IT Audit - Simponi MDP

advertisement
KPK adalah lembaga negara yang bertugas
untuk menjalankan amanat undang-undang.
"KPK bukan LSM (Iembaga swadaya
masyarakat),
 Komisi Pemberantasan Korupsi (KPK) adalah
lembaga negara yang bersifat independen dan
berkaitan dengan kekuasaan kehakiman tetapi
tidak berada di bawah kekuasaan kehakiman.

Sumber: http://id.shvoong.com/law-andpolitics/constitutional-law/2065503-analisisstatus-dan-kedudukan-kpk/#ixzz1NM2FgEgP
TUGAS DAN WEWENANG


Komisi Pemberantasan Korupsi mempunyai tugas:
 koordinasi dengan instansi yang berwenang melakukan pemberantasan
tindak pidana korupsi;
 supervisi terhadap instansi yang berwenang melakukan pemberantasan
tindak pidana korupsi;
 melakukan penyelidikan, penyidikan, dan penuntutan terhadap tindak
pidana korupsi;
 melakukan tindakan-tindakan pencegahan tindak pidana korupsi; dan
 melakukan monitor terhadap penyelenggaraan pemerintahan negara.
Dalam melaksanakan tugas koordinasi, Komisi Pemberantasan Korupsi
berwenang :
 mengkoordinasikan penyelidikan, penyidikan, dan penuntutan tindak
pidana korupsi;
 menetapkan sistem pelaporan dalam kegiatan pemberantasan tindak
pidana korupsi;
 meminta informasi tentang kegiatan pemberantasan tindak pidana korupsi
kepada instansi yang terkait;
 melaksanakan dengar pendapat atau pertemuan dengan instansi yang
berwenang melakukan pemberantasan tindak pidana korupsi; dan
 meminta laporan instansi terkait mengenai pencegahan tindak pidana
PERLUKAH DILAKUKAN EVALUASI
DAN PENGAWASAN TERHADAP
PENERAPAN SI/TI! MENGAPA?????
KEAMANAN KOMPUTER
Audit TI
Perlukah (Pentingkah) Audit Teknologi Informasi?
Untuk menilai apakah perlu atau tidaknya dilakukan
IT audit atau IS audit mungkin dapat dilihat pada
sejarah adanya kegiatan tersebut.

Sejak tahun 1977 beberapa aturan mengenai IT audit
sudah disusun di Amerika Serikat yang meliputi
beberapa aturan penting seperti the Gramm Leach
Bliley Act, the Sarbanes-Oxley Act, the Health
Insurance Portability and Accountability Act, the
London Stock Exchange Combined Code, King II serta
the Foreign Corrupt Practices Act.

Dengan melihat keseriusan pemerintahan di negaranegara maju dalam pengembangan IT audit seperti
tersebut di atas maka dapat dibayangkan betapa tidak
seriusnya mengertinya Pemerintah Republik Indonesia
atas kegiatan tersebut .

Perlukah (Pentingkah) Audit Teknologi Informasi?




Padahal sudah 30 tahun sejak negara-negara maju tersebut
menetapkan aturan kewajiban IT audit di lembagalembaganya
IT audit merupakan hal yang sangat penting dalam
implementasi sebuah sistem informasi bagi organisasi yang
mengembangkannya.
Terlebih pada saat ini pemanfaatan teknologi/sistem
informasi merupakan hal yang sangat penting bagi sebuah
organisasi dalam pencapaian tujuan/visi/misi lembaganya.
Namun di sisi lain kepentingan tersebut berimbas pada
meningkatnya indeks kerawanan dari
pengembangan/pembangunan sistem informasi.
Untuk menekan titik-titik rawan tersebut diperlukan
seperangkat batasan-batasan dan tolok-ukur (parameter)
yang dapat dijadikan dasar dalam melakukan evaluasi
PERLUKAH (PENTINGKAH) AUDIT TEKNOLOGI INFORMASI?

Dengan dilakukannya IT audit yang dilakukan
secara transparan dan dapat
dipertanggungjawabkan hasilnya maka
pelaksanaan penerapan teknologi informasi di
dalam suatu institusi dapat memberikan hasil
terbaiknya serta menyerap investasi yang tepat
guna dan berdaya guna.
ALASAN PERUSUHAAN BELUM MELAKUKAN
AUDIT TI
perusahaan merasa bahwa TI yang diterapkan masih
berperan sebatas support tools, belum menjadi
strategic tools
 kebijakan dan tujuan-tujuan penerapan TI-nya tidak
begitu jelas
 nilai investasi TI yang belum dianggap cukup berarti
dibandingkan nilai keuangan perusahaan.
 banyaknya jargon teknis TI yang sulit dipahami oleh
manajemen puncak.

AUDIT TI
Audit TI, bertujuan untuk mengevaluasi dan
memperbaiki efektivitas proses-proses
manajemen risiko, kontrol dan good governance.
 Nilai penting dilakukannya audit TI sejalan
dengan pentingnya mencapai tujuan perusahaan.
Artinya, bagaimana perusahaan dapat mengelola
berbagai risiko yang dihadapinya, terutama
terkait dengan penerapan TI, dalam upayanya
mencapai
tujuan-tujuan bisnisnya.
 Dengan audit TI suatu perusahaan bisa didorong
melakukan perencanaan dan pengembangan
secara lebih terarah dan terfokus sesuai dengan
tujuan-tujuan bisnisnya.

ALASAN PENTING MENGAPA AUDIT TI
PERLU DILAKUKAN
Kerugian akibat kehilangan data
 Kesalahan dalam pengambilan keputusan
 Resiko kebocoran data
 Penyalahgunaan komputer
 Kerugian akibat kesalahan proses perhitungan
 Tingginya nilai investasi perangkat keras dan
perangkat komputer

SEDANG SUBYEK YANG PERLU DIAUDIT




aspek keamanan,
Masalah keamanan mencakup tidak hanya keamanan file
servers dan penerapan metoda cadangan, melainkan juga
penerapan standar tertentu, seperti C-ICT.
keandalan,
Keandalan meliputi penerapan RAID V disk subsystems
untuk server dengan critical applications dan prosedur
penyimpanan data di file server, bukan di drive lokal C.
kinerja
Kinerja mencakup persoalan standarisasi PC, penggunaan
LAN serta cadangan yang sesuai dengan beban kerja.
manageability.
manageability menyangkut penerapan standar tertentu
dan pendokumentasian secara teratur dan
berkesinambungan
ENAM KOMPONEN AUDIT TI

Enam komponen Audit TI :






pendefinisian tujuan perusahaan;
penentuan isu, tujuan dan perspektif bisnis antara
penanggung jawab bagian dengan bagian TI;
review terhadap pengorganisasian bagian TI yang
meliputi perencanaan proyek, status dan
prioritasnya, staffing levels, belanja TI dan IT
change process management;
assessment infrastruktur teknologi, assessment
aplikasi bisnis;
temuan-temuan,
laporan rekomendasi.
BIDANG PEKERJAAN IT DI PERUSAHAAN
System Analyst
 Programmer
 Administrator (Network, system, database)
 Support (workshop, maintenance, helpdesk, dll )
 Security Officer
 Auditor

http://id.wikipedia.org/wiki/Audit_teknologi_informasi
AUDIT TEKNOLOGI INFORMASI



Audit teknologi informasi (Inggris: information
technology (IT) audit atau information systems (IS)
audit) adalah bentuk pengawasan dan pengendalian
dari infrastruktur teknologi informasi secara
menyeluruh.
Audit teknologi informasi ini dapat berjalan bersamasama dengan audit finansial dan audit internal, atau
dengan kegiatan pengawasan dan evaluasi lain yang
sejenis. Pada mulanya istilah ini dikenal dengan
audit pemrosesan data elektronik, dan sekarang
audit teknologi informasi secara umum
merupakan proses pengumpulan dan evaluasi dari
semua kegiatan sistem informasi dalam perusahaan
itu.
Istilah lain dari audit teknologi informasi adalah
audit komputer yang banyak dipakai untuk
menentukan apakah aset sistem informasi
perusahaan itu telah bekerja secara efektif, dan
integratif dalam mencapai target organisasinya.

Audit teknologi informasi atau IT (information
technology) audit atau juga dikenal sebagai audit
sistem informasi (information system audit)
merupakan aktivitas pengujian terhadap
pengendalian dari kelompok-kelompok unit
infrastruktur dari sebuah sistem/teknologi
informasi
AUDIT
Systematic, independent and documented
process for obtaining audit evidence and evaluating
it objectively to determine the extent to which the
audit criteria are fulfilled
IT AUDIT?

Proses pengumpulan dan evaluasi fakta/bukti
untuk menentukan apakah sistem
(terkomputerisasi):





Menjaga aset
Memelihara integritas data
Memampukan komunikasi & akses informasi
Mencapai tujuan operasional secara efektif
Mengkonsumsi sumber daya secara efisien
KEUNTUNGAN AUDIT







Menilai keefektifan aktivitas aktifitas dokumentasi
dalam organisasi
Memonitor kesesuaian dengan kebijakan, sistem,
prosedur dan undang-undang perusahaan
Mengukur tingkat efektifitas dari sistem
Mengidentifikasi kelemahan di sistem yang mungkin
mengakibatkan ketidaksesuaian di masa datang
Menyediakan informasi untuk proses peningkatan
Meningkatkan saling memahami antar departemen
dan antar individu
Melaporkan hasil tinjauan dan tindakan berdasarkan
resiko ke Manajemen
IT AUDIT AREA
Planning
 Organization and Management
 Policies and procedures
 Security
 Regulation and standard

JENIS AUDIT (UMUM)
Compliance
 Kinerja
 Kecurangan
 Sertifikasi

JENIS AUDIT (IT)
 System

Audit
Audit terhadap sistem terdokumentasi untuk
memastikan sudah memenuhi standar nasional atau
internasional
 Compliance

Untuk menguji efektifitas implementasi dari
kebijakan, prosedur, kontrol dan unsur hukum yang
lain
 Product

Audit
/ Service Audit
Untuk menguji suatu produk atau layanan telah
sesuai seperti spesifikasi yang telah ditentukan dan
cocok digunakan
SIAPA YANG DIAUDIT
Management
 IT Manager
 IT Specialist (network, database, system analyst,
programmer, dll.)
 User

YANG MELAKUKAN AUDIT
Tergantung Tujuan Audit
 Internal Audit (first party audit)


Dilakukan oleh atau atas nama perusahaan sendiri
Biasanya untuk management review atau tujuan
internal perusahaan
 Lembaga independen di luar perusahaan
 Second party audit
 Dilakukan oleh pihak yang memiliki kepentingan thd
perusahaan
 Third party audit
 Dilakukan oleh pihak independen dari luar perusahaan.
Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).
TUGAS AUDITOR IT
Memastikan sisi-sisi penerapan IT memiliki
kontrol yang diperlukan
 Memastikan kontrol tersebut diterapkan dengan
baik sesuai yang diharapkan

YANG DILAKUKAN
Persiapan
 Review Dokumen
 Persiapan kegiatan on-site audit
 Melakukan kegiatan on-site audit
 Persiapan, persetujuan dan distribusi laporan
audit
 Follow up audit

OUTPUT KEGIATAN AUDIT
Hasil akhir adalah berupa laporan yang berisi:
Ruang Lingkup audit
Metodologi
Temuan-temuan
Ketidaksesuaian (sifat ketidaksesuaian, bukti2
pendukung, syarat yg tdk dipenuhi, lokasi,
tingkat ketidaksesuaian)
Kesimpulan (tingkat kesesuaian dengan
kriteria audit, efektifitas implementasi,
pemeliharaan dan pengembangan sistem
manajemen, rekomendasi)
KETRAMPILAN YANG DIBUTUHKAN
 Audit
skill : sampling, komunikasi,
melakukan interview, mengajukan
pertanyaan, mencatat
 Generic knowledge : pengetahuan
mengenai prinsip2 audit, prosedur dan
teknik, sistem manajemen dan dokumen2
referensi, organisasi, peraturan2 yang
berlaku
 Specific knowledge : background IT/IS,
bisnis, specialist technical skill,
pengalaman audit sistem manajemen,
perundangan
PRINSIP-PRINSIP AUDIT
 Ethical

Berdasar pada profesionalisme, kejujuran,
integritas, kerahasiaan dan kebijaksanaan
 Fair

Presentation
Kewajiban melaporkan secara jujur dan
akurat
 Due

conduct
professional care
Implementasi dari kesungguhan dan
pertimbangan yang diberikan
 Independence
 Evidence-base
approach
PERATURAN DAN STANDAR YANG BIASA
DIPAKAI









ISO / IEC 17799 and BS7799
Control Objectives for Information and related
Technology (CobiT)
ISO TR 13335
IT Baseline Protection Manual
ITSEC / Common Criteria
Federal Information Processing Standard 140-1/2
(FIPS 140-1/2)
The “Sicheres Internet” Task Force [Task Force
Sicheres Internet]
The quality seal and product audit scheme operated by
the Schleswig-Holstein Independent State Centre for
Data Privacy Protection (ULD)
ISO 9000
DUNIA INDUSTRI
CobiT
Control Objectives for Information and
Related Technology
 BS7799

COBIT
CONTROL OBJECTIVES FOR
INFORMATION AND RELATED
TECHNOLOGY
COBIT
Dibuat oleh organisasi ISACA (Information
Systems Audit and Control Association) dan
dikembangkan oleh IT Governance Institute
-> focus on audit, control and security issues

BADAN (INDONESIA)
ISACA Indonesian Chapter (isaca.or.id)
 ISSA (Information System Security Association)
Indonesian Chapter

SERTIFIKASI
CISA
(Certified Information Systems Auditor)
CISM (Certified Information Security
Manager)
CISSP (Certified IS Security Professional)
CIA (Certified Internal Auditor)
Kualifikasi :
Pengalaman dan pengetahuan untuk
mengidentifikasi, mengevaluasi, dan
memberikan rekomendasi berupa solusi untuk
mengurangi kelemahan sistem IT
=> Mengeluarkan sertifikasi untuk personal
auditor
MISI COBIT
Melakukan penelitian, pengembangan, publikasi
dan promosi terhadap control objective dari
teknologi informasi yang secara umum diterima di
lingkungan internasional untuk pemakaian seharihari oleh manager dan auditor
LINGKUP COBIT -> 4 DOMAINS
Planning & Organization
 Acquisition & Implementation
 Delivery & Support
 Monitoring

COBIT -> CONTROL OBJECTIVES
Defining controls that should be in place
 34 processes
 3-30 detailed IT Control Objectives

POLA PIKIR
CONTROL DOMAIN PLANNING &
ORGANISATION
CONTROL DOMAIN ACQUISITION &
IMPLEMENTATION
CONTROL DOMAIN DELIVERY & SUPPORT
CONTROL DOMAIN MONITORING
BS7799
WHAT’S BS7799
 Sebuah
pendekatan berbasis ‘resiko’
dalam mendefinisikan kebijakan dan
prosedur serta untuk memilih kontrol
yang memadai untuk mengelola resiko
 ISO/IEC 17799

Information technology – code of practice for
information security management
 BS

7799
Information security management systems –
Specification with guidance for use
ISO/IEC 17799:2000
INFORMATION TECHNOLOGY – CODE OF
PRACTICE FOR INFORMATION SECURITY
MANAGEMENT
 Contents
identical to BS7799-1:1999
 Contains a comprehensive listing of approved
procedures and information security measures
 Recommendation of measures structured in 10
sections
 This code of practice serves a basis for the
understanding of the requirements as
contained in BS7799-2
 Is not suited to serve as sole basis for
certifications
INFORMATION SECURITY MANAGEMENT
SYSTEMS – SPECIFICATION WITH GUIDANCE
FOR USE
 Based
on BS7799-1:1999, but ISMS is
based on the selection of measures as
contained in BS7799-2:2002
 Is a suitable basis for ISMS system
certification
 Contains requirements for ISMS
(new:PDCA-Cycle and continuous
Improvement)
 127 controls structured in :


10 detailed control clauses containing
36 control objectives
KEBUTUHAN AUDITOR IT
Internal Audit -> setiap perusahaan memerlukan
 Perusahaan penyedia layanan audit
 Perusahaan penyedia sertifikasi

PELUANG
Ketergantungan terhadap IT semakin besar
sehingga muncul kebutuhan untuk melakukan
audit IT
 Auditor IT yang sekarang banyak yang berasal
bukan dari bidang IT
 Banyak permasalahan (bisnis) dalam
pengelolaan IT

TERIMA KASIH
Download