RANGKUMAN
:
- Audit Teknologi Sistem Informasi
- Control Objective For Information & Related Technology (Cobit)
- Audit Tsi (Teknologi Sistem Informasi)
Audit Teknologi SI
1. Pengertian Audit IT
Dalam
pengertian umum Audit teknologi informasi (information technology (IT)
audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur
teknologi informasi secara menyeluruh. Audit ini dapat berjalan bersama-sama
dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan
evaluasi lain yang sejenis.
Sesuai
dengan standar auditing ISACA (Information Systems Audit and Control
Association), selain melakukan pekerjaan lapangan, auditor juga harus menyusun
laporan yang mencakup tujuan pemeriksaan, sifat dan kedalaman pemeriksaan yang
dilakukan. Laporan ini juga harus menyebutkan organisasi yang diperiksa, pihak
pengguna laporan yang dituju dan batasan-batasan distribusi laporan. Laporan
juga harus memasukkan temuan, kesimpulan, rekomendasi sebagaimana layaknya
lapor-an audit pada umumnya.
2.
Adapun audit sistem
informasi merupakan gabungan dari berbagai macam ilmu, antara lain :
- Traditional Auditing
- Manajemen Sistem Informasi
- Ilmu Komputer
- Behavioral Science
3. Dalam melaksanakan Audit sistem informasi, seorang
auditor harus memastikan tujuan-tujuan berikut ini terpenuhi.
1. Perlengkapan keamanan melindungi perlengkapan
komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi,
atau penghancuran.
2. Pengembangan
dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari
pihak manajemen.
3. Modifikasi
program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen.
4. Pemrosesan
transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan
lengkap.
5. Data sumber
yang tidak akurat. atau yang tidak memiliki otorisasi yang tepat diidentifikasi
dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan.
6. File data
komputer telah akurat, lengkap, dan dijaga kerahasiaannya.
4. Jenis Audit Sistem Informasi
- Audit Aplikasi Sistem Informasi, pengendalian aplikasi(input, pemrosesan, dan output).
- Audit Pengembangan Sistem Aplikasi, aktivitas analisis sistem dan programmer.
- Audit Pusat Layanan Komputer, memastikan integritas secara umum.
5. Tujuan Audit SI
- Pengamanan aset
- Efektifitas sistem
- Efisiensi sistem
- Ketersediaan (Availability)
- Kerahasiaaan (Confidentiality)
- Kehandalan (Realibility)
- Menjaga integritas data
Berikut ini ada beberapa teknik
audit yang biasanya digunakan oleh auditor secara bersamaan untuk program
pengujian (Romney and Steinbart, 2015), diantaranya adalah :
- Integrated Test Facility (ITF), menyisipkan entitas dummy dalam sistem perusahaan, pengolahan transaksi tes untuk memperbarui mereka tidak akan mempengaruhi catatan sebenarnya atau Menggunakan input fiktif.
- Snapshot Technique, menandai transaksi dengan kode khusus, merekam dan catatan master file mereka sebelum dan setelah pengolahan, dan menyimpan data untuk kemudian memverifikasi bahwa semua langkah pengolahan dieksekusi dengan baik atau transaksi yang ditandai khusus
- System Control Audit Review File (SCARF), menggunakan modul audit yang tertanam untuk terus memantau transaksi, mengumpulkan data tentang transaksi dengan signifikansi audit khusus, dan menyimpan data untuk kemudian mengidentifikasi dan menyelidiki transaksi yang dipertanyakan.
- Audit Hooks, rutinitas audit yang memberitahukan auditor terkait transaksi yang dipertanyakan tersebut atau transaksi yang diragukan.
- Continuous and Intermittent Simulation, penyematan modul audit DBMS yang menggunakan kriteria tertentu untuk memeriksa semua transaksi yang update database.
Kesimpulan:
Dalam
perusahaan diperlukannya adanya urutan kronologis catatan audit, dimana setiap
catatan tersebut berisikan bukti langsung berdasarkan hasil dari pelaksaan
suatu proses bisnis atau fungsi sistem. Catatan audit ini meliputi kegiatan
yang biasa terjadi dalam perusahaan atau suatu sistem misalnya transaksi atau
komunikasi oleg antar individu, sistem dan rekening. Audit ti ini sangat
diperlukan penerapannya karena sangat membantu dalam pencatatan setiap kegiatan
atau kronologis.
Cobit
& Contoh Kasus
Control Objectives for Information and related
Technology (COBIT) adalah suatu panduan standar praktik manajemen teknologi
informasi yang dimana menjadi sekumpulan dokumentasi best practices untuk IT
governance yang dapat membantu auditor, manajemen dan user untuk menjembatani
gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan
teknis.
COBIT dikembangkan oleh IT Governance Institute, yang
merupakan bagian dari Information Systems Audit and Control Association
(ISACA). COBIT memberikan arahan ( guidelines ) yang berorientasi pada bisnis,
dan karena itu business process owners dan manajer, termasuk juga auditor dan
user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya. COBIT
merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework
IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya
profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap
negara dibangun chapter yang dapat mengelola para profesional
1. Dalam COBIT memiliki kerangka sebagai arahan atau pedoman saat penerapannya, kerangka yang diterapkan sebagai berikut:
1. Dalam COBIT memiliki kerangka sebagai arahan atau pedoman saat penerapannya, kerangka yang diterapkan sebagai berikut:
- Control Objectives, terdiri dari 4 domain seperti (Planning & Organization , Acquisition & Implementation , Delivery & Support , dan Monitoring & Evaluation).
- Audit Guidelines, berupa 318 tujuan tujuan pengendalian yang bersifat rinci (detailed control objectives).
- Management Guidelines, berisi arahan, baik secara umum maupun spesifik.
2.
Frame Work COBIT
- Penetapan Objektif, terdapat 7 kriteria (effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability).
- Identifikasi Resiko, merupakan proses untuk mengetahui resiko.
- Penilaian Resiko, proses untuk menilai seberapa sering resiko terjadi atau seberapa besar dampak dari resiko.
- Respon Resiko, menerapkan kontrol objektif yang sesuai dalam melakukan manajemen resiko.
- Monitor Resiko,
3. Terdapat 4 Domain pada COBIT:
- Planning & Organization
- Acquisition & Implementation
- Delivery & Support
- Monitoring and Evaluation
4.
STUDI KASUS : Pentingnya Sistem Pemantauan
(monitoring) dan Evaluasi (evaluation) Berbasis Hasil (outcomes) di Pemerintah
Daerah (MONEV)
Menggunakan domain ME (Monitoring
and Evaluation)
a.
ME1 – Mengawasi dan mengevaluasi
performansi TI.
b.
ME2 – Mengevaluasi dan mengawasi
kontrol internal
c.
ME3 – Menjamin kesesuaian dengan
kebutuhan eksternal.
d.
ME4 – Menyediakan IT Governance.
Kesimpulan
Dari
pembahasan di atas jelas bahwa M & E memiliki peran dan fungsi yang sangat
penting. Terutama adalah untuk memastikan proses pelaksanaan kegiatan yang
sedang berjalan benar-benar “on the track” sesuai tujuan proyek dan
program. Monitoring dapat disebut sebagai “on going evaluation,”
yang dilakukan sementara kegiatan berlangsung untuk melakukan perbaikan “di
tengah jalan” bila diperlukan. Sementara Evaluasi dimaksud adalah “terminate
evaluation,” yang dilakukan pada akhir proyek untuk memastikan apakah
pelaksanaan dan manfaat proyek sesuai tujuannya atau tidak. Lalu,
hasilnya dapat dijadikan sebagai masukan untuk perencanaan proyek/program
berikutnya.
IT Forensik atau bisa disebut juga dengan istilah
Digital Forensik, yang merupakan suatu ilmu yang berhubungan dengan pengumpulan
fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut
metode yang digunakan (misalnya metode sebab-akibat). Dalam fakta yang
dikumpulkan akan diverifikasi lalu dijadikan beberapa bukti-bukti yang
digunakan dalam proses selanjutnya. Selain itu juga diperlukan keahlian dalam
bidang IT (termasuk diantaranya hacking) dan alat bantu (tools) baik hardware
maupun software untuk membuktikan pelanggaran-pelanggaran yang terjadi dalam
bidang teknologi sistem informasi tersebut. Digital forensik ini diperlukan
guna mengamankan dan menganalisa bukti-bukti digital.
Digital forensik yang masih memiliki keterkaitan dalam
ilmu teknologi informasi, dikarenakan ilmu IT security yang membahas tentang
keamanan digital berupa temuan bukti digital setelah suatu peristiwa terjadi.
Kata forensik memiliki arti membawa ke
pengadilan. Sehingga dari penjelasan ini digital forensik membahas mengenai
ilmu yang menganalisa sebuah barang bukti dalam bentuk digital, barang bukti
ini dapat dipertanggung jawabkan di hadapan pengadilan. Kegiatan dari digital
forensik ini meliputi proses mengidentifikasi, memelihara, menganalisa, dan
mempergunakan bukti digital berdasarkan hukum yang berlaku.
Alasan
penggunaan IT Forensik
- Untuk memulihkan data jika terjadi kegagalan atau kesalahan hardware atau software.
- Untuk menganalisa sebuah sistem komputer setelah terjadi perampokan, misalnya untuk menentukan bagaimana penyerang memperoleh akses dan apa yang penyerang itu lakukan.
- Untuk mengumpulkan bukti untuk melawan seorang karyawan yang ingin diberhentikan oleh organisasi.
- Untuk mendapatkan informasi tentang bagaimana sistem komputer bekerja untuk tujuan debugging, optimasi kinerja, ataureverse-engineering.
Manfaat
Digital Forensik
- Organisasi atau perusahaan dapat selalu siap dan tanggap seandainya ada tuntutan hukum yang melanda dirinya, terutama dalam mempersiapkan bukti-bukti pendukung yang dibutuhkan.
- Seandainya terjadi peristiwa kejahatan yang membutuhkan investigasi lebih lanjut, dampak gangguan terhadap operasional organisasi atau perusahaan dapat diminimalisir.
- Membantu organisasi atau perusahaan dalam melakukan mitigasi resiko teknologi informasi yang dimilikinya.
- Para kriminal atau pelaku kejahatan akan berpikir dua kali sebelum menjalankan aksi kejahatannya terhadap organisasi atau perusahaan tertentu yang memiliki kapabilitas forensik computer.
Tools
Dalam IT Forensik
- Antiword
- Autopsy
- Binhash
- Sigtcol,
- ChaosReader
- Chkrootkit, dll
Undang
– Undang IT Forensik:
Secara umum, materi
Undang-Undang Informasi dan Transaksi Elektronik (UUITE) dibagi menjadi dua
bagian besar, yaitu pengaturan mengenai informasi dan transaksi elektronik dan
pengaturan mengenai perbuatan yang dilarang. Pengaturan mengenai informasi dan
transaksi elektronik mengacu pada beberapa instrumen internasional, seperti
UNCITRAL Model Law on eCommerce dan UNCITRAL Model Law on eSignature. Bagian
ini dimaksudkan untuk mengakomodir kebutuhan para pelaku bisnis di internet dan
masyarakat umumnya guna mendapatkan kepastian hukum dalam melakukan transaksi
elektronik.
Beberapa materi yang
diatur, antara lain:
- pengakuan informasi/dokumen elektronik sebagai alat bukti hukum yang sah (Pasal 5 & Pasal 6 UU ITE).
- tanda tangan elektronik (Pasal 11 & Pasal 12 UU ITE).
- penyelenggaraan sertifikasi elektronik (certification authority, Pasal 13 & Pasal 14 UU ITE).
- penyelenggaraan sistem elektronik (Pasal 15 & Pasal 16 UU ITE).
http://joubertbarensmaramis.blogspot.co.id/2013/03/pentingnya-sistem-pemantauan-monitoring_3639.html
