AUDIT
TEKNOLOGI SISTEM INFORMASI
Disusun
oleh :
Kelas
4KA19
Rizky Octaviani (16115193)
JURUSAN
SISTEM INFORMASI
FAKULTAS
ILMU KOMPUTER DAN TEKNOLOGI INFORMASI
UNIVERSITAS
GUNADARMA
2018/2019
Ø Konsep
Audit
Audit dan kontrol teknologi informasi menjadi
penting karena organisasi membutuhkan acuan, parameter dan kontrol untuk
memastikan semua sumber daya perusahaan menuju pada pencapaian tujuan
organisasi secara terintegratif dan komprehensif. IT Audit dan Kontrol
menjelaskan sebuah proses untuk mereview dan memposisikan IT sebagai instrument
penting dalam pencapaian usaha/bisnis korporasi. Audit IT dan control melakukan
proses sistematik, terencana, dan menggunakan keahlian IT untuk mengetahui
tingkat kepatuhan, kinerja, nilai, dan resiko dari implementasi teknologi.
Kemampuan mengetahui pengetahuan dan skill pada IT Audit dan control selain
juga menunjukkan jenjang professional tertentu dalam professional, juga membuat
seseorang akan menganalisa, merancang, membangun, mengimplementasikan,
memonitor dan melakukan pengembangan berkelanjutan TIK tidak sekedar beroperasi
tetapi juga mengikuti kaidah industri dan standar internasional.
Penerapan IT audit sendiri dibentuk pada pertengahan
1960-an dan sejak saat itu telah berubah spesifikasi nya berkali-kali karena
perkembangan pesat teknologi dan penggabungan ke dalam bisnis. Audit teknologi
selalu mengacu pada pemeriksaan kontrol dalam infrastruktur TI. Praktek Audit
menjamin kelangsungan bisnis dengan mengidentifikasi integritas data
organisasi, operasi efektivitas dan tindakan perlindungan untuk melindungi 36
aset IT.
IT Audit and Control menggambarkan sebuah proses
untuk meninjau dan memposisikan TI sebagai instrumen penting dalam mencapai
bisnis / bisnis perusahaan. TI mengaudit dan mengendalikan proses yang
sistematis, terencana, dan menggunakan keahlian IT untuk mengetahui tingkat
kepatuhan, kinerja, nilai, dan risiko penerapan teknologi. Kemampuan untuk
mengetahui pengetahuan dan keterampilan dalam Audit dan pengendalian TI serta
menunjukkan tingkat profesional tertentu secara profesional, juga membuat
seseorang akan menganalisa, merancang, membangun, menyebarkan, memantau dan
pengembangan TIK yang berkelanjutan tidak hanya beroperasi tetapi juga
mengikuti aturan industri dan standar internasional.
Ø Proses
Audit
Proses Audit dalam
konteks teknologi informasi adalah memeriksa apakah sistem informasi berjalan
semestinya. Tujuh langkah proses audit sistem informasi yaitu:
Implementasikan sebuah strategi audit berbasis
manajemen resiko serta control practice yang dapat disepakati oleh semua
pihak :
·
Tetapkan langkah-langkah audit yang
rinci
·
Gunakan fakta atau bahan bukti yang
cukup, handal, relevan, serta bermanfaat
·
Buat laporan beserta kesimpulan
berdasarkan fakta yang dikumpulkan
·
Telah apakah tujuan audit tercapai
·
Sampaikan laporan kepada pihak yang
berkepentingan
·
Pastikan bahwa organisasi
mengimplementasikan managemen resiko serta control practice.
Perencanaan sebelum menjalankan proses audit dengan
metodologi audit yaitu:
·
Audit subject
·
Audit objective
·
Audit Scope
·
Preaudit planning
·
Audit procedures and Steps for data
gathering
·
Evaluasi hasil pengujian dan pemeriksaan
·
Audit report preparation
Berikut struktur isi laporan audit secara
umumnya(tidak baku):
a) Pendahuluan
b) Kesimpulan
umum auditor
c) Hasil audit
d) Rekomendasi
e) Exit interview
Ø Teknik
Audit
1. Auditing
Entity-Level Kontrol
Auditing Entity-Level Kontrol membahas bagaimana
mengaudit kontrol tingkat entitas, yang meresap di seluruh organisasi. Karena
kontrol tingkat entitas sangat luas di seluruh organisasi, dan dapat
mengauditnya berikut ini pembahasan audit teknologi informasi (TI) area
seperti:
a. Perencanaan
strategis dan peta jalan teknologi
b. Indikator
kinerja dan metric
c. Proses
persetujuan dan pemantauan proyek
d. Kebijakan,
standar, dan prosedur
e. Manajemen
karyawan
f. Pengelolaan
aset dan kapasitas
g. Manajemen
perubahan konfigurasi system
2. Pusat
Data Audit dan Pemulihan bencana
Fasilitas pengolahan teknologi informasi (TI),
biasanya disebut sebagai pusat data, merupakan inti dari sebagian besar operasi
organisasi modern, yang mendukung hampir semua hal yang kritis aktivitas
bisnis. Berikut ini merupakan langkah-langkah untuk mengaudit pusat data
kontrol, termasuk bidang berikut:
a. Keamanan
fisik dan pengendalian lingkungan
Pusat
data menggabungkan beberapa jenis kontrol berbasis fasilitas, yang biasa
disebutsebagai keamanan fisik dan kontrol lingkungan, termasuk sistem kontrol
akses fasilitas, sistem alarm, dan sistem pencegah kebakaran. Sistem ini
dirancang untuk mencegah intrusi tanpa izin, mendeteksi masalah sebelum
menyebabkan kerusakan, dan mencegah penyebaran api.
b. Operasi
pusat data
Meskipun
pusat data dirancang untuk menjadi otomatis, mereka memang membutuhkan staf
untuk beroperasi. Akibatnya, operasi pusat data harus diatur oleh
kebijakan, rencana, dan prosedur.Auditor harus berharap untuk menemukan
bidang-bidang berikut yang dicakup oleh kebijakan, rencana, dan prosedur:
· Kontrol
akses fisik
· Pemantauan
sistem dan fasilitas
· Perencanaan
fasilitas, peralatan, pelacakan, dan pemeliharaan
· Prosedur
respons untuk pemadaman, keadaan darurat, dan kondisi alarm
c. Sistem
dan ketahanan situs
Karena
sistem komputer yang berada di pusat data dimanfaatkan untuk diotomatisasi fungsi
bisnis, mereka harus tersedia setiap saat bisnis beroperasi. Karena itu, pusat
data menggabungkan berbagai jenis kontrol untuk memastikan bahwa sistem tetap
tersedia untuk melakukan operasi bisnis yang penting. Kontrol ini
dirancang untuk melindungi daya, lingkungan komputasi, dan jaringan area
luas (WAN).
d. Kesiapsiagaan
bencana
Semua
pusat data rentan terhadap bencana alam dan buatan manusia. Sejarah menunjukkan
hal itu ketika bencana melanda suatu pusat data, organisasi fasilitas-fasilitas
seperti itu mulai berhenti berdecit. Tugas auditor adalah mengidentifikasi dan
mengukur fisik dan administratif kontrol di fasilitas yang mengurangi risiko
gangguan pemrosesan data, termasuk pengikut:
· Ketahanan
sistem
· Cadangan
dan pemulihan data
· Perencanaan
pemulihan bencanaMengaudit Router, Switch, dan Firewall
3. Mengaudit
Router, Switch, dan Firewall
Jaringan adalah latar belakang mendasar dari
infrastruktur operasi TI , yang memungkinkan data melintang antara
pengguna, penyimpanan data, dan pengolahan data. Router, switch, dan
firewall bekerja sama untuk memungkinkan transfer data sekaligus melindungi
jaringan, data, dan pengguna akhir. Berikut ini membahas bagaimana
meninjau potongan-potongan kritis, infrastruktur sambil membantu untuk
melakukannya sebagai berikut :
a. Mengungkap
kompleksitas peralatan jaringan.
b. Memahami
kontrol jaringan kritis.
c. Tinjau
kontrol khusus untuk router, switch, dan firewall.
4. Mengaudit
Windows
Sistem operasi Sistem operasi Windows telah
berkembang dari awal yang sederhana dan berkembang menjadi salah satu
sistem operasi paling umum di dunia untuk server dan klien, untuk mencakup
komponen dasar dari audit server Windows dan mencakup audit cepat
untuk Klien Windows, berikut pembahasan Audit server dan klien windows:
a. Sejarah
singkat pengembangan Windows
Microsoft
dan IBM bekerja bersama untuk mengembangkan OS / 2 pada awal 1990-an, tetapi
hubungan itu berubah menjadi suram. Microsoft dan IBM berpisah dan pergi arah
terpisah, dengan Microsoft kemudian merilis Windows NT pada Juli 1993. Pasar
server berevolusi dari Windows NT ke Windows Server 2000, Windows Server 2003,
dan kemudian Windows Server 2008.
b. Windows
essentials: belajar tentang host target
c. Bagaimana
mengaudit server Windows
d. Bagaimana
mengaudit klien Windows
e. Alat
dan sumber daya untuk meningkatkan audit Windows Anda
5. Mengaudit
Unix dan Linux
Sistem operasi membahas langkah-langkah yang
diperlukan untuk mengaudit operasi berbasis Unix dan Linux sistem (juga disebut
sebagai sistem nix) dan mencakup hal-hal berikut:
a. Sejarah
Unix dan Linux
Unix
tanggal kembali ke 1969, ketika dikembangkan oleh karyawan di AT & T untuk
tujuan menyediakan lingkungan di mana beberapa pengguna dapat menjalankan
program. Keamanan yang kuat bukanlah salah satu tujuan pengembangannya. Pada
akhir tahun 1970-an, mahasiswa di University of California, Berkeley, melakukan
modifikasi ekstensif pada sistem AT & T Unix, menghasilkan varian Unified
Software Distribution (BSD) Unix, yang menjadi sangat populer di kalangan
akademis. Sekitar waktu yang sama, AT & T mulai mendorong untuk
mengembangkan sistem operasi Unix menjadi produk komersial yang sah yang
disebut AT & T System V (atau hanya System V). Selama tahun 1980-an, karena
minat komersial terhadap sistem operasi Unix meningkat, perusahaan menghadapi
dilema dalam memutuskan versi mana dari dua versi Unix yang akan diadopsi.
Ultrix SunOS dan Digital Equipment Corporation Sun Microsystems didasarkan pada
BSD.
Dari
awal yang sederhana, hobiis pada tahun 1991, Linux tumbuh menjadi rilis 1.0 di
1994. Tetapi bahkan sebelum rilis 1.0, sejumlah "distribusi" Linux
dikembangkan, menggabungkan kernel Linux dengan aplikasi dan utilitas sistem.
Beberapa contoh distribusi populer saat ini adalah Red Hat, Ubuntu, Debian,
SUSE, dan Gentoo.
b. Perintah
dasar untuk berkeliling di lingkungan * nix
c. Bagaimana
mengaudit sistem Unix dan Linux, dengan fokus pada bidang utama berikut:
· Manajemen
akun dan kontrol kata sandi
· File
keamanan dan control
· Keamanan
dan kontrol jaringan
· Audit
log
· Monitoring
keamanan dan kontrol umum
· Alat
dan sumber daya untuk meningkatkan audit
6. Mengaudit
Web Server dan Aplikasi Web
Pertumbuhan eksplosif di Internet juga mendorong
pertumbuhan eksplosif alat pengembangan, bahasa pemrograman, web browser,
database, dan berbeda model client-server. Hasil yang tidak menguntungkan
adalah model kompleks yang sering dibutuhkan kontrol tambahan untuk mengamankan
model. Berikut ini mencakup minimum mutlak seperangkat kontrol yang harus
ditinjau ulang. Bab ini mencakup hal-hal berikut:
a. Bagaimana
mengaudit server web
b. Bagaimana
mengaudit aplikasi web
7. Mengaudit
Database
Mengaudit Database membahas tentang audit lockbox
informasi perusahaan.untuk melakukan audit pada komponen berikut yang
mempengaruhi operasional keamanan penyimpanan data:
a. Perizinan
database
b. Keamanan
sistem operasi
c. Fitur
kekuatan dan manajemen kata sandi
d. Aktivitas
pemantauan
e. Database
enkripsi
f. Database
kerentanan, integritas, dan proses patching
8. Penyimpanan
Audit
Penyimpanan audit dan dimulai dengan ikhtisar
penyimpanan umum teknologi. Audit penyimpanan menggabungkan kekhawatiran
platform dan datanya. Platform memiliki persyaratan kontrol yang sama seperti
yang ditemukan di server. Data memiliki keunikan persyaratan kontrol karena
perlunya menjaga kontrol yang sesuai dengan kelas data yang berbeda, dibawah
ini mencakup hal-hal berikut:
a. Ikhtisar
teknis singkat tentang penyimpanan
b. Bagaimana
mengaudit lingkungan penyimpanan
c. Alat
dan sumber daya untuk meningkatkan audit penyimpanan Anda
9. Mengaudit
Virtualized Lingkungan
Inovasi dalam virtualisasi sistem operasi dan
perangkat keras server diubah secara permanen jejak, arsitektur, dan
operasi pusat data. Mengaudit lingkungan virtualisasi, dan dimulai dengan
ikhtisar tentang virtualisasi umum teknologi dan kontrol tombol. Audit
virtualisasi menggabungkan kekhawatiran hypervisor dan sistem operasi tamu.
Meski fokus adalah hypervisor dan virtualisasi server, bisa menerapkan
banyak langkah dan konsep yang sama untuk virtualisasi desktop ,membuat
asumsi bahwa komponen sistem ini adalah di bawah kendali , "Mengaudit
Komputasi Awan dan Operasi Outsourcing "untuk panduan bagaimana memastikan
virtualisasi dari luar lingkungan dikelola dan diamankan dengan benar. Dibawah
ini mencakup hal-hal berikut:
a. Sekilas
singkat teknis virtualisasi
b. Bagaimana
mengaudit lingkungan virtualisasi
c. Alat
dan sumber daya untuk meningkatkan audit virtualisasi Anda
10. Mengaudit
WLAN dan Telepon genggam
Mengaudit WLAN dan Telepon genggam yaitu dua audit
terpisah, yang dimulai dengan jaringan area lokal nirkabel(WLAN) dan kemudian
mencakup perangkat seluler yang mendukung data. Audit WLAN meliputi klien,
komunikasi, jalur akses, dan faktor operasional yang memungkinkan WLAN aktif,
jaringan Audit perangkat mobile data-enabled meliputi Blackberry, iPhone,
Droid, dan perangkat data-enabled serupa dan infrastruktur yang mendukungnya.
Pengikuttopik yang dibahas adalah:
a. Latar
belakang teknologi WLAN dan perangkat mobile
Pada
tahun 1990, Institute of Electrical and Electronic Engineers (IEEE) membentuk
kelompok untuk mengembangkan standar untuk peralatan nirkabel. Standar 802.11
lahir pada 26 Juni 1997, dibangun di atas lapisan fisik dan data-link dari model
OSI untuk memungkinkan perangkat mobile untuk berkomunikasi secara nirkabel
dengan jaringan kabel.
Anda
mungkin mendengar Wi-Fi digunakan di tempat WLAN. Wi-Fi adalah merek yang
awalnya dilisensikan oleh Aliansi Wi-Fi untuk menggambarkan teknologi yang
mendasari berdasarkan spesifikasi IEEE 802.11. Istilah Wi-Fi digunakan secara
luas, dan merek tidak lagi terlindungi. Aliansi Wi-Fi awalnya dimulai sebagai
inisiatif untuk membantu membawa interoperabilitas ke semakin banyak perangkat
yang menggunakan implementasi yang berbeda dari teknologi 802.11. Tabel 11-1
referensi teknologi nirkabel yang paling umum digunakan dalam lingkungan
perusahaan. Ketahuilah bahwa beberapa standar lain dalam keluarga 802.11 ada,
dan yang tercantum di sini adalah yang paling sering dirujuk untuk penggunaan
komersial.
b. Masalah
audit penting untuk teknologi ini
c. Langkah
dan saran teknis utama mengenai bagaimana mendekati teknologi.
d. Langkah
operasional yang diperlukan agar teknologi ini beroperasi secara efisien di
jaringan anda.
11. Permohonan
Audit
Setiap aplikasi unik, apakah mendukung fungsi
keuangan atau operasional, dan oleh karena itu masing-masing memiliki
seperangkat persyaratan kontrol tersendiri. Tidak mungkin dokumen persyaratan
kontrol spesifik yang akan berlaku untuk setiap aplikasi. Namun, akan
menjelaskan beberapa pedoman pengendalian umum yang seharusnya berkenaan dengan
aplikasi apapun terlepas dari fungsinya, bahasa pemrogramannya, dan platform
teknologi. Topik-topik berikut dibahas dalam bab ini:
a. Komponen
penting dari audit aplikasi
b. Bagaimana
menelusuri kemungkinan masalah dengan kerangka kerja dan konsep kunci
c. Langkah
terperinci untuk mengaudit aplikasi, termasuk yang berikut ini:
· Kontrol
input
· Kontrol
antarmuka
· Jejak
audit
· Kontrol
akses
· Kontrol
perubahan perangkat lunak
· Backup
dan pemulihan
· Retensi
data dan klasifikasi dan keterlibatan pengguna
12. Mengaudit
Komputasi Awan dan Outsource Operasi
Mengaudit
Komputasi Awan dan Outsource Operasi adalah kunci yang harus dicari saat
mengaudit TI operasi yang telah dialihkan ke perusahaan eksternal, termasuk
yang berikut ini:
a. Definisi
komputasi awan dan bentuk lain dari outsourcing TI
Institut
Nasional Standar dan Teknologi (NIST) mendefinisikan komputasi awan sebagai
"model untuk memungkinkan akses jaringan on-demand yang nyaman ke kumpulan
sumber daya komputasi yang dapat dikonfigurasi (misalnya, jaringan, server,
penyimpanan, aplikasi, dan layanan) yang dapat dengan cepat ditetapkan dan
dirilis dengan upaya manajemen minimal atau interaksi penyedia layanan. ”
b. SAS
70 melaporkan
Ketika
mengaudit vendor, Anda perlu memahami SAS (Pernyataan tentang Standar Auditing)
70 laporan. SAS 70 adalah standar audit yang dikembangkan oleh American
Institute of Certified Public Accountants (AICPA) untuk menangani organisasi
layanan. Ini pada dasarnya memberikan standar di mana organisasi layanan
(seperti yang menyediakan layanan TI) dapat menunjukkan efektivitas kontrol
internal mereka tanpa harus membiarkan setiap pelanggan mereka untuk datang dan
melakukan audit mereka sendiri.
Tanpa
standar ini, organisasi jasa akan mengeluarkan volume sumber daya yang
berlebihan yang menanggapi permintaan audit dari setiap pelanggan. Dengan
standar ini, organisasi layanan dapat menyewa auditor layanan independen
bersertifikat (seperti Ernst & Young) untuk melakukan audit SAS 70 dan
mengeluarkan laporan. Laporan ini dapat disajikan kepada setiap pelanggan yang
membutuhkan bukti efektivitas pengendalian internal organisasi layanan.
c. Kontrol
seleksi vendor
d. Item
untuk disertakan dalam kontrak vendor
e. Persyaratan
keamanan data
f. Masalah
operasional
g. Masalah
hukum dan kepatuhan peraturan
13. Proyek
Perusahaan Audit
Proyek
Perusahaan Audit adalah kontrol kunci yang harus dicari saat mengaudit proses
yang digunakan untuk mengelola proyek perusahaan, termasuk memahami hal-hal
berikut yang berkaitan dengan manajemen proyek audit teknologi informasi:
a. Kunci
keberhasilan manajemen proyek
Audit
proyek dilakukan untuk mengidentifikasi risiko terhadap keberhasilan
proyek-proyek perusahaan. Bab ini khusus membahas proyek-proyek TI (seperti pengembangan
perangkat lunak, penyebaran infrastruktur, dan penerapan aplikasi bisnis),
tetapi konsep-konsepnya bisa berlaku untuk segala jenis proyek.
b. Kebutuhan
pengumpulan dan desain awal
c. Desain
dan pengembangan system
d. Pengujian
e. Implementasi
f. Pelatihan
g. Membungkus
proyek
Ø Regulasi
Audit
Uji kepatutan (compliance test) dilakukan dengan
menguji kepatutan Prooses TI dengan melihat kepatutan proses yang berlangsung
terhadap standard dan regulasi yang berlaku. Kepatutan tersebut dapat diketahui
dari hasil pengumpulan bukti. Adapun langkah-langkah yang dilakukan dalam uji
tersebut antara lain akan dipaparkan sebagaimana berikut :
1) Tahapan
Pengidentifikasian
Objek
yang Diaudit Tujuan dari langkah ini agar pengaudit mengenal lebih jauh terkait
dengan hal-hal yang harus dipenuhi dalam objektif kontrol yang membawa kepada
penugasan kepada pihak-pihak yang bertanggung jawab. Aktivitas yang berlangsung
juga termasuk pengidentifikasian perihal pengelolaan aktivitas yang didukung TI
memenuhi objektif kontrol terkait.
2) Tahapan
Evaluasi audit Tujuan dari tahapan ini adalah untuk mendapatkan prosedur
tertulis dan memperkirakan jika prosedur yang ada telah menghasilkan struktur
kontrol yang efektif. Uji kepatutan yang dilakukan pada tahapan ini yaitu
mengevaluasi pemisahan tanggung jawab yang terkait dengan pengelolaan SI/TI.
Dari hasil evaluasi ditemukan terdapat pemisahan terhadap tugas dan tanggung
jawab yang harus dilakukan oleh masing-masing pihak yang bersangkutan.
Ø Standar
dan Kerangka Kerja Audit
Seiring teknologi informasi standar (I) jatuh tempo
pada akhir abad ke-20, departemen TI di dalam setiap organisasi biasanya
mengembangkan metode sendiri untuk mengelola operasi. Akhirnya, kerangka kerja
dan standar muncul untuk memberikan panduan bagi manajemen dan evaluasi proses
TI. Dalam bab ini kita akan melihat beberapa kerangka kerja dan standar paling
menonjol saat ini yang berkaitan dengan penggunaan teknologi. Pembahasan kami
akan mencakup hal-hal berikut:
· Pengantar
pengendalian internal, kerangka kerja, dan standar
· Komite
Kompensasi Organisasi Cadangan (COSO)
· Tujuan
Pengendalian untuk Informasi dan Teknologi Terkait (COBIT)
· IT
Infrastructure Library (ITIL)
· ISO
27001
· Metodologi
Penilaian Badan Keamanan Nasional (NSA)
· Gaya
Standar dan Kerangka Kerja Audit
Pengantar
Kontrol, Kerangka, dan Standar TI Internal
Pada
1970-an, kekhawatiran akan meningkatnya kebangkrutan perusahaan dan keruntuhan
keuangan mulai meningkatkan permintaan akan pertanggungjawaban dan transparansi
di antara perusahaan publik. Foreign Cornupt Practices Act of 1977 (FCPA)
mengkriminalisasi penyuapan di luar negeri dan merupakan peraturan pertama yang
mengharuskan perusahaan untuk menerapkan program pengendalian internal untuk
menyimpan catatan transaksi yang ekstensif untuk tujuan pengungkapan.
Ketika
industri simpan pinjam ambruk pada pertengahan tahun 1980an, ada seruan untuk
mengawasi standar akuntansi dan profesi auditing pemerintah. Dalam upaya untuk
mencegah intervensi pemerintah, inisiatif sektor swasta independen, yang
kemudian disebut Komite Sponsoring Organizations (COSO), dimulai pada tahun
1985 untuk menilai bagaimana cara terbaik untuk meningkatkan kualitas pelaporan
keuangan. COSO meresmikan konsep pengendalian internal dan kerangka kerja pada
tahun 1992 saat menerbitkan publikasi penting Kerangka Pengendalian Internal.
Sejak
saat itu, asosiasi profesional lainnya terus mengembangkan kerangka kerja dan
standar tambahan untuk memberikan panduan dan praktik terbaik kepada konstituen
mereka dan komunitas TI secara umum. Bagian berikut menyoroti COSO dan beberapa
kerangka kerja dan standar TI paling menonjol yang digunakan saat ini.
Gaya
standard dan Kerangka Kerja
Persyaratan
dan praktik bisnis sangat bervariasi di seluruh dunia, seperti juga kepentingan
politik dari banyak organisasi yang menciptakan standar. Kemungkinan besar
kerangka kerja dan standar tunggal akan muncul dalam waktu dekat untuk memenuhi
kebutuhan setiap orang. Kompleksitas pemetaan ratusan dokumen otoritas dari
peraturan (internasional, nasional, lokal / negara bagian, dan sebagainya) dan
standar (ISO, industri spesifik, vendor, dan sebagainya) menciptakan peluang
dan ceruk pasar. Vendor teknologi dengan tepat mengidentifikasi ceruk pasar
yang penting ini, atau pembeda, untuk meningkatkan penjualan produk dengan
mengidentifikasi bagaimana cara mendapatkan produk mereka untuk memenuhi
persyaratan otoritas. Vendor melompat pada kesempatan untuk memetakan kemampuan
mereka untuk menangani kontrol spesifik dari beberapa peraturan dan standar.
Jaringan
Frontiers mungkin adalah perusahaan yang paling terkenal yang mencoba hal yang
tidak mungkin: membuat pemetaan umum kontrol TI di setiap peraturan, standar,
dan praktik terbaik yang ada. Hasilnya disebut IT Unified Compliance Kerangka,
dan bisa ditemukan di www.unifiedcompliance.com. Selanjutnya, ini pemetaan
diadopsi oleh Archer Technologies, Microsoft, Computer Associates, McAfee, dan
beberapa vendor lainnya untuk membantu menjembatani penyelarasan kontrol yang
dikelola atau dilacak oleh vendor dengan persyaratan dokumen otoritas
individual.
Satu sudut pandang menunjukkan kerangka adopsi
tunggal akan menyederhanakan teknologi pengembangan produk, struktur
organisasi, dan tujuan pengendalian. Yang lain sudut pandang menunjukkan bahwa
kompleksitas kepentingan regional, politik, bisnis, budaya, dan kepentingan
yang berbeda memastikan kerangka kontrol yang diterima secara universal tidak
akan pernah tercipta. Kebenaran mungkin terletak di suatu tempat di tengahnya.
Meskipun satu set standar internasional tidak dapat dipastikan, alat yang
dijelaskan dalam bab ini tetap berfungsi untuk menciptakan infrastruktur
teknologi yang andal, aman, dan berkelanjutan yang pada akhirnya menguntungkan
para peserta.
Ø Manajemen
Resiko
Manajemen risiko adalah sebuah proses yang
diaplikasikan dalam perumusan strategi dan dirancang untuk mengidentifikasi
kejadian potensial yang mungkin akan berdampak pada keseluruhan organisasi, dan
pengelolaan risiko. Kategori sasaran dalam manajemen risiko :
·
Strategis : tujuan tingkat tinggi,
selaras dengan dan mendukung misi
·
Operasional : penggunaan sumberdaya
secara efektif dan efisien
·
Pelaporan : keandalan pelaporan
·
Pemenuhan : pemenuhan hukum dan
peraturan yang berlaku
FALSAFAH COSO
Bagi COSO, pengukuran-penetapan risiko adalah
kegiatan penting bagi manajemen dan auditor internal korporasi, sehingga
auditor internal harus paham proses dan sarana untuk identifikasi,
penilaian, pengukuran dan penetapan tingkat risiko (risk assessment) sebagai
dasar menyusun prosedur audit internal. COSO menyatakan bahwa setiap entitas
menghadapi risiko internal dari luar, bahwa risiko-risiko tersebut harus
didentifikasi dan dinilai-diukur terfokus pada pengamanan sasaran strategis
korporasi. Perubahan sosial-politik-ekonomi-industri-hukum dan perubahan
kondisi operasional perusahaan teraudit mengandung risiko, manajemen perusahaan
harus membentuk mekanisme untuk mengenali & menghadapi perubahan tersebut.
Basis utama manajemen risiko adalah asesmen risiko. Untuk keberlangsungan
usaha, asesmen risiko merupakan tanggungjawab manajemen yang bersifat integral
dan terus menerus, karena manajemen tak dapat memformulasikan sasaran dengan
asumsi sasaran akan tercapai tanpa risiko atau hambatan.Contoh risiko, bahaya,
ancaman, atau hambatan mencapai sasaran korporasi adalah :
·
Pesaing meluncurkan produk baru
·
Perubahan teknologi menyebabkan jasa
atau produk tidak laku
·
Manajer andalan tiba-tiba mengundurkan
diri sebagai karyawan
·
Formula rahasia dicuri dan dijual oleh
karyawan kepada pesaing
·
KKN menggerus laba dan membuat
perusahaan keropos
Ø Referensi
1. IT Auditing : Using Controls To Protect
Information Assets, Chris Davis, 2011
2. Audit & Kontrol Teknologi Informasi, Mardhani
Riasetiawan, 2016
