi baru dan terlibat dalam kegiatan yang sebelumnya dibatasi.
Peraturan
privasi
Meringkas karya bagus yang
dilakukan oleh Thomas Karol dalam Panduan untuk Penilaian Dampak Privasi
Cross-Border, informasi pribadi pernah dipandang sebagai konten bisnis
eksklusif dengan sedikit memperhatikan hak pribadi individu yang informasi yang
dimiliki perusahaan. Organisasi pemerintah dan kelompok aktivis privasi telah
bertugas untuk menciptakan sejumlah undang-undang yang melindungi informasi
pribadi.
Persyaratan nasional dan negara
mengatur bagaimana informasi kesehatan, keuangan, dan identitas pribadi dapat
digunakan dan disimpan. Sayangnya, berbagai kepentingan dan batasan kenyamanan
(kepentingan politik) telah menciptakan persyaratan yang berbeda, dan kurangnya
keseragaman memberikan tantangan terhadap penanganan informasi pribadi yang
sesuai.
Kunjungi situs web di tip
terlampir untuk menemukan sumber dokumen otoritas. Lakukan pencarian untuk kata
"privacy" dan mulailah melihat melalui belasan hasil. Ini tidak
secara meyakinkan menggambarkan setiap otoritas yang terkait dengan privasi,
namun ini menunjukkan sejumlah besar dokumen dan undang-undang khusus privasi.
Jika Anda menginginkan daftar dokumen otoritas yang menakjubkan dan menakjubkan,
temukan spreadsheet di unifiedcompliance.com, cari setiap spreadsheet untuk
kontrol khusus yang terkait dengan privasi, dan kemudian kunjungi ID kontrol.
Latihan ini akan lebih masuk akal saat Anda menemukan spreadsheet dan mulai
berjalan melewatinya.
Tabungan
dan Akuntabilitas Asuransi Kesehatan tahun 1996
Pada tahun 1996, Kongres A.S.
melewati Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan
(HIPAA). Tindakan tersebut mencakup dua bagian. Judul I memberikan jaminan
kesehatan setelah karyawan kehilangan pekerjaan. Judul II membahas tindakan
administratif yang dimaksudkan untuk menyederhanakan dan membakukan informasi
kesehatan. Komponen IT dari Judul II menangani keamanan dan penanganan
informasi kesehatan di era elektronik. Ketika topik HIPAA muncul, terutama di
kalangan staf TI, implikasi dari bagian ini paling lazim.
Komponen TI dari tindakan
tersebut meresepkan metodologi standar untuk keamanan. Selanjutnya, format
standarisasi HIPAA untuk informasi terkait kesehatan. Standar tersebut mencakup
metode yang memastikan kerahasiaan dan integritas data pasien untuk setiap
informasi yang dapat dikaitkan dengan pasien individual.
Komponen tindakan yang paling
sering diidentifikasi adalah kumpulan data yang secara kolektif dikenal sebagai
Informasi Kesehatan Terlindungi (PHI) atau Informasi Kesehatan Pelindung
Elektronik (EPHI) yang mencakup Informasi Kesehatan Identifikasi Individu
(IIHI). IIHI berkaitan dengan kondisi medis seseorang, perawatan, atau
pembayaran untuk perawatan. Setiap entitas yang mengelola dan menggunakan PHI
individual dapat dikenai tindakan. Lingkup efektif HIPAA mencakup entitas dari
rumah sakit, asuransi, dokter (semua jenis), laboratorium, dan perusahaan yang
beroperasi atau berpartisipasi dalam rencana kesehatan. Organisasi yang terkena
dampak HIPAA dirujuk oleh undang-undang tersebut sebagai entitas yang tercakup.
Tren
Peraturan Lainnya
Seiring komputer berkembang biak
pada masa kejayaan tahun 1980an dan 1990an, kontrol internal atas TI gagal
mengimbangi arsitektur infrastruktur yang berubah dengan cepat. Namun, tindakan
keras terhadap pengendalian internal yang dimulai atas pelaporan keuangan telah
diperluas untuk mencakup TI, dan memang seharusnya demikian.
Kini, selain SOX, GLBA,
California SB 1386, HIPAA, dan peraturan lainnya, persyaratan lebih lanjut akan
datang Dengan pencurian identitas yang mendekati proporsi krisis, perlindungan
data dan privasi merupakan topik yang sangat mendesak bagi legislator.
Meningkatnya persyaratan
peraturan meningkatkan kesadaran di kalangan manajemen perusahaan senior.
Keamanan informasi mendapatkan visibilitas yang semakin serius. Sebagian besar
perusahaan sekarang menyadari bahwa mereka sebelumnya hanya memiliki sedikit
pemahaman tentang eksposur mereka dan mengakui bahwa mereka perlu melakukan
upaya sadar untuk mengidentifikasi risiko mereka dan mengambil langkah-langkah
yang semakin pasti untuk mengatasinya.
A.
Standar dan Kerangka Kerja Audit
Seiring teknologi
informasi standar (I) jatuh tempo pada akhir abad ke-20, departemen TI di dalam
setiap organisasi biasanya mengembangkan metode sendiri untuk mengelola
operasi. Akhirnya, kerangka kerja dan standar muncul untuk memberikan panduan
bagi manajemen dan evaluasi proses TI. Dalam bab ini kita akan melihat beberapa
kerangka kerja dan standar paling menonjol saat ini yang berkaitan dengan
penggunaan teknologi. Pembahasan kami akan mencakup hal-hal berikut:
·
Pengantar
pengendalian internal, kerangka kerja, dan standar
·
Komite
Kompensasi Organisasi Cadangan (COSO)
·
Tujuan
Pengendalian untuk Informasi dan Teknologi Terkait (COBIT)
·
IT
Infrastructure Library (ITIL)
·
ISO
27001
·
Metodologi
Penilaian Badan Keamanan Nasional (NSA)
·
Gaya
Standar dan Kerangka Kerja Audit
Pengantar
Kontrol, Kerangka, dan Standar TI Internal
Pada 1970-an, kekhawatiran akan
meningkatnya kebangkrutan perusahaan dan keruntuhan keuangan mulai meningkatkan
permintaan akan pertanggungjawaban dan transparansi di antara perusahaan
publik. Foreign Cornupt Practices Act of 1977 (FCPA) mengkriminalisasi
penyuapan di luar negeri dan merupakan peraturan pertama yang mengharuskan
perusahaan untuk menerapkan program pengendalian internal untuk menyimpan
catatan transaksi yang ekstensif untuk tujuan pengungkapan.
Ketika industri simpan pinjam
ambruk pada pertengahan tahun 1980an, ada seruan untuk mengawasi standar
akuntansi dan profesi auditing pemerintah. Dalam upaya untuk mencegah
intervensi pemerintah, inisiatif sektor swasta independen, yang kemudian
disebut Komite Sponsoring Organizations (COSO), dimulai pada tahun 1985 untuk
menilai bagaimana cara terbaik untuk meningkatkan kualitas pelaporan keuangan.
COSO meresmikan konsep pengendalian internal dan kerangka kerja pada tahun 1992
saat menerbitkan publikasi penting Kerangka Pengendalian Internal.
Sejak saat itu, asosiasi
profesional lainnya terus mengembangkan kerangka kerja dan standar tambahan
untuk memberikan panduan dan praktik terbaik kepada konstituen mereka dan
komunitas TI secara umum. Bagian berikut menyoroti COSO dan beberapa kerangka
kerja dan standar TI paling menonjol yang digunakan saat ini.
Gaya
standard dan Kerangka Kerja
Persyaratan dan praktik bisnis
sangat bervariasi di seluruh dunia, seperti juga kepentingan politik dari
banyak organisasi yang menciptakan standar. Kemungkinan besar kerangka kerja
dan standar tunggal akan muncul dalam waktu dekat untuk memenuhi kebutuhan
setiap orang. Kompleksitas pemetaan ratusan dokumen otoritas dari peraturan
(internasional, nasional, lokal / negara bagian, dan sebagainya) dan standar
(ISO, industri spesifik, vendor, dan sebagainya) menciptakan peluang dan ceruk
pasar. Vendor teknologi dengan tepat mengidentifikasi ceruk pasar yang penting
ini, atau pembeda, untuk meningkatkan penjualan produk dengan mengidentifikasi
bagaimana cara mendapatkan produk mereka untuk memenuhi persyaratan otoritas.
Vendor melompat pada kesempatan untuk memetakan kemampuan mereka untuk
menangani kontrol spesifik dari beberapa peraturan dan standar.
Jaringan Frontiers mungkin adalah
perusahaan yang paling terkenal yang mencoba hal yang tidak mungkin: membuat
pemetaan umum kontrol TI di setiap peraturan, standar, dan praktik terbaik yang
ada. Hasilnya disebut IT Unified Compliance Kerangka, dan bisa ditemukan di
www.unifiedcompliance.com. Selanjutnya, ini pemetaan diadopsi oleh Archer
Technologies, Microsoft, Computer Associates, McAfee, dan beberapa vendor
lainnya untuk membantu menjembatani penyelarasan kontrol yang dikelola atau
dilacak oleh vendor dengan persyaratan dokumen otoritas individual.
Satu sudut pandang menunjukkan
kerangka adopsi tunggal akan menyederhanakan teknologi pengembangan produk,
struktur organisasi, dan tujuan pengendalian. Yang lain sudut pandang
menunjukkan bahwa kompleksitas kepentingan regional, politik, bisnis, budaya,
dan kepentingan yang berbeda memastikan kerangka kontrol yang diterima secara
universal tidak akan pernah tercipta. Kebenaran mungkin terletak di suatu
tempat di tengahnya. Meskipun satu set standar internasional tidak dapat
dipastikan, alat yang dijelaskan dalam bab ini tetap berfungsi untuk
menciptakan infrastruktur teknologi yang andal, aman, dan berkelanjutan yang
pada akhirnya menguntungkan para peserta.
B.
Manajemen Resiko
Beberapa tahun yang
lalu, firewall dan perangkat lunak antivirus adalah sebagian besar organisasi digunakan
untuk mengurangi risiko TI. Namun, dalam beberapa tahun terakhir, lanskap
ancaman telah berubah sangat. Saat ini, ancaman orang dalam lebih terasa,
ribuan variannya malware didistribusikan, dan pemerintah telah memberlakukan
undang-undang yang mewajibkan implementasi berbagai kontrol. Akibatnya, proses
manajemen risiko formal sekarang harus menjadi bagian dari setiap program audit
TI. Pertanyaan juta dolar hari ini adalah: Apa itu program manajemen risiko
formal? Didalam Bab kita akan mengeksplorasi proses analisis risiko, siklus
manajemen risiko, dan metode untuk mengidentifikasi dan menangani risiko secara
efektif. Pada akhir bab ini adalah ringkasan dari rumus yang kita gunakan dalam
teks.
Manfaat
Manajemen Risiko
Potensi pengelolaan risiko TI
masih dirahasiakan. Beberapa tahun, banyak organisasi telah meningkatkan
efektivitas pengendalian TI mereka atau mengurangi biaya mereka dengan
menggunakan analisis risiko dan praktik manajemen risiko yang baik. Ketika
manajemen memiliki pandangan perwakilan tentang eksposur TI organisasi, ia dapat
melakukannya mengarahkan sumber daya yang tepat untuk mengurangi area risiko
tertinggi daripada pengeluaran sumber daya langka di daerah yang memberikan
sedikit atau tidak ada pengembalian investasi (ROI). Jaring Hasilnya adalah
tingkat pengurangan risiko yang lebih tinggi untuk setiap dolar yang
dikeluarkan.
Manajemen
Risiko dari Perspektif Eksekutif
Bisnis adalah semua tentang
risiko dan penghargaan. Eksekutif diharuskan menimbang manfaat investasi dengan
risiko yang terkait dengannya. Akibatnya, sebagian besar telah menjadi cukup
mahir mengukur risiko melalui analisis ROI, indikator kinerja utama, dan
segudang alat analisis keuangan dan operasional lainnya. Sukses dalam
mengelola. Risiko TI organisasi, Anda harus memahami bahwa eksekutif melihat
risiko finansial istilah. Akibatnya, semacam analisis keuangan biasanya
diperlukan untuk berbisnis kasus untuk investasi di kontrol tambahan.
Mengatasi
Resiko
Resiko dapat diatasi dengan tiga
cara: menerimanya, mengurangi, atau mentransfernya. Yang sepantasnya metode
sepenuhnya tergantung pada nilai finansial dari risiko versus investasi diperlukan
untuk menguranginya ke tingkat yang dapat diterima atau mentransfernya ke pihak
ketiga. Sebagai tambahannya Kontrol preskriptif, peraturan seperti HIPAA /
HITECH dan PCI mengharuskan organisasi tersebut menilai risiko terhadap
informasi yang dilindungi dan menerapkan pengendalian yang wajar mengurangi
risiko ke tingkat yang dapat diterima.
Penerimaan
Risiko
Nilai finansial suatu risiko
seringkali lebih kecil daripada biaya mitigasi atau transfer. Dalam hal ini,
pilihan yang paling masuk akal adalah menerima risiko. Namun, jika organisasi memilih untuk menerima risiko, itu
harus menunjukkan bahwa risiko memang dinilai dan mendokumentasikan alasan di balik keputusan tersebut.
Transfer
Resiko
Industri asuransi didasarkan pada
transferensi risiko. Organisasi sering membeli asuransi untuk menutupi biaya pelanggaran keamanan atau bencana sistem
outage. Ini penting untuk perhatikan
bahwa perusahaan asuransi yang menawarkan jenis kebijakan ini sering mewajibkan
kebijakan tersebut pemegang
menerapkan kontrol tertentu. Gagal mematuhi persyaratan control dapat membatalkan kebijakan Bila pengelolaan sistem TI dialihkan
ke pihak ketiga, tingkat tertentu risiko
dapat ditransfer secara kontrak ke pihak ketiga juga. Dalam kasus ini, itu
adalah tanggung jawab organisasi
meng-outsource sistemnya untuk memverifikasi bahwa risiko TI berkurang ke tingkat yang dapat diterima dan
bahwa perusahaan yang mengelola sistemnya memiliki keuangan Kekuatan untuk menutupi kerugian harus terjadi.
Analisis
Risiko Kuantitatif vs Kualitatif
Risiko dapat dianalisis dengan
dua cara: kuantitatif dan kualitatif. Seperti hal lainnya, masing memiliki kelebihan dan kekurangan. Dimana pendekatan
kuantitatif lebih banyak obyektif
dan mengungkapkan risiko secara finansial sehingga pengambil keputusan bisa
lebih mudah membenarkan, juga lebih
menyita waktu. Pendekatan kualitatif lebih cocok untuk ditampilkan pandangan berlapis risiko, tapi bisa
lebih subjektif dan karena itu sulit untuk dibuktikan.
Organisasi dengan program
manajemen risiko yang lebih sukses cenderung mengandalkan lebih banyak pada analisis risiko kualitatif untuk
mengidentifikasi area fokus dan kemudian menggunakan kuantitatif teknik analisis risiko untuk
membenarkan pengeluaran mitigasi risiko.
Tidak ada komentar:
Posting Komentar