Prinsip COBIT 5
COBIT 5 dapat disesuaikan dengan standar dan framework lain, serta mengizinkan
perusahaan untuk menggunakan standar dan framework lain sebagai lingkup
manajemen kerangka kerja untuk IT enterprise. COBIT 5 for Information Security
membawa pengetahuan dari versi ISACA sebelumnya seperti COBIT, BMIS, Risk IT,
COBIT 5 dengan tegas membedakan pemerintahan dan manajemen. Kedua disiplin ini
memiliki tipe aktivitas yang berbeda, membutuhkan struktur organisasi yang berbeda
Pada praktiknya, terdapat perbedaan roles dari keamanan informasi pemerintahan dan
manajemen yang dapat digambarkan pada gambar dimana terdapat proses-proses
yang dilakukan pemerintahan dan proses-proses yang dilakukan manajemen. Masing-
masing memiliki responsibilities atau tanggung jawab yang berbeda.
Kesimpulan
Secara umum kita mengetahui bahwa audit adalah proses menyandingkan kondisi dengan
kriteria, COBIT disini menjadi kriteria yang dituju oleh auditor.
1. IT Organization Structure
2. Logical access controls over system, applications, and data.
Struktur Organisasi IT
CIO bertanggungjawab atas IT dan merancang serta memelihara IT, IT resource, IT metric
dan menetukan IT mana yang akan dikejar. Berikut struktur yang dibawahi oleh CIO
1. Operation unit
2. Technical support unit
3. Data unit
4. System and app development unit
Hubungan antara pengendalian umum dan aplikasi bersifat pervasif. Artinya apabila
pengendalian umum terbukti jelek, maka pengendalian aplikasinya diasumsikan jelek juga,
sedangkan bila pengendalian umum terbukti baik, maka diasumsikan pengendalian
aplikasinya juga baik.
Perbedaan utama antara pengendalian umum dan pengendalian aplikasi adalah bahwa sifat
pengendalian umum adalah prosedural, sedangkan pengendalian aplikasi bersifat lebih
berorientasi pada data. Oleh sebab itu, bagi auditor mungkin saja menilai pengendalian
umumnya secara terpisah dari penilaian terhadap pengendalian aplikasi.
CH 5-7 James hall buku versi 4, pas presentasi pake software apa,
pengalaman membedah aplikasi. Audit around, audit through (buku pak
anis), simulasi sejajar, data urging, cara, prasyarat, dsb
Teknik Audit Berbantuan Komputer atau Computer Assisted Audit Technique dapat dibagi
menjadi tiga jenis, yaitu:
Jenis audit ini dapat digunakan ketika proses yang terotomasi dalam sistem cukup
sederhana. Kelemahan dari audit ini adalah bahwa audit around the computer tidak menguji
apakah logika program dalam sebuah sistem benar. Selain itu, jenis pendekatan audit ini
tidak menguji bagaimana pengendalian yang terotomasi menangani input yang
mengandung error. Dampaknya, dalam lingkungan IT yang komplek, pendekatan ini akan
tidak mampu untuk mendeteksi banyak error.
Simulasi sejajar (parallel simulation) adalah suatu teknik audit yang membandingkan
pengolahan data yang dilakukan oleh dua program dengan tujuan untuk memperoleh
keyakinan bahwa kedua program tersebut menghasilkan keluaran yang sama (identik). Data
yang digunakan dalam pengujian ini bisa berupa data transaksi yang sebenarnya ataupun
data tiruan (dummy data). Kedua program dalam simulasi paralel ini seharusnya sama,
tentunya apabila belum ada modifikasi terhadap program yang diperiksa. Dengan teknik
simulasi paralel inilah auditor dapat mengetahui apakah terjadi perubahan terhadap program
yang tengah di audit.
Data urging, cara dan prasyarat belum nemu, itu di bab apa ya ? hmm
1. IT Audit
Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan
sekarang audit TI secara umum merupakan proses pengumpulan dan evaluasi dari
semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi
informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset
sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam
mencapai target organisasinya.
Tujuan IT audit
Tujuan Audit SI
Manfaat Audit IT
Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan
kebutuhan ataupun memenuhi acceptance criteria.
Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
Mengetahui apakah outcome sesuai dengan harapan manajemen.
Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan
saran untuk penanganannya.
Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem,
perencanaan strategis, dan anggaran pada periode berikutnya.
Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan
kebijakan atau prosedur yang telah ditetapkan.
Kedua, audit laporan keuangan yang melibatkan uji substantive. Pengujian bersifat
substantive adalah verifikasi langsung terhadap angka-angka laporan keuangan,
menempatkan keandalan pengendalian internal sebagai hasil jaminan audit interim.
*ga nemu ruang lingkup IT Audit, nemunya lingkup audit SI (slide TABK 04)
b. Pengumpulan Bukti
Data lain yang perlu dikumpulkan jika melakukan pemeriksaan terhadap WP
yang datanya diolah secara elektronik:
- Dokumentasi Program;
- Dokumen-dokumen masukan maupun keluaran yang dihasilkan;
- Data Files (baik master file maupun transaction file);
- Record Definition setiap file;
c. Pemeriksaan
- Auditing Around Computer (Audit Sekitar Komputer) yaitu dimana
penggunaan komputer pada tahap proses diabaikan.
- Auditing Throught Computer (Auditing Melalui Komputer) yaitu dimana pada
tahap proses penggunaan komputer telah aktif.
- Auditing With Computer (Auditing Dengan Komputer) yaitu dimana input,
proses dan output telah menggunakan komputer.
(Penjelasan sudah ada diatas)
d. Pelaporan
ITIL-3 bukanlan sebuah standar tetapi hanya kerangka yang berisi 8 seri
mengenai praktek-praktek terbaik mengenai IT service management dan distribusi IT
service yang berkualitas tinggi. Delapan seri tersebut adalah sebagi berikut :
Software Asset Management, Service Support, Service Delivery, Planning to
Implement Service Management, ICT Infrastructure Management, Application
Management, Security Management, Business Perspective
ISO 17799 adalah 'kode praktek', yang berarti bahwa ISO ini berisi daftar
sejumlah besar kontrol keamanan khusus yang mungkin dapat diterapkan ke
lingkungan IT. Seleksi dari kontrol ini biasanya dilakukan melalui penilaian risiko.
Dikembangkan oleh The International Organization for Standardization (ISO) dan
The International Electrotechnical Commission (IEC) dengan titel "Information
Technology - Code of Practice for Information Security Management". ISO/IEC
17799 dirilis pertama kali pada bulan desember 2000.
ISO 17799 terdiri dari : Security policy, Organizational security, Asset
calssification, Human resources, Physical and environmental, Communcation and
operations, Access control, System development, Business continuity, Compliance,
Risk asessment, Information System acquisition
4. Tools
A. Tools Audit TI
Selain COBIT, terdapat beberapa tools lain yang digunakan untuk melakukan audit
teknologi informasi, yaitu sebagai berikut :
Merupakan perangkat lunak dalam pelaksanaan audit yang di design khusus untuk
melakukan analisa data elektronik suatu perusahaan dan membantu menyiapkan laporan
audit secara mudah dan interaktif. ACL dapat digunakan untuk user biasa atau yang
sudah ahli.
Picalo adalah perangkat lunak yang dapat digunakan untuk melakukan analisa data yang
dihasilkan dari berbagai sumber. Picalo dikemas dengan GUI (Graphis User Interface)
yang mudah digunakan, dan dapat berjalan di berbagai sistem operasi.
3. Metasploit
Metasploit merupakan perangkat lunak yang dapat membanttu keamanan dan sifat
profesionalisme teknologi informasi seperti melakukan identifikasi masalah keamanan,
verifikasi kerentanan, dapat melakukan scanning aplikasi website, dan rekayasa sosial.
NMap bersifat open source yang digunakan untuk audit dalam hal keamanan. Sistem dan
administrator menggunakan perangkat lunak ini sebagai persediaan jaringan, mengelola
jadwal layanan untuk upgrade, jenis firewall apa yang sedang digunakan, dan lain-lain.
NMap berjalan pada semua sistem operasi dan paket biner seperti Linux, serta dapat
melakukan transfer data secara fleksibel.
5. Wireshark
Wireshark adalah jaringan terkemuka pada analyzer protocol. Perangkat ini dapat
membantu dalam melakukan penangkapan dan interaksi dalam penelusuran lalu lintas
yang berjalan pada jaringan komputer.
6. Powertech Compliance Assessment Powertech
automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark
user access to data, public authority to libraries, user security, system security, system
auditing dan administrator rights (special authority) sebuah serverAS/400.
Ada beberapa pendekatan yang dapat dipilih oleh seorang auditor apabila
menggunakan teknik audit berbantuan komputer, yaitu melakukan pengujian aplikasi atau
melakukan pengujiansubstantif.
Pengujian Aplikasi
Beberapa pendekatan yang dapat dilakukan apabila auditor tersebut memilih melakukan
pengujian aplikasi adalah:
1.Test Data
Metode ini menggunakan data masukan yang telah dipersiapkan auditor dan menguji
data tersebut dengan salinan (copy) dari perangkat lunak aplikasi auditan. Hasil
pemrosesan data tersebut akan dibandingkan dengan ekspektasi auditor. Jika ada hasil
yang tidak sesuai, mungkin ini suatu indikasi penyimpangan logika atau mekanisme
pengendalian.
Adalah suatu pendekatan teknik terotomatisasi yang memungkinkan auditor menguji alur
logika dan kendali suatu aplikasi pada saat operasi normal berlangsung.
3.Parallel Simulation(PS)
Merupakan suatu teknik dimana satu atau lebih modul program tertentu dilekatkan di
suatu aplikasi untuk mencatat secara tersendiri serangkaian transaksi yang telah
ditentukan ke dalam file yang akan dibaca oleh auditor
1.Tracing
Pentrasiran (tracing) adalah suatu teknik audit yang memungkinkan bagi auditor untuk
melakukan penelusuran terhadap aplikasi PDE. Pemeriksa dapat melakukan
penelusuran terhadap suatu program/sistem aplikasi untuk menguji keandalan kebenaran
data masukan dalam pengujian ketaatan, pemeriksa mencetak daftar instruksi program
yang dijalankan sehingga dapat ditelusuri apakah suatu instruksi telah dijalankan selama
proses. Dari analisis terhadap hasil pelaksanaan instruksi tersebut, auditor dapat
memahami dan mengevaluasi urutan-urutan (arus) dari suatu transaksi sebagaimana
pentrasiran dalam sistem pengolahan data secara manual.
Mapping merupakan suatu teknik yang digunakan untuk menunjukkan bagian mana dari
suatu program yang dapat dimasuki pada waktu program tersebut dijalankan. Hal ini
dilakukan dengan menunjukkan bagian mana dari program tersebut yang berfungsi dan
bagian mana yang tidak dapat dijalankan. Dengan cara ini dapat diperoleh keuntungan
pemisahan kode komputer yang tidak digunakan dan pemisahan bagian-bagian mana
yang mungkin akan digunakan oleh orang-orang yang tidak berhak.
3.Snapshot
Snapshot adalah suatu teknik yang memotret transaksi pada waktu transaksi tersebut
melewati sistem (diproses). Teknik ini memberikan peluang bagi auditor untuk menelaah
isi dari memori komputer atau unsur-unsur database serta untuk menguji perhitungan
seperti penyusutan dari berbagai metode yang ada untuk beberapa jenis aktiva yang
berbeda. Potret tersebut kemudian dicetak untuk dianalisis lebih lanjut oleh auditor yang
bersangkutan.
Base Case System Evaluation (BCSE) adalah teknik yang lebih menyeluruh
dibandingkan dengan teknik data uji ataupun teknik integrated test facility. Hal ini
disebabkan karena BCSE menggunakan bentuk data yang distandardisasikan (masukan,
parameter dan keluaran) dalam menguji suatu aplikasi komputer, baik sebelum maupun
sesudah implementasinya.
MATERI TAMBAHAN
Tahap Keterangan
Menentukan layak/tidaknya, cost-beneft satu proses
Fensibility study sistem.
Information Analysis Menggali user requirements.
Merancang user interface, sistem file, dan information
processing functions yang akan dilakukan, dan
System Design sebagainya.
Memdesain, coding, compiling, testing, dan decomenting
Program development programs.
Procedures and forms Mendesain system procedures dan form form yang
devenlopment akan digunakan.
Acceplance testing Final text / formal approval / accerptanes dari out
Implementasi, mengganti sistem lama dengan sistem
Conversion baru.
On-gving production, eperasionalisasi sistem, perawatan
Operation and dan perbaikan, evaluasi atau usul sistem yang lebih baru
maintenance lagi di kemudian hari.
Metodologi Sdlc
Istilah metodologi pengembangan (atau pembanguna) sistem aplikasi adalah
semata-mata merupakan sebutan yang diintroduksi oleh lingkungan kelompok ahli
yang menelurkan ide ide tentang prosedur pembangunan lain.
Testng, adalah sangat sulit untuk kembali melakukan perubahan karena ada
suatu yang belum dipikirkan sebelumnya (atau situasi berubah).
Soft-System Methodology
Pendekatan soft-systems methodology (SSM) meliputi dua tahapan, yaitu :
Kenali situasi/kondisi, identifikasikan problem. Ada tiga hal yang harus diingat dan
dilakukan, yaitu :
Problem solver, yang menggunakan SSM untuk struktur diskusi, debat dan
negoisasi tentang problem tersebut.
Problem owner
Decision taker, orang yang memiliki kemampuan untuk merubah situasi.
Politycal Approach
Pada awal tahun 1980an diperkenalkan pendekatan politis (politycal approach)
dalam pengembangan sistem informasi. Munculnya ide ini didasarkan pada
pemikiran bahwa keterlibatan user merupakan strategi pengembangan sistem
aplikasi yang tepat.
Prototyping Approach
Pendekatan prototyping menggunakan metode langsung dalam
pengembangan sistem aplikasi.
Pada umumnya prototyping termasuk pendekatan yang fleksibel dan relatif
banyak diikitu karena keunggulan keunggulan, meskipun ada juga kelemahannya.
Keunggulan prototyping ialah memungkinkan interaksi secara interns (Aktif)
dan calon user dapat ikut berpartisipasi, membayangkan, atau mengharapkan
sistem apalikasi yang akan dikembangkan. Sedangkan kelemahannya adalah
seringkali prototype berjalan di lapangan dan mengalami perubahan perubahan
dari konsep desain awal yang lebih terintegrasi.
Kondisi atau bidang yang cocok menggunakan metoda prototyping misalnya :
Bidang yang tipe pekerjaannya high risk
Dalam pembangunannya harus banyak interaksi dengan calon pengguna sistem
aplikasi tersebut.
Sistem perlu segera dioperasionalkan
Ekspektasi umur sistem tidak terlalu panjang
Sistem yang kondisi dan lingkungannya baru
Para calon pengguna sistem belum dapat diukur ciri ciri karakteristiknya.
Contigency Approach
Menurut para pendukung gagasan model pengembangan sistem ini. Hal hal
berikut ini yang mempengaruhi efektifitas pendekatan ini, yaitu :
Social system impact, jika sistem memiliki dampak besar terhadap pekerjaan,
sktruktur organisasi atau distribusi kekuatan organisasi, maka desainer harus
melakukan pendekatan dan memperhatikan issue behavioral yang timbul.
Task sistem impact, jika sistem mempengaruhi kinerja karyawan dan keseluruhan
efektifitas dan efesiensi organisasi maka bagian HRD harus ikut bertanggungjawab
terhadap pengembangan sistem ini.
System size, skala sistem yang akan dikembangkan harus disebarluaskan apa yang
menjadi dampak sosial dan sistem pada organisasi.