Anda di halaman 1dari 31

Internal Auditing Professional Convergence CBOK Requirements ISO 27001, ISO 9000, and Other

International Standards Click to edit Master subtitle style

Boria Gemala Nurul Fadilah

4/11/12

Setelah Perang Dunia II, Amerika Serikat menjadi pemimpin politik dan ekonomi dunia. Standar internasional yaitu International Organization for Standardization (ISO) yang berbasis di Geneva, Switzerland, mencangkup berbagai bidang, mulai dari pendefinisian screw threads dalam automobile engine, thickness personal credit cards, dan information technology (IT) quality standards. Standar ini juga telah diperluas bertahun-tahun untuk mengkover banyak area yang penting untuk kualitas perusahaan dan pemerintahan.
4/11/12

Auditor internal harus memiliki pemahaman yang kuat dari peran standar ISO ini didalam suatu perusahaan. Bab ini memberikan beberapa gambaran dan pengenalan dari banyak standar ISO yang sangat penting bagi auditor internal. Fokusnya adalah ISO 9001 standar mutu dan standar ISO 27001 keamanan komputer. Bab ini juga memperkenalkan beberapa standar lain ISO, termasuk standar international untuk sistem manajemen TI dan standar mutu.
4/11/12

Kepatuhan perusahaan terhadap standar ISO adalah penting, karena mereka membangun benchmark untuk kepatuhan seluruh dunia. Jika suatu perusahaan mengikuti standar ISO dan kepatuhan diakreditasi oleh reviewer luar maka kepatuhan perusahaan atas standar akan diakui diseluruh dunia.

4/11/12

Importance of ISO Standards in Todays Global World

ISO bertanggung jawab untuk mengembangkan dan menerbitkan berbagai macam standar internasional dalam banyak bidang proses dan bisnis. Beberapa dari standar-standar ini sangat luas, seperti ISO 14001, yang meliputi sistem pengendalian yang efektif, sementara yang lainnya sangat detil dan tepat, seperti standar yang meliputi ukuran dan ketebalan plastik kartu kredit.
4/11/12

Standar ISO yang luas merupakan hal yang sangat penting karena mereka mengizinkan perusahaan diseluruh dunia untuk berbicara dengan bahasa yang sama ketika mereka mengklaim apa yang mereka miliki Misalnya ISO 14001 efektif dalam sistem pengendalian lingkungan. Standar ISO dikembangakan melalui upaya kolaboratif banyak organisasi penetapan standar nasional, seperti American National Standards Institute dan kelompok sejenis diseluruh dunia.

4/11/12

Proses dimulai dari diakuinya kebutuhan untuk standar di beberapa daerah. Sebuah contoh ISO 27001 yang menguraikan persyaratan tingkat tinggi untuk keamanan sistem informasi manajemen yang efektif. Standar ISO 27001 ini dikembangkan melalui upaya komite teknis international yang disponsori oleh ISO yang bekerjasama dengan kelompok pengaturan standar international yaitu International Electrotechnical Commission.

4/11/12

Dikarenakan keterlibatan otoritas pemerintah internasional, kelompok profesional, dan orangorang yang ahli dalam proses pengaturan standar, pembuatan dokumen ISO menjadi lama. Komite ahli mengembangkan standar draft awal untuk mengkover bererapa bidang. Draft dikirimkan keluar untuk direview dan dikomentari dengan tanggal jatuh tempo yang telah ditentukan. Komite kemudian mengembalikan untuk mereview komentar draft sebelum menerbitkan salah satu standar baru atau mengirimkan revisi draft keluar untuk mendapatkan review lain dan perubahan 4/11/12 yang disarankan.

Setelah dikomentari, draft dipublikasikan. Perusahaan dapat mengambil langkah yang dibutuhkan untuk memenuhi standar. Untuk menyatukan kepatuhan mereka, mereka harus mengontrak auditor luar, dengan keterampilan dalam standar tertentu, untuk membuktikan kepatuhan mereka. Standar ISO jauh lebih terkontrol dari pada panduan praktek terbaik dari Information Technology Infrastructure Library (ITIL) yang didiskusikan pada chap 18.
4/11/12

Standar dipublikasikan dan dikendali oleh ISO yang berbasis di Geneva beserta aturan ketat hak cipta. standar tersebut tidak bisa didownload melalui pencurian google biasa tetapi harus dibeli. Banyak dari standar ISO menguraikan praktekpraktek rinci yang harus diikuti. Sertifikasi ISO sama dengan proses yang dilakukan oleh auditor eksternal bersertifikat dalam melakukan audit keungan.

4/11/12

ISO Standards Overview

Auditor internal harus berusaha untuk mempelajari lebih lanjut status kualitas proses sistem kepatuhan standar ISO dalam perusahaan mereka.

4/11/12

(a) ISO 9001 Quality Management Systems and Sarbanes Oxley

Setelah perang dunia ke 2, ISO didirikan sebagai bagian dari perjanjian umum tentang perdagangan dan tarif. Salah satu dari perjanjian international untuk membawa dunia ke lingkungan yang lebih damai.

Jepang, adalah salah satu negara yang membangun dan memulihkan kembali negara mereka pasca perang, sangat memeluk sistem manajemen mutu pada tahun 1950an dan 1960an.
4/11/12

1.

2. 3.

4.

5.

ISO 9000 adalah standar penting dalam sistem manajemen mutu. Dikelola oleh ISO, standarstandar ini meliputi persyaratan untuk hal-hal seperti berikut: Proses pemonitoran untuk memastikan keefektifan Menjaga catatan yang memadai Memeriksa output yang cacat/rusak dengan tindakan koreksi yang tepat saat dibutuhkan Secara teratur meninjau proses individu dan efektivitas kualitas sistem itu sendiri Memfasilitasi perbaikan berkelanjutan

Setiap poin menunjukkan proses, bukan tindakan yang spesifik. .4/11/12 Sertifikasi yang sebenarnya dicapai melalui
.

ISO 9000 Documentation Processes

ISO 9000 dan standar ISO lain membebankan persyaratan dokumentasi yang berat pada perusahaan. Hal ini tidak cukup bagi perusahaan yang mengklaim beberapa proses telah sekali didokumentasikan. Harus ada proses berkelanjutan untuk menjaga dokumentasi saat ini dari waktu ke waktu. Auditor internal akan menanyakan apakah beberapa sistem dan proses yang mereka review didokumentasikan.

4/11/12

ISO 9000 menimbulkan kepatuhan persyaratan dokumentasi untuk proses kualitas. Reviewer luar harus menyatakan kepatuhan perusahaan, dan kemudian reviewer ISO menyatakan kepada dunia luar/pihak lain bahwa perusahaan patuh terhadap standar ISO.

ISO 9000 tidak hanya satu standar, tetapi ada serangkaian standar dan pedoman yang bermutu: 1. ISO 9001 tentang standar sertifikasi yang berhubungan dengan desain 2. ISO 9002 tentang standar sertifikasi yang berhubungan dengan perusahaan manufaktur 3. ISO 9003 tentang standar sertifikasi yang berhubungan dengan manufaktur dan perakitan 4/11/12 4. ISO 9004 tentang pedoman pendefinisian sistem

Standar-standar ini secara periode diperbarui dengan tahun sekarang yang ditambahkan ke standar. Versi saat ini yang dirilis dikenal dengan ISO 9001:2008 ISO 9000 adalah satu rangkaian standar untuk perbaikan berkelanjutan dari kualitas sistem, tidak peduli apakah itu komponen yang diproduksi atau proses layanan. Para auditor dan para profesional pengembang sistem telah menggunakan serangkaian proses umum yang sama/serupa sejak awal pengembang sistem TI, yaitu apa yang disebut dengan System Development Life Cycle (SDLC), proses untuk mengembangkan sistem informasi TI yang baru.

4/11/12

ISO 9000 & Sarbanes Oxley: Common Threads

Banyak manajer keuangan dan auditor internal menyakan mengapa mereka harus terlibat dengan standar ISO, sedangkan mereka cukup disebukkan dengan aktivitas kepatuhan terhadap Sox. Mereka mungkin berpendapat bahwa manajemen mutu ISO lebih sesuai untuk bagian produksi, dan mereka lebih tertarik pada masalah SOx. William A. Stimson membandingkan SOx dengan ISO 9000
4/11/12

Pada chap 2 dari buku Stimson menyajikan overview undang-undang SOx dan beberapa persyaratan umum dengan bagian utama dari undang-undang SOx dan ISO 9000:

SOx Title II on auditor independence is very similar to guidance in ISO 9001 2. SOx Title III on corporate responsibility for financial reporting (Section 302) is similar to the ISO 9001 requirements that the enterprises executive committee must certify certain reports as true and also attest to their compliance with the report contents
1.

4/11/12

3. SOx Title IV on financial disclosures (the oftendreaded Section 404) is similar to ISO 9001 on managements responsibility for the quality management system; both call for standards to certify that internal controls are effective and that there is a code of conduct in place 4. SOx Title VIII on corporate and criminal fraud accountability has similar requirements to the ISO 9001 rules on managements responsibility for records and documents.

Disini dijelaskan bahwa peraturan SOx dan ISO 9000 memiliki beberapa persyaratan yang serupa.
4/11/12

(b) IT Security Standards: ISO 17799


and 27001

Dua hubungan standar sistem manajemen IS didiskusikan pada ISO 17799 dan 27001. ISO 17799 pertama dipublikasikan di United Kingdom sebagai BS7799 pada tahun 1995 Standar telah di update setelah beberapa tahun dan sekarang diketahui sebagai ISO 17799:2005 Dan dijadwalkan untuk penomoran kembali sebagai ISO 27002

4/11/12

1. 2.

Sekarang ISO 17799 menyajikan pentingnya standar yang berhubungan dengan sistem keamanan TI yang didesain untuk membantu perusahaan yang memerlukan pembuatan program manajemen SI yang komprehensif atau memperbaiki praktek SI sekarang. ISO 17799 adalah standar tentang informasi dan sistem informasi Sejak beberapa informasi dapat exist dalam berbagai forms, standar memiliki pendekatan dan termasuk mencakup standar keamanan yang mengkover kemanan mengenai: Data and Software electronic files All format of paper document including printed materials, handwritten notes, and even photographs

4/11/12

3. Video and audio recording 4. Telephone conversations as well as e-mail, fax, video, and other forms of messages. Konsep disini adalah seluruh forms informasi memiliki nilai dan perlu dilindungi seperti aset perusahaan lainnya.

Infrastruktur yang mendukung informasi, meliputi networks, system dan function juga harus dilindungi dari ancaman-ancaman termasuk kesalahan manusia, dan ancaman pencurian peralatan, penyimpangan, perusakan, sabotase, kebakaran, banjir, bahkan teroris.

4/11/12

Sebagai langkah pertama dari implementasi ISO 17799, perusahaan harus mengidentifikasi kebutuhan dan persyaratan SI yang dibutuhkan. Persyaratan ini menunjukkan penilaian resiko SI yang berhubungan dengan COSO ERM yang didiskusikan pada chap 6. Berbagai penilaian harus difokuskan pada identifikasi terutama ancaman keamanan serta penilaian bagaimana hal tersebut akan menyebabkan kecelakaan keamanan. Perusahaan harus mengidentifikasi dan memahami semua undang-undan, peraturan dan persyaratan kontrak, partner dagang, kontraktor,dan penyedia layanan yang harus ditemukan.
4/11/12

ISO 17799 adalah rangkaian pertama standar internasional yang dimaksudkan untuk banyak perusahaan yang menggunakan sistem komputer internal dan eksternal, yang memiliki data rahasia yang didasarkan pada TI yang akan berdampak pada aktivitas. Kepatuhan pada ISO 17799 menjadi umum bagi perusahaan., hasilnya secara potensial rendahnya premi atas jaminan resiko komputer, dan itu pastinya akan menghasilkan perlindungan atas data rahasia dan perbaikan praktek-praktek yang bersifat privacy dan kepatuhan terhadap hukum privacy.

4/11/12

ISO 1799 adalah struktur dan metodologi yang membantu perusahaan untuk mengembangkan SI manajemen yang lebih baik dan berkelanjutan. Itu merupakan kode praktek yang mendukung persyaratan sistem manajemen IS yang berhubungan dengan standar keamanan ISO 27001.

4/11/12

(c) IT Security Technique Requirements: ISO 27001

Ketika ISO 17799 merupakan kode praktek high level yang mengkover pengendalian keamanan, ISO 27001 adalah ISO yang menetapkan spesifikasi sistem keamanan informasi manajemen. Standar ini didesain untuk mengukur, memonitor, dan mengendalikan keamanan manajemen

4/11/12

Standar ISO 27001 menjelaskan bagaimana mengaplikasikan ISO 17799, dan mendefinisikan implementasi standar ini ke dalam 6 bagian proses: 1. Define a security policy 2. Define the scope of the ISMS (Information Security Management System) 3. Undertake a risk assessment 4. Manage the risk 5. Select control objectives and controls to be implemented 6. Prepare a statement of applicability

4/11/12

(d) Service Quality Management: ISO 20000

ISO 20000 pada jasa manajemen kualitas memperkenalkan beberapa kebutuhan konvergensi standar. ISO ini merupakan standar internasional untuk manajemen jasa TI, dan memperkenalkan banyak praktek terbaik jasa ITIL yang didiskusikan pada chap 18. Standar ini terdiri dari dua bagian

4/11/12

Bagian I implementasi jasa manajemen Bagian II menjelaskan praktek terbaik dari jasa manajemen

Bagian I standar menspesifikasikan kebutuhan untuk serangkaian proses dokumentasi manajemen jasa, seperti mendefinisikan persyaratan untuk implementasi sistem manajemen; baik yang baru ataupun proses rilis. ISO 20000 adalah standar global pertama untuk manajemen jasa TI dan cocok dan mendukung kerangka ITIL yang akan memiliki pengaruh signifikan pada penggunaan dan penerimaan best practice ITIL dan seluruh landscape manajemen jasa TI.

4/11/12

ISO 19011 Quality Management System Auditing


1. 2. 3. 4. 5.

Standar ISO ini menguraikan 5 prinsip auditing: Ethical conduct Fair presentation Exercise due professional care Independence Evidence-based approaches Standar ISO 19011 terdiri dari serangkaian prinsip auditing dari ISO, dan perspektif kualitas audit.

4/11/12

ISO Standards and Internal Auditors

Standar ISO menjadi penting bagi perusahaan. Auditor internal harus mengembangakan level CBOK atas pemahaman beberapa standar ISO seperti ISO 9000 untuk kualitas dan 19001 untuk audit. Seorang auditor internal harus mempelajari tentang standar ISO, dan bagaimana standar tersebut diimplementasi dan diaudit. Memahami standar ISO yang sesuai harus menjadi kunci persyaratan pengetahuan auditor internal.

4/11/12