Konsep, Metode dan Alat, dan Regulasi Audit
- Konsep Audit Teknologi Informasi
Audit Teknologi Informasi itu sendiri adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Maksudnya adalah mengumpulkan dan mengevaluasi bukti-bukti apakah sistem tersebut telah menerapkan sistem pengendalian yang memadai, apakah keamanan dan integrasi data terjaga agar tidak disalahgunakan. Berikut tahap-tahap untuk melakukan audit :
Perencanaan (Planning)
Tahap perencanaan ini yang akan dilakukan adalah menentukan ruang lingkup (scope), objek yang akan diaudit, standard evaluasi dari hasil audit dan komunikasi dengan managen pada organisasi yang bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan objek yang diteliti serta strategi, kebijakan-kebijakan yang terkait dengan pengolahan investigasi.
Perencanaan meliputi beberapa aktivitas utama, yaitu :
- Penetapan ruang lingkup dan tujuan audit
- Pengorganisasian tim audit
- Pemahaman mengenai operasi bisnis klien
- Kaji ulang hasil audit sebelumnya
- Penyiapan program audit
Pemeriksaan Lapangan (Field Work)
Pelaporan (Reporting)
Setelah proses pengumpulan data, maka akan didapat data yang akan diproses untuk dihitung berdasarkan perhitungan maturity level. Pada tahap ini yang akan dilakukan memberikan informasi berupa hasil-hasil dari audit. Perhitungan maturity level dilakukan mengacu pada hasil wawancara, survey dan rekapitulasi hasil penyebaran quesioner. Berdasarkan hasil maturity level yang mencerminkan kinerja saat ini (current maturity level) dan kinerja standard atau ideal yang diharapkan akan menjadi acuan untuk selanjutnya dilakukan analisis kesenjangan (gap). Hal tersebut dimaksudkan untuk mengetahui kesenjangan (gap) serta mengetahui apa yang menyebabkan adanya gap tersebut.
Tindak Lanjut (Follow Up)
Tahap ini yang dilakukan adalah memberikan laporan hasil audit berupa rekomendasi tindakan perbaikan kepada pihak managemen objek yang diteliti, untuk selanjutnya wewenang perbaikan menjadi tanggung jawab managemen objek yang diteliti apakah akan diterapkan atau hanya menjadi acuhan untuk perbaikan dimasa yang akan datang.2. Metode dan Alat Audit Teknologi Infromasi
Ada beberapa metode audit, yaitu :
- Audit Arround The Computer
- Audit With The Computer
- Audit Through The Computer
Berikut beberapa software yang digunakan untuk Audit :
A. ACL
ACL (Audit Command Language) merupakan sebuah software CAAT (Computer Assisted Audit Techniques) yang sudah sangat populer untuk melakukan analisa terhadap data dari berbagai macam sumber.
ACL for Windows (sering disebut ACL) adalah sebuah software TABK (TEKNIK AUDIT BERBASIS KOMPUTER) untuk membantu auditor dalam melakukan pemeriksaan di lingkungan sistem informasi berbasis komputer atau Pemrosesan Data Elektronik.
B. Picalo
Picalo merupakan sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber.Picalo bekerja dengan menggunakan GUI Front end, dan memiliki banyak fitur untuk ETL sebagai proses utama dalam mengekstrak dan membuka data, kelebihan utamanya adalah fleksibilitas dan front end yang baik hingga Librari Python numerik.
Berikut ini beberapa kegunaannya :
· Menganalisis data keungan, data karyawan
· Mengimport file Excel, CSV dan TSV ke dalam databse
· Analisa event jaringan yang interaktif, log server situs, dan record sistem login
· Mengimport email kedalam relasional dan berbasis teks database
· Menanamkan kontrol dan test rutin penipuan ke dalam sistem produksi.
C. Powertech Compliance Assessment
Powertech Compliance Assessment merupakan automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah serverAS/400.
D. Nipper
D. Nipper
Nipper merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan mem-benchmark konfigurasi sebuah router. Nipper (Jaringan Infrastruktur Parser) adalah alat berbasis open source untuk membantu profesional TI dalam mengaudit, konfigurasi dan mengelola jaringankomputer dan perangkat jaringan infrastruktur.
E. Nessus
Nessus merupakan sebuah vulnerability assessment software, yaitu sebuah software yang digunakan untuk mengecek tingkat vulnerabilitas suatu sistem dalam ruang lingkup keamanan yang digunakan dalam sebuah perusahaan
F. Metasploit
Metasploit Framework merupakan sebuah penetration testing tool, yaitu sebuah software yang digunakan untuk mencari celah keamanan.
G. NMAP
NMAP merupakan open source utility untuk melakukan security auditing. NMAP atau Network Mapper, adalah software untuk mengeksplorasi jaringan, banyak administrator sistem dan jaringan yang menggunakan aplikasi ini menemukan banyak fungsi dalam inventori jaringan, mengatur jadwal peningkatan service, dan memonitor host atau waktu pelayanan. Secara klasik Nmap klasik menggunakan tampilan command-line, dan NMAP suite sudah termasuk tampilan GUI yang terbaik dan tampilan hasil (Zenmap), fleksibel data transfer, pengarahan ulang dan tools untuk debugging (NCAT) , sebuah peralatan untuk membandingan hasil scan (NDIFF) dan sebuah paket peralatan analisis untuk menggenerasikan dan merespon (NPING)
H. Wireshark
H. Wireshark
Wireshark merupakan aplikasi analisa netwrok protokol paling digunakan di dunia, Wireshark bisa mengcapture data dan secara interaktif menelusuri lalu lintas yang berjalan pada jaringan komputer, berstandartkan de facto dibanyak industri dan lembaga pendidikan.
3. Regulasi Audit Teknologi Informasi
Berikut beberapa regulasi dalam audit :
A) COSO (Comitte Of Sponsoring Organizationof the treadway commission’s)
Yaitu dibentuk pada tahun 1985 dengan tujuan untuk menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud (penggelapan).Tahun 1992, COSO menyusun dan Menerbitkan Internal Control Integrated Framework yang berisi rumusan definisi pengendalian intern, pedoman penilaian, serta perbaikan terhadap sistem pengendalian intern.Tahun 2004, COSO mengembangkan Internal Control Integrated Framework dengan menambah cakupan tentang manajemen dan strategi resiko yang disebut ERM (Enterprise Risk Manajement).
Pencapaian tujuan pengendalian intern yang didefenisikan COSO:
1. Efektifitas dan efisiensi aktivitas operasi
2. Kehandalan pelaporan keuangan
3. Ketaatan terhadap hukum dan peraturan yang berlaku
4. Pengamanan aset entitas.
B) COBIT (Control Objectives for Information and Related Technology)
C) SARBOX (Sarbanes-Oxley Act)
Yaitu merupakan peraturan yang ditandatangani Presiden George W.Bush tanggal 30 juli 2012 untuk mereformasi dunia pasarmodal Amerika Serikat. Tujuan SARBOX yaitu:
1. Meningkatkan akuntabilitas manajemen dengan memastikan bahwa manajemen akuntan dan pengacara memiliki tanggung jawab atas informasi keuangan yang menjadi tanggung jawab mereka.
2. Meningkatkan pengungkapan dengan berusaha untuk menyatakan bahwa beberapa kejadian kunci dan transaksi luar biasa tidak mendapatkan pengawasan hanya karena tidak disyaratkan untuk diungkap di publik.
3. Meningkatkan pengawasan rutin yang lebih intensif oleh SEC.
4. Meningkatkan akuntabilitas akuntan.
D) ISO 17799
E) BASEL II
BASEL II dibentuk yaitu sebagai penerapan kerangka pengukuran bagi risiko kredit, sistem ini mensyaratkan Bank-bank untuk memisahkan eksposurnya ke dalam kelas yang lebih luas, yang menggambarkan kesamaan tipe debitur(hutang).
SUMBER :
https://id.wikipedia.org/wiki/Audit_teknologi_informasi
http://afrizalseptember.blogspot.co.id/2014/12/konsep-audit-sistem-informasi.html
http://imas.staff.gunadarma.ac.id/Downloads/files/35593/1-Konsep+Audit+Sistem+Informasi.pdf
http://budhivensius.blogspot.co.id/2013/10/tools-audit-ti-teknologi-informasi.html
https://www.kompasiana.com/abdulrahim/perlunya-regulasi-terhadap-audit-sistem-keamanan-teknologi-informasi_54ff7417a33311494c5101ed
http://oktatinoyudha.blogspot.co.id
SUMBER :
https://id.wikipedia.org/wiki/Audit_teknologi_informasi
http://afrizalseptember.blogspot.co.id/2014/12/konsep-audit-sistem-informasi.html
http://imas.staff.gunadarma.ac.id/Downloads/files/35593/1-Konsep+Audit+Sistem+Informasi.pdf
http://budhivensius.blogspot.co.id/2013/10/tools-audit-ti-teknologi-informasi.html
https://www.kompasiana.com/abdulrahim/perlunya-regulasi-terhadap-audit-sistem-keamanan-teknologi-informasi_54ff7417a33311494c5101ed
http://oktatinoyudha.blogspot.co.id
Komentar
Posting Komentar