BAB VI RESIKO & PENGANDALIAN TEKNOLOGI INFORMASI

Pembobolan situs computer, bencana alam, dan kebocoran data pribadi adalah merupakan beberapa contoh resiko yang mengancam teknologi informasi (IT). Fungsi internal audit bisa berperan penting dalm mengatasi risiko-risiko IT. Pada umumnya mengukur resiko teknologi dan mengevaluasi aktivitas pengendalian adalah tanggungjawab dari para spesialis audit IT. Komponen-komponen utama dari teknologi informasi modern Adapun kunci komponen-komponen utama tersebut adalah sebagai berikut: 1. Perangkat keras komputer (hardware computer) 2. Sistem-sistem operasi 3. Sistem-sistem aplikasi 4. Operasi teknologi informasi (IT) 5. Sistem-sistem database 6. Jaringan Penjelasan : 1. Perangkat keras komputer (hardware computer) Fungsi dasar adalah sebagai penggerak, monitor, keyboard, printer, chip computer, dan memori. Dasar aktivitas pengendalian computer adalah meringankan resiko yang berhubungan pada perangkat keras computer.

Intern Security et Router

DMZ Router

SQL Server

Web Server Cluster Content Replication Server SQL : system manajemen database relational yang diciptakan Microsoft

Gambar diatas (tampilan 6.2) menunjukkan tipe-tipe server yang berbeda termasuk frontend security router, web server, dan database, dan content server. Semua hal tersebut merupakan komponen-komponen yang diperlukan untuk mendukung sebuah aplikasi berbasis internet dan harus disimpan dlam lokasi yang aman. 2. Sistem-sistem operasi Program software yang menjalankan computer dan menjalankan tugas-tugas dasar, seperti mengenali input dari keyboard, mengirim output ke printer, menyimpan file dan direktori pada hard drive, dan mengontrol sejumlah server yang mendukung aplikasi internet. 3. Sistem-sistem aplikasi Program dirancang untuk pengguna akhir seperti penggajian (nota payroll), akun pembayaran, dan pada beberapa kasus aplikasi umum seperti system Sumber Perencanaan Perusahaan (Enterprise Resource Planning/ ERP) yang menyediakan berbagai fungsi bisnis. Banyak perusahaan sekarang menggunakan system ERP yang memerlukan fungsi internal audit agar mereka bisa mengaudit system-sistem tersebut secara efisien. 4. Operasi teknologi informasi (IT) Merupakan area yang menjalankan fungsi computer dan sejumlah alat. Operasi-operasi IT bertanggungjawab atas dukungan, perawatan, dan operasi yang berlangsung 5. Sistem-sistem database Contohnya SQL server, menyediakan sebuah system yang memungkinkan untuk menyimpan, modifikasi, dan peringkasan data. 6. Jaringan Kemungkinan computer dan tujuan untuk komunikasi dan dihubungkan bersamaan untuk menyediakan transfor data dan operasi berbagai macam computer dan ditujukan pada suatu organisasi. Jaringan termasuk seluruh jaringan internet yang ada di seluruh dunia. 10 risiko utama yang teridentifikasi oleh komite teknologi lanjutan IIA (tampilan 6.3) 1. Legislasi dan pelaksanaan pengaturan 2. Ancaman/ kerentanan manajemen (Aplikasi, DDOS, IM, SPAM, Virus, Trojan, Worms )

3. Rahasia (termasuk perlindungan terhadap identitas) 4. Pengawasan lanjutan/ peneriksaan/ asuransi. 5. Pengamanan pemancar. 6. Perlindungan gangguan (termasuk batasan, pemantauan, analisis, tindakan, ) 7. Sumber IT (termasuk lintasan) 8. Metrik pengamanan perusahaan (spatboard, scorecard, analisa, ) 9. Identitas manajemen. 10. Akuisisi dan pembebasan-dampak dari system manajemen Model COSO untuk pengendalian teknologi

Lingkungan Pengendalian Penafsiran Risiko Aktivitas Pengendalian Informasi dan Komunikasi Pemantauan i. ii. iii. iv. v. Pemantauan Informasi dan komunikasi Aktivitas pengendalian Penafsiran resiko Lingkungan pengendalian Keterangan: Pemantauan Metrik bulanan dari bentuk teknologi Biaya teknologi dan analisis bentuk pengendalian Penaksiran manajemen teknologi sepanjang waktu Audit internal pada perusahaan teknologi Audit internal pada area risiko yang tinggi

Informasi dan komunikasi

Komunikasi periodic perusahaan (intramet, e-mail, meetings, mailing) Survei pertunjukan IT Pelatihan keamanan dan IT Membantu untuk menyelesaikan masalah

Aktivitas pengendalian Pembahasan kembali dalam penggantian manajemen Perbandingan teknologi untuk rencana dan pengembalian investasi Dokumentasi dan rencana pengembalian IT dan system arsitektur Pelaksanaan dengan standart informasi dan standart pengamanan fisik Kepatuhan terhadap penaksiran resiko bisnis berkelanjutan Standart pelaksanaan teknologi.

Penaksiran risiko Risiko IT termasuk di dalamnya penaksiran risiko korporasi Integritas IT termasuk penaksiran risiko bisnis Perbedaan pengendalian IT untuk area ataupun fungsi risiko bisnis yang tinggi. Penaksiran audit internal IT Penaksiran akuntansi IT.

Lingkungan pengendalian Penyesuaian yang utama-IT dan pengendalian keamanan penting untuk dipertimbangkan. Termasuk kebijakan teknologi dan kebijakan keamanan informasi. Komisi pengatur perusahaan teknologi. Arsitektur teknologi dan komisi standart. Gambaran umum dari semua unit bisnis

Pengklasifikasian aktivitas pengendalian IT

Ada beberapa metode untuk mengklasifikasikan/ menggolongkan aktivitas pengendalian IT. Secara umum dapat dijelaskan sebagai berikut: 1). Aktivitas Pengendalian Umum dengan Aplikasi Aktivitas Pengendalian

 Aktivitas pengendalian umum meliputi semua system IT dan digunakan untuk meyakinkan integritas, keandalan, dan keakuratan system pengaplikasian Tipe aktivitas pengendalian umum meliputi: a. Standart pengembangan system b. Prosedur dan kebijakan pengamanan informasi c. Kesepakatan-kesepakatan pada tingkat pelayanan dengan vendor d. Praktek dan prosedur pemantauan jaringan e. Standart pengkodean system f. Standart produk dan bentuk perangkat keras/ hardware computer g. Penyambungan perangkat keras dan lunak, konfigurasi, dan standart pengujian. Aktivitas pengendalian aplikasi berhubungan dengan system aplikasi individual. Misi utama dari fungsi system informasi adalah menjalankan aplikasi yang menguntungkan pengguna sistem. Desain aplikasi: sering disebut sebagai spesifikasi fungsional.Spesifikasi-spesifikasi fungsional diterjemahkan menjadi spesifikasi-spesifikasi detail oleh analisis system, dan kemudian dipakai untuk menuliskan program-program yang menyusn system aplikasi. Aplikasi suara: memiliki prosedur-prosedur khusus untuk input, pemrosesan, output, dan penyimpanan untuk melindungi asset-aset aplikasi yang berharga. Biasanya perlindungan diberikan oleh kombinasi pengendalian aktivitas umum dan aplikasi yang dirancang untuk memberikan kelengkapan dan akurasi input, update versi yang tepat dari file data selama pemrosesan, distribusi output dan laporan, dan mengawasi penyimpanan program dan file data, baik online maupun offline. Aktivitas pengendalian input memastikan semua transaksi dimasukkan untuk pemrosesan yang lengkap dan akurat. Aktivitas pengendalian input mencakup siapa yang mendapatkan laporan, penetapan waktu penerimaan laporan, dan level informasi yang diperlukan oleh sejumlah pemakai, dan lain-lain.

Aktivitas pengendalian penyimpanan diperlukan pada level aktivitas aplikasi dan pengendalian untuk mencakup program-program aplikasi, file data, formulir input, dan blanko input, termasuk cek kosong atau formulir pengisian. ** 4 prinsip GAIT 1) Hanya elemen-elemen infrastuktur (antara lain: database, pengoperasian system, jaringan relevan dengan aktivitas pengendalian umum (ITGC) 2) Proses IT yang utama, relevan dengan perkiraan ITGC yaitu mempengaruhi langsung integritas aplikasi keuangan dan data yang signifikan, seperti: Manajemen pergantian dan pengembangan system b) c) Manajemen operasi Manajemen keamanan

3) Pengaruh terhadap integritas aplikasi keuangan dan data yang signifikan, yang mencakup pengendalian, berhasil atau gagalnya proses IT yang obyektif. 4) Dasar dari pengidentifikasian kunci pengendalian terdapat pada 3 proses IT yang didasarkan pada: Resiko bawaan tidak menghasilkan proses IT yang obyektif Risiko proses IT yang obyektif 2). Pengaturan, Manajemen, dan Teknik Aktivitas Pengendalian A) Pengaturan aktivitas Pengendalian

Hu ku m

pengaturan

Standart Organisasi dan Manajemen

manaje men

Pengendalian alam & lingkungan Pengendalian perangka lunak & sistem Pengendalian pengembangan sistem Aplikasi Pengendalian dasar
Tek nik

Lanjutan dihalaman berikutnya Tanggungjawab utama dari pengendalian intern yaitu pada dewan pengurus dalam perannya dalam menjaga tanggungjawab dari kerangka pengaturan. Kerangka pengendalian intern teknologi informasi-GTAG (tampilan 6.6) 1. Pengaturan 2. Manajemen --- Hukum --- Standart Organisasi dan manajemen Pengendalian alam dan lingkungan 3. Teknik --- Pengendalian perangkat lunak system Pengendalian pengembangan system Aplikasi pengendalian dasar. B) Manajemen aktivitas pengendalian

Tanggung jawab manajemen kepada tipe pengendalian intern adalah mencapai semua wilayah organisasi untuk menilai assets, sensitifitas informasi dan fungsi operasional. C) Teknik aktivitas pengendalian Teknik pengendalian adalah bentuk dasar yang menjamin reabilitas sesungguhnya pada setiap pengendalian organisasi. Perancangan dan pengembangan aktivitas pengendalian IT Perhatian yang cukup harus diberikan pada integritas aktivitas pengendalian guna penyusunan sebuah aplikasi yang dapat menjamin bahwa system tersebut memiliki integritas untuk digunakan. Para auditor internal harus meninjau system-sistem aplikasi dan lingkungan IT secara keseluruhan dan mengidentifikasi aktivitas pengendalian umum dan aplikasi yang tepat. Sumber teknologi informasi Banyak organisasi yang berpindah ke arah sumber fungsi teknologi. Termasuk di dalamnya orang, proses, perangkat keras dan lunak.Sifat global dari telekomunikasi dan internet memungkinkan organisasi mengacu kemajuan teknologi utama tanpa proyekproyek korporat utama, outsourcing merupakan solusi yang nyata. Teknologi yang muncul Ketika teknologi terus berubah dengan cepat dan pengenalan model-model bisnis baru terus muncul bersamaan dengan ekspansi cepat e-bisnis, resiko-resiko teknologi baru akan muncul. Organisasi menjadi semakin independent pada jaringan/network ketika interkoneksi antar organisasi dan individu semakin meningkat. 3 kategori penting atas aktivitas pengendalian umum IT 1) Pengawasan fisik dan informasi Aktivitas pengendalian IT merupakan kunci bagi perlindungan dan keamanan data. Pegendalian aktivitas tersebut mengatasi risiko-risiko akses illegal ke informasi. Penting bagi keamanan informasi dan isu pengendalian untuk diatasi dengan penggunaan teknologi baru. Teknologi baru tidak hanya digunakan untuk membantu memperbaiki produktivitas tapi juga untuk memperbaiki control dan keamanan. Sekuritas fisik semakin penting bagi system pengendalian internal yang efektif. Aktivitas pengendalian fisik merupakan lapisan ertama kontrl terhadap akses computer. Karena

data dipelihara pada banyak system computer yang berbeda seperti PC dan alat-alat genggam yang lebh kecil, sekuritas fisik pada alat-alat tersebut juga harus diperhatikan. 2) Manajemen pergantian Manajemen pergantian mencakup semua proses dalam organisasi, tidak hanya teknologi. Ketika sebuah system digunakan, terjadilah perubahan. Perubahan itu berupa peningkatan, upgrade, penambahan atau respon-respon terhadap problem. GTAG-2 berfokus pada manajemen perubahan dan manajemen jalur. Ada 5 risiko utama dar manajemen perubahan yang buruk: a. Perubahan illegal b. Outage tak berecana c. Angka sukses perubahan rendah d. Jumlah perubahan darurat tinggi e. Implementasi proyek tertunda. 3) Bisnis lanjutan & penanggulangan bencana Bisnis lanjutan yaitu perencanaan terhadap ancaman bisnis. Penanggulangan bencana adalah proses penanggulangan dari ancaman yang diakibatkan system. Cara terbaik untuk merencanakan potensi bencana adalah merampungkan sebuah analisis dampak bisnis (Business Impact Analysis/ BIA). Dalam sebuah BIA, unit-unit organisasional diidentifikasi dan kerentanan ditetapkan. Langkah-langkah selanjutnya adalah mengidentifikasi strategi-strategi untuk meminimalisir risiko. Salah satu asumsi dasar di balik BIA adalah bahwa setiap komponen organisasi mengandalkan pada fungsi setiap komponen lain secara konstan dan beberapa komponen lebih penting daripada yang lain dan memerlukan alokasi dana yang lebih besar saat bangkit dari bencana. konsultasi. Bagaimana IT mempengaruhi auditing internal? Aktivitas pengendalian audit IT adalah sebuah komponen, integral Semua auditor intern harus memiliki dasar pengetahuan mengenai Auditor intern menggunakan IT dalam menjamin dan proses Contohnya antara lain, penggunaan kertas kerja elektonik dan dalam proses audit bisnis dimana aktivitas pengendalian IT ada pengendalian dan risiko IT

perangkat software lainnya untuk meningkatkan proses engagement.

Para spesialis audit IT

Setiap auditor internal harus berpengetahuan tentang risiko-risiko IT fundamental dan aktivitas-aktivitas pengendalian, dan area-area teknis yang memerlukan tingkat keahlian yang lebih mendalam. 1) Mencakup 2) 3) 4) 5) Auditing kontinyu : Struktur audit IT (tampilan 6-7) Pengertian pengendalian audit Pengaturan, manajemen, teknik/aplikasi umum, pencegahan,

penyelidikan, koreksi, keamanan informasi Pentingnya pengendalian IT Tugas dan tanggungjawab Pemantauan dan teknik Penaksiran Terdiri dari : reabilitas dan efektivitas, keuntungan persaingan, regulasi dan legislasi Yaitu : Analisis risiko, tanggapan risiko, pengendalian dasar Yaitu : Kerangka pengendalian, frekuensi Yaitu : Metodologi, komisi audit. Auditing kontinyu memungkinkan fungsi internal audit berfokus pada pengecualiannya dan mendapatkan cakupan area risiko tinggi yang jauh lebih besar. Selain itu, penipuan bias dideteksi secara tepat waktu sehingga mengurangi kerugian financial bagi perusahaan. Sertifikasi-sertifikasi bagi para auditor IT dan professional risiko teknologi. Para internal auditor yang menginginkan spesialisasi dalam auditing system informasi atau mengejar karir dalam manajemen risiko teknologi harus mempertimbangkan sertifikasi. Menggunakan computer sebagai perangkat audit Banyak perangkat audit internal khusus asset ini disediakan untuk interface dan download ke PC atau server. Beberapa perangkat software tersebut merupakan software

umum, sementara beberapa lagi dirancang untuk menangani problem khusus yang dihadapi oleh para internal auditor