Cob It Audit Guideline Pentingnya Pengendalian Teknologi Informasi
Cob. It Audit Guideline
Pentingnya Pengendalian Teknologi Informasi • Organisasi yang sukses memerlukan penghargaan dan pemahaman dasar tentang risiko dan hambatan TI di semua tingkatan dalam perusahaan untuk mencapai arah yang efektif dan kontrol yang memadai. • MANAJEMEN harus memutuskan apa yang layak diinvestasikan untuk keamanan dan kontrol dalam TI dan bagaimana menyeimbangkan risiko dan mengendalikan investasi dalam lingkungan TI yang tidak dapat diprediksi. Meskipun keamanan dan kontrol sistem informasi membantu mengelola risiko, tetapi resiko tidak dapat dihilangkan. Selain itu, tingkat risiko yang pasti tidak dapat diketahui karena selalu ada beberapa tingkat ketidakpastian. Pada akhirnya, manajemen harus memutuskan tingkat risiko yang akan diterima. Menilai tingkat apa yang dapat ditoleransi, terutama ketika ditimbang terhadap biaya, dapat menjadi keputusan manajemen yang sulit. Oleh karena itu, manajemen membutuhkan kerangka kerja praktik keamanan dan kontrol TI yang diterima secara umum untuk mengukur lingkungan TI yang ada dan yang direncanakan.
Peran Auditor • AUDITOR telah memimpin dalam upaya penentuan standardisasi internasional karena mereka terus dihadapkan pada kebutuhan untuk memperkuat pendapat mereka tentang pengendalian internal terhadap manajemen. Tanpa kerangka kerja, ini adalah tugas yang sangat sulit. Selanjutnya, auditor semakin dibutuhkan oleh manajemen untuk secara proaktif berkonsultasi dan memberi saran tentang keamanan TI dan hal-hal yang terkait dengan kontrol.
Lingkungan Bisnis : Kompetisi, Perubahan dan Biaya • Organisasi melakukan restrukturisasi untuk merampingkan operasional dan secara bersamaan memanfaatkan kemajuan dalam TI untuk meningkatkan posisi kompetitif mereka. Rekayasa ulang bisnis, penentuan ukuran yang tepat, outsourcing, pemberdayaan, organisasi yang diratakan, dan pemrosesan terdistribusi adalah semua perubahan yang berdampak pada cara organisasi bisnis dan organisasi pemerintah beroperasi. Perubahan ini memiliki, dan akan terus memiliki, implikasi yang mendalam untuk manajemen dan struktur pengendalian operasional dalam organisasi di seluruh dunia
Lingkungan Bisnis : Kompetisi, Perubahan dan Biaya (2) • Perubahan yang cepat dalam kerangka kerja , jika manajer, spesialis sistem informasi dan auditor benar-benar ingin dapat secara efektif memenuhi peran mereka, keterampilan mereka harus berkembang secepat teknologi dan lingkungan. Pemegang peran harus memahami teknologi kontrol yang terlibat dan sifatnya yang berubah jika seseorang melakukan penilaian yang wajar dan bijaksana dalam mengevaluasi praktik pengendalian yang ditemukan dalam organisasi bisnis atau pemerintahan tertentu.
Konsep Dasar Cob. It • Konsep dasar dari Kerangka Kerja COBIT adalah bahwa pengendalian di IT dipahami dengan melihat informasi yang diperlukan untuk mendukung tujuan atau persyaratan bisnis, dan dengan melihat informasi sebagai hasil dari aplikasi gabungan dari sumber daya yang terkait dengan IT yang perlu dikelola oleh proses TI.
Konsep Dasar Cob. It (2) • Untuk memenuhi tujuan bisnis, informasi perlu disesuaikan dengan kriteria tertentu, yang mana COBIT merujuk sebagai persyaratan bisnis untuk informasi. Dalam menetapkan daftar persyaratan, COBIT menggabungkan prinsip-prinsip yang tertanam dalam model referensi yang ada dan telah dikenal yaitu:
Konsep Dasar Cob. It (3)
Konsep Dasar Cob. It (4) • Kualitas telah dipertahankan terutama berkaitan dengan aspek negatif yaitu tidak ada kesalahan, keandalan, dan lainnya, yang juga ditangkap untuk sebagian besar oleh kriteria Integritas. Prioritas utama adalah mengelola risiko dengan baik dibandingkan dengan peluang. Aspek kegunaan Kualitas ditutupi oleh kriteria Efektivitas. Aspek Pengiriman Kualitas dianggap tumpang tindih dengan aspek Ketersediaan persyaratan Keamanan dan juga sampai Efektivitas dan Efisiensi. Biaya juga dianggap tercakup oleh Efisiensi.
Konsep Dasar Cob. It (5) • Untuk Persyaratan Fiduciary (kepercayaan), COBIT tidak mengubah definisi COSO untuk Efektivitas dan Efisiensi operasional, Keandalan Informasi dan Kepatuhan dengan hukum dan peraturan digunakan. Namun, Keandalan Informasi diperluas untuk mencakup semua informasi — bukan hanya informasi keuangan. • Sehubungan dengan Persyaratan Keamanan, COBIT mengidentifikasi Kerahasiaan, Integritas, dan Ketersediaan sebagai elemen utama — ketiga elemen yang sama ini, digunakan di seluruh dunia dalam menjelaskan persyaratan keamanan TI
Defenisi Kerja Cob. It 1. 2. 3. 4. 5. 6. 7. Efektif : berkaitan dengan informasi yang relevan dan berkaitan dengan proses bisnis serta disampaikan secara tepat waktu, benar, konsisten dan bermanfaat. Efisien : menyangkut penyediaan informasi melalui penggunaan sumber daya yang optimal (paling produktif dan ekonomis) Rahasia : menyangkut perlindungan terhadap informasi yang sensitif dari pihak – pihak yang tidak sah Integritas : berkaitan dengan keakuratan dan kelengkapan informasi serta keabsahannya sesuai dengan nilai dan harapan bisnis. Ketersediaan : berkaitan dengan informasi yang tersedia ketika diperlukan oleh proses bisnis sekarang dan di masa depan. Ini juga menyangkut pengamanan sumber daya yang diperlukan dan kemampuan terkait Compliance : berkaitan dengan kepatuhan terhadap undang-undang, peraturan, dan pengaturan kontraktual yang menjadi sasaran proses bisnis, antara lain : kriteria bisnis yang diberlakukan secara eksternal. Kehandalan Informasi : berkaitan dengan penyediaan informasi yang tepat bagi manajemen untuk mengoperasikan dan manajemen untuk melaksanakan tanggung jawab pelaporan keuangan dan tanggungjawabnya
Sumberdaya IT dalam Cob. It • Data : adalah objek dalam arti terluas (yaitu, eksternal dan internal), terstruktur dan tidak terstruktur, grafik, suara, dll. • Sistem Aplikasi : dipahami sebagai jumlah prosedur manual dan program • Teknologi : mencakup perangkat keras, sistem operasi, manajemen basis data, jaringan, multimedia dan lainnya. • Fasilitas : seluruh sumberdaya yang mendukung sistem informasi • Manusia : termasuk keahlian para staff, kesadaran dan produktivitas dalam perencanaan, mengatur, memperoleh, menyampaikan, mendukung dan memantau sistem dan layanan informasi
Hubungan antara sumberdaya IT dengan layanan
Konsep Cob. It
Konsep Cob. It
Domain Cob. It • Planning and Organisation : Domain ini mencakup strategi dan taktik, dan menyangkut identifikasi cara TI dapat berkontribusi terbaik untuk pencapaian tujuan bisnis. Selanjutnya, realisasi visi strategis perlu direncanakan, dikomunikasikan dikelola untuk perspektif yang berbeda. Akhirnya, organisasi yang tepat serta infrastruktur teknologi harus dilakukan. • Acquisition and Implementation Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan diintegrasikan ke dalam proses bisnis. Selain itu, perubahan dan pemeliharaan sistem yang ada dicakup oleh domain ini untuk memastikan bahwa siklus hidup dilanjutkan untuk sistem ini.
Domain Cob. It (2) • Delivery and Support Domain ini berkaitan dengan pengiriman yang sebenarnya dari layanan yang dibutuhkan, yang berkisar dari operasi tradisional atas aspek keamanan dan kontinuitas hingga pelatihan. Untuk memberikan layanan, dukungan yang diperlukan harus disiapkan. Domain ini mencakup pemrosesan data aktual oleh sistem aplikasi, sering diklasifikasikan di bawah kontrol aplikasi. • Monitoring Semua proses TI harus secara teratur dinilai dari waktu ke waktu untuk kualitas dan kepatuhan dengan persyaratan kontrol. Dengan demikian, domain ini membahas pengawasan manajemen terhadap proses kontrol organisasi dan jaminan independen yang disediakan oleh audit internal dan eksternal atau diperoleh dari sumber alternatif.
Proses Cob. It IT
Tahapan Audit Sistem Informasi Menurut Ron Weber terdapat 5 (lima) langkah atau tahapan audit sistem informasi yaitu : 1. Perencanaan Audit (Planning the Audits) 2. Pengetesan Kendali (Tests of Controls) 3. Pengetesan Transaksi (Tests of Transactions) 4. Pengetesan Keseimbangan atau Keseluruhan Hasil (Tests of Balances or Overall Results) dan 5. Pengakhiran (penyelesaian) Audit (Completion of the Audit)
Aktivitas Audit menurut Gallegos Cs. tahapan audit sistem informasi mencakup aktivitas : 1. Perencanaan (Planning) 2. Pemeriksaan Lapangan (Fieldwork) 3. Pelaporan (Reporting) dan 4. Tindak Lanjut (Follow Up)
Pengumpulan Data (evidence) • Melalui berbagai teknik termasuk • survei, • interview, • observasi dan review dokumentasi • (termasuk review source-code bila diperlukan). • Bisa jadi bukti-bukti audit yang diambil oleh auditor mencakup bukti elektronis (data dalam bentuk file softcopy).
Pengumpulan Data (evidence) Method • Dalam proses pengumpulan bukti ini ada beberapa cara yang sering dipakai yaitu, • audit around computer, • audit trought computer dan • audit with computer.
Pengumpulan Data (evidence) Method � Jika tingkat pemakaian TI tinggi maka audit yang dominan digunakan adalah audit with computer › biasa disebut dengan teknik audit berbantuan computer atau menggunakan CAAT (Computer Aided Auditing Technique). �untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain. �Tentunya untuk aspek sekuriti adakalanya auditor dituntut mempunyai keahlian teknis yang cukup memadai untuk menguji keamanan sistem.
Pendekatan Audit 1. Tentukan scope audit Untuk mencapai ini kita perlu menyelidiki, menganalisa dan mendefinisikan: • proses bisnis yang terkait • platform dan sistem informasi yang mendukung proses bisnis serta interkonektivitas dengan platform atau sistem lain • peran dan tanggung jawab TI yang ditetapkan, termasuk apa yang telah atau sedang di outsource • risiko bisnis yang terkait dan strategis pilihan
Pendekatan Audit (2) 2. Mendefenisikan kebutuhan informasi yang berkaitan dengan proses bisnis 3. Mengidentifikasi risiko TI yang melekat serta tingkat kontrol keseluruhan yang dapat dikaitkan dengan proses bisnis. Hal ini dapat dicapai dengan: • Perubahan terkini dalam lingkungan bisnis yang memiliki dampak TI • Perubahan terbaru pada lingkungan TI, perkembangan baru, dll • Insiden terbaru yang relevan dengan kontrol dan lingkungan bisnis • Kontrol pemantauan TI diterapkan oleh manajemen • laporan audit dan / atau sertifikasi terbaru • hasil terbaru dari penilaian mandiri
Penggunaan Domain dan Control Objective pada Cob. It Domain : Planning and Organisation Control Objective : PO 1 : DEFINE A STRATEGIC INFORMATION TECHNOLOGY PLAN Kriteria Informasi yang diaplikasikan terhadap Control Objective Tingkatan Kriteria
Penggunaan Domain dan Control Objective pada Cob. It (2) Proses yang secara khusus di kelola oleh proses yang di pakai
Penggunaan Domain dan Control Objective pada Cob. It (3) • Kontrol terhadap IT Proses melalui : Pendefenisian perencanaan rencana strategis IT • Pemenuhan terhadap kebutuhan bisnis untuk mencapai keseimbangan optimal dari peluang yang di dapat dari teknologi informasi dan persyaratan bisnis TI serta memastikan pencapaian lebih lanjut • Di dorong oleh proses perencanaan strategis yang dilakukan secara berkala sehingga menimbulkan rencana jangka panjang; rencana jangka panjang harus secara berkala diterjemahkan ke dalam rencana operasional yang menetapkan sasaran-sasaran jangka pendek yang jelas dan konkrit
Penggunaan Domain dan Control Objective pada Cob. It (4) • Prakteknya dilakukan dengan memeriksa : a. Strategi bisnis perusahaan b. Definisi tentang bagaimana TI mendukung tujuan bisnis c. Inventarisasi solusi teknologi dan infrastruktur saat ini d. Memantau pasar teknologi e. Studi kelayakan yang tepat waktu dan pemeriksaan realitas f. Penilaian sistem yang ada g. Posisi perusahaan terhadap risiko, waktu pemasar, an kualitas h. Kebutuhan akan dukungan manajemen senior, dukungan dan tinjauan kritis
Control Objective pada PO 1 1. 2. 3. 4. 5. 6. 7. 8. IT sebagai Bagian dari Rencana Jangka Panjang dan Jangka Pendek Organisasi Rencana Jangka Panjang IT Rencanaan Jangka Panjang IT - Pendekatan dan Struktur Perubahan Rencana Jangka Panjang IT Perencanaan Jangka Pendek untuk Fungsi IT Komunikasi Rencana IT Pemantauan dan Evaluasi Rencana IT Penilaian Sistem Yang Ada
Pihak yang terkait dengan proses Dilakukan dengan mewawancarai : • Chief Executive Officer • Chief Operations Officer • Chief Financial Officer • Chief Information Officer • IT planning/steering committee members • IT senior management and human services staff
Hal yang didapatkan dari interview Hal yang akan didapatkan adalah : • Kebijakan dan prosedur yang berkaitan dengan proses perencanaan Peran dan tanggung jawab manajemen senior • Tujuan organisasi dan rencana jangka panjang dan pendek • Sasaran TI dan rencana jangka panjang dan pendek • Laporan status dan notulen rapat komite perencanaan / pengarah
Evaluasi Kontrol Kebijakan atau prosedur IT atau bisnis perusahaan membahas pendekatan perencanaan terstruktur. Sebuah metodologi diterapkan untuk merumuskan dan memodifikasi rencana dan minimalnya mereka mencakup: • Misi dan tujuan organisasi • Inisiatif IT untuk mendukung misi dan tujuan organisasi • peluang untuk inisiatif TI • studi kelayakan inisiatif TI • penilaian risiko inisiatif TI • investasi optimal dari investasi TI saat ini dan masa depan • rekayasa ulang inisiatif TI untuk mencerminkan perubahan dalam misi dan tujuan perusahaan • evaluasi strategi alternatif untuk aplikasi data, teknologi dan organisasi
Dasar Pertimbangan Perubahan organisasi, evolusi teknologi, persyaratan peraturan, rekayasa ulang proses bisnis, kepegawaian, pemasukan dan pengeluaran, dll. Dipertimbangkan ditangani secara memadai dalam proses perencanaan. Memiliki Rencana TI jangka panjang dan jangka pendek, saat ini, memadai untuk menangani keseluruhan perusahaan, misi dan fungsi bisnis utama Proyek IT didukung oleh dokumentasi yang sesuai seperti yang diidentifikasi dalam metodologi perencanaan TI. Ada pemeriksaan untuk memastikan bahwa sasaran TI dan rencana jangka panjang dan pendek terus memenuhi tujuan organisasi dan rencana jangka panjang dan rencana jangka pendek organisasi Meninjau dan menandatangani rencana TI oleh pemilik proses dan manajemen senior Rencana TI menilai sistem informasi yang ada dalam hal tingkat otomatisasi bisnis, fungsionalitas, stabilitas, kompleksitas, biaya, kekuatan dan kelemahan Tidak adanya Perencanaan jangka panjang sistem informasi dan infrastruktur pendukung tidak mendukung tujuan perusahaan dan proses bisnis, atau tidak ada integritas, keamanan, dan kontrol yang tepat.
Pengukuran Kepatuhan • Dengan menguji : • Notulen rapat perencanaan TI / komite pengarah yang mencerminkan proses perencanaan • Ada Metodologi. Perencanaan penyampaian seperti yang ditentukan • Inisiatif IT yang relevan termasuk dalam rencana jangka panjang dan jangka pendek yaitu perubahan perangkat keras, perencanaan kapasitas, arsitektur informasi, pengembangan atau pengadaan sistem baru, perencanaan pemulihan bencana, pemasangan platform pemrosesan baru, dll. • Inisiatif IT mendukung rencana jangka panjang dan jangka pendek dan mempertimbangkan kebutuhan untuk penelitian, pelatihan, kepegawaian, fasilitas, perangkat keras dan perangkat lunak • Implikasi teknis dari inisiatif TI telah diidentifikasi
Pengukuran Kepatuhan (2) • Dasar untuk mengoptimalkan investasi TI saat ini dan masa depan • Rencana jangka panjang dan jangka pendek konsisten dengan rencana organisasi jangka panjang dan pendek dan kebutuhan organisasi • Perubahan rencana untuk mencerminkan kondisi yang berubah • Rencana jangka panjang TI secara berkala diterjemahkan ke dalam rencana jangka pendek • Memiliki daftar pekerjaan dalam mengimplementasikan rencana
Pengendalian Resiko Tujuan pengendalian risiko terpenuhi dengan: Menyelenggarakan : • Pembandingan rencana TI strategis terhadap organisasi serupa atau standar internasional yang sesuai / praktik terbaik industri yang diakui • Tinjauan terperinci atas rencana TI untuk memastikan bahwa inisiatif TI mencerminkan misi dan sasaran organisasi • Tinjauan terperinci atas rencana IT untuk menentukan apakah area kelemahan diketahui dalam organisasi dan diidentifikasi untuk perbaikan sebagai bagian dari solusi TI yang tersedia dalam rencana
Pengendalian Resiko Mengidentifikasi : • Kegagalan TI untuk memenuhi misi dan sasaran organisasi • Kegagalan TI untuk mencocokkan rencana jangka pendek dengan rencana jangka panjang • Proyek TI gagal memenuhi rencana jangka pendek • Kegagalan TI untuk memenuhi pedoman biaya dan waktu • Peluang bisnis yang hilang • Kesempatan TI yang hilang
- Slides: 38