Audit Teknologi
Sistem Informasi
4KA09
UNIVERSITAS GUNADARMA
SISTEM INFORMASI
FAKULTAS
ILMU KOMPUTER & TEKNOLOGI INFORMASI (FIKTI)
Pengertian
Audit
Audit komputer adalah evaluasi sebuah
praktik dan operasi Sistem Informasi komputer untuk meyakinkan integritas dari
informasi suatu entitas.evaluasi ini termasuk penilaian seberapa efisien,
efektif dan ekonomis nya praktik berbasis komputer itu. Ini termasuk penggunaan
komputer dan alat audit, dan evaluasi juga harus menentukan kecukupan kontrol
internal didalam lingkungan sistem informasi komputer untuk memastikan validitas,
kehandalan, dan keamanan layanan informasi.
Audit Sistem Informasi adalah proses
mengumpulkan dan mengevaluasi untuk menentukan apakah sistem komputer
mengamankan aset, memelihara integritas data, mencapai tujuan organisasi secara
efektif, dan mengkonsumsi sumber daya secara efisien.
Proses
Audit
Merencanakan
Audit
1.
Tetapkan lingkup dan tujuan
2.
Organisir tim audit
3.
Kembangkan pengetahuan mengenai
operasional bisnis
4.
Tinjau hasil audit sebelumnya
5.
Identifikasi faktor resiko
6.
Siapkan program audit
Mengumpulkan
Bukti Audit
1.
Pengamatan atas kegiatan operasional
2.
Tinjauan dokumentasi
3.
Kuesioner
4.
Berdiskusi dengan pegawai
5.
Pemeriksaan fisik aset
6.
Konfirmasi melalui pihak ketiga
7.
Melakukan ulang prosedur
8.
Pembuktian dengan dokumen sumber
9.
Review analitis
10.
Pengambilan sample audit
Mengevaluasi
Bukti Audit
1.
Nilai kualitas pengendalian internal
2.
Nilai kehandalan informasi
3.
Nilai kinerja operasional
4.
Pertimbangkan kebutuhan atas bukti
tambahan
5.
Pertimbangkan faktor-faktor resiko
6.
Pertimbangkan faktor materialitas
7.
Dokumentasikan penemuan-penemuan audit
Mengkomunikasikan
Hasil Audit
1.
Memformulasikan kesimpulan audit
2.
Membuat rekomendasi bagi pihak manajemen
3.
Mempersiapkan laporan audit
4.
Menyajikan hasil-hasil audit kepada pihak
manajemen
Teknik
Audit
Ada
12 teknik audit menurut Chris Davis,yaitu:
1.
Audit pengendalian Entity Level
2.
Audit data centers dan disaster recovery
3.
Audit
switch, routers dan firewalls
4.
Audit sistem operasi
5.
Audit web server dan web aplikasi
6.
Audit database
7.
Audit penyimpanan
8.
Audit lingkungan virtual
9.
Audit wlan dan mobile devices
10.
Audit aplikasi
11.
Audit cloud computing dan outsourced
operations
12.
Audit proyek perusahaan/organisasi
Regulasi
Audit
Regulasi adalah peraturan terkait
pengendalian internal, kondisi global teknologi dan bisnis memaksa adanya
standar dan regulasi yang mengatur bagaimana perusahaan bekerja dan pembagian
informasi. Baik nasional, industri dan perusahaan memiliki kekhawatiran
mengenai C.I.A informasi mereka. Standar dan regulasi merupakan dua metode yang
dapat menjamin terpenuhinya masalah tersebut. Dampak peraturan terhadap Audit
TI berkembang seiring semakin rumitnya pemenuhan otoritas. The International
Association of Internal Auditors (IIA) dan International Information System
Audit and Control Association (ISACA) menerbitkan panduan untuk membantu
kelompok audit internal dan eksternal membangun pengendalian dan proses audit
yang umum.
·
CONTOH REGULASI:
The Sarbanes-Oxley Act of Gramm-Leach-Billey
Act Payment Card Industry (PCI) Data Security Standard Regulasi ini merupakan
respon dari pemerintah USA atas maraknya skandal yang terjadi di perusahaan.
Tujuan utamanya adalah untuk meningkatkan pertanggung jawaban perusahaan,
transparansi keuangan, dan mengurangi penipuan keuangan. SOX fokus pada
pengendalian yang penting untuk menjamin C.I.A data keuangan. Layanan TI
merupakan bagian penting dalam proses pelaporan keuangan. Aplikasi dan layanan
mendukung penciptaan, penyimpanan, pengolahan dan pelaporan dari transaksi
keuangan. Maka, pemenuhan SOX termasuk dalam pengendalian internal tentang
penggunaan teknologi dalam pengelolaan data, pegolahan dan pelaporan.
Pengendalian
TI yang diperlukan untuk memenuhi SOX:
1.
Pengendalian Akses (Access Controls)
2.
Pengendalian Perubahan (Change Control)
3.
Manajemen Data (Data Management)
4.
Operasional TI (IT Operations)
5.
Operasional Jaringan (Network Operations)
6.
Manajemen Aset (Asset Management)
Standard
dan Kerangka Kerja Audit
Kerangka danStandar seiring perkembangan
teknologi informasi (IT) selama akhir abad ke-20, IT departemen dalam setiap
organisasi biasanya mengembangkan metode sendiri untuk mengelola operasi.
Akhirnya, kerangka kerja dan standar muncul untuk memberikan panduan bagi
pengelolaan dan evaluasi proses TI.
Beberapa kerangka kerja dan standar yang paling menonjol saat ini
terkait dengan penggunaan teknologi.
Dibawah
ini akan mencakup hal berikut:
1. Pengantar
pengendalian, kerangka kerja, dan standar internal TI
2.
Komite Organisasi Sponsor (COSO)
3.
Tujuan Pengendalian Informasi dan
Teknologi Terkait (COBIT)
4.
IT Infrastructure Library (ITIL)
5.
ISO 27001
6.
Metodologi Penilaian INFOSEC Keamanan
Nasional (Security Security Agency / NSA)
7. Kerangka
dan tren standar
Management
Resiko
Siklus Hidup Manajemen Risiko TI dimulai
dengan identifikasi aset informasi dan berpuncak pada manajemen PT risiko
residual. Fase spesifiknya adalah sebagai berikut:
1. Mengidentifikasi aset informasi: tahap
pertama dalam siklus pengelolaan risiko adalah mengidentifikasi informasi organisasi
aktiva. Agar sukses, Anda harus menyelesaikan beberapa tugas:
·
Tentukan nilai kekritisan informasi.
·
Mengidentifikasi fungsi bisnis.
·
Proses informasi peta.
·
Mengidentifikasi aset informasi.
·
Tetapkan nilai kekritisan pada aset
informasi.
Tujuan
dari tahap ini adalah untuk mengidentifikasi semua aset informasi dan
menetapkan setiap informasi. Aset merupakan nilai kekritisan yang tinggi,
sedang, atau rendah untuk kerahasiaan, integritas, dan persyaratan
ketersediaan.
2. Mengukur dan memenuhi syarat ancaman: tahap
siklus pengelolaan risiko ini memerlukan langkah-langkah berikut:
·
Menilai ancaman bisnis.
·
Mengidentifikasi ancaman teknis, fisik,
dan administratif.
·
Mengukur dampak dan kemungkinan ancaman.
·
Mengevaluasi arus proses untuk kelemahan.
·
Mengidentifikasi ancaman
komponen-komponen.
3. Menilai kerentanan: kita akan menggunakan
langkah-langkah berikut dalam menganalisis kerentanan:
·
Identifikasi kontrol yang ada dalam
kaitannya dengan ancaman.
·
Tentukan gap kontrol komponen proses.
·
Gabungkan celah kontrol ke dalam proses
dan kemudian fungsi bisnis.
·
Kategorikan kesenjangan kontrol dengan
tingkat keparahan.
·
Tetapkan peringkat risiko.
4. Remediate control gap: pada titik ini,
risiko harus dikategorikan tinggi, menengah, atau rendah. Gunakan
langkah-langkah berikut dalam remisiasi gap:
·
Pilih kontrol.
·
Melaksanakan kontrol.
·
Validasi kontrol baru.
·
Hitung ulang peringkat risiko
·
Mengelola risiko residual, Fase ini
terdiri dari dua tahap:
·
Buat garis dasar risiko
·
Menilai kembali risiko
