- Audit Menurut Chris Davis
Mengamankan Sistem Anda Menggunakan Teknik Audit TI Terbaru Telah diperbarui sepenuhnya untuk mencakup alat dan teknologi terdepan, Audit TI: Menggunakan Kontrol untuk Melindungi Aset Informasi, Edisi Kedua, menjelaskan, selangkah demi selangkah, bagaimana menerapkan audit TI perusahaan yang sukses dan sukses. program. Bab baru dalam audit komputasi awan, operasi outsource, virtualisasi, dan penyimpanan disertakan. Panduan komprehensif ini menjelaskan bagaimana mengumpulkan tim audit TI yang efektif dan memaksimalkan nilai fungsi audit TI. Rincian mendalam tentang melakukan audit khusus disertai contoh dunia nyata, daftar periksa siap pakai, dan template berharga. Standar, kerangka kerja, peraturan, dan teknik manajemen risiko juga tercakup dalam sumber daya definitif ini.
Membangun dan memelihara fungsi audit TI internal dengan efektivitas dan nilai maksimum Kontrol tingkat entitas audit, pusat data, dan pemulihan bencana Periksa switch, router, dan firewall Evaluasi sistem operasi Windows, UNIX, dan Linux Audit server dan aplikasi Web Menganalisis basis data dan penyimpanan solusi Menilai perangkat WLAN dan perangkat seluler Mengelola lingkungan virtual Mengevaluasi risiko yang terkait dengan komputasi awan dan operasi yang dioutsourcing Borkan ke aplikasi untuk menemukan kelemahan pengendalian potensial Gunakan standar dan kerangka kerja, seperti COBIT, ITIL, dan ISO Memahami peraturan, termasuk Sarbanes-Oxley, HIPAA, dan PCI Melaksanakan praktik manajemen risiko terbukti.
Konsep Audit
Audit Sistem Informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk membuktikan dan menentukan apakah sistem aplikasi komputerisasi yang digunakan telah menetapkan dan menerapkan sistem pengendalian intern yang memadai, apakah aset organisasi sudah dilindungi dengan baik dan tidak disalah gunakan, apakah mampu menjaga integritas data, kehandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis komputer.
Jenis-jenis audit sistem informasi:
- Audit laporan keuangan (financial Statement Audit)
- Audit Operasional (Operational audit)
- Audit terhadap aflikasi komputer
- General audit
Yaitu evaluasi kinerja unit fungsional atau fungsi sistem informasi apakah sudah dikelola dengan baik.
Proses Audit
Proses Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem informasi berjalan semestinya. Tujuh langkah proses audit sistem informasi yaitu:
a) Implementasikan sebuah strategi audit berbasis manajemen resiko serta control practice yang dapat disepakati oleh semua pihak
b) Tetapkan langkah-langkah audit yang rinci
c) Gunakan fakta atau bahan bukti yang cukup, handal, relevan, serta bermanfaat
d) Buat laporan beserta kesimpulan berdasarkan fakta yang dikumpulkan
e) Telaah apakah tujuan audit tercapai
f) Sampaikan laporan kepada pihak yang berkepentingan
g) Pastikan bahwa organisasi mengimplementasikan managemen resiko serta control practice.
Perencanaan sebelum menjalankan proses audit dengan metodologi audit yaitu:
a) Audit subject
b) Audit objective
c) Audit Scope
d) Preaudit planning
e) Audit procedures and Steps for data gathering
f) Evaluasi hasil pengujian dan pemeriksaan
g) Audit report preparation
Berikut struktur isi laporan audit secara umumnya(tidak baku):
a) Pendahuluan
b) Kesimpulan umum auditor
c) Hasil audit
d) Rekomendasi
e) Exit interview
Teknik Audit
1. Auditing Entity-Level Kontrol
Dalam bab ini kita akan membahas bagaimana mengaudit kontrol tingkat entitas, yang meresap di seluruh organisasi. Karena kontrol tingkat entitas sangat luas di seluruh organisasi, dan dapat mengauditnya berikut ini pembahasan audit teknologi informasi (TI)area seperti:
a. Perencanaan strategis dan peta jalan teknologi
b. Indikator kinerja dan metrik
c. Proses persetujuan dan pemantauan proyek
d. Kebijakan, standar, dan prosedur
e. Manajemen karyawan
f. Pengelolaan aset dan kapasitas
g. Manajemen perubahan konfigurasi sistem
2. Pusat Data Audit dan Pemulihan bencana
Fasilitas pengolahan teknologi informasi (TI), biasanya disebut sebagai pusat data, merupakan inti dari sebagian besar operasi organisasi modern, yang mendukung hampir semua hal yang kritis aktivitas bisnis. Berikut ini merupakan langkah-langkah untuk mengaudit pusat data kontrol, termasuk bidang berikut:
a. Keamanan fisik dan pengendalian lingkungan
b. Operasi pusat data
c. Sistem dan ketahanan situs
d. Kesiapsiagaan bencana
3. Mengaudit Router, Switch, dan Firewall
Jaringan adalah latar belakang mendasar dari infrastruktur operasi TI , yang memungkinkan data melintang antara pengguna, penyimpanan data, dan pengolahan data. Router, switch, dan firewall bekerja sama untuk memungkinkan transfer data sekaligus melindungi jaringan, data, dan pengguna akhir. Berikut ini membahas bagaimana meninjau potongan-potongan kritis ,infrastruktur sambil membantu untuk melakukannya sebagai berikut :
a. Mengungkap kompleksitas peralatan jaringan.
b. Memahami kontrol jaringan kritis.
c. Tinjau kontrol khusus untuk router, switch, dan firewall.
4. Mengaudit Windows Sistem operasi
Sistem operasi Windows telah berkembang dari awal yang sederhana dan berkembang menjadi salah satu sistem operasi paling umum di dunia untuk server dan klien, untuk mencakup komponen dasar dari audit server Windows dan mencakup audit cepat untuk Klien Windows,berikut pembahasan Audit server dan klien windows:
a. Sejarah singkat pengembangan Windows
b. Windows essentials: belajar tentang host target
c. Bagaimana mengaudit server Windows
d. Bagaimana mengaudit klien Windows
e. Alat dan sumber daya untuk meningkatkan audit Windows Anda
5. Mengaudit Unix dan Linux
Sistem operasi
Bab ini membahas langkah-langkah yang diperlukan untuk mengaudit operasi berbasis Unix dan Linux sistem (juga disebut sebagai sistem nix) dan mencakup hal-hal berikut:
a. Sejarah Unix dan Linux
b. Perintah dasar untuk berkeliling di lingkungan * nix
c. Bagaimana mengaudit sistem Unix dan Linux, dengan fokus pada bidang utama berikut:
d. Manajemen akun dan kontrol kata sandi
e. File keamanan dan kontrol
f. Keamanan dan kontrol jaringan
g. Audit log
h. Monitoring keamanan dan kontrol umum
i. Alat dan sumber daya untuk meningkatkan audit
6. Mengaudit Web Serverdan Aplikasi Web
Pertumbuhan eksplosif di Internet juga mendorong pertumbuhan eksplosifalat pengembangan, bahasa pemrograman, web browser, database, dan berbedamodel client-server. Hasil yang tidak menguntungkan adalah model kompleks yang sering dibutuhkan kontrol tambahan untuk mengamankan model. Berikut ini mencakup minimum mutlak seperangkat kontrol yang harus ditinjau ulang. Bab ini mencakup hal-hal berikut:
a. Bagaimana mengaudit server web
b. Bagaimana mengaudit aplikasi web
7. Mengaudit Database
Mengaudit Database membahas tentang audit lockbox informasi perusahaan. Untuk melakukan audit pada komponen berikut yang mempengaruhi operasional keamanan penyimpanan data:
a. Perizinan database
b. Keamanan sistem operasi
c. Fitur kekuatan dan manajemen kata sandi
d. Aktivitas pemantauan
e. Database enkripsi
f. Database kerentanan, integritas, dan proses patching
8. Penyimpanan Audit
Penyimpanan audit dan dimulai dengan ikhtisar penyimpanan umum teknologi. Audit penyimpanan menggabungkan kekhawatiran platform dan datanya. Platform memiliki persyaratan kontrol yang sama seperti yang ditemukan di server. Data memiliki keunikan persyaratan kontrol karena perlunya menjaga kontrol yang sesuai dengan kelas data yang berbeda, dibawah ini mencakup hal-hal berikut:
a. Ikhtisar teknis singkat tentang penyimpanan
b. Bagaimana mengaudit lingkungan penyimpanan
c. Alat dan sumber daya untuk meningkatkan audit penyimpanan Anda
9. Mengaudit Virtualized Lingkungan
Inovasi dalam virtualisasi sistem operasi dan perangkat keras server diubah secara permanen jejak, arsitektur, dan operasi pusat data. Mengaudit lingkungan virtualisasi, dan dimulai dengan ikhtisar tentang virtualisasi umum teknologi dan kontrol tombol. Audit virtualisasi menggabungkan kekhawatiran hypervisor dan sistem operasi tamu. Meski fokus adalah hypervisor dan virtualisasi server, bisa menerapkan banyak langkah dan konsep yang sama untuk virtualisasi desktop ,membuat asumsi bahwa komponen sistem ini adalah di bawah kendali , "Mengaudit Komputasi Awan dan Operasi Outsourcing "untuk panduan bagaimana memastikan virtualisasi dari luarling kungan dikelola dan diamankan dengan benar.
Dibawah ini mencakup hal-hal berikut:
a. Sekilas singkat teknis virtualisasi
b. Bagaimana mengaudit lingkungan virtualisasi
c. Alat dan sumber daya untuk meningkatkan audit virtualisasi Anda
10. Mengaudit WLAN dan Telepon genggam
Mengaudit WLAN dan Telepon genggam yaitu dua audit terpisah, yang dimulai dengan jaringan area lokal nirkabel(WLAN) dan kemudian mencakup perangkat seluler yang mendukung data. Audit WLAN meliputiklien, komunikasi, jalur akses, dan faktor operasional yang memungkinkan WLAN aktif, jaringan Audit perangkat mobile data-enabled meliputi Blackberry, iPhone, Droid, dan perangkat data-enabled serupa dan infrastruktur yang mendukungnya. Pengikuttopik yang dibahas adalah:
a. Latar belakang teknologi WLAN dan perangkat mobile
b. Masalah audit penting untuk teknologi ini
c. Langkah dan saran teknis utama mengenai bagaimana mendekati teknologi
d. Langkah operasional yang diperlukan agar teknologi ini beroperasi secara efisien di jaringan anda
11. Permohonan Audit
Setiap aplikasi unik, apakah mendukung fungsi keuangan atau operasional, dan oleh karena itu masing-masing memiliki seperangkat persyaratan kontrol tersendiri. Tidak mungkin dokumen persyaratan kontrol spesifik yang akan berlaku untuk setiap aplikasi.Namun, akan menjelaskan beberapa pedoman pengendalian umum yang seharusnya berkenaan dengan aplikasi apapun terlepas dari fungsinya, bahasa pemrogramannya, dan platform teknologi. Topik-topik berikut dibahas dalam bab ini:
a. Komponen penting dari audit aplikasi
b. Bagaimana menelusuri kemungkinan masalah dengan kerangka kerja dan konsep kunci
c. Langkah terperinci untuk mengaudit aplikasi, termasuk yang berikut ini:
d. Kontrol input
e. Kontrol antarmuka
f. Jejak audit
g. Kontrol akses
h. Kontrol perubahan perangkat lunak
i. Backup dan pemulihan
j. Retensi data dan klasifikasi dan keterlibatan pengguna
12. Mengaudit Komputasi Awan dan OutsourceOperasi
Mengaudit Komputasi Awan dan Outsource Operasi adalah kunci yang harus dicari saat mengaudit TI operasi yang telah dialihkan ke perusahaan eksternal, termasuk yang berikut ini:
a. Definisi komputasi awan dan bentuk lain dari outsourcing TI
b. SAS 70 melaporkan
c. Kontrol seleksi vendor
d. Item untuk disertakan dalam kontrak vendor
e. Persyaratan keamanan data
f. Masalah operasional
g. Masalah hukum dan kepatuhan peraturan
13. Proyek Perusahaan Audit
Proyek Perusahaan Audit adalah kontrol kunci yang harus dicari saat mengaudit proses yang digunakan untuk mengelola proyek perusahaan, termasuk memahami hal-hal berikut yang berkaitan dengan manajemen proyek audit teknologi informasi:
a. Kunci keberhasilan manajemen proyek
b. Kebutuhan pengumpulan dan desain awal
c. Desain dan pengembangan sistem
d. Pengujian
e. Implementasi
f. Pelatihan
g. Membungkus proyek
Regulasi Audit
Uji kepatutan (compliance test) dilakukan dengan menguji kepatutan Prooses TI dengan melihat kepatutan proses yang berlangsung terhadap standard dan regulasi yang berlaku. Kepatutan tersebut dapat diketahui dari hasil pengumpulan bukti. Adapun langkah-langkah yang dilakukan dalam uji tersebut antara lain akan dipaparkan sebagaimana berikut :
1) Tahapan Pengidentifikasian
Objek yang Diaudit Tujuan dari langkah ini agar pengaudit mengenal lebih jauh terkait dengan hal-hal yang harus dipenuhi dalam objektif kontrol yang membawa kepada penugasan kepada pihak-pihak yang bertanggung jawab. Aktivitas yang berlangsung juga termasuk pengidentifikasian perihal pengelolaan aktivitas yang didukung TI memenuhi objektif kontrol terkait.
2) Tahapan Evaluasi audit Tujuan dari tahapan ini adalah untuk mendapatkan prosedur tertulis dan memperkirakan jika prosedur yang ada telah menghasilkan struktur kontrol yang efektif. Uji kepatutan yang dilakukan pada tahapan ini yaitu mengevaluasi pemisahan tanggung jawab yang terkait dengan pengelolaan SI/TI. Dari hasil evaluasi ditemukan terdapat pemisahan terhadap tugas dan tanggung jawab yang harus dilakukan oleh masing-masing pihak yang bersangkutan.
Standar & Kerangka Kerja Audit
Standar Audit Sistem Informasi (SASI) IASII diresmikan oleh Rapat Anggota IASII Tahun 2006 pada tanggal 25 Februari 2006 bertempat di Jakarta. SASI IASII berlaku bagi seluruh Anggota IASII (sesuai AD/ART IASII) yang melaksanakan kegiatan Audit Sistem Informasi. Standar ini mulai berlaku efektif sejak tanggal 01 Januari 2007 dan dapat diterapkan sebelum tanggal tersebut. Adapun beberapa aturan yang standarisasikan, antara lain:
1). Penugasan Audit, mencakup :
(a). Tanggung Jawab
(b). Wewenang dan
(c). Akuntabilitas
2). Independensi & Obyektifitas
3). Profesionalisme & Kompetensi
4). Perencanaan
5).Pelaksanaan, yang mencakup :
(a). Pengawasan
(b). Bukti-bukti Audit
(c). Kertas Kerja Audit
6). Pelaporan
7). Tindak Lanjut
Kerangka Kerja Audit Sistem Informasi dapat diuraikan dalam beberapa tahapan berdasarkan kerangka pikir manajemen, teknologi informasi dan pertimbangan sistem ahli yang semuanya mengacu pada kerangka kerja menghasilkan laporan audit sistem informasi.
Manajemen Resiko
Manajemen risiko adalah sebuah proses yang diaplikasikan dalam perumusan strategi dan dirancang untuk mengidentifikasi kejadian potensial yang mungkin akan berdampak pada keseluruhan organisasi, dan pengelolaan risiko. Kategori sasaran dalam manajemen risiko :
· Strategis : tujuan tingkat tinggi, selaras dengan dan mendukung misi
· Operasional : penggunaan sumberdaya secara efektif dan efisien
· Pelaporan : keandalan pelaporan
· Pemenuhan : pemenuhan hukum dan peraturan yang berlaku
FALSAFAH COSO
Bagi COSO, pengukuran-penetapan risiko adalah kegiatan penting bagi manajemen dan auditor internal korporasi, sehingga auditor internal harus paham proses dan sarana untuk identifikasi, penilaian, pengukuran dan penetapan tingkat risiko (risk assessment) sebagai dasar menyusun prosedur audit internal. COSO menyatakan bahwa setiap entitas menghadapi risiko internal dari luar, bahwa risiko-risiko tersebut harus didentifikasi dan dinilai-diukur terfokus pada pengamanan sasaran strategis korporasi. Perubahan sosial-politik-ekonomi-
Contoh risiko, bahaya, ancaman, atau hambatan mencapai sasaran korporasi adalah :
- Pesaing meluncurkan produk baru
- Perubahan teknologi menyebabkan jasa atau produk tidak laku
- Manajer andalan tiba-tiba mengundurkan diri sebagai karyawan
- Formula rahasia dicuri dan dijual oleh karyawan kepada pesaing
- KKN menggerus laba dan membuat perusahaan keropos
