1.

1 Phase Audit Sistem Informasi

Dalam melakukan audit terhadap Sistem Informasi, seorang auditor harus

mempertimbangkan pengawasan terhadap hal-hal yang berhubungan dengan komputer
pada saat melakukan penilaian terhadap integritas, kerahasiaan, dan ketersediaan data
komputer. Untuk mendukung kemudahan dalam melakukan audit tersebut, maka ada
beberapa phase yang sebaiknya dilakukan :

1.1.1 Phase Perencanaan

Selama phase ini, auditor berusaha mengerti keterhubungan antar operasional

komputer dan kontrolnya serta resiko yang terkait. Dari sudut pandang resiko yang ada,
auditor secara sementara memutuskan kontrol mana yang kelihatannya lebih efektif. Jika
kontrol tersebut dirasa efektif dan relevan dengan tujuan audit maka auditor harus
menentukan cakupan kerja audit yang dibutuhkan untuk mengkonfirmasi kesimpulan
sementara yang dibuatnya.

1.1.2 Phase internal kontrol

Dalam phase ini, auditor memeriksa informasi mengenai kebijakan

pengawasan, prosedur dan tujuan serta performa uji dari aktivitas kontrol secara
detail. Tujuan dari pemeriksaan ini adalah untuk menentukan apakah kontrol
operasional yang ada sudah efektif. Jika kontrol dirasa cukup efektif maka auditor
melakukan uji dan evaluasi terhadap kefektifan kontrol terhadap aplikasi tersebut.
Sebaliknya jika kontrol dirasa belum efektif maka kontrol pada level aplikasi
tidak diuji. Jika tujuan audit mengidentifikasi kelemahan kontrol pada sebuah
aplikasi dimana pegawai memiliki kemungkinan potensial untuk melakukan
kecurangan, maka penilaian terhadap kontrol aplikasi perlu dilakukan seperti
berikut :

- Apakah data dipersiapkan secara lengkap, valid dan bisa dipercaya;

- Apakah data dikonversi secara otomatis dari form dan dimasukkan ke dalam
aplikasi seacra akurat, lengkap dan tepat waktu;

- Apakah data diproses oleh aplikasi secara lengkap dan tepat waktu, sesuai
kebutuhan, dan

- Apakah output dilindungi dari penyalahgunaan modifikasi atau kerusakan

dan distribusi sesuai dengan kebijakan yang ada.

Auditor mengevaluasi dan menguji keefektifan dari kontrol aplikasi melalui

observasi terhadap kontrol dari operasional, pengujian dokumentasi terkait,diskusi
dengan personil terkait, dan penilaian kembali terhadap kontrol yang telah diuji.

1.1.3 Phase Pengujian

 Pada phase ini, pengujian yang dilakukan melibatkan dokumen-dokumen
sumber yang mendukung transaksi dalam menentukan apakah dokumen-dokumen
tersebut di catat, diproses, dan dilaporkan secara sesuai dan lengkap. Seorang auditor
sistem informasi seharusnya didampingi oleh auditor keuangan dalam mengidentifikasi
dan menyeleksi transaksi yang diproses oleh komputer untuk diuji.

1.1.4 Phase Pelaporan

Pada phase ini, auditor menghasilkan opini pada akhir periode tentang apakah
kontrol internal sudah cukup dalam mengantisipasi pencegahan atau deteksi kerugian,
noncompliance atau missstatement yang cukup material berhubungan dengan laporan
keuangan.

1.2 Steps to perform audit planning pada ATM

Langkah audit yang dilakukan antara lain:

-Memperoleh pemahaman tentang misi bisnis,tujuan dan proses, yang meliputi informasi
dan persyaratan pengolahan, seperti ketersediaan, integritas, keamanan dan teknologi
bisnis.Pada langkah ini kita harus mempelajari tujuan dan fungsi dari dibangunnya sistem
ATM,dimana kita mempelajari proses dari aplikasi system dan data yang menjadi sumber
proses ATM tersebut untuk menghasilkan informasi.

Pemahaman ini dimulai dari:

• Ketersediaan yaitu apakah sistem tersebut mempunyai data yang ada
dan dapat digunakan untuk melakukan audit.Integritas dilihat bahwa data tersebut
saling terkait untuk mendukung proses audit.

• Keamanan yaitu data tersebut haruslah aman.

• Teknologi bisnis yaitu dapat mempelajari jalannya proses ATM secara umum.

-Mengidentifikasi isi dari informasi bisnis terkait ATM.

Identifikasi tersebut antara lain:

• Kebijakan yaitu mempelajari dan memahami prosedur sistem ATM pada

pelanggan.
• Standar yaitu memahami proses kegiatan pemakain sistem ATM oleh pelanggan.
• Pedoman yaitu memakai pedoman sistem ATM yang biasa digunakan untuk
melihat kesalahan2 sistem ATM yang tidak sesuai dengan pedoman yang ada.
• Prosedur yaitu memakai prosedur audit sistem yang terkait dengan kegiatan
sistem informasi bisnis yang berlaku pada perusahaan.
 • Struktur organisasi yaitu mengetahui struktur pihak intern perusahaan yang
terlibat dalam pengolahaan sistem tersebut.

- Evaluasi penilaian risiko dan analisis dampak privasi apapun yang dilakukan oleh
manajemen.

Pada tahap ini akan dilakukan kegiatan pemeriksaan sistem manajemen resiko pada ATM
apakah sudah berjalan dengan baik untuk melindungi sistem ini dari ancaman,dan mempelajari
kembali kegiatan evaluasi yang dilakukan oleh manajemen apakah kegiatan yang dilakukan oleh
manajemen menimbulkan resiko pada ATM atau manajemen telah melakukan penyimpamgan
dan penyalahgunaan sistem terkait.

Strategi Pelaksanaan Pengujian kontrol

1. Penilaian risiko kontrol berdasar kontrol pengguna

2. Perencanaan risiko kontrol rendah berdasar kontrol aplikasi

3. Perencanaan risiko kontrol tinggi berdasar kontrol umum dan tindak lanjut manual

- Melakukan Analisis resiko.

Untuk menentukan kecenderungan dari dampak negatif, maka ancaman pada sistem IT harus
dianalisa bersamaan dengan potensi kelemahan dan kontrol yang ada pada sistem IT. Rating
kecenderungan dan kelemahan dapat dianalisa dengan melakukan langkah – langkah berikut:

Langkah 1: Informasi Karakteristik Sistem

Karakteristik sistem diperlukan untuk memperoleh informasi sehubungan dengan batasan analisa

risiko yang akan dilakukan serta untuk mendapatkan informasi (seperti hardware, software,

konektivitas, dsb) yang diperlukan dalam menetapkan risiko.

Dalam mengidentifikasi risiko, maka perlu dilakukan pengumpulan informasi yang berhubungan

dengan sistem informasi, yang biasanya dikelompokkan sebagai berikut:

• Hardware

• Software
 • Interface sistem (konektivitas internal dan eksternal)

• Data dan informasi

• Personil yang menjadi support dan pengguna IT

• Misi sistem (misalkan proses yang dilakukan sistem IT)

• Tingkat kritis sistem dan data

• Sensitivitas data dan sistem

Langkah 2: Identifikasi Ancaman

Sebuah ancaman adalah potensi dimana sebuah sumber kejadian berhasil memanfaatkan
kelemahan yang ada. Sebuah sumber ancaman tidak akan menimbulkan risiko jika tidak ada
kelemahan yang dapat dimanfaatkan. Dalam menentukan kecederungan sebuah ancaman, maka
harus dipertimbangkan sumber ancaman, potensi kelemahan dan kontrol yang ada.

Langkah 3: Identifikasi Kelemahan

Kelemahan (vulnerability) adalah celah/cacat pada prosedur keamanan, implementasi, atau

internal control (disengaja maupun tidak) dan mengakibatkan kerugian pada operasional.

Analisa terhadap ancaman dalam sistem IT harus mencakup analisis terhadap kelemahan dalam
lingkungan sistem. Contoh dari kelemahan adalah karyawan yang sudah dikeluarkan masih
tercatat dalam sistem payroll. Tujuan dari tahapan ini adalah untuk mendapatkan list kelemahan
pada sistem yang dapat diungkapkan oleh sumber ancaman.

Langkah 4: Analisa Kontrol

Tujuan dari tahap ini adalah untuk menganalisa kontrol yang sudah diimplementasikan atau
direncanakan untuk diimplementasikan oleh organisasi untuk meminimalisasi atau
menghilangkan kecenderungan (kemungkinan) sebuah ancaman memanfaatkan kelemahan
sistem.

Untuk memperoleh rating kecenderungan yang mengindikasikan kemungkinan sebuah

kelemahan dapat dimanfaatkan dalam lingkungan yang penuh ancaman, implementasi dari
kontrol yang ada dan akan dibangung harus dipertimbangkan. Sebagai contoh, sebuah kelemahan
tidak akan dimanfaatkan atau kecenderungannya rendah jika sumber ancaman rendah atau jika
terdapat kontrol yang efektif.

Langkah 5: Penetapan Kecenderungan

Untuk mendapatkan rating kecenderungan yang mengindikasikan kemungkinan kalau kelemahan

dapat dimanfaatkan oleh ancaman, maka faktor berikut perlu dipertimbangkan:

a. Sumber ancaman

b. Kelemahan yang ada

c. Keberadaan dan efektivitas kontrol yang ada

Langkah 6: Analisa Dampak

Langkah berikutnya dalam melakukan pengukuran level risiko adalah menetapkan dampak
negatif akibat keberhasilan sebuah ancaman memanfaatkan kelemahan yang ada. Sebelum
memulai analisa dampak, pertama kali perlu didapatkan informasi berikut:

a. Misi sistem

b. Tingkat kritis sistem dan data

c. Sensitivitas sistem dan data

Data diatas dapat dipergunakan sebagai dasar dalam menentukan indikator risiko yang dapat
berdampak negatif pada sistem serta menentukan besaran kualitatif dari dampak yang ada.

Langkah 7: Penetapan Risiko

Tujuan dari tahap ini adalah untuk menilai level risiko pada sistem IT. Penetapan risiko untuk
ancaman/kelemahan tertentu dapat digambarkan sebagai ekspresi:

a. Kecenderungan sebuah sumber ancaman mengungkapkan sebuah kelemahan

b. Besaran dampak dimana sebuah sumber ancaman berhasil mengungkapkan sebuah kelemahan

c. Kecukupan control yang ada maupun yang akan diterapkan untuk mengurangi atau
menghilangkan risiko.
Langkah 8: Rekomendasi Kontrol

Selama tahapan proses analisa risiko, kontrol yang dapat memitigasi atau menghilangkan risiko
yang ada harus ditetapkan. Tujuan dari kontrol yang direkomendasikan adalah untuk mengurangi
level risiko pada sistem IT dan datanya sampai pada level yang dapat diterima. Faktor berikut
harus dipertimbangkan dalam merekomendasikan kontrol dan solusi alternatif untuk
meminimalisasi atau mengeliminasi risiko yang ada adalah:

• Efektivitas dari opsi yang ditawarkan

• Legislasi dan regulasi

• Kebijakan organisasi

• Dampak operasional

• Keamanan dan reliabilitas

-Melakukan pemeriksaan pengendalian internal

Pada tahap ini kegiatan pengendalian intern dapat mencegah kerugian atau pemborosan

pengolahan sumber daya system ATM yang dipakai.Pengendalian intern dapat

menyediakan informasi tentang bagaimana menilai kinerja system ATM dan manajemen

system serta menyediakan informasi yang akan digunakan sebagai pedoman dalam

perencanaan.

Tujuan pengendalian intern adalah menjamin manajemen perusahaan agar:

-Tujuan perusahaan yang ditetapkan akan dapat dicapai.

-Laporan keuangan yang dihasilkan perusahaan dapat dipercaya.

-Kegiatan perusahaan sejalan dengan hukum dan peraturan yang berlaku.

-Mengatur ruang lingkup audit dan tujuan audit

1. Manajemen Proyek

Melakukan review atas manajemen proyek untuk memastikan bahwa semua outcome yang

diharapkan tertuang dalam rencana proyek. Pada tahapan ini, auditor TI melakukan review atas

project charter, sumber daya yang akan digunakan, alokasi penugasan dan analisa tahapan

pekerjaan proyek.

2. Desain Proses dan Pengendalian Kontrol Aplikasi

Review mengenai desain pengendalian dalam modul-modul Perbankan tersebut, yaitu pinjaman

dan tabungan. Untuk itu dilakukan review atas desain proses dimana auditor mengevaluasi

proses, risiko dan pengendalian mulai dari tahapan input, proses maupun output.

3. Desain Infrastruktur

Review ini mencakup analisa efektivitas dan efisiensi desain infrastruktur pendukung (server,

workstation, sistem operasi, database dan komunikasi data).

Hasil follow up dijadikan dasar oleh manajemen untuk memulai implementasi sistem Perbankan

yang terintegrasi tersebut.

Berdasarkan nilai tambah yang diberikan melalui rekomendasi pada fase pertama, perusahaan

menunjuk kembali auditor untuk melakukan review fase kedua secara paralel pada saat

implementasi dilakukan, yaitu review terhadap:

-Migrasi data, pada saat “roll-out” ke cabang-cabang, termasuk kapasitas pemrosesan dan

penyimpanannya.

-Aspek lainnya termasuk persiapan help-desk , contingency dan security .

-Kesiapan pemakai dalam menggunakan sistem ini, kualitas pelatihan yang diberikan dan
 dokumentasi pengguna ( user manual )

-Prosedur-prosedur manajemen perubahan ( change management ) dan testing

- Mengembangkan pendekatan audit atau audit strategy

Pada tahap ini pendekatan audit sistem informasi yang dapat dikategorikan ke dalam tiga

kelompok, yaitu : (a) auditing around the computer (b) auditing with the computer dan (c)

auditing throught the computer.

(a) Auditing around the computer, adalah mentrasir balik (trace -back) hasil olahan komputer

antara lain output ke bukti dasarnya antara lain input tanpa melihat prosesnya. Auditing with the

computer, pendekatan ini menitikberatkan pada penggunaan komputer sebagai alat bantu audit .

Alat bantu audit ini berupa komputer dilengkapi dengan software umum audit( enerale audit

software, biasa disingkat GAS)

(b) Auditing with computer yaitu kegiatan audit yang berkenaan dengan sistematika informasi

yang menggunakan perangkat computer sebagai bahan media kegiatan informasi.

(c) Auditing throught the computer, auditor harus memperlakukan komputer sebagai target audit

dan melakukan audit throught atau memasuki area program. Oleh sebab itu pendekatan

Auditing throught the computer termasuk juga dalam CAATs (Computer Assisted

AuditTechnique ) yaitu teknik audit berbantuan komputer (TABK). Beberapa auditor

memutuskan menggunakan pendekatan Auditing throught ini karena alasan berikut :

a. Ketidakmampuan untuk melokalisir source document atau print-out karena memang

rancangan sistem pengarsipan yang digunakan menghendaki demikian.

b. Kekhawatiran bahwa jumlah yang ditunjukkan pada print-out komputer tidak sama dengan

saldo yang ada (ter-record) di file komputer.

- Tetapkan keterlibatan sumber daya personel untuk mengaudit

Suatu daftar periksa untuk menilai seluruh aspek dari manajemen sumber daya manusia dalam

suatu perusahaan.

Langkah langkah dalam proses audit antra lain:

-Memperkenalkan gagasan audit dan menekankan manfaat yang diperoleh

-Memilih personel dengan ketrampilan yang luas dan memberikan pelatihan

-Mengumpulkan data dari tahun yang berbeda dalam organisasi

-Menyiapkan laporan audit untuk manager lini dan evaluasi departemen SDM

-Mendiskusikan laporan dengan manager operasi

-Menyatukan tindakan korektif

1.3 Teknik Pengawasan dan Prosedur Audit pada ATM

Sebelum teknik pengawasan dan prosedur audit dilakukan,identifikasi

sistem merupakan hal utama yang harus dilakukan terlebih dahulu.

Tahapan ini bertujuan untuk mengetahui secara detail mengenai sistem yang

akan diaudit. Beberapa hal yang perlu diperhatikan pada saat identifikasi

adalah :

-diagram keseluruhan sistem Informasi

-organisasi dan staff pada sistem Informasi

-operasional

-kelangsungan operasional

Setelah Identifikasi sistem diketahui, maka teknik pengawasan dan prosedur audit

dapat dilakukan. Berikut adalah tahapan evaluasi dan uji pada sistem informasi yang
 harus dilakukan :

1. Akses kontrol (AC)

Pembatasan dan pendeteksian akses ke komputer sumber (data, program, peralatan, dan

fasilitas), dalam rangka melindungi sumber-sumber tersebut dari modifikasi sewenang-

wenang, kehilangan, dan keterbukaan.

Aktivitas kontrol Teknik kontrol Prosedur audit

AC-1. Klasifikasi dan kriteria telah Review kebijakan dan

Klasifikasi sumber
informasi berdasarkan
tingkat kekritisannya dan
sensitivitasnya.
AC-2.
Pemeliharaan daftar - Didokumentasikan dalam
otorisasi pemakai dan hak
aksesnya.
dibuat dan dikomunikasikan
kepada pemilik sumber.
Sumber-sumber
diklasifikasikan
berdasarkan penilaian
resiko.
Klasifikasi
didokumentasikan dan
disetujui oleh senior official
yang berwenang dan
direview secara periodik.
Apakah hak akses telah:
form standar dan diarsipkan
dalam file.
- Disetujui oleh manajer
senior
Pemilik secara periodik
mereview daftar otorisasi
akses dan menentukan
apakah masih cocok untuk
diterapkan.
Setiap perubahan dari profil
keamanan oleh manajer
secara otomatis di catat dan
direview secara periodik
oleh independen
manajemen dari fungsi
keamanan. Aktivitas yang
tidak biasa terjadi di
investigasi.
Apakah otorisasi akses
darurat dan sementara:
prosedur tertulis
Interview pemilik sumber
Review dokumentasi
klasifikasi sumber dan
bandingkan dengan
penilaian resiko.
Diskusikan setiap perbedaan
yang ada dengan personil
terkait.
Review kebijakan dan
prosedur tertulis yang
terkait
Untuk pemilihan user,
review dokumentasi
otorisasi akses
Interview pemilik dan
review dokumentasi
pendukung
Review otorisasi dan
penyesuaian
Interview security manajer
dan review dokumentasi
yang mereka hasilkan.
Review perubahan profil
dan catatan kegiatan.
Review kebijakan dan
prosedur terkait
Bandingkan hak otorisasi
tersebut dengan daftar user
berwenang pada sistem
yang sudah berjalan
 - didokumentasikan pada
AC-3.
Membangun kontrol fisik
dan logik untuk mencegah
atau mendeteksi hak akses
yang tidak berwenang
format standar dan
dipelihara dalam file
- disetujui oleh menajer
terkait
- dikomunikasikan secara
aman kepada fungsi
keamanan
- secara otomatis
diterminasi setelah periode
tertentu
Identifikasi fasilitas yang
sensitif dan kritis
Semua ancaman yang serius
terhadap sumber fisik telah
diidentifkasi dan telah
ditentukan keterhubungan
resikonya
Akses terbatas pada
individual yang secara rutin
membutuhkan akses melalui
tanda pengenal atau entry
device (kunci kartu)
Manajemen secara reguler
mereview daftar orang yang
memiliki akses ke fasilitas
sensitif dan kritis
Kunci atau akses lainnya
dibutuhkan untuk masuk
kedalam ruang komputer
dan penyimpanan tape /
media.
Password :
- unik untuk setiap individu
- dikontrol oleh user yang
ditugasi dan subjek tidak
untuk dibuka
- dirubah secara periodik
setiap 30 – 90 hari
- tidak ditampilkan saat
diinput
- minimal panjang 6
karakter alphanumerik
Review diagram fisik dari
layout komputer,
telekomunikasi dan fasilitas
sistem pendinginan
Datangi fasilitas
Review analisis resiko
Review daftar akses
individu
Observasi masuk dan keluar
dari fasilitas selama dan
setelah jam bisnis normal
Observasi utilitas akses path
Interview manajemen
Interview pegawai
Review kebijkan dan
prosedur terkait
Interview user
Review parameter password
software keamanan
Observasi user dalam
memakai password
Coba log on tanpa password
yang benar
Lihat contoh dari file
password
Interview security
asministratiors dan sistem
user
Observasi penggunaan
terminal
Review parameter software
keamanan
Review daftar ID yang tidak
 File password di enkripsi
Software keamanan
digunakan untuk akses
terbatas
Terminal komputer secara
otomatis logged off dalam
periode tertentu jika tidak
ada aktivitas
Account user yang tidak
aktif dimonitor dan dihapus
jika tidak dibutuhkan
Database Management
System (DBMS) dan Data
Dictionary (DD) kontrol
telah diimplementasikan :
- akses terbatas pada file
data pada logical data view,
field, or field level value
- akses kontrol ke DD
menggunakan profil
security dan password
- memelihara jejak audit
untuk memonitoring
perubahan DD
Penggunaan DBMS dibatasi
Peralatan Kriptograpi telah
diimplementasikan untuk
melindungi integritas dan
kerahasiaan data sensitif
dan kritis serta program
software
AC-4. dengan akses ke dan
Pengawasan akses, modifikasi dari file sensitif
investigasi pelanggaran, dan kritis di catat
penanganannya Kerusakan keamanan dan
aktivitas dilaporkan ke
manajemen dan
diinvestigasi
Kerusakan dibuat
ringkasannya dan
dilaporkan ke senior
manajemen
aktif, dan tentukan kenapa
akses dari user tersebut
belum diterminasi.
Interview database
administrator
Review parameter DBMS
dan DD security
Uji kontrol dengan mencoba
akses pada file-file terbatas
Review parameter sistem
keamanan
Untuk mengevaluasi
kriptograpi tools, auditor
harus didampingi dengan
Review setting software
keamanan untuk
mengidentifikasi jenis dari
catatan kegiatan
Review laporan kerusakan
pada keamanan
Interview senior manajemen
dan personil yang
bertanggung jawab atas
ringkasan kerusakan
Review dokumentasi
pendukung
2. Software aplikasi
Melindungi program atau modifikasi yang belum diotorisasi untuk
diimplementasikan.
Aktivitas kontrol
CC-1.
Otorisasi fitur-fitur proses
dan modifikasi program.
CC-2.
Tes dan perbaikan software
baru dan lama.
Teknik kontrol
Permintaan perubahan
software harus dibuat dalam
forms dan
didokumentasikan
Perubahan software harus
disetujui oleh system users
dan staff data proses
Standar rencana uji telah
dibuat
Detail spesifikasi sistem
telah dipersiapkan oleh
programer dan direview
oleh supervisor
programming
Perubahan software
didokumentasikan dan
disetujui
Live data tidak digunakan
dalam uji perubahan
program, kecuali untuk
membangun file data uji
Uji komprehensif terhadap
transaksi dan data dibuat
untuk mewakili kondisi dan
aktifitas yang berbeda-beda
Hasil uji direview dan
didokumentasikan
Program baru dipindahkan
ke mesin produksi hanya
jika dokumentasi telah
disetujui oleh user dan
manajemen pengembangan
sistem
Prosedur audit
Identifkasi modifikasi
sofware yang ada dan
tentukan apakah forms
perubahan digunakan
Interview staff
pengembangan software
Review standar rencana uji
Review spesikikasi
Trace perubahan dari code
ke spesifikasi desain
Review rencana uji
Bandingkan dokumentasi
uji dengan rencana uji yang
terkait
Analisa kegagalan uji untuk
menentukan apakah ini
mengindikasikan uji
software
yang tidak efektif
Review uji transaksi dan
data
Review hasil uji
Verifikasi tanggapan user
Review update dokumentasi
Uji prosedur untuk
distribusi sofware baru
 Prosedur standard untuk
mendistribusikan software
baru untuk implementasi
CC-3. Perpustakaan kontrol Manajemen perpustakaan
software. software digunakan untuk :
- produksi jejak audit dari
perubahan program
- pemeliharaan jumlah versi
program
- mencatat dan melaporkan
perubahan program
- pemliharaan salinan
jumlah versi sebelumnya
Source code disimpan dan
dipelihara
Akses ke seluruh program
termasuk production code,
source code, dan salinan
program tambahan
diproteksi dengan sofware
akses kontrol dan fitur
sistem operasi
3. Software Sistem(SS)
Mengontrol batasan akses dan memonitor akses ke seluruh program dan file-file sensitif
yang mengontrol hardware komputer dan aplikasi keamanan yang didukung oleh sistem.
Aktivitas kontrol Teknik kontrol
SS-1. Kebijakan dan prosedur
Batasan akses ke sistem batasan akses ke sistem
software. software ada dan up-to-date
Akses ke sistem software
dibatasi jumlah personilnya
berdasarkan
tanggung jawab
pekerjaannya. Programer
aplikasi secara khusus
dilarang untuk mengakses
sistem software
Dkokumentasi yang
menunjukkan penilaian dan
terkait
Interview personil yang
bertanggung jawab terhadap
pengawasan perpustakaan
Lakukan uji coba dengan
memilih program yang telah
dipelihara dan nilai apakah
sesuai dengan prosedur
Verifikasi bahwa source
code itu ada
Tentukan apakah aturan
akses kontrol software telah
didefinisikan secara jelas
Uji akses ke program
perpustakaan dengan
melihat parameter sistem
keamanan
Prosedur audit
Review kebijakan dan
prosedur terkait
Interview personil
manajemen dan sistem
mengenai batasan
Akses
Observasi akses personil ke
sistem software
Uji coba akses ke sistem
operasi dan sistem software
lainnya.
Pilih beberapa sistem
programer dan tentukan
 persetujuan manajemen
untuk mengakses ke sistem
software
Kapabilitas akses dari
sistem programer secara
periodik diriview
Sistem operasi
dikonfigurasikan untuk
mencegah penyalahgunaaan
keamanan software dan
aplikasi kontrol
SS-2. Kebijakan dan prosedur
Pengawasan akses ke dan penggunaan dan monitoring
pemakaian sistem software. dari utilitas sistem software
ada dan up-to-date
Tanggung jawab
penggunaan utilitas sistem
yang sensitif telah
didefinisikan dengan jelas
dan dimengerti oleh sistem
programer
Penggunaan utilitas dari
sistem sensitif dicatat
menggunakan akses kontrol
laporan software
Penggunaan utilitas dan
sistem sofware secara
khusus diriview oleh
teknikal manajemen
Aktivitas sistem programer
dimonitor dan direview
SS-3. Prosedur identifikasi dan
Pengawasan perubahan dokumentasi masalah
sistem software. software sistem
meliputi :
- Otorisasi dan dokumentasi
- laporan perubahan untuk
apakah dokumentasi
persetujuan manajemen
mendukung hak akses
mereka ke sistem sofware
Tentukan terakhir kali
kapabilitas akses dari sistem
programmer diriview
Uji parameter sistem
operasi untuk memverifikasi
bahwa konfigurasinya
dibuat untuk menjaga
integritas dari software
keamanan dan aplikasi
kontrol
Review kebijakan dan
prosedur terkait
Interview personil
manajemen dan system
berkaitan dengan tanggung
jawabnya
Tentukan apakah ada
catatan penggunaan dan
informasi apa saja yang
dicatat
Interview teknikal
manajemen berkaitan
dengan review mereka
terhadap penggunaan
utilitas dan sistem software
secara khusus
Review dokumentasi
pendukung review mereka
Interview supervisor sistem
programer untuk
menentukan aktivitas
mereka sehubungan dengan
pengawasan dan monitoring
staff mereka
Review dokumentasi
pendukung
Review prosedur dan
identifikasi dokumentasi
masalah software sistem
Review penyebab dan
frekwensi terjadinya
masalah.
 reviview manajemen Review prosedur untuk
- review oleh supervisor kontrol
sistem informasi dannpersetujuan perubahan
independen darurat
Pilih beberapa perubahan
Instalasi software sistem darurat pada software
baru dijadwal dan dicatat sistem dan uji apakah
untuk meminimalkan prosedur benar-benar
dampak pada data proses dipakai
Interview manajemen pusat
data mengenai peranan
mereka dalam mereview
instalasi software sistem

Untuk proses audit pada Automated Teller Machine, tahapan yang dilakukan sama

dengan proses diatas, hanya saja teknik kontrol dan prosedur audit disesuaikan dengan

kondisi yang terdapat pada ATM. Pada modul ini kegiatan audit difokuskan pada aplikasi

Host / ATM center. Adapun beberapa hal yang harus diperhatikan pada audit Host adalah

1. Audit keamanan fisik Host

- Site security and controls (Mis. Siapa saja yang dapat masuk ke ruangan Host ?

- Kesesuaian suhu ruang dengan persyaratan minimum peralatan

2. Audit keamanan sistem

- Cash control (kesesuaian dengan jurnal ATM)

-Transaction processing control

-Penyalahgunaan account management (customer management)

-Penyalahgunaan system management (username, password, database)

-Audit keamanan encryption key

-Penyimpanan key yang dipusatkan pada satu orang

-Penyimpanan key secara sembarangan