Sunday, October 28, 2018

Home » , , » Audit Sistem Informasi

Audit Sistem Informasi

By No comments



Pengertian Audit


Audit komputer adalah evaluasi sebuah praktik dan operasi Sistem Informasi komputer untuk meyakinkan integritas dari informasi suatu entitas.
Evaluasi ini termasuk penilaian seberapa efisien, efektif dan ekonomis nya praktik berbasis komputer itu. Ini termasuk penggunaan komputer dan alat audit, dan evaluasi juga harus menentukan kecukupan kontrol internal didalam lingkungan sistem informasi komputer untuk memastikan validitas, kehandalan, dan keamanan layanan informasi.

Audit Sistem Informasi adalah proses mengumpulkan dan mengevaluasi untuk menentukan apakah sistem komputer mengamankan aset, memelihara integritas data, mencapai tujuan organisasi secara efektif, dan mengkonsumsi sumber daya secara efisien.


Proses Audit

1) Merencanakan Audit

  • Tetapkan lingkup dan tujuan
  • Organisir tim audit
  • Kembangkan pengetahuan mengenai operasional bisnis
  • Tinjau hasil audit sebelumnya
  • Identifikasi faktor resiko
  • Siapkan program audit

2) Mengumpulkan Bukti Audit
  • Pengamatan atas kegiatan operasional
  • Tinjauan dokumentasi
  • Kuesioner
  • Berdiskusi dengan pegawai
  • Pemeriksaan fisik aset
  • Konfirmasi melalui pihak ketiga
  • Melakukan ulang prosedur
  • Pembuktian dengan dokumen sumber
  • Review analitis
  • Pengambilan sample audit
3) Mengevaluasi Bukti Audit
  • Nilai kualitas pengendalian internal
  • Nilai kehandalan informasi
  • Nilai kinerja operasional
  • Pertimbangkan kebutuhan atas bukti tambahan
  • Pertimbangkan faktor-faktor resiko
  • Pertimbangkan faktor materialitas
  • Dokumentasikan penemuan-penemuan audit

4) Mengkomunikasikan Hasil Audit
  • Memformulasikan kesimpulan audit
  • Membuat rekomendasi bagi pihak manajemen
  • Mempersiapkan laporan audit
  • Menyajikan hasil-hasil audit kepada pihak manajemen


Teknik Audit

Ada 12 teknik audit menurut Chris Davis,yaitu:
  1. Audit pengendalian Entity Level, pada bagian ini akan membantu Auditor untuk melihat secara keseluruhan dari perusahaan, seperti : perencanaan strategis dan technology roadmaps, indikator dan matriks kinerja, persetujuan proyek dan proses pengawasan, kebijakan, standar dan prosedur, manajamen karyawan, manajemen aset dan kapasitas, serta konfigurasi sistem dan manajemen perubahan.
  2. Audit data centers dan disaster recovery
  3. Audit  switch, routers dan firewalls
  4. Audit sistem operasi
  5. Audit web server dan web aplikasi
  6. Audit database
  7. Audit penyimpanan
  8. Audit lingkungan virtual
  9. Audit wlan dan mobile devices
  10. Audit aplikasi
  11. Audit cloud computing dan outsourced operations
  12. Audit proyek perusahaan/organisasi


Regulasi Audit

Regulasi adalah peraturan terkait pengendalian internal, kondisi global teknologi dan bisnis memaksa adanya standar dan regulasi yang mengatur bagaimana perusahaan bekerja dan pembagian informasi. Baik nasional, industri dan perusahaan memiliki kekhawatiran mengenai C.I.A informasi mereka. Standar dan regulasi merupakan dua metode yang dapat menjamin terpenuhinya masalah tersebut. Dampak peraturan terhadap Audit TI berkembang seiring semakin rumitnya pemenuhan otoritas. The International Association of Internal Auditors (IIA) dan International Information System Audit and Control Association (ISACA) menerbitkan panduan untuk membantu kelompok audit internal dan eksternal membangun pengendalian dan proses audit yang umum.

Contoh :

The Sarbanes-Oxley Act of Gramm-Leach-Billey Act Payment Card Industry (PCI) Data Security Standard Regulasi ini merupakan respon dari pemerintah USA atas maraknya skandal yang terjadi di perusahaan. Tujuan utamanya adalah untuk meningkatkan pertanggung jawaban perusahaan, transparansi keuangan, dan mengurangi penipuan keuangan. SOX fokus pada pengendalian yang penting untuk menjamin C.I.A data keuangan. Layanan TI merupakan bagian penting dalam proses pelaporan keuangan. Aplikasi dan layanan mendukung penciptaan, penyimpanan, pengolahan dan pelaporan dari transaksi keuangan. Maka, pemenuhan SOX termasuk dalam pengendalian internal tentang penggunaan teknologi dalam pengelolaan data, pegolahan dan pelaporan.


Pengendalian TI yang diperlukan untuk memenuhi SOX:
  • Pengendalian Akses (Access Controls)
  • Pengendalian Perubahan (Change Control)
  • Manajemen Data (Data Management)
  • Operasional TI (IT Operations)
  • Operasional Jaringan (Network Operations)
  • Manajemen Aset (Asset Management)



Standard dan Kerangka Kerja Audit

Kerangka dan Standar seiring perkembangan teknologi informasi (IT) selama akhir abad ke-20, IT departemen dalam setiap organisasi biasanya mengembangkan metode sendiri untuk mengelola operasi. Akhirnya, kerangka kerja dan standar muncul untuk memberikan panduan bagi pengelolaan dan evaluasi proses TI.  Beberapa kerangka kerja dan standar yang paling menonjol saat ini terkait dengan penggunaan teknologi.

Standar yang aplicable untuk audit TI terdiri dari 11 standar, yaitu:

  1. Audit charter
  2. AuditIndependent
  3. Profesional Ethic and standard
  4. Profesional competence
  5. Planning
  6. Performance of Audit Work
  7. Reporting
  8. Follow-Up Activity
  9. Irregularities and Irregular Act
  10. IT Governance
  11. Use of Risk Assestment in Audit Planning.


Management Resiko

Siklus Hidup Manajemen Risiko TI dimulai dengan identifikasi aset informasi dan berpuncak pada manajemen PT risiko residual. Fase spesifiknya adalah sebagai berikut:

Mengidentifikasi aset informasi: tahap pertama dalam siklus pengelolaan risiko adalah mengidentifikasi informasi organisasi aktiva. Agar sukses, Anda harus menyelesaikan beberapa tugas:
  • Tentukan nilai kekritisan informasi.
  • Mengidentifikasi fungsi bisnis.
  • Proses informasi peta.
  • Mengidentifikasi aset informasi.
  • Tetapkan nilai kekritisan pada aset informasi.

Tujuan dari tahap ini adalah untuk mengidentifikasi semua aset informasi dan menetapkan setiap informasi. Aset merupakan nilai kekritisan yang tinggi, sedang, atau rendah untuk kerahasiaan, integritas, dan persyaratan ketersediaan.

Mengukur dan memenuhi syarat ancaman: tahap siklus pengelolaan risiko ini memerlukan langkah-langkah berikut:
  • Menilai ancaman bisnis.
  • Mengidentifikasi ancaman teknis, fisik, dan administratif.
  • Mengukur dampak dan kemungkinan ancaman.
  • Mengevaluasi arus proses untuk kelemahan.
  • Mengidentifikasi ancaman komponen-komponen.


Menilai kerentanan: kita akan menggunakan langkah-langkah berikut dalam menganalisis kerentanan:

  • Identifikasi kontrol yang ada dalam kaitannya dengan ancaman.
  • Tentukan gap kontrol komponen proses.
  • Gabungkan celah kontrol ke dalam proses dan kemudian fungsi bisnis.
  • Kategorikan kesenjangan kontrol dengan tingkat keparahan.
  • Tetapkan peringkat risiko: Remediate control gap: pada titik ini, risiko harus dikategorikan tinggi, menengah, atau rendah. Gunakan langkah-langkah berikut dalam remisiasi gap:
  • Pilih kontrol.
  • Melaksanakan kontrol.
  • Validasi kontrol baru.
  • Hitung ulang peringkat risiko
  • Mengelola risiko residual, Fase ini terdiri dari dua tahap:
  1. Buat garis dasar risiko
  2. Menilai kembali risiko




luvne.com ayeey.com cicicookies.com mbepp.com kumpulanrumusnya.com.com tipscantiknya.com

0 comments:

Post a Comment