1.) Tabel Perbandingan +/- Standar Audit
SI
|
AUDIT SI |
KELEBIHAN |
KEKURANGAN |
|
ITIL
(Information Technology Infrastructure Library) |
1.) Memberi deskripsi rinci sejumlah praktik penting
TI dan menyediakan daftar komprehensif tugas dan prosedur. 2.) Bukan merupakan standard yang
memberikan prescription tetapi lebih kepada merekomendasikan, oleh karena itu
implementasi antara satu organisasi dengan organisasi lain dapat dipastikan
terdapat perbedaan. Dengan demikian kita tidak bisa membandingkan / melakukan
benchmark secara pasti. |
1.) buku-buku ITIL sulit terjangkau bagi
pengguna non komersial, ITIL bersifat holistic yang mencakup semua kerangka
kerja untuk tatakelola TI, pelaksanaan pedoman dalam buku ITIL memerlukan
pelatihan khusus dan biaya pelatihan atau sertifikasi ITIL terlalu tinggi. |
|
COBIT |
1.) Rahasia. 2.) Integritas. 3.) Dapat memberi proteksi terhadap
informasi yg sensitif dari akses orang tidak bertanggung jawab. |
1.) Cobit hanya berfokus pada kendali dan pengukuran. 2.) Cobit hanya memberikan panduan
kendali dan tidak memberikan panduan implementasi operasional. |
|
ISO/IEC
38500 |
1.) Menjamin akuntabilitas diberikan untuk semua
Resiko IT dan aktivitasnya 2.) Memberikan panduan kepada advisor perusahaan. 3.) Memberikan prinsip panduan bagi
direksi organisasi (termasuk pemilik, anggota dewan, direktur, mitra,
eksekutif senior, atau yang sejenisnya) mengenai penggunaan Teknologi
Informasi (TI) yang efektif, efisien, dan dapat diterima di dalam organisasi
mereka. |
1.) Tidak cocok digunakan sebagai IT management
framework. |
2.)
A. Konsep dasar kontrol dan audit sistem
informasi(SI)
untuk mengetahui
apakah pengelolaan sistem dan tteknologi informasi telah mencapai tujuan
strategisnya, seperti meningkatkan perlindungan terhadap aset-aset(Asset
Saveguard), menjaga integritas data(Data Integrity), meningkatkan
efektifitas sistem(Effectivity), dan meningkatkan efisiensi sistem(Efficiency).
B. Prinsip-prinsip dasar proses audit SI
Ada 5 prinsip audit SI, yaitu :
- Ethical conduct : Berdasar pada profesionalisme, kejujuran, integritas,
kerahasiaan, dan kebijaksanaan.
- Fair Presentation : Kewajiban melaporkan secara jujur dan akurat.
- Due professional care : Implementasi dari kesungguhan dan pertimbangan
yang diberikan.
- Independence
- Evidence-base approach.
Adapun proses-proses meng-audit, seperti :
- Perencanaan Audit(Planning The Audite)
- Pengujian Pengendalian(Test of Controls)
- Pengujian Transaksi(Test of Transaction)
- Pengujian Keseimbangan atau Keseluruhan Hasil(Tests of Balances or
Overal Result)
- Penyelesaian/ Pengakhiran Audit(Completion of The Audit)
C. Standar dan panduan audit SI
Standar Audit SI tidak
lepas dari standar professional seorang auditor SI, yaitu ukuran mutu
pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi
dalam menjalankan tanggung jawab profesinya.
3.)
A.
=> Kontrol Internal
Proses yang dipengaruhi oleh sumber daya
manusia dan sistem teknologi informasi yang dirancang untuk membantu organisasi
mencapai suatu tujuan tertentu atau suatu cara untuk mengarahkan, mengawasi,
dan mengukur sumber daya suatu organisasi.
=> Ruang Lingkup Kontrol Internal
Menilai keefektifan sistem pengendalian intern, pengevaluasian terhadap
kelengkapan dan keefektifan sistem pengendalian internal yang dimiliki
organisasi, serta kualitas pelaksanaan tanggung jawab yang diberikan.
=> Sistem Kontrol Internal
Suatu sistem atau sosial yang dilakukan perusahaan yang terdiri dari
struktur organisasi, metode, dan ukuran-ukuran untuk menjaga dan mengarahkan
jalan perusahaan agar bergerak sesuai dengan tujuan dan prgram perusahaan dan
mendorong efisiensi serta dipatuhinya kebijakan manajemen.
B.
=> Control Objectives
Efektivitas proses departemen dalam mendukung desain dan persetujuan
kerangka pengendalian program berbasis risiko dan mengatur dan mendukung
pengumpulan dan penggunaan laporan penerima.
=> Control Risks
Risiko pengendalian(control risks) adalah salah satu material yang
tidak dapat dicegah ataupun dideteksi secara tepat pada waktunya oleh berbagai
kebijakan dan prosedur struktur pengendalian intern perusahaan.
C.
=> Management Control Framework
Mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai
sumber daya organisasi secara keseluruhan.
=> Application Control Framework
Sistem pengendalian intern komputer yang berkaitan dengan pekerjaan dan
kegiatan tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup
proses bisnis individu atau sistem aplikasi.
D.
=> Corporate IT governance
Kumpulan kebijakan, proses atau aktifitas dan prosedur untuk mendukung
pengoperasian TI agar hasilnya sejalan dengan strategi bisnis.
4.)
Aspek Management Control Framework :
- Defining, creating, redefining, retiring
data (dengan wawancara, observasi)
- Membuat database tersedia untuk semua
user
- Menginformasikan dan melayani user
- Memelihara integritas data
- Monitoring operations
Application control framework :
Boundary controls
A.
=> Cryptographic control
Transposition ciphers : menggunakan permutasi urutan karakter dari sederet
string
Subtitution ciphers: mengganti karakter dengan karakter lain sesuai aturan
tertentu
Product ciphers: kombinasi transposition dan subtitution ciphers
B.
=> Access control
Acccess controls yang digunakan dan kemungkinan masalahnya
Ukuran proteksi yang ditekankan pada mekanisme access controls
Apakah organisasi menggunakan access controls yang disediakan dalam paket
perangkat lunak
C.
=> Personal Identification Numbers (PIN)
Generasi PIN
Penerbitan dan penyampaian PIN kepada pengguna
Validasi PIN
Transmisi PIN di seluruh jalur komunikasi
Pemrosesan PIN
Penyimpanan PIN
Perubahan PIN
Penggantian PIN
Penghentian PIN
D.
=> Digital signature
pengujian sistem manajemen yang digunakan untuk mengelola tanda tangan
digital, penggunaan dan penyebarannya
E.
=> Plastic cards
Pengajuan kartu
Persiapan kartu
Penerbitan kartu
Penggunaan kartu
Pengembalian/ penghancuran kartu
Tidak ada komentar:
Posting Komentar