Berikut adalah
beberapa dari Standard dan Paduan Sistem Informasi yang biasa digunakan:
1. ISACA
ISACA
adalah suatu organisasi profesi internasional di bidang tata kelola teknologi
informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal
dengan nama lengkap Information Systems Audit and Control Association, saat ini
ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di
bidang tata kelola teknologi informasi.
ISACA
didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi
terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer.
Hari ini, ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan
telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota
ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar,
profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor
internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih
dari 60 negara, termasuk di Indonesia.
• Sifat khusus audit sistem informasi, keterampilan
dan pengetahuan yang diperlukan untuk melakukan audit SI memerlukan standar
yang berlaku secara global
• ISACA berperan untuk memberikan informasi untuk
mendukung kebutuhan pengetahuan
• Dalam famework ISACA terkait, audit sistem informasi
terdapat Standards, Guidelines and procedures
• Standar yang ditetapkan oleh ISACA harus diikuti
oleh auditor.
• Guidelines memberikan bantuan tentang bagaimana
auditor dapat menerapkan standar dalam berbagai penugasan audit.
• Prosedur memberikan contoh langkah-langkah auditor
dapat mengikuti penugasan audit tertentu sehingga dapat menerapkan standar.
• Namun, IS auditor harus menggunakan pertimbangan
profesional ketika menggunakan pedoman dan prosedur.
2. IIA COSO
The Comitte of
Sponsoring Organizations of the treadway commission’s (COSO) dibentuk pada tahun
1985 sebagai alinasi dari 5 (lima) organisasi professional. Organisasi tersebut
terdiri dari American Accounting Association, American Instititue of Certified
Public Accountants, Financial Executives International, Instititute of
Management Accountants, dan The Institute of Internal Auditors. Koalisi ini
didirikan untuk menyatukan pandangan dalam komunitas bisnis berkaitan dengan
isu-isu seputar pelaporan keuangan yang mengandung fraud.
Secara garis besar,
COSO menghadirkan suatu kerangka kerja yang integral terkait dengan definisi
pengendalian intern, komponen-komponennya, dan kriteria pengendalian intern
yang dapat dievaluasi. Pengendalian internal terdiri dari 5 komponen yang
saling berhubungan. Komponen-komponen tersebut memberikan kerangka kerja yang
efektif untuk menjelaskan dan menganalisa sistem pengendalian internal yang
diimplementasikan dalam suatu organisasi. Komponen-komponen tersebut, adalah
sebagai berikut:
1) Lingkungan
pengendalian
Lingkungan
pengendalian menetapkan nada organisasi, mempengaruhi kesadaran kontrol dari
orang-orangnya. Ini adalah fondasi untuk semua komponen kontrol internal
lainnya, menyediakan disiplin dan struktur. Faktor lingkungan pengendalian
termasuk integritas, nilai-nilai etika, gaya operasi manajemen, pendelegasian
sistem otoritas, serta proses untuk mengelola dan mengembangkan orang dalam
organisasi.
2) Penilaian
resiko
Setiap
entitas menghadapi berbagai risiko dari sumber eksternal dan internal yang
harus dinilai. Prasyarat untuk penilaian risiko adalah pembentukan tujuan dan
dengan demikian penilaian risiko adalah identifikasi dan analisis risiko yang
relevan dengan pencapaian tujuan yang ditetapkan. Penilaian risiko merupakan
prasyarat untuk menentukan bagaimana risiko harus dikelola.
3) Aktifitas
pengendalian
Aktivitas
pengendalian adalah kebijakan dan prosedur yang membantu memastikan arahan
manajemen dilaksanakan. Mereka membantu memastikan bahwa tindakan yang diperlukan
diambil untuk mengatasi risiko yang dapat menghambat pencapaian tujuan entitas.
Aktivitas kontrol terjadi di seluruh organisasi, di semua level dan di semua
fungsi. Mereka termasuk berbagai kegiatan yang beragam seperti persetujuan,
otorisasi, verifikasi, rekonsiliasi, tinjauan kinerja operasi, keamanan aset
dan pemisahan tugas.
4) Informasi
dan komunikasi
Sistem
informasi memainkan peran kunci dalam sistem pengendalian internal karena
mereka menghasilkan laporan, termasuk informasi operasional, keuangan dan
kepatuhan, yang memungkinkan untuk menjalankan dan mengendalikan bisnis. Dalam
arti yang lebih luas, komunikasi yang efektif harus memastikan arus informasi
turun, melintasi, dan naik ke organisasi. Misalnya, prosedur formal ada bagi orang
untuk melaporkan dugaan penipuan. Komunikasi yang efektif juga harus dipastikan
dengan pihak eksternal, seperti pelanggan, pemasok, regulator dan pemegang
saham tentang posisi kebijakan terkait.
5) Pemantauan
Sistem kontrol internal perlu dipantau
— suatu proses yang menilai kualitas kinerja sistem dari waktu ke waktu. Ini
dicapai melalui kegiatan pemantauan yang sedang berlangsung atau evaluasi
terpisah. Kekurangan kontrol internal yang dideteksi melalui kegiatan
pemantauan ini harus dilaporkan di bagian hulu dan tindakan korektif harus
diambil untuk memastikan perbaikan berkelanjutan dari sistem.
3. ISO 1799
ISO/IEC 17799:2005 menetapkan
pedoman dan prinsip-prinsip umum untuk memulai, menerapkan, mempertahankan, dan
meningkatkan manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang
diuraikan menyediakan panduan umum pada umumnya diterima tujuan manajemen
keamanan informasi.
ISO/IEC 17799:2005 berisi praktek-praktek terbaik
tujuan pengendalian dan kontrol dalam bidang manajemen keamanan informasi:
- kebijakan keamanan;
- organisasi keamanan informasi;
- manajemen aset;
- keamanan sumber daya manusia;
- keamanan fisik dan lingkungan;
- komunikasi dan manajemen operasi;
- kontrol akses;
- informasi sistem akuisisi, pengembangan, dan
pemeliharaan;
- manajemen insiden keamanan informasi;
- manajemen kontinuitas bisnis;
- kepatuhan.
Tidak ada komentar:
Posting Komentar