MODUL PERKULIAHAN

Audit Teknologi
Informasi
Modul Standar untuk digunakan
dalam Perkuliahan di Universitas
Widyatama
Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh
Teknik Sistem Informasi 11740005 Iwan Rijayana, S.Kom, M.M, M.Kom

02
Abstract Kompetensi
Mahasiswa mempelajari Context Mahasiswa mempunyai
Audit Teknologi Informasi pengetahuan mengenai Context
Audit Teknologi Informasi
 Modul 2
Konteks Audit Teknologi Informasi
INFORMASI DALAM MODUL INI 
● Tata kelola TI
● Manajemen risiko
● Kepatuhan hukum dan peraturan
● Manajemen kualitas dan jaminan kualitas
● Manajemen keamanan informasi

Dengan pengecualian organisasi yang tunduk pada peraturan atau kebijakan eksternal
yang mengharuskan mereka untuk mempertahankan fungsi audit internal atau melakukan audit
teknologi informasi (TI), keputusan untuk membangun kemampuan audit TI internal biasanya
didorong oleh tujuan yang ditetapkan secara internal. Dorongan utama organisasi terkemuka
untuk mengatur dan mengoperasikan program audit TI adalah kebutuhan untuk mendukung
inisiatif atau program manajemen perusahaan yang bergantung pada TI. Mendukung secara
efektif program-program semacam itu juga merupakan faktor penting dalam mewujudkan
manfaat atau nilai yang diharapkan dari program-program semacam itu, setidaknya sejauh
keberhasilannya diukur dalam hal efisiensi, efektivitas, dan metrik kinerja terkait. Fungsi
organisasi diperkuat atau difasilitasi melalui program audit TI internal termasuk tata kelola TI,
manajemen risiko perusahaan, kepatuhan dan sertifikasi standar, peningkatan berkelanjutan, dan
jaminan kualitas, yang semuanya mempertahankan misi dan inisiatif bisnis dan membantu
organisasi mencapai perencanaan strategis. tujuan, sasaran, dan hasil. Bab ini menjelaskan
inisiatif organisasi ini dan peran audit TI di masing-masing. Ini merangkum elemen struktural
utama, proses, dan karakteristik lain dari program perusahaan yang didukung oleh audit TI dan
menggambarkan hubungan timbal balik antara audit TI dan tata kelola, risiko, kepatuhan, dan
kualitas, seperti yang diilustrasikan dalam Gambar 2.1. Merencanakan dan melaksanakan proses
yang terkait dengan program-program ini mempengaruhi desain dan implementasi program audit
TI dan membantu organisasi mengidentifikasi dan memprioritaskan berbagai aspek operasi
mereka yang merupakan subjek audit TI yang diperlukan. Sebaliknya, kelemahan atau
kekurangan dalam pengendalian internal, kesenjangan dalam memenuhi persyaratan kepatuhan,
atau temuan audit TI potensial lainnya memengaruhi keputusan organisasi yang dibuat pada
tingkat program perusahaan tentang alokasi sumber daya, respons risiko, tindakan korektif, atau
peluang untuk perbaikan proses atau kontrol.
 Gambar 2.1
Kegiatan audit TI merupakan bagian integral dari beberapa fungsi manajemen perusahaan utama,
yang secara kolektif berkontribusi pada ruang lingkup program audit TI dan menerima input dari
hasil proses audit.

2.1. Tata kelola TI

Istilah tata kelola dalam konteks bisnis umumnya mengacu pada serangkaian kebijakan,
proses, dan tindakan yang diambil oleh manajemen untuk menentukan strategi organisasi dan
mengoperasikan organisasi dengan cara yang dimaksudkan untuk membantu mewujudkan tujuan
dan sasaran bisnisnya. Sebaliknya, tata kelola TI mengacu pada struktur dan proses yang
digunakan organisasi untuk mencoba memastikan bahwa operasi TI mereka mendukung tujuan
dan sasaran keseluruhan organisasi. Menurut IT Governance Institute, tujuan pemerintah yang
berlaku untuk hampir semua organisasi termasuk menyelaraskan strategi TI dengan strategi
perusahaan, mengalokasikan sumber daya TI secara efisien untuk mendukung pencapaian tujuan
organisasi dan mewujudkan nilai yang diantisipasi dari investasi TI, dan mengelola TI secara
efektif. -Risiko terkait [1]. Dengan penambahan pengukuran kinerja untuk memungkinkan
organisasi menilai sejauh mana mereka mencapai tujuan mereka, tata kelola TI terdiri dari fungsi
manajemen seperti yang digambarkan pada Gambar 2.2.
 Gambar 2.2
Ruang lingkup tata kelola TI terdiri dari lima bidang fokus utama, masing-masing didukung
oleh proses yang jelas dan serangkaian kontrol internal [2].

Sebagaimana diterapkan dalam praktiknya, tata kelola TI terdiri dari berbagai proses dan
kontrol untuk aplikasi, sistem, jaringan, infrastruktur, personel, dan pusat data dan fasilitas
lainnya, termasuk:
● Kebijakan terkait TI;
● Prosedur operasi standar;
● Rencana manajemen;
● Pemantauan dan manajemen kinerja;
● Fungsi pengawasan atau pengawasan;
● Kontrol TI dan kontrol pemantauan;
● Proses pengembangan sistem dan perangkat lunak; dan
● Kegiatan operasi dan pemeliharaan.

Fungsi tata kelola TI dan proses serta aktivitasnya yang terkait dapat diterapkan pada
berbagai tingkatan organisasi — untuk kontrol internal, fungsi dan proses bisnis, infrastruktur,
operasi dan pemeliharaan sistem, atau proyek individu, serta seluruh perusahaan. Ada berbagai
kerangka kerja tata kelola yang tersedia untuk digunakan, termasuk yang mengambil perspektif
organisasi seperti Control Objective for Information and related Technology (COBIT) atau ISO /
IEC 38500. Standar ISO / IEC 38500 berfokus pada tata kelola TI perusahaan, - mengukur
prinsip dan rekomendasi tingkat tinggi yang harus dipertimbangkan oleh eksekutif organisasi
atau pemimpin lainnya yang bertanggung jawab atas tata kelola. Perspektif perusahaan dalam
ISO / IEC 38500 konsisten dengan COBIT 5 — versi terbaru kerangka kerja, dirilis pada 2012
— yang dimaksudkan untuk menawarkan pendekatan holistik tata kelola dengan kerangka kerja
tunggal menyeluruh yang menggabungkan banyak elemen yang sebelumnya terpisah. COBIT 5
berkembang pada pendekatan proses sentris sebelumnya yang serupa yang digunakan dalam
versi 4.1 dan mengintegrasikan panduan tambahan yang diorganisasikan ke dalam tujuh kategori
"pendukung": prinsip, kebijakan, dan kerangka kerja; proses; struktur organisasi; budaya, etika
dan perilaku; informasi; layanan, infrastruktur dan aplikasi; dan orang-orang, keterampilan dan
kompetensi [3]. Tata kelola TI yang dikelola di tingkat perusahaan mencakup ruang lingkup
penuh audit TI semesta — unit operasi, fungsi bisnis dan teknis, proses, sistem, kontrol, dan
aktivitas lain yang mewakili fokus berbagai jenis audit TI.
 Sumber pedoman tata kelola difokuskan pada berbagai aspek organisasi di bawah tingkat
perusahaan termasuk:
● Information Technology Infrastructure Library  (ITIL) dan ISO / IEC 20000 untuk
manajemen layanan;
● Project Management Body of Knowledge (PMBOK) dan Project In Controlled
Environment's Certification. versi 2 (PRINCE2) untuk manajemen proyek;
● Capability Maturity Model Integration (CMMI) dan ISO / IEC 15504 untuk proses
pengembangan perangkat lunak; dan
● Seri ISO / IEC 27000 dan National Institute of Standards and Technology (NIST)
manajemen risiko untuk manajemen keamanan informasi.

Sumber eksternal panduan tentang proses tata kelola, persyaratan, atau praktik terbaik
biasanya menawarkan model tata kelola organisasi yang dapat diadopsi sebagai publikasi atau
diadaptasi agar sesuai dengan kebutuhan khusus organisasi. Sebagai contoh, kerangka kerja
COBIT 5 menjelaskan total 37 proses terkait TI dalam lima kategori — dievaluasi, diarahkan,
dan dipantau; menyelaraskan, merencanakan, dan mengatur; membangun, memperoleh, dan
mengimplementasikan; memberikan, layanan, dan dukungan; dan memantau, mengevaluasi, dan
menilai — dan menentukan sejumlah kontrol TI di setiap kategori. Organisasi yang mengadopsi
COBIT tidak diharuskan untuk menerapkan semua kontrol atau dibatasi hanya menggunakan
kontrol dalam kerangka kerja COBIT. Alih-alih, kerangka kerja memberikan model tata kelola
tata ruang terstruktur, yang mengakomodasi apa pun fungsi tata kelola dan kontrol yang dipilih
organisasi, termasuk kontrol yang ditentukan dalam standar dan kerangka kerja lain [3].

Bagaimana peran Audit TI dalam Tata Kelola ?

Organisasi tidak perlu mengikuti kerangka kerja yang ditetapkan secara formal untuk
mempraktikkan tata kelola yang efektif. Untuk organisasi yang melakukannya, kerangka kerja
dan standar serta prosedur terkaitnya menyediakan elemen-elemen dasar dari garis dasar audit TI
yang digunakan dalam area yang dicakup oleh kerangka kerja tata kelola. Organisasi yang
mengembangkan metodologi tata kelola mereka sendiri juga perlu mendefinisikan set kriteria
audit yang sesuai. Organisasi juga perlu mendukung tata kelola dengan fungsi audit TI yang
efektif yang memungkinkan mereka untuk memvalidasi bahwa proses mereka berfungsi
sebagaimana dimaksud; bahwa sistem mereka diimplementasikan, dikonfigurasikan, dan
dioperasikan dengan benar dan efektif; dan bahwa sumber daya yang mereka alokasikan untuk
inisiatif TI mereka selaras dengan tujuan bisnis organisasi mereka.
Variasi cara audit TI berkontribusi pada keberhasilan praktik kegiatan tata kelola TI
mencerminkan ruang lingkup luas dari proses dan fungsi tata kelola TI. Tata kelola TI biasanya
terdiri dari proses dan kegiatan manajemen dan kebijakan, prosedur, standar, dan pedoman yang
terdokumentasi yang ditentukan organisasi untuk memandu pelaksanaan proses manajemen dan
memberikan pengawasan operasi yang efektif. Kebijakan dan prosedur yang ditentukan oleh
organisasi biasanya merupakan panduan yang dimaksudkan untuk memastikan bahwa TI
digunakan secara efektif dan efisien dan bahwa tujuan kinerja yang ditetapkan tercapai.
Melakukan audit TI operasi internal adalah salah satu cara untuk mengonfirmasi bahwa proses
dan kegiatan yang benar-benar dilaksanakan oleh organisasi sesuai dengan kebijakan dan
prosedur dan untuk mengidentifikasi setiap bidang ketidaksepakatan. Jika organisasi melacak
biaya atau alokasi sumber daya TI lainnya dan memiliki pengukuran kinerja yang konsisten,
hasil audit TI mungkin berkorelasi dengan data biaya dan kinerja untuk memberikan beberapa
wawasan tentang kontribusi operasi TI untuk mencapai tujuan bisnis dan hasil yang diinginkan.
Selain memberikan informasi kepada manajemen tentang operasi TI, audit TI jenis ini juga dapat
menawarkan bukti untuk menunjukkan bahwa proses yang diterapkan organisasi menunjukkan
tingkat kedewasaan atau memenuhi kriteria yang ditentukan secara eksternal seperti yang ada
dalam CMMI Institut Rekayasa Perangkat Lunak atau proses Six Sigma metodologi perbaikan.
Audit TI dapat mengkonfirmasi pencapaian (atau kegagalan untuk mencapai) tujuan organisasi
yang berkaitan dengan masing-masing fungsi seperti yang ditunjukkan pada Gambar 2.2.

Menentukan semesta audit organisasi — serangkaian hal di semua tingkat organisasi yang
mungkin menjadi subjek audit TI — adalah salah satu dari banyak tanggung jawab yang sering
kali ditugaskan untuk program audit TI. Organisasi dengan tata kelola TI yang sudah mapan atau
program manajemen risiko formal harus memiliki dekomposisi fungsional yang tersedia,
inventaris aset, dan artefak arsitektur perusahaan yang secara substansial menggambarkan
manajemen TI, operasi, dan ruang lingkup teknis organisasi dan dengan demikian memberikan
dasar yang baik untuk membangun - Audit semesta TI.

2.2. Manajemen risiko

Semua organisasi memiliki paparan risiko — potensi kehilangan, kerusakan, cedera, atau
hasil yang tidak diinginkan lainnya yang dihasilkan dari keputusan, tindakan, atau peristiwa.
Risiko ada karena masa depan tidak dapat diprediksi dengan pasti; rencana atau strategi
organisasi mengenai peristiwa di masa depan mencerminkan asumsi, perhitungan, atau perkiraan
tentang apa yang akan terjadi, tetapi selalu ada peluang bahwa peristiwa akan terungkap secara
berbeda dari yang diantisipasi, berpotensi dengan hasil yang kurang menguntungkan daripada
apa yang direncanakan organisasi. International Organization for Standardization (ISO)
mendefinisikan risiko hanya sebagai "efek ketidakpastian pada tujuan," [4] tetapi sebagian besar
sumber pedoman tentang manajemen risiko mencirikan risiko sebagai fungsi dari ancaman dan
kerentanan yang berlaku untuk suatu organisasi, di mana besarnya risiko dinyatakan dalam hal
dampak yang dapat terjadi seandainya potensi ancaman muncul dan kemungkinan terjadinya itu.
Ruang lingkup manajemen risiko perusahaan mencakup semua aspek organisasi yang peristiwa
buruknya memiliki potensi untuk mempengaruhi pencapaian tujuan dan hasil yang diinginkan.
Kehadiran risiko menjadikannya penting bagi organisasi untuk mengembangkan kemampuan
dan prosedur yang diperlukan untuk mengelola risiko. Terlepas dari jenis risiko yang terlibat,
proses inti yang ditentukan dalam berbagai kerangka kerja dan metodologi manajemen risiko
cenderung serupa dan mencakup strategi risiko (atau perencanaan), identifikasi risiko, penilaian
risiko, pemantauan risiko, dan respons risiko [5].
Manajemen risiko perusahaan di banyak organisasi tidak hanya terdiri dari ruang lingkup
audit TI tetapi juga mencakup banyak jenis risiko yang biasanya tidak ditangani melalui program
audit TI. Organisasi sering memilih untuk mengadopsi praktik manajemen risiko, terbatas dalam
ruang lingkup TI atau keamanan informasi, daripada merangkul manajemen risiko perusahaan
secara lebih luas. Memfokuskan manajemen risiko pada sistem informasi atau kontrol keamanan
adalah norma di banyak organisasi yang lebih kecil dan di organisasi sektor publik dalam ukuran
apa pun di mana manajemen risiko yang benar-benar berskala perusahaan atau terpadu yang
terdiri dari sumber risiko teknis dan nonteknis jarang terjadi. Misalnya, kerangka kerja
manajemen risiko yang diterbitkan oleh NIST AS untuk digunakan di lembaga pemerintah
federal hanya membahas risiko keamanan informasi [6]. Ketika General Accounting Office
(GAO) merekomendasikan pada tahun 2005 bahwa lembaga-lembaga yang mengeksekusi misi
keamanan tanah air mengadopsi praktik manajemen risiko, GAO kemudian mencatat meluasnya
penggunaan manajemen risiko di sektor komersial dan relatif kurangnya kematangan proses
serupa di organisasi pemerintah [7 ] Dalam organisasi ini, lingkup operasi manajemen risiko
yang terbatas mungkin lebih selaras dengan praktik audit TI, meskipun organisasi harus
menyadari bahwa temuan audit TI mungkin sesuai dengan jenis risiko di luar TI dan risiko
keamanan informasi. Program manajemen risiko yang difokuskan secara sempit ini sangat
kontras dengan yang terlihat di banyak organisasi komersial, terutama di industri yang diatur
atau di antara perusahaan publik di mana ruang lingkup manajemen risiko mencakup TI dan
risiko keamanan informasi serta keuangan, operasional, strategis, pasar, rantai pasokan, reputasi,
hukum, atau jenis risiko bisnis lainnya [8].
Kerangka kerja manajemen risiko perusahaan seperti yang dihasilkan oleh Committee of
Sponsoring Organizations of the Treadway Commission (COSO) dan ISO mengadopsi
perspektif manajemen risiko terintegrasi yang mencakup semua jenis risiko, semua tingkat
organisasi, dan berbagai jenis tujuan organisasi. Model seperti itu biasanya tidak menyebutkan
jenis risiko tertentu, mengakui bahwa organisasi dari jenis yang berbeda atau di sektor yang
berbeda dapat menggunakan skema kategorisasi risiko tertentu dan teknik manajemen risiko
yang terkait. Beberapa pendekatan manajemen risiko menangani perspektif perusahaan dan
praktik manajemen risiko yang lebih sempit dengan panduan atau standar terpisah. Sebagai
contoh, ISO / IEC 31000 dan ISO / IEC 27005 standar manajemen risiko berbagi konsep
manajemen risiko umum yang sama dan proses yang ditentukan, tetapi ISO / IEC 31000
membahas semua sumber risiko dan semua kegiatan organisasi yang melibatkan risiko [5],
sementara ISO / IEC 310005 IEC 27005 hanya berlaku untuk risiko keamanan informasi [9].

Gambar 2.3
 Kerangka kerja manajemen risiko perusahaan COSO [10] adalah salah satu pendekatan paling
komprehensif untuk manajemen risiko karena cakupannya di semua tingkat organisasi dan fokus
luas di luar TI.

Manajemen risiko membahas tujuan strategis dan operasional dan, untuk organisasi di
sektor-sektor yang tunduk pada pengawasan atau persyaratan peraturan, juga mendukung tujuan
pelaporan dan kepatuhan. Banyak pendekatan tata kelola organisasi menggabungkan manajemen
risiko sebagai komponen integral, termasuk kerangka kerja COBIT 5 yang dijelaskan
sebelumnya dalam bab ini yang mengintegrasikan proses manajemen risiko dari model TI Risiko
ISACA [3]. Berbagai jenis risiko dapat berdampak pada aspek operasional, taktis, dan strategis
unit bisnis individu atau seluruh organisasi. Manajemen risiko yang efektif sering memerlukan
visibilitas ke dalam beberapa bagian organisasi dan koordinasi berbagai sumber daya.
Serangkaian fungsi, personel, dan sumber daya spesifik lainnya yang dialokasikan untuk
manajemen risiko perusahaan bervariasi tergantung pada ukuran dan kompleksitas organisasi dan
kematangan pendekatan manajemen risikonya. Model manajemen risiko yang komprehensif
menggabungkan perspektif manajemen, struktural, dan proses untuk memungkinkan organisasi
mengatasi semua jenis risiko dan berbagai elemen yang terkait dengan risiko tersebut. Seperti
yang diilustrasikan dalam Gambar 2.3, komponen organisasi yang terintegrasi dalam kerangka
kerja COSO untuk manajemen risiko perusahaan meliputi [10]:
● Deskripsi lingkungan internal, yang terdiri dari budaya organisasi dan perspektif
manajemen risiko untuk organisasi, yang memengaruhi strategi manajemen risiko dan
toleransi risiko;
● Pembentukan tujuan dan sasaran strategis, yang harus dinyatakan dengan jelas agar
organisasi dapat mengidentifikasi peristiwa potensial yang mempengaruhi pencapaian
mereka;
● Identifikasi sumber atau peristiwa ancaman internal dan eksternal yang berpotensi
berdampak positif atau negatif terhadap pencapaian tujuan organisasi;
● Penilaian risiko, mempertimbangkan kemungkinan dan dampak, untuk mendukung
pemilihan respons risiko yang tepat atau pendekatan lain untuk mengelola risiko;
● Pemilihan respons risiko — penghindaran, penerimaan, mitigasi, berbagi, atau
pemindahan, sendirian atau dalam kombinasi — dan pengembangan tindakan yang
konsisten dengan sifat risiko dan dengan toleransi risiko organisasi;
● Pembuatan dan implementasi kebijakan dan prosedur dan mekanisme kontrol lainnya
yang memadai untuk memastikan bahwa respons risiko dijalankan sesuai rencana;
● Berbagi informasi dan komunikasi di semua tingkatan organisasi untuk memungkinkan
semua pemangku kepentingan manajemen risiko untuk melaksanakan tanggung jawab
mereka; dan
● Pemantauan semua jenis dan sumber risiko organisasi yang relevan melalui kegiatan
manajemen operasional yang sedang berlangsung, evaluasi spesifik tujuan, kemampuan
pemantauan dan pelaporan otomatis, atau cara lain yang disukai oleh organisasi.

Apa Saja Komponen Manajemen Risiko ?.

Terlepas dari ruang lingkup kegiatan atau tingkat organisasi yang membahas manajemen
risiko, sebagian besar pendekatan manajemen risiko berbagi konsep dan proses inti yang sama,
meskipun organisasi yang berbeda menerapkan elemen-elemen umum ini dengan cara yang
berbeda. Banyak variasi dalam manajemen risiko di seluruh organisasi — terutama dalam hal
penentuan prioritas risiko dan sumber daya yang dialokasikan untuk manajemen risiko dan
mitigasi — disebabkan oleh perbedaan toleransi risiko. Toleransi risiko organisasi (juga kadang-
kadang disebut risk appetite atau kecenderungan risiko) adalah tingkat risiko yang bersedia
diterima sebelum mengambil tindakan untuk mengurangi atau merespons risiko. Organisasi yang
relatif lebih menolak risiko lebih cenderung menginvestasikan sumber daya dalam mengurangi
risiko atau menahan diri dari beberapa jenis kegiatan, dan mungkin cenderung mengevaluasi
risiko lebih sering untuk memastikan bahwa risiko yang dihadapi organisasi tetap pada atau di
bawah tingkat yang dapat diterima. Organisasi mengelola risiko mereka dengan mengembangkan
dan melaksanakan rencana risiko atau strategi risiko yang mencerminkan perspektif khusus
organisasi tentang jenis risiko yang dihadapinya dan bagaimana ia bermaksud untuk mengelola
risiko itu. Strategi tersebut menetapkan asumsi perencanaan strategis, kendala, kriteria
pengambilan keputusan, dan faktor-faktor lain yang memengaruhi manajemen risiko dalam
organisasi, termasuk penggunaan identifikasi risiko dan prosedur evaluasi seperti yang terkait
dengan fungsi audit TI. Setelah ditetapkan, organisasi menerapkan rencana manajemen risiko
menggunakan siklus proses dan prosedur yang berulang, biasanya termasuk identifikasi risiko,
evaluasi, respons, pemantauan, dan tinjauan.
Siklus hidup manajemen risiko keamanan informasi yang didefinisikan dalam Publikasi
Khusus NIST 800-39 dan direkomendasikan untuk digunakan di lembaga pemerintah federal
secara struktural sangat mirip dengan ISO / IEC 27005, Risiko IT ISA, dan kerangka kerja
manajemen risiko lainnya serta proses yang dikembangkan untuk mendukung perusahaan
manajemen risiko di organisasi sektor publik dan swasta. Aktivitas inti dalam risiko NIST

Gambar 2.4
Kerangka kerja manajemen risiko NIST adalah contoh representatif dari proses dan metodologi
yang membahas jenis risiko tertentu, seperti risiko yang terkait dengan sistem informasi
pengoperasian [6].

proses manajemen, seperti yang diilustrasikan dalam Gambar 2.4, termasuk pembingkaian risiko,
penilaian risiko, respons risiko, dan pemantauan risiko, semua didukung oleh arus informasi dan
komunikasi di semua tingkat organisasi dan di antara semua proses manajemen risiko. Mirip
dengan perencanaan risiko atau strategi risiko, pembingkaian risiko menetapkan ruang lingkup
kegiatan manajemen risiko, yang dalam kasus kerangka NIST terbatas pada risiko keamanan
informasi yang terkait dengan sistem informasi dan lingkungan operasinya. Penilaian risiko
mencakup identifikasi ancaman dan sumber risiko lainnya dan penentuan besarnya risiko relatif
dari masing-masing sumber. Respon risiko membahas apa yang organisasi pilih untuk lakukan
terhadap risiko yang dihadapinya; respons alternatif biasanya mencakup menerima, memitigasi,
menghindari, atau mentransfer risiko. Pemantauan risiko melibatkan tindakan berkala atau
berkelanjutan untuk memvalidasi sumber risiko yang saat ini diketahui, mengidentifikasi sumber
risiko baru (apakah karena ancaman eksternal atau perubahan lingkungan internal), dan
memverifikasi implementasi atau memvalidasi efektivitas tindakan yang dipilih sebagai bagian
dari respons risiko .

Bagaimana Peran Audit TI dalam manajemen Risiko ?

Audit TI memiliki peran dependen dan pendukung dalam manajemen risiko. Hasil
kegiatan manajemen risiko memengaruhi cara program audit TI merencanakan dan melakukan
audit, dan temuan serta rekomendasi dari audit TI merupakan input penting ke dalam
perencanaan, penilaian, dan respons risiko yang berkelanjutan. Di sebagian besar organisasi,
waktu, uang, personel, dan kendala sumber daya lainnya membuatnya tidak praktis atau tidak
layak untuk mengaudit segala sesuatu yang termasuk dalam semesta audit, sehingga penting
untuk memprioritaskan aspek organisasi di mana sumber daya program audit harus difokuskan.
Proses penilaian risiko dalam manajemen risiko metodologi mengidentifikasi aset dalam suatu
organisasi dan mengidentifikasi serta mengevaluasi ancaman dan sumber risiko lain terhadap
aset tersebut. Organisasi dapat memilih untuk memprioritaskan audit TI menggunakan kriteria
berbasis risiko yang berbeda, seperti berfokus pertama pada proses TI atau komponen yang
dinilai memiliki risiko tertinggi atau pada yang dianggap memiliki nilai tertinggi bagi organisasi.
Program audit TI hampir pasti beroperasi di bawah pendorong dan kendala lain di samping
panduan manajemen risiko, tetapi mempertimbangkan penilaian aset dan tingkat risiko
membantu organisasi memastikan bahwa ia mengalokasikan sumber daya audit TI dengan cara
yang selaras dengan sasaran dan sasaran bisnis strategis.
Bidang lain yang tumpang tindih antara manajemen risiko dan audit TI adalah penilaian
ancaman dan kerentanan. Identifikasi ancaman dan kerentanan adalah bagian penting dari
penilaian risiko dan serangkaian kegiatan yang diinformasikan oleh sumber informasi eksternal
dan internal tentang sumber ancaman dan jenis kerentanan. Beberapa kelemahan atau
kekurangan yang diidentifikasi dalam audit TI mewakili kerentanan yang harus dievaluasi untuk
menentukan tingkat risiko yang mereka hadapi untuk organisasi. Seiring dengan pemindaian
kerentanan rutin dan fungsi-fungsi lain yang biasanya dilakukan sebagai bagian dari pemantauan
berkesinambungan sistem dan infrastruktur TI, audit TI merupakan sumber internal penting dari
informasi kerentanan. Ketika dikombinasikan dengan informasi eksternal yang tersedia bagi
organisasi tentang ancaman dan kerentanan, temuan audit TI membantu memberikan penilaian
yang lebih lengkap kepada penilai risiko tentang berbagai ancaman dan kerentanan yang berlaku
bagi organisasi. Sumber informasi kerentanan yang populer meliputi Common Vulnerabilities
and Exposures (CVE) [11], Computer Emergency Response Team / Coordination Center
(CERT / CC) [12], dan United States Computer Emergency Readiness Team (US-CERT) ) [13].
Selain itu, panduan manajemen risiko keamanan informasi yang tersedia untuk umum sering kali
mencakup informasi tentang ancaman, seperti informasi yang termasuk dalam  International
Standards of Supreme Audit Institutions (ISSAI) 5310 [14] dan Publikasi Khusus NIST 800-30
[15]. Auditor TI dapat menggunakan informasi ini untuk menganalisis kerentanan yang mereka
temukan dan membantu menentukan seberapa signifikan risiko bagi organisasi dengan
kerentanan itu.
Dalam organisasi dengan program manajemen risiko yang berfokus pada keamanan informasi
atau TI, auditor dan manajer risiko TI juga perlu menyadari bahwa beberapa kelemahan yang
berpotensi diidentifikasi dalam audit TI sesuai dengan jenis risiko di luar yang terkait dengan TI.
Sebagai contoh, penyimpangan dari kriteria sertifikasi atau kepatuhan dapat menjadi sumber
risiko hukum, pasar, atau reputasi daripada (atau di samping) risiko TI atau risiko keamanan
yang dikaitkan dengan kesenjangan atau kelemahan dalam kontrol.

Kepatuhan dan sertifikasi

Organisasi beroperasi di bawah berbagai aturan dan persyaratan — beberapa diterapkan
sendiri, beberapa berasal dari undang-undang dan peraturan, dan lainnya yang berasal dari
standar atau kriteria sertifikasi yang diikuti organisasi. Kegiatan kepatuhan mempertimbangkan
semua persyaratan yang berlaku untuk organisasi dan menilai sejauh mana organisasi memenuhi
persyaratan tersebut, mengidentifikasi celah atau kegagalan untuk memenuhi persyaratan yang
mungkin ada. Alasan untuk terlibat dalam kegiatan kepatuhan seringkali mencakup pendorong
eksternal seperti persyaratan peraturan, tetapi dalam organisasi dengan tata kelola formal yang
ada, mencapai dan menunjukkan kepatuhan dengan kebijakan, prosedur, dan standar internal
mungkin merupakan alasan yang sama pentingnya. Kepatuhan adalah satu dimensi tata kelola
yang digunakan untuk mengukur kemajuan atau kematangan organisasi dalam hal menerapkan
dan secara konsisten melaksanakan proses dan standar yang ditentukan. Beberapa layanan
profesional dan vendor produk merujuk secara kolektif kepada tata kelola, manajemen risiko,
dan kepatuhan sebagai disiplin manajemen terintegrasi. Program kepatuhan juga berdiri sendiri,
memberikan dukungan untuk tata kelola dan manajemen risiko tetapi diposisikan secara terpisah
dalam organisasi, terutama ketika kegiatan mereka fokus pada kepatuhan terhadap persyaratan
hukum.
Sertifikasi adalah jenis kepatuhan khusus. Untuk mencapai sertifikasi, organisasi
biasanya mengadopsi proses atau metodologi standar dengan cara yang ditentukan secara khusus
dan kemudian mematuhinya dengan standar yang dipilih yang dievaluasi oleh entitas eksternal
yang secara eksplisit diberi wewenang untuk memberikan sertifikasi. Dibandingkan dengan
kegiatan kepatuhan umum yang mungkin berfokus pada pendorong dan evaluasi internal atau
eksternal, sertifikasi formal hampir selalu melibatkan pemeriksaan oleh pihak eksternal.
Organisasi biasanya mengetahui kriteria yang harus dipenuhi untuk mencapai sertifikasi,
sehingga penilaian mandiri internal dapat digunakan untuk membantu organisasi mempersiapkan
sertifikasi atau untuk memvalidasi kepatuhan yang sedang berlangsung dengan kriteria yang
diperlukan setelah sertifikasi. Sertifikasi tersedia di banyak bidang operasional yang berbeda,
seperti dirangkum dalam Tabel 2.1, termasuk manajemen mutu, manajemen keamanan
informasi, manajemen layanan, dan proses adopsi, pelaksanaan, dan peningkatan. Sertifikasi
untuk beberapa kemampuan organisasi seperti pengembangan perangkat lunak, keamanan TI,
pemberian layanan, dan kontrol operasi menunjukkan tingkat kematangan yang telah dicapai
organisasi. Contoh standar yang digunakan dalam sertifikasi eksternal dan pengikatan
pengesahan meliputi CMMI dan ISO / IEC 15504, yang menilai kemampuan dan tingkat
kematangan untuk proses yang berhubungan dengan IT, dan Pernyataan tentang Standar untuk
Pengesahan Pengesahan (SSAE), Standar Internasional untuk Pengikatan Jaminan (ISAE) ), dan
Laporan Kontrol Organisasi Layanan (SOC) yang digunakan untuk mengesahkan kontrol yang
diterapkan oleh penyedia layanan. Sertifikasi yang lebih sempit diterapkan pada alat, teknologi,
proses, atau produk lain yang dikembangkan oleh organisasi, di mana sertifikasi merupakan
indikasi bahwa produk memenuhi atau melampaui standar fungsional dan teknis tertentu atau
kriteria lainnya. Sertifikasi ini mencakup Standar Pemrosesan Informasi Federal (FIPS) yang
ditentukan oleh NIST, Skema Produk Berbantuan Komunikasi-Elektronik (CESG), dan profil
perlindungan serta tingkat jaminan terkait yang ditetapkan dalam kerangka kriteria umum.

Mengelola kepatuhan dan sertifikasi

Mengelola kepatuhan dan sertifikasi adalah proses yang berkelanjutan, diselingi oleh
tenggat waktu yang ditentukan secara eksternal atau frekuensi ujian yang disyaratkan, dalam
subjek organisasi

dengan persyaratan peraturan atau kriteria sertifikasi. Program kepatuhan dan sertifikasi juga
biasanya melakukan penilaian sendiri atau evaluasi internal yang dijadwalkan untuk bertepatan
dengan audit eksternal yang tertunda atau dilakukan secara periodik atau ad hoc (seperti ketika
terjadi perubahan pada operasi, sistem, atau lingkungan). Bagian dari proses mencari dan
mencapai sertifikasi memastikan bahwa kontrol, proses, atau standar yang terkait dengan
sertifikasi benar-benar diterapkan dalam organisasi. Misalnya, tingkat kematangan dalam
kerangka kerja peningkatan proses CMMI di Institut Teknik Perangkat Lunak terkait dengan
proses spesifik yang diharapkan digunakan organisasi dalam operasi internalnya untuk menerima
sertifikasi di setiap tingkat.
Baik kepatuhan dan sertifikasi sering kali menjadi subyek audit eksternal yang
dimaksudkan untuk memungkinkan penentuan tujuan oleh entitas luar yang patuh terhadap
peraturan atau standar industri atau kriteria sertifikasi. Untuk beberapa organisasi, kepatuhan
terhadap persyaratan peraturan diaudit setiap tahun, seperti halnya dengan kontrol internal untuk
perusahaan publik yang tunduk pada Sarbanes-Oxley Act. Bab 7 menjelaskan banyak
persyaratan audit legislatif dan peraturan perundang-undangan khusus industri, termasuk yang
berlaku untuk organisasi dalam pendidikan, layanan keuangan, perawatan kesehatan, dan
pemerintah. Ada juga standar dan kriteria yang berlaku untuk organisasi di berbagai industri atau
lini bisnis di mana pelaporan kepatuhan sebagian besar terjadi melalui pengesahan diri sendiri
dan bukan audit eksternal. Sampai saat ini, model self-atestation ini diterapkan pada banyak
aspek kepatuhan dalam industri perawatan kesehatan termasuk persyaratan peraturan
berdasarkan Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) dan kualifikasi untuk
program pendanaan insentif dalam Undang-Undang Pemulihan dan Reinvestasi Amerika tahun
2009. Perubahan terbaru dalam pengawasan federal terhadap program-program ini terjadi
melalui ketentuan dalam Undang-Undang Teknologi Informasi Kesehatan untuk Ekonomi dan
Kesehatan Klinis (HITECH) memperkenalkan audit kepatuhan eksternal yang dilakukan oleh
pemerintah [16] . Untuk persyaratan hukum dan peraturan lainnya, organisasi dapat dipilih untuk
audit eksternal, tetapi audit aktual dilakukan pada sebagian kecil organisasi dalam industri atau
wilayah geografis tertentu.
Organisasi membutuhkan proses internal mereka sendiri untuk menilai sertifikasi dan
kepatuhan, apakah mereka berharap diaudit oleh pihak eksternal atau tidak, untuk membantu
memastikan secara berkelanjutan bahwa mereka sesuai dengan persyaratan yang berlaku dan
dapat menunjukkan bukti kepatuhan mereka jika dan ketika mereka perlu. Bagian dari fokus
sertifikasi yang diadministrasikan secara eksternal atau audit kepatuhan memuaskan
menunjukkan kepada auditor bahwa organisasi mengikuti kebijakan dan prosedurnya sendiri dan
bahwa itu diterapkan dalam praktik dan tidak hanya ditulis dalam dokumentasi resmi.
Melakukan audit internal berkala sejauh mana organisasi benar-benar melakukan hal-hal yang
ditentukan dalam dokumentasi tersebut merupakan bagian penting dari kesiapan untuk audit
sertifikasi eksternal dan membantu memastikan bahwa organisasi menyadari manfaat dari
standar atau metodologi. terhadap yang disertifikasi.

Sama seperti audit TI pada umumnya, sertifikasi terhadap standar spesifik dievaluasi dan
dianugerahkan khusus terhadap kriteria yang mewakili versi tertentu atau tanggal penerbitan
standar yang dimaksud. Sebagai contoh, penunjukan formal dari sebagian besar standar ISO dan
sertifikasi yang sesuai mencakup tahun di mana versi terbaru dari standar tersebut secara resmi
dirilis. Namun, organisasi pengembangan standar dan standar yang mereka hasilkan tidak statis,
sehingga organisasi yang melakukan audit internal terhadap kriteria sertifikasi tersebut perlu
mengetahui kapan pembaruan atau perubahan lain terjadi pada standar yang mengubah kriteria
yang perlu dipenuhi agar tetap tersertifikasi di bawah versi baru. Berulang kali melakukan audit
internal untuk memvalidasi sertifikasi terhadap serangkaian kriteria tetap adalah sedikit nilainya
dalam membantu organisasi melewati audit eksternal jika audit internal menggunakan versi
standar yang sudah usang atau usang yang telah digantikan oleh versi baru.

Peran audit TI dalam kepatuhan dan sertifikasi

Peran sentral audit TI dalam kepatuhan organisasi dan sertifikasi sudah jelas terlihat dari
sifat kegiatan kepatuhan — evaluasi kepatuhan internal dan eksternal sama-sama
membandingkan perilaku organisasi atau karakteristik operasional dengan serangkaian
persyaratan yang eksplisit. Fitur prosedural ini merupakan definisi karakteristik audit. Audit
kepatuhan internal mendukung fungsi manajemen dan pengawasan operasional yang dilakukan
sebagai bagian dari tata kelola, sementara audit kepatuhan eksternal membantu organisasi
memenuhi persyaratan hukum, peraturan, atau industri. Bahkan tanpa adanya mandat eksternal,
memvalidasi kepatuhan menggunakan audit internal memberikan informasi penting tentang
banyak aspek efektivitas program atau organisasi. Demikian pula, berhasil menyelesaikan audit
eksternal sering merupakan prasyarat untuk mencapai atau mempertahankan sertifikasi, yang
pada gilirannya memungkinkan organisasi untuk meningkatkan sertifikasi untuk berbagai tujuan,
termasuk membedakan operasi mereka dari organisasi sebaya yang belum mencapai sertifikasi.
Organisasi dengan tujuan bisnis strategis atau TI yang mencakup kepatuhan dengan persyaratan
eksternal dapat menggunakan prosedur audit TI internal formal untuk mempersiapkan audit
eksternal, dan mengurangi ketidakpastian mengenai hasil dan meningkatkan kemungkinan lulus
audit tersebut. The American Institute of Certified Public Accountants (AICPA) memberikan
panduan tentang audit kepatuhan dalam Pernyataan tentang Standar Audit 117 [17].

Manajemen mutu dan jaminan kualitas

Jaminan kualitas mengacu pada proses yang terkait dengan pencapaian dan pemeliharaan
tingkat kualitas yang diinginkan dalam suatu produk atau layanan. Konsep pengendalian kualitas
yang terkait erat berfokus pada mempertahankan kualitas yang konsisten dari waktu ke waktu,
seperti memenuhi standar tertentu atau menghasilkan produk dengan karakteristik yang
memenuhi kriteria yang ditentukan atau berada dalam tingkat toleransi yang ditentukan. Istilah
manajemen kualitas yang lebih umum terdiri dari semua kegiatan terkoordinasi yang terkait
dengan kualitas termasuk perencanaan kualitas, jaminan kualitas, kontrol kualitas, dan
peningkatan kualitas [18]. Seperti tata kelola dan manajemen risiko, metode dan praktik jaminan
kualitas berlaku di berbagai tingkat organisasi. Sementara banyak organisasi mengutip kualitas
secara eksplisit sebagai tujuan bisnis dan membuat keputusan untuk mengadopsi inisiatif kualitas
di tingkat perusahaan, dalam praktiknya penjaminan kualitas paling sering diterapkan pada
fungsi bisnis atau tingkat proses. Banyak standar dan pendekatan manajemen mutu yang
diterapkan secara umum — seperti ISO 9001, Total Quality Management (TQM), dan Six Sigma
— membahas prinsip dan praktik manajemen mutu di seluruh organisasi, tetapi sertifikasi
terhadap standar tersebut diberikan pada proses, proyek, atau operasi tertentu unit. Metodologi
dan standar lain menerapkan jaminan kualitas untuk domain bisnis tertentu, seperti IDEAL
Institut Rekayasa Perangkat Lunak (memulai, mendiagnosis, membuat, bertindak, dan belajar)
model dan Institut 730 Standar Insitut Insinyur Listrik dan Elektronik untuk jaminan kualitas
perangkat lunak [19], atau untuk aspek operasional seperti kualitas layanan yang diukur dengan
kerangka kerja kinerja seperti SERVQUAL [20].
Manajemen mutu sebagaimana ditentukan dalam standar dan metodologi terkemuka
adalah serangkaian proses berulang yang dimaksudkan untuk membantu organisasi memberikan
produk, layanan, dan output proses lainnya yang memenuhi persyaratan yang berlaku, apakah
persyaratan tersebut digerakkan oleh undang-undang dan peraturan, pelanggan, atau bisnis
internal
 GAMBAR 2.5

Proses yang didefinisikan dalam ISO 9001 menggunakan pendekatan berulang dan
menekankan karakteristik peningkatan berkelanjutan dari sistem manajemen mutu [21].

tujuan. Model kualitas ini biasanya menekankan perbaikan berkesinambungan dari proses
organisasi, aspek manajemen kualitas yang harus ditunjukkan oleh organisasi secara eksplisit
untuk mencapai sertifikasi terhadap standar seperti ISO 9001 [21]. Kualitas diukur menggunakan
berbagai dimensi dan kriteria, yang secara potensial mencakup spesifikasi yang ditetapkan secara
internal, persyaratan pelanggan, standar industri, atau peraturan pemerintah. Pengukuran yang
efektif, akurat, dan konsisten merupakan komponen integral dari manajemen kualitas, seperti
yang diilustrasikan dalam Gambar 2.5, untuk dapat menetapkan dan menyesuaikan garis dasar
kualitas yang dapat dibandingkan dengan peningkatan kualitas produk atau proses. Serangkaian
kebijakan, proses, sumber daya, dan alat kolektif yang digunakan dalam kegiatan terkait kualitas
merupakan sistem manajemen mutu (kadang-kadang disebut sebagai program manajemen mutu)
yang dapat diimplementasikan pada tingkat organisasi atau dengan lingkup kontrol lebih banyak.
didefinisikan secara sempit untuk lini bisnis, domain fungsional, atau penawaran produk atau
layanan terpisah.
Kontribusi manajemen mutu pada bidang audit TI jauh melampaui penggunaan prosedur
audit dalam kegiatan jaminan kualitas, karena proses yang ditentukan dalam banyak tata kelola,
manajemen risiko, manajemen layanan, dan metodologi audit berbagi landasan bersama dalam
rencana tersebut -melakukan check-act
 Gambar 2.6
Siklus PDCA yang dipopulerkan oleh W. Edwards Deming muncul dari manajemen kualitas
tetapi banyak digunakan dalam domain manajemen lainnya termasuk tata kelola TI, keamanan
informasi, manajemen risiko, dan audit [23].

(PDCA) model siklus umumnya dikaitkan dengan W. Edwards Deming ("Deming cycle").
Awalnya dikembangkan sebagai kontrol proses statistik dan model peningkatan kualitas
berkelanjutan untuk pembuatan produk, siklus Deming empat fase yang ditunjukkan pada
Gambar 2.6 muncul secara eksplisit dalam atau secara signifikan mempengaruhi COBIT, ITIL,
berbagai standar ISO, dan kerangka kerja pemerintah AS untuk manajemen risiko dan audit
sistem informasi. Siklus Deming memberikan dasar untuk beberapa kontrol kualitas dan
pendekatan peningkatan proses yang dikembangkan di Jepang dimulai pada 1950-an dan
diadopsi di perusahaan-perusahaan AS yang dimulai pada 1980-an, termasuk TQM. Ini juga fitur
menonjol dalam manajemen mutu dan prosedur audit kualitas dan pedoman dari organisasi
standar seperti ISO dan American Society for Quality (ASQ) [22].

Deming sendiri memuji siklus yang paling sering dikaitkan dengannya dengan Walter Shewhart
[23], tetapi setelah adopsi cepat dari siklus peningkatan kualitas di Jepang pada 1950-an
menggunakan nama "Deming cycle," referensi selanjutnya dalam literatur bisnis hampir selalu
merujuk pada Model PDCA sebagai siklus Deming.

Peran audit TI dalam manajemen mutu

Audit TI mendukung fungsi manajemen kualitas organisasi dengan mengonfirmasi
bahwa proses operasional menghasilkan hasil yang diinginkan dan bahwa output dari proses
tersebut memenuhi kriteria terkait kualitas. Sistem manajemen mutu juga tunduk pada audit
berkala untuk menentukan apakah sistem yang diterapkan memenuhi persyaratan yang berlaku
(termasuk yang diperlukan untuk sertifikasi) dan dioperasikan dan dipelihara dengan baik. Ini
berarti bahwa suatu organisasi sering melakukan jaminan kualitas terhadap program audit
internalnya (termasuk audit TI) dan melakukan audit internal terhadap sistem manajemen
kualitas dan proses terkait. Beberapa jenis audit TI dapat digunakan dalam manajemen mutu atau
kegiatan penjaminan kualitas, termasuk audit produk atau layanan terkait TI, proses, atau sistem
kontrol [22]. Audit tersebut dapat dilakukan sebagai bagian dari program audit internal atau
eksternal, tergantung pada sumber persyaratan atau kriteria kualitas yang perlu dipenuhi
organisasi, tujuan audit, dan apakah organisasi memiliki atau sedang mencari sertifikasi untuk
kemampuan manajemen kualitasnya. . Hasil audit TI yang dilakukan dalam mendukung jaminan
kualitas dapat mengkonfirmasi kepatuhan terhadap kriteria kualitas dan pencapaian tujuan
kualitas atau mengidentifikasi penyimpangan dari spesifikasi produk atau tingkat layanan yang
menjadi target untuk tindakan korektif. Karena audit TI menekankan kepatuhan pada standar dan
kriteria kualitas, mereka tidak terlalu cocok untuk mengidentifikasi peluang untuk perbaikan
untuk proses atau sistem yang memenuhi persyaratan saat ini. Metodologi kualitas-sentris yang
tersedia digunakan untuk perbaikan proses termasuk rekayasa ulang proses bisnis, TQM, CMMI,
dan Six Sigma.

Manajemen keamanan informasi

Keamanan informasi sering dianggap sebagai fungsi bawahan tata kelola TI, manajemen
risiko, atau keduanya, dan dalam hal ini berbeda dari fungsi manajemen lainnya yang dijelaskan
dalam bab ini. Penekanan saat ini dalam manajemen keamanan informasi pada pemantauan terus
menerus, penilaian ancaman dan kerentanan, dan evaluasi implementasi dan efektivitas kontrol
keamanan tumpang tindih dengan praktik audit TI sedemikian rupa sehingga keamanan
informasi memerlukan pertimbangan terpisah. Kontrol keamanan — administrasi, teknis, dan
fisik — adalah fokus utama manajemen keamanan informasi dan kegiatan audit atau penilaian TI
yang dilakukan untuk mendukung program keamanan informasi. Manajemen keamanan
informasi memerlukan pemilihan, implementasi, konfigurasi, operasi, dan pemantauan kontrol
keamanan yang cukup untuk melindungi kerahasiaan, integritas, dan ketersediaan sistem
informasi dan data yang dikandungnya. Manajemen keamanan informasi didasarkan pada risiko,
dalam arti bahwa keputusan untuk menggunakan mekanisme keamanan atau mengalokasikan
sumber daya untuk melindungi aset organisasi harus menyeimbangkan biaya penyediaan
keamanan dengan tingkat risiko bagi organisasi, jika ancaman yang dihadapinya tetap tidak
teratasi. Dalam istilah ekonomi sederhana, tidak masuk akal bagi organisasi untuk berinvestasi
lebih banyak dalam keamanan daripada nilai aset yang dilindungi atau besarnya atau bahaya
yang akan terjadi jika aset tersebut hilang, dicuri, rusak, atau dikompromikan.
Organisasi di sektor publik dan di banyak industri tunduk pada persyaratan hukum dan
peraturan yang mewajibkan pengamanan minimum atau langkah-langkah perlindungan.
Peraturan seperti itu jarang menentukan produk, alat, atau metode keamanan yang eksplisit
(sebagian untuk menghindari pemberian vendor keamanan individu) dan sebagai gantinya
menentukan persyaratan, standar, atau hasil yang dimaksudkan untuk keamanan, meninggalkan
pilihan kontrol spesifik apa yang akan diterapkan hingga masing-masing organisasi yang
mematuhi . Regulator pemerintah sering merekomendasikan atau mengharuskan organisasi untuk
mematuhi standar yang dikembangkan secara terpisah. Misalnya, Komisi Sekuritas dan Bursa
tentang penerapan Sarbanes-Oxley Act secara eksplisit menyebutkan kerangka kerja dan standar
kontrol dari COSO dan AICPA [24] dan dalam Petunjuk tentang audit hukum, Dewan Uni Eropa
menetapkan Standar Internasional tentang Audit (ISA) diadopsi oleh Dewan Standar Akuntansi
Internasional (IASB) [25]. Dengan pengecualian dari agen pemerintah federal AS — yang di
bawah wewenang Undang-Undang Manajemen Keamanan Informasi Federal (FISMA) harus
mematuhi FIPS dan panduan keamanan terkait yang dikeluarkan oleh NIST — peraturan
keamanan biasanya tidak menetapkan standar kontrol keamanan khusus. Namun, untuk
mencapai tujuan keamanan dalam peraturan tersebut, banyak organisasi secara sukarela memilih
untuk mengadopsi kerangka kerja pengendalian keamanan formal seperti ISO / IEC 27002, dan
untuk mencari sertifikasi berdasarkan standar-standar ini.

Sertifikasi istilah memiliki dua arti berbeda dalam konteks manajemen keamanan informasi.
Dalam lingkungan sektor pemerintah dan organisasi sektor komersial yang memerlukan prosedur
dan persetujuan formal terstruktur sebelum memasukkan sistem informasi ke dalam produksi,
sertifikasi mengacu pada evaluasi diri dan penegasan sejauh mana kontrol keamanan diterapkan
untuk suatu sistem yang memenuhi persyaratan keamanan sistem. . Di luar lingkup pemberian
persetujuan formal (dalam bahasa pemerintah federal A.S., "otorisasi untuk beroperasi") untuk
sistem informasi, sertifikasi biasanya menunjukkan kepatuhan dengan standar tertentu atau
serangkaian kriteria. Misalnya, banyak organisasi mencari sertifikasi untuk menunjukkan
kesesuaian dengan persyaratan dan standar untuk sistem manajemen keamanan informasi, seperti
ISO / IEC 27001. Sertifikasi tersebut diberikan oleh pendaftar yang terakreditasi atau organisasi
lain yang secara eksplisit disetujui untuk berfungsi sebagai badan sertifikasi. Untuk menghindari
kemungkinan kebingungan atas makna kata, penting untuk secara jelas menentukan konteks
ketika merujuk pada kegiatan sertifikasi keamanan, termasuk audit TI yang berfokus pada
keamanan.

Dalam praktik saat ini, manajemen keamanan informasi menekankan strategi seperti
pemantauan terus-menerus dari kontrol keamanan dan penilaian kontrol keamanan independen
untuk mengukur efektivitas kontrol yang diterapkan dan dipelihara organisasi. Standar yang
tersedia tentang manajemen keamanan informasi, seperti ISO / IEC 27001, menetapkan jenis
proses siklus yang berulang dan sama yang terlihat dalam manajemen kualitas, manajemen
risiko, dan disiplin tata kelola, sebagaimana digambarkan dalam Gambar 2.7. Ruang lingkup
manajemen keamanan informasi meliputi TI

Gambar 2.7
Proses ISMS yang didefinisikan dalam ISO / IEC 27001 menerapkan model PDCA yang dikenal
untuk manajemen keamanan informasi [26].

Kegiatan audit — terutama audit kontrol keamanan — tetapi juga terdiri dari banyak
jenis evaluasi lain yang dimaksudkan untuk memvalidasi fungsi dan konfigurasi kontrol
keamanan yang tepat, memastikan kecukupan kontrol yang diterapkan untuk memenuhi
persyaratan keamanan, atau menentukan apakah mereka yang bertanggung jawab untuk
mengoperasikan, memelihara, dan mengamankan TI melakukannya dengan cara yang mencapai
tujuan dan sasaran organisasi. Penilaian kontrol keamanan biasanya mengandalkan keahlian
penilai untuk menilai apakah kontrol keamanan yang diterapkan efektif. Penilaian semacam itu
bergantung pada tinjauan bukti dan pemeriksaan serta pengujian oleh penilai, tetapi efektivitas
secara inheren merupakan penentuan subyektif yang dipengaruhi oleh praktik keamanan terbaik
yang diterima serta berbagai faktor khusus organisasi. Beberapa penilaian kontrol keamanan
memang menggunakan kerangka kerja atau standar kontrol sebagai titik acuan untuk set kontrol
keamanan yang harus diimplementasikan dalam lingkungan organisasi tertentu, tetapi penilaian
tersebut masih tidak sama dengan audit. Pemilihan kontrol keamanan adalah proses berbasis
risiko, sehingga kontrol aktual yang ada dapat berbeda dari organisasi ke organisasi karena
variasi dalam misi dan tujuan bisnis, industri, profil ancaman, toleransi risiko, atau karakteristik
lainnya. Kriteria audit TI internal dapat didefinisikan dengan cara yang spesifik untuk organisasi
tetapi audit terhadap persyaratan yang ditentukan dalam standar eksternal harus menggunakan
seperangkat kriteria audit yang sama di seluruh organisasi.

Peran audit TI dalam manajemen keamanan informasi

Manajemen keamanan informasi mendukung audit TI dengan mengambil tanggung
jawab untuk menerapkan dan mengkonfigurasi dengan benar kontrol internal terkait dengan
keamanan. Kontrol keamanan adalah subjek penting dari kontrol internal, tetapi masih
merupakan subset, yang berarti keamanan informasi tidak mencakup jangkauan penuh kontrol TI
dalam suatu organisasi. Audit TI juga mendukung manajemen keamanan informasi, dengan
memberikan pemeriksaan terperinci, pemeriksaan kritis terhadap pengendalian internal yang
diterapkan untuk mencapai tujuan keamanan dan dengan mengonfirmasi bahwa operasi TI sesuai
dengan kebijakan, prosedur, standar, dan pedoman organisasi. Seperti disebutkan dalam Bab 6,
kriteria keamanan berlaku dalam audit hampir setiap jenis komponen TI yang mungkin
dikenakan audit TI. Prosedur audit TI juga berguna untuk beberapa jenis pemeriksaan dengan
cakupan sempit, seperti memeriksa sistem atau perangkat jaringan untuk konfigurasi yang tepat
terhadap spesifikasi seperti Panduan Teknis Penerapan Teknis Keamanan (STIG) dari Badan
Informasi Sistem Pertahanan (27) atau Pemerintah AS. Garis Dasar Konfigurasi (USGCB) [28],
atau pedoman konfigurasi aman yang disediakan oleh vendor teknologi untuk produk mereka.
Program manajemen keamanan informasi juga menjadi subjek audit TI. ISO / IEC 27001
menekankan pentingnya mengaudit ISMS organisasi menggunakan prosedur audit internal
formal untuk memeriksa tujuan kontrol keamanan, kontrol yang diimplementasikan, dan proses
dan prosedur untuk mengoperasikan, memelihara, dan meningkatkan ISMS [26]. Program
keamanan informasi dapat ditinjau, diperiksa, atau diaudit secara formal, tergantung pada
industri dan sifat pengawasan yang menjadi sasaran organisasi. Pemeriksaan kontrol keamanan
juga merupakan elemen dari banyak jenis audit internal dan eksternal dari kontrol internal
termasuk yang berfokus pada kontrol akuntansi keuangan dan sistem pelaporan di perusahaan
publik.
Referensi
● Tata kelola TI
○ Control Objectives for Information and Related Technology (COBIT) [3]
○ COSO’s Internal Control—Integrated Framework [29]
○ ISO/IEC 38500:2008, Corporate Governance of Information Technology [30]
○ Web sites and online resources of the IT Governance Institute (http://www.
itgi.org) and ISACA (http://www.isaca.org)
● Manajemen risiko
○ COSO’s Enterprise Risk Management—Integrated Framework [10]
○ ISO/IEC 31000:2009, Risk Management—Principles and Guidelines [5]
○ NIST Special Publication 800-39, Managing Information Security Risk:
Organization, Mission, and Information System View [6]
● Kepatuhan dan sertifikasi
○ Statement on Auditing Standards 117, Compliance Audits [17]
○ ISO online guidance on certification [31] and standards and guidance from the
ISO Committee on Conformity Assessment (CASCO)
● Manajemen kualitas
○ The ASQ Auditing Handbook [22]
○ ISO 9001:2008, Quality Management Systems—Requirements [21]
○ IAASB Handbook of International Quality Control, Auditing Review, Other
Assurance, and Related Services Pronouncements[32]

● Manajemen keamanan informasi

○ ISO/IEC 27001:2005, Information—Security Techniques—Information Security
Management Systems—Requirements[26]
○ ISO/IEC 27002:2005, Information Technology—Security Techniques—Code of
Practice for Information Security Management[33]
○ NIST Special Publication 800-53 Revision 4, Security and Privacy Controls for
Federal Information Systems and Organizations[34]