Anda di halaman 1dari 16

1.

1 Phase Audit Sistem Informasi

Dalam melakukan audit terhadap Sistem Informasi, seorang auditor harus


mempertimbangkan pengawasan terhadap hal-hal yang berhubungan dengan komputer
pada saat melakukan penilaian terhadap integritas, kerahasiaan, dan ketersediaan data
komputer. Untuk mendukung kemudahan dalam melakukan audit tersebut, maka ada
beberapa phase yang sebaiknya dilakukan :

1.1.1 Phase Perencanaan

Selama phase ini, auditor berusaha mengerti keterhubungan antar operasional


komputer dan kontrolnya serta resiko yang terkait. Dari sudut pandang resiko yang ada,
auditor secara sementara memutuskan kontrol mana yang kelihatannya lebih efektif. Jika
kontrol tersebut dirasa efektif dan relevan dengan tujuan audit maka auditor harus
menentukan cakupan kerja audit yang dibutuhkan untuk mengkonfirmasi kesimpulan
sementara yang dibuatnya.

1.1.2 Phase internal kontrol

Dalam phase ini, auditor memeriksa informasi mengenai kebijakan


pengawasan, prosedur dan tujuan serta performa uji dari aktivitas kontrol secara
detail. Tujuan dari pemeriksaan ini adalah untuk menentukan apakah kontrol
operasional yang ada sudah efektif. Jika kontrol dirasa cukup efektif maka auditor
melakukan uji dan evaluasi terhadap kefektifan kontrol terhadap aplikasi tersebut.
Sebaliknya jika kontrol dirasa belum efektif maka kontrol pada level aplikasi
tidak diuji. Jika tujuan audit mengidentifikasi kelemahan kontrol pada sebuah
aplikasi dimana pegawai memiliki kemungkinan potensial untuk melakukan
kecurangan, maka penilaian terhadap kontrol aplikasi perlu dilakukan seperti
berikut :

- Apakah data dipersiapkan secara lengkap, valid dan bisa dipercaya;

- Apakah data dikonversi secara otomatis dari form dan dimasukkan ke dalam
aplikasi seacra akurat, lengkap dan tepat waktu;

- Apakah data diproses oleh aplikasi secara lengkap dan tepat waktu, sesuai
kebutuhan, dan

- Apakah output dilindungi dari penyalahgunaan modifikasi atau kerusakan


dan distribusi sesuai dengan kebijakan yang ada.

Auditor mengevaluasi dan menguji keefektifan dari kontrol aplikasi melalui


observasi terhadap kontrol dari operasional, pengujian dokumentasi terkait,diskusi
dengan personil terkait, dan penilaian kembali terhadap kontrol yang telah diuji.

1.1.3 Phase Pengujian


Pada phase ini, pengujian yang dilakukan melibatkan dokumen-dokumen
sumber yang mendukung transaksi dalam menentukan apakah dokumen-dokumen
tersebut di catat, diproses, dan dilaporkan secara sesuai dan lengkap. Seorang auditor
sistem informasi seharusnya didampingi oleh auditor keuangan dalam mengidentifikasi
dan menyeleksi transaksi yang diproses oleh komputer untuk diuji.

1.1.4 Phase Pelaporan

Pada phase ini, auditor menghasilkan opini pada akhir periode tentang apakah
kontrol internal sudah cukup dalam mengantisipasi pencegahan atau deteksi kerugian,
noncompliance atau missstatement yang cukup material berhubungan dengan laporan
keuangan.

1.2 Steps to perform audit planning pada ATM

Langkah audit yang dilakukan antara lain:

-Memperoleh pemahaman tentang misi bisnis,tujuan dan proses, yang meliputi informasi
dan persyaratan pengolahan, seperti ketersediaan, integritas, keamanan dan teknologi
bisnis.Pada langkah ini kita harus mempelajari tujuan dan fungsi dari dibangunnya sistem
ATM,dimana kita mempelajari proses dari aplikasi system dan data yang menjadi sumber
proses ATM tersebut untuk menghasilkan informasi.

Pemahaman ini dimulai dari:


• Ketersediaan yaitu apakah sistem tersebut mempunyai data yang ada
dan dapat digunakan untuk melakukan audit.Integritas dilihat bahwa data tersebut
saling terkait untuk mendukung proses audit.

• Keamanan yaitu data tersebut haruslah aman.

• Teknologi bisnis yaitu dapat mempelajari jalannya proses ATM secara umum.

-Mengidentifikasi isi dari informasi bisnis terkait ATM.

Identifikasi tersebut antara lain:

• Kebijakan yaitu mempelajari dan memahami prosedur sistem ATM pada


pelanggan.
• Standar yaitu memahami proses kegiatan pemakain sistem ATM oleh pelanggan.
• Pedoman yaitu memakai pedoman sistem ATM yang biasa digunakan untuk
melihat kesalahan2 sistem ATM yang tidak sesuai dengan pedoman yang ada.
• Prosedur yaitu memakai prosedur audit sistem yang terkait dengan kegiatan
sistem informasi bisnis yang berlaku pada perusahaan.
• Struktur organisasi yaitu mengetahui struktur pihak intern perusahaan yang
terlibat dalam pengolahaan sistem tersebut.

- Evaluasi penilaian risiko dan analisis dampak privasi apapun yang dilakukan oleh
manajemen.

Pada tahap ini akan dilakukan kegiatan pemeriksaan sistem manajemen resiko pada ATM
apakah sudah berjalan dengan baik untuk melindungi sistem ini dari ancaman,dan mempelajari
kembali kegiatan evaluasi yang dilakukan oleh manajemen apakah kegiatan yang dilakukan oleh
manajemen menimbulkan resiko pada ATM atau manajemen telah melakukan penyimpamgan
dan penyalahgunaan sistem terkait.

Strategi Pelaksanaan Pengujian kontrol

1. Penilaian risiko kontrol berdasar kontrol pengguna

2. Perencanaan risiko kontrol rendah berdasar kontrol aplikasi

3. Perencanaan risiko kontrol tinggi berdasar kontrol umum dan tindak lanjut manual

- Melakukan Analisis resiko.

Untuk menentukan kecenderungan dari dampak negatif, maka ancaman pada sistem IT harus
dianalisa bersamaan dengan potensi kelemahan dan kontrol yang ada pada sistem IT. Rating
kecenderungan dan kelemahan dapat dianalisa dengan melakukan langkah – langkah berikut:

Langkah 1: Informasi Karakteristik Sistem

Karakteristik sistem diperlukan untuk memperoleh informasi sehubungan dengan batasan analisa

risiko yang akan dilakukan serta untuk mendapatkan informasi (seperti hardware, software,

konektivitas, dsb) yang diperlukan dalam menetapkan risiko.

Dalam mengidentifikasi risiko, maka perlu dilakukan pengumpulan informasi yang berhubungan

dengan sistem informasi, yang biasanya dikelompokkan sebagai berikut:

• Hardware

• Software
• Interface sistem (konektivitas internal dan eksternal)

• Data dan informasi

• Personil yang menjadi support dan pengguna IT

• Misi sistem (misalkan proses yang dilakukan sistem IT)

• Tingkat kritis sistem dan data

• Sensitivitas data dan sistem

Langkah 2: Identifikasi Ancaman

Sebuah ancaman adalah potensi dimana sebuah sumber kejadian berhasil memanfaatkan
kelemahan yang ada. Sebuah sumber ancaman tidak akan menimbulkan risiko jika tidak ada
kelemahan yang dapat dimanfaatkan. Dalam menentukan kecederungan sebuah ancaman, maka
harus dipertimbangkan sumber ancaman, potensi kelemahan dan kontrol yang ada.

Langkah 3: Identifikasi Kelemahan

Kelemahan (vulnerability) adalah celah/cacat pada prosedur keamanan, implementasi, atau


internal control (disengaja maupun tidak) dan mengakibatkan kerugian pada operasional.

Analisa terhadap ancaman dalam sistem IT harus mencakup analisis terhadap kelemahan dalam
lingkungan sistem. Contoh dari kelemahan adalah karyawan yang sudah dikeluarkan masih
tercatat dalam sistem payroll. Tujuan dari tahapan ini adalah untuk mendapatkan list kelemahan
pada sistem yang dapat diungkapkan oleh sumber ancaman.

Langkah 4: Analisa Kontrol

Tujuan dari tahap ini adalah untuk menganalisa kontrol yang sudah diimplementasikan atau
direncanakan untuk diimplementasikan oleh organisasi untuk meminimalisasi atau
menghilangkan kecenderungan (kemungkinan) sebuah ancaman memanfaatkan kelemahan
sistem.

Untuk memperoleh rating kecenderungan yang mengindikasikan kemungkinan sebuah


kelemahan dapat dimanfaatkan dalam lingkungan yang penuh ancaman, implementasi dari
kontrol yang ada dan akan dibangung harus dipertimbangkan. Sebagai contoh, sebuah kelemahan
tidak akan dimanfaatkan atau kecenderungannya rendah jika sumber ancaman rendah atau jika
terdapat kontrol yang efektif.

Langkah 5: Penetapan Kecenderungan

Untuk mendapatkan rating kecenderungan yang mengindikasikan kemungkinan kalau kelemahan


dapat dimanfaatkan oleh ancaman, maka faktor berikut perlu dipertimbangkan:

a. Sumber ancaman

b. Kelemahan yang ada

c. Keberadaan dan efektivitas kontrol yang ada

Langkah 6: Analisa Dampak

Langkah berikutnya dalam melakukan pengukuran level risiko adalah menetapkan dampak
negatif akibat keberhasilan sebuah ancaman memanfaatkan kelemahan yang ada. Sebelum
memulai analisa dampak, pertama kali perlu didapatkan informasi berikut:

a. Misi sistem

b. Tingkat kritis sistem dan data

c. Sensitivitas sistem dan data

Data diatas dapat dipergunakan sebagai dasar dalam menentukan indikator risiko yang dapat
berdampak negatif pada sistem serta menentukan besaran kualitatif dari dampak yang ada.

Langkah 7: Penetapan Risiko

Tujuan dari tahap ini adalah untuk menilai level risiko pada sistem IT. Penetapan risiko untuk
ancaman/kelemahan tertentu dapat digambarkan sebagai ekspresi:

a. Kecenderungan sebuah sumber ancaman mengungkapkan sebuah kelemahan

b. Besaran dampak dimana sebuah sumber ancaman berhasil mengungkapkan sebuah kelemahan

c. Kecukupan control yang ada maupun yang akan diterapkan untuk mengurangi atau
menghilangkan risiko.
Langkah 8: Rekomendasi Kontrol

Selama tahapan proses analisa risiko, kontrol yang dapat memitigasi atau menghilangkan risiko
yang ada harus ditetapkan. Tujuan dari kontrol yang direkomendasikan adalah untuk mengurangi
level risiko pada sistem IT dan datanya sampai pada level yang dapat diterima. Faktor berikut
harus dipertimbangkan dalam merekomendasikan kontrol dan solusi alternatif untuk
meminimalisasi atau mengeliminasi risiko yang ada adalah:

• Efektivitas dari opsi yang ditawarkan

• Legislasi dan regulasi

• Kebijakan organisasi

• Dampak operasional

• Keamanan dan reliabilitas

-Melakukan pemeriksaan pengendalian internal

Pada tahap ini kegiatan pengendalian intern dapat mencegah kerugian atau pemborosan

pengolahan sumber daya system ATM yang dipakai.Pengendalian intern dapat

menyediakan informasi tentang bagaimana menilai kinerja system ATM dan manajemen

system serta menyediakan informasi yang akan digunakan sebagai pedoman dalam

perencanaan.

Tujuan pengendalian intern adalah menjamin manajemen perusahaan agar:

-Tujuan perusahaan yang ditetapkan akan dapat dicapai.

-Laporan keuangan yang dihasilkan perusahaan dapat dipercaya.


-Kegiatan perusahaan sejalan dengan hukum dan peraturan yang berlaku.

-Mengatur ruang lingkup audit dan tujuan audit

1. Manajemen Proyek

Melakukan review atas manajemen proyek untuk memastikan bahwa semua outcome yang

diharapkan tertuang dalam rencana proyek. Pada tahapan ini, auditor TI melakukan review atas

project charter, sumber daya yang akan digunakan, alokasi penugasan dan analisa tahapan

pekerjaan proyek.

2. Desain Proses dan Pengendalian Kontrol Aplikasi

Review mengenai desain pengendalian dalam modul-modul Perbankan tersebut, yaitu pinjaman

dan tabungan. Untuk itu dilakukan review atas desain proses dimana auditor mengevaluasi

proses, risiko dan pengendalian mulai dari tahapan input, proses maupun output.

3. Desain Infrastruktur

Review ini mencakup analisa efektivitas dan efisiensi desain infrastruktur pendukung (server,

workstation, sistem operasi, database dan komunikasi data).

Hasil follow up dijadikan dasar oleh manajemen untuk memulai implementasi sistem Perbankan

yang terintegrasi tersebut.

Berdasarkan nilai tambah yang diberikan melalui rekomendasi pada fase pertama, perusahaan

menunjuk kembali auditor untuk melakukan review fase kedua secara paralel pada saat

implementasi dilakukan, yaitu review terhadap:

-Migrasi data, pada saat “roll-out” ke cabang-cabang, termasuk kapasitas pemrosesan dan

penyimpanannya.

-Aspek lainnya termasuk persiapan help-desk , contingency dan security .

-Kesiapan pemakai dalam menggunakan sistem ini, kualitas pelatihan yang diberikan dan
dokumentasi pengguna ( user manual )

-Prosedur-prosedur manajemen perubahan ( change management ) dan testing

- Mengembangkan pendekatan audit atau audit strategy

Pada tahap ini pendekatan audit sistem informasi yang dapat dikategorikan ke dalam tiga

kelompok, yaitu : (a) auditing around the computer (b) auditing with the computer dan (c)

auditing throught the computer.

(a) Auditing around the computer, adalah mentrasir balik (trace -back) hasil olahan komputer

antara lain output ke bukti dasarnya antara lain input tanpa melihat prosesnya. Auditing with the

computer, pendekatan ini menitikberatkan pada penggunaan komputer sebagai alat bantu audit .

Alat bantu audit ini berupa komputer dilengkapi dengan software umum audit( enerale audit

software, biasa disingkat GAS)

(b) Auditing with computer yaitu kegiatan audit yang berkenaan dengan sistematika informasi

yang menggunakan perangkat computer sebagai bahan media kegiatan informasi.

(c) Auditing throught the computer, auditor harus memperlakukan komputer sebagai target audit

dan melakukan audit throught atau memasuki area program. Oleh sebab itu pendekatan

Auditing throught the computer termasuk juga dalam CAATs (Computer Assisted

AuditTechnique ) yaitu teknik audit berbantuan komputer (TABK). Beberapa auditor

memutuskan menggunakan pendekatan Auditing throught ini karena alasan berikut :

a. Ketidakmampuan untuk melokalisir source document atau print-out karena memang

rancangan sistem pengarsipan yang digunakan menghendaki demikian.

b. Kekhawatiran bahwa jumlah yang ditunjukkan pada print-out komputer tidak sama dengan

saldo yang ada (ter-record) di file komputer.


- Tetapkan keterlibatan sumber daya personel untuk mengaudit

Suatu daftar periksa untuk menilai seluruh aspek dari manajemen sumber daya manusia dalam

suatu perusahaan.

Langkah langkah dalam proses audit antra lain:

-Memperkenalkan gagasan audit dan menekankan manfaat yang diperoleh

-Memilih personel dengan ketrampilan yang luas dan memberikan pelatihan

-Mengumpulkan data dari tahun yang berbeda dalam organisasi

-Menyiapkan laporan audit untuk manager lini dan evaluasi departemen SDM

-Mendiskusikan laporan dengan manager operasi

-Menyatukan tindakan korektif

1.3 Teknik Pengawasan dan Prosedur Audit pada ATM

Sebelum teknik pengawasan dan prosedur audit dilakukan,identifikasi

sistem merupakan hal utama yang harus dilakukan terlebih dahulu.

Tahapan ini bertujuan untuk mengetahui secara detail mengenai sistem yang

akan diaudit. Beberapa hal yang perlu diperhatikan pada saat identifikasi

adalah :

-diagram keseluruhan sistem Informasi

-organisasi dan staff pada sistem Informasi

-operasional

-kelangsungan operasional

Setelah Identifikasi sistem diketahui, maka teknik pengawasan dan prosedur audit

dapat dilakukan. Berikut adalah tahapan evaluasi dan uji pada sistem informasi yang
harus dilakukan :

1. Akses kontrol (AC)

Pembatasan dan pendeteksian akses ke komputer sumber (data, program, peralatan, dan

fasilitas), dalam rangka melindungi sumber-sumber tersebut dari modifikasi sewenang-

wenang, kehilangan, dan keterbukaan.

Aktivitas kontrol Teknik kontrol Prosedur audit

AC-1. Klasifikasi dan kriteria telah Review kebijakan dan


Klasifikasi sumber dibuat dan dikomunikasikan prosedur tertulis
informasi berdasarkan kepada pemilik sumber. Interview pemilik sumber
tingkat kekritisannya dan Sumber-sumber Review dokumentasi
sensitivitasnya. diklasifikasikan klasifikasi sumber dan
berdasarkan penilaian bandingkan dengan
resiko. penilaian resiko.
Klasifikasi Diskusikan setiap perbedaan
didokumentasikan dan yang ada dengan personil
disetujui oleh senior official terkait.
yang berwenang dan
direview secara periodik.
AC-2. Apakah hak akses telah: Review kebijakan dan
Pemeliharaan daftar - Didokumentasikan dalam prosedur tertulis yang
otorisasi pemakai dan hak form standar dan diarsipkan terkait
aksesnya. dalam file. Untuk pemilihan user,
- Disetujui oleh manajer review dokumentasi
senior otorisasi akses
Pemilik secara periodik Interview pemilik dan
mereview daftar otorisasi review dokumentasi
akses dan menentukan pendukung
apakah masih cocok untuk Review otorisasi dan
diterapkan. penyesuaian
Setiap perubahan dari profil Interview security manajer
keamanan oleh manajer dan review dokumentasi
secara otomatis di catat dan yang mereka hasilkan.
direview secara periodik Review perubahan profil
oleh independen dan catatan kegiatan.
manajemen dari fungsi Review kebijakan dan
keamanan. Aktivitas yang prosedur terkait
tidak biasa terjadi di Bandingkan hak otorisasi
investigasi. tersebut dengan daftar user
Apakah otorisasi akses berwenang pada sistem
darurat dan sementara: yang sudah berjalan
- didokumentasikan pada
format standar dan
dipelihara dalam file
- disetujui oleh menajer
terkait

- dikomunikasikan secara
aman kepada fungsi
keamanan
- secara otomatis
diterminasi setelah periode
tertentu

AC-3. Identifikasi fasilitas yang Review diagram fisik dari


Membangun kontrol fisik sensitif dan kritis layout komputer,
dan logik untuk mencegah Semua ancaman yang serius telekomunikasi dan fasilitas
atau mendeteksi hak akses terhadap sumber fisik telah sistem pendinginan
yang tidak berwenang diidentifkasi dan telah Datangi fasilitas
ditentukan keterhubungan Review analisis resiko
resikonya Review daftar akses
Akses terbatas pada individu
individual yang secara rutin Observasi masuk dan keluar
membutuhkan akses melalui dari fasilitas selama dan
tanda pengenal atau entry setelah jam bisnis normal
device (kunci kartu) Observasi utilitas akses path
Manajemen secara reguler Interview manajemen
mereview daftar orang yang Interview pegawai
memiliki akses ke fasilitas Review kebijkan dan
sensitif dan kritis prosedur terkait
Kunci atau akses lainnya Interview user
dibutuhkan untuk masuk Review parameter password
kedalam ruang komputer software keamanan
dan penyimpanan tape / Observasi user dalam
media. memakai password
Password : Coba log on tanpa password
- unik untuk setiap individu yang benar
- dikontrol oleh user yang Lihat contoh dari file
ditugasi dan subjek tidak password
untuk dibuka Interview security
- dirubah secara periodik asministratiors dan sistem
setiap 30 – 90 hari user
- tidak ditampilkan saat Observasi penggunaan
diinput terminal
- minimal panjang 6 Review parameter software
karakter alphanumerik keamanan
Review daftar ID yang tidak
File password di enkripsi aktif, dan tentukan kenapa
Software keamanan akses dari user tersebut
digunakan untuk akses belum diterminasi.
terbatas Interview database
Terminal komputer secara administrator
otomatis logged off dalam Review parameter DBMS
periode tertentu jika tidak dan DD security
ada aktivitas Uji kontrol dengan mencoba
Account user yang tidak akses pada file-file terbatas
aktif dimonitor dan dihapus Review parameter sistem
jika tidak dibutuhkan keamanan
Database Management Untuk mengevaluasi
System (DBMS) dan Data kriptograpi tools, auditor
Dictionary (DD) kontrol harus didampingi dengan
telah diimplementasikan :
- akses terbatas pada file
data pada logical data view,
field, or field level value

- akses kontrol ke DD
menggunakan profil
security dan password
- memelihara jejak audit
untuk memonitoring
perubahan DD

Penggunaan DBMS dibatasi


Peralatan Kriptograpi telah
diimplementasikan untuk
melindungi integritas dan
kerahasiaan data sensitif
dan kritis serta program
software

AC-4. dengan akses ke dan Review setting software


Pengawasan akses, modifikasi dari file sensitif keamanan untuk
investigasi pelanggaran, dan kritis di catat mengidentifikasi jenis dari
penanganannya Kerusakan keamanan dan catatan kegiatan
aktivitas dilaporkan ke Review laporan kerusakan
manajemen dan pada keamanan
diinvestigasi Interview senior manajemen
Kerusakan dibuat dan personil yang
ringkasannya dan bertanggung jawab atas
dilaporkan ke senior ringkasan kerusakan
manajemen Review dokumentasi
pendukung
2. Software aplikasi

Melindungi program atau modifikasi yang belum diotorisasi untuk

diimplementasikan.

Aktivitas kontrol Teknik kontrol Prosedur audit

CC-1. Permintaan perubahan Identifkasi modifikasi


Otorisasi fitur-fitur proses software harus dibuat dalam sofware yang ada dan
dan modifikasi program. forms dan tentukan apakah forms
didokumentasikan perubahan digunakan
Perubahan software harus Interview staff
disetujui oleh system users pengembangan software
dan staff data proses
CC-2. Standar rencana uji telah Review standar rencana uji
Tes dan perbaikan software dibuat Review spesikikasi
baru dan lama. Detail spesifikasi sistem Trace perubahan dari code
telah dipersiapkan oleh ke spesifikasi desain
programer dan direview Review rencana uji
oleh supervisor Bandingkan dokumentasi
programming uji dengan rencana uji yang
Perubahan software terkait
didokumentasikan dan Analisa kegagalan uji untuk
disetujui menentukan apakah ini
Live data tidak digunakan mengindikasikan uji
dalam uji perubahan software
program, kecuali untuk yang tidak efektif
membangun file data uji Review uji transaksi dan
Uji komprehensif terhadap data
transaksi dan data dibuat Review hasil uji
untuk mewakili kondisi dan Verifikasi tanggapan user
aktifitas yang berbeda-beda Review update dokumentasi
Hasil uji direview dan Uji prosedur untuk
didokumentasikan distribusi sofware baru
Program baru dipindahkan
ke mesin produksi hanya
jika dokumentasi telah
disetujui oleh user dan
manajemen pengembangan
sistem
Prosedur standard untuk
mendistribusikan software
baru untuk implementasi
CC-3. Perpustakaan kontrol Manajemen perpustakaan terkait
software. software digunakan untuk : Interview personil yang
- produksi jejak audit dari bertanggung jawab terhadap
perubahan program pengawasan perpustakaan
- pemeliharaan jumlah versi Lakukan uji coba dengan
program memilih program yang telah
- mencatat dan melaporkan dipelihara dan nilai apakah
perubahan program sesuai dengan prosedur
- pemliharaan salinan Verifikasi bahwa source
jumlah versi sebelumnya code itu ada
Tentukan apakah aturan
Source code disimpan dan akses kontrol software telah
dipelihara didefinisikan secara jelas
Akses ke seluruh program Uji akses ke program
termasuk production code, perpustakaan dengan
source code, dan salinan melihat parameter sistem
program tambahan keamanan
diproteksi dengan sofware
akses kontrol dan fitur
sistem operasi

3. Software Sistem(SS)

Mengontrol batasan akses dan memonitor akses ke seluruh program dan file-file sensitif

yang mengontrol hardware komputer dan aplikasi keamanan yang didukung oleh sistem.

Aktivitas kontrol Teknik kontrol Prosedur audit

SS-1. Kebijakan dan prosedur Review kebijakan dan


Batasan akses ke sistem batasan akses ke sistem prosedur terkait
software. software ada dan up-to-date Interview personil
Akses ke sistem software manajemen dan sistem
dibatasi jumlah personilnya mengenai batasan
berdasarkan Akses
tanggung jawab Observasi akses personil ke
pekerjaannya. Programer sistem software
aplikasi secara khusus Uji coba akses ke sistem
dilarang untuk mengakses operasi dan sistem software
sistem software lainnya.
Dkokumentasi yang Pilih beberapa sistem
menunjukkan penilaian dan programer dan tentukan
persetujuan manajemen apakah dokumentasi
untuk mengakses ke sistem persetujuan manajemen
software mendukung hak akses
Kapabilitas akses dari mereka ke sistem sofware
sistem programer secara Tentukan terakhir kali
periodik diriview kapabilitas akses dari sistem
Sistem operasi programmer diriview
dikonfigurasikan untuk Uji parameter sistem
mencegah penyalahgunaaan operasi untuk memverifikasi
keamanan software dan bahwa konfigurasinya
aplikasi kontrol dibuat untuk menjaga
integritas dari software
keamanan dan aplikasi
kontrol
SS-2. Kebijakan dan prosedur Review kebijakan dan
Pengawasan akses ke dan penggunaan dan monitoring prosedur terkait
pemakaian sistem software. dari utilitas sistem software Interview personil
ada dan up-to-date manajemen dan system
Tanggung jawab berkaitan dengan tanggung
penggunaan utilitas sistem jawabnya
yang sensitif telah Tentukan apakah ada
didefinisikan dengan jelas catatan penggunaan dan
dan dimengerti oleh sistem informasi apa saja yang
programer dicatat
Penggunaan utilitas dari Interview teknikal
sistem sensitif dicatat manajemen berkaitan
menggunakan akses kontrol dengan review mereka
laporan software terhadap penggunaan
Penggunaan utilitas dan utilitas dan sistem software
sistem sofware secara secara khusus
khusus diriview oleh Review dokumentasi
teknikal manajemen pendukung review mereka
Aktivitas sistem programer Interview supervisor sistem
dimonitor dan direview programer untuk
menentukan aktivitas
mereka sehubungan dengan
pengawasan dan monitoring
staff mereka
Review dokumentasi
pendukung
SS-3. Prosedur identifikasi dan Review prosedur dan
Pengawasan perubahan dokumentasi masalah identifikasi dokumentasi
sistem software. software sistem masalah software sistem
meliputi : Review penyebab dan
- Otorisasi dan dokumentasi frekwensi terjadinya
- laporan perubahan untuk masalah.
reviview manajemen Review prosedur untuk
- review oleh supervisor kontrol
sistem informasi dannpersetujuan perubahan
independen darurat
Pilih beberapa perubahan
Instalasi software sistem darurat pada software
baru dijadwal dan dicatat sistem dan uji apakah
untuk meminimalkan prosedur benar-benar
dampak pada data proses dipakai
Interview manajemen pusat
data mengenai peranan
mereka dalam mereview
instalasi software sistem

Untuk proses audit pada Automated Teller Machine, tahapan yang dilakukan sama

dengan proses diatas, hanya saja teknik kontrol dan prosedur audit disesuaikan dengan

kondisi yang terdapat pada ATM. Pada modul ini kegiatan audit difokuskan pada aplikasi

Host / ATM center. Adapun beberapa hal yang harus diperhatikan pada audit Host adalah

1. Audit keamanan fisik Host

- Site security and controls (Mis. Siapa saja yang dapat masuk ke ruangan Host ?

- Kesesuaian suhu ruang dengan persyaratan minimum peralatan

2. Audit keamanan sistem

- Cash control (kesesuaian dengan jurnal ATM)

-Transaction processing control

-Penyalahgunaan account management (customer management)

-Penyalahgunaan system management (username, password, database)

-Audit keamanan encryption key

-Penyimpanan key yang dipusatkan pada satu orang

-Penyimpanan key secara sembarangan