IT Audit
Audit
menurut Arens, et al. (2003) yang diterjemahkan oleh kanto Santoso Setiawan dan
Tumbur Pasaribu adalah proses pengumpulan dan pengevaluasian bukti-bukti
tentang informasi ekonomi untuk menentukan tingkat kesesuaian informasi
tersebut dengan criteria-kriteria yang telah ditetapkan, dan melaporkan hasil
pemeriksaan tersebut. IT Audit adalah suatu proses kontrol pengujian terhadap
infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial
dan audit internal.IT audit lebih dikenal dengan istilah EDP Auditing
(Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis
aktifitas yang berkaitan dengan komputer. IT Audit merupakan gabungan dari
berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi,
Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. IT Audit
bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan
(availability), kerahasiaan (confidentiality), dan kebutuhan (integrity) dari
sistem informasi organisasi.
Tahapan/Prosedur IT Audit
Tahapan
Perencanaan. Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal
benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang
didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
Mengidentifikasikan
resiko dan kendali. Tahap ini untuk memastikan bahwa qualified resource sudah
dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi
praktik-praktik terbaik.
Mengevaluasi
kendali dan mengumpulkan bukti-bukti melalui berbagai teknik termasuk survei,
interview, observasi, dan review dokumentasi.
Mendokumentasikan
dan mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit.
Menyusun
laporan.Hal ini mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan
yang dilakukan.
contoh prosedur IT Audit
Kontrol
lingkungan:
1.Apakah
kebijakan keamanan (security policy) memadai dan efektif ?
2.Jika
data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg
terikini dari external auditor
3.
Jika sistem dibeli dari vendor, periksa kestabilan financial
4.
Memeriksa persetujuan lisen (license agreement)
Kontrol
keamanan fisik
1.Periksa
apakah keamanan fisik perangkat keras dan penyimpanan data memadai
2.Periksa
apakah backup administrator keamanan sudah memadai (trained,tested)
3.Periksa
apakah rencana kelanjutan bisnis memadai dan efektif
4.Periksa
apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
Kontrol
keamanan logical
1.Periksa
apakah password memadai dan perubahannya dilakukan regular
2.Apakah
administrator keamanan memprint akses kontrol setiap user
Lembar Kerja IT AUDIT
•Stakeholders:
Internal IT Deparment, External IT Consultant, Board of Commision, Management,
Internal IT Auditor, External IT Auditor
•Kualifikasi
Auditor: Certified Information Systems Auditor (CISA), Certified Internal
Auditor (CIA), Certified Information Systems Security Professional (CISSP),
dll.
•Output
Internal IT: Solusi teknologi meningkat, menyeluruh & mendalam, Fokus kepada global, menuju ke
standard-standard yang diakui.
•Output
External IT: Rekrutmen staff, teknologi baru dan kompleksitasnya, Outsourcing yang tepat, Benchmark /
Best-Practices.
•Output
Internal Audit & Business: Menjamin keseluruhan audit, Budget & Alokasi
sumber daya, Reporting.
Contoh Lembar Kerja IT Audit:
Gambar
berikut ini merupakan contoh lembar kerja pemeriksaan IT Audit. Gambar A untuk
contoh yang masih ‘arround the computer‘, sedangkan B contoh ‘through the
computer‘.
Contoh
Metodologi IT Audit:
BSI
(Bundesamt for Sicherheit in der Informationstechnik):
●
IT Baseline Protection Manual (IT- Grundschutzhandbuch )
●
Dikembangkan oleh GISA: German Information Security Agency
●
Digunakan: evaluasi konsep keamanan & manual
●
Metodologi evaluasi tidak dijelaskan
●
Mudah digunakan dan sangat detail sekali
sumber:
http://triajiwantoro.blogspot.com/2015/03/contoh-prosedur-lembar-kerja-it-audit.html
Tidak ada komentar:
Posting Komentar