Senin, 04 April 2016

IT Audit



Audit IT

          Audit IT adalah suatu bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Awalnya istilah ini dikenal dengan audit pemrosesan data elektronik, kini audit IT secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dari perusahaan tersebut. Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan, kerahasiaan dan keutuhan dari sistem informasi perusahaan.

Auditing Around The Computer

              Auditing Around The Computer adalah pendekatan audit dimana auditor menguji keandalan sebuah informasi yang dihasilkan oleh komputer dengan terlebih dahulu mengkalkulasikan hasil dari sebuah transaksi yang dimasukkan dalam sistem. Kemudian, kalkulasi tersebut dibandingkan dengan output yang dihasilkan oleh sistem. Apabila ternyata valid dan akurat, diasumsikan bahwa pengendalian sistem telah efektif dan sistem telah beroperasi dengan baik. 

Metode audit around the computer baik dilaksanakan pada keadaan sebagai berikut:

  1. Dokumen sumber berbentuk berupa kertas yang artinya masih dilihat secara visual (bahasa non mesin).
  2.  Dokumen disimpan dalam file yang mudah ditemukan.
  3. Output dapat diperoleh dari list terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber. 
  4. Sistem komputer yang digunakan masih sederhana
  5. Sistem komputer yang digunakan masih menggunakan software yang umum untuk digunakan dan digunakan secara massal.

      Keunggulan metode audit around the computer :

  •  Pelaksanaan audit lebih sederhana.
  • Seorang auditor yang berpengetahuan minimal di bidang komputer dapat dilatih dengan mudah untuk melaksanakan audit.

Kekurangan metode audit around the computer :

·         Jika lingkungan berubah, maka sistem dapat berubah dan memerlukan penyesuaian sistem ataupun program-programnya, sehingga auditor tidak dapat menilai apakah sistem tersebut masih berjalan dengan baik.

Auditing Through The Computer

Auditing Through The Computer adalah audit yang dilakukan untuk menguji sebuah sistem informasi dalam hal proses yang terotomasi, logika pemrograman, edit routines, dan pengendalian program. Pendekatan audit ini menganggap bahwa apabila program pemrosesan dalam sebuah sistem informasi telah dibangun dengan baik dan telah ada edit routines dan pengecekan pemrograman yang cukup maka adanya kesalahan tidak akan terjadi tanpa terdeteksi. Jika program berjalan seperti yang direncanakan, maka semestinya output yang dihasilkan juga dapat diandalkan. 


Pendekatan audit Through The Computer baik dalam kondisi :

  1. Sistem komputer memproses input dan output yang besar, sehingga memperluas audit untuk meneliti keabsahannya.
  2. Sistem logika komputer sangat kompleks dan memiliki fasilitas pendukung. 
  3. Bagian terpenting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan.

Keunggulan pendekatan audit Through The Computer adalah :

  • Auditor dapat menilai kemampuan sistem komputer untuk menghadapi perubahan lingkungan.
  • Auditor akan merasa yakin terhadap kebenaran dari hasil kerjanya.
  • Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap sistem kokmputer.
Kekurangan audit Through The Computer :
  • ·         Memerlukan biaya yang lebih besar.
  • ·         Memerlukan tenaga ahli yang terampil.
Tools yang Digunakan Untuk IT Audit
  1. ACL (Audit Command Language) merupakan sebuah software CAAT (Computer Assisted AuditTechniques) yang sudah sangat populer untuk melakukan analisa terhadap data dari berbagai macam.
    Gambar 1. ACL

  2. Powertech Compliance Assessment merupakan automated audit tool yang dapat dipergunakan untuk
    mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system
    security, system auditing dan administrator rights (special authority) sebuah server AS/400.

     Gambar 2. Powertech Compliance Assessment


  3. Nipper merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan membenchmark.
     Gambar 3. Nipper

     4. Nessus merupakan sebuah vulnerability assessment software. 

     Gambar 4. Nessus

    5. Metasploit Framework merupakan sebuah penetration testing tool.


     Gambar 5.  Metasploit Framework



    6. NMAP merupakan open source utility untuk melakukan security auditing.

     Gambar 6. NMAP





    7. Wireshark merupakan network utility yang dapat dipergunakan untuk meng-capture paket data yang ada di dalam jaringan komputer.


     Gambar 7. Wireshark

    PROSEDUR IT AUDIT

    Pada prosedur TI audit ini dapat di Kontrol dengan 3 cara yaitu : 

    1. Kontrol Lingkungan 
    • Apakah kebijakan keamanan (security policy) memadai dan efektif ?
    • Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dari external auditor 
    • Jika sistem dibeli dari vendor, periksa kestabilan financial .
    • Memeriksa persetujuan lisen (license agreement).

    2. Kontrol keamanan fisik
    • Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai.
    • Periksa apakah backup administrator keamanan sudah memadai (trained,tested.
    • Periksa apakah rencana kelanjutan bisnis memadai dan efektif.
    • Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai.  


    3. Kontrol keamanan logical

    • Periksa apakah password memadai dan perubahannya dilakukan regular.
         
       
    Lembar Kerja IT AUDIT
     
    • Stakeholders: Internal IT Deparment, External IT Consultant, Board of Commision, Management, Internal IT Auditor, External IT Auditor
    • Kualifikasi Auditor: Certified Information Systems Auditor (CISA), Certified Internal Auditor (CIA), Certified Information Systems Security Professional (CISSP), dll.
    • Output Internal IT: Solusi teknologi meningkat, menyeluruh & mendalam,  Fokus kepada global, menuju ke standard-standard yang diakui.
    • Output External IT: Rekrutmen staff, teknologi baru dan kompleksitasnya,  Outsourcing yang tepat, Benchmark / Best-Practices.
    • Output Internal Audit & Business: Menjamin keseluruhan audit, Budget & Alokasi sumber daya, Reporting.

    Contoh Lembar Kerja IT Audit
    Gambar berikut ini merupakan contoh lembar kerja pemeriksaan IT Audit. Gambar A untuk contoh yang masih arround the computer, sedangkan B contoh through the computer.

    Contoh Prosedur IT
    Pencurian Data Body Shop, BCA Rugi Rp1 M

    JAKARTA - PT Bank Central Asia Tbk (BBCA) mengalami kerugian sebesar Rp1 miliar akibat kasus pencurian data kartu kredit di merchant Body Shop. Pihaknya mengklaim akan mengembalikan kembali uang nasabah tersebut.

    "Kasus tersebut membuat rugi, tidak banyak sekira Rp1 miliar," kata Direktur Utama BCA Jahja Setiaatmadja, di Hotel Kempinski Jakarta, Rabu (27/3/2013).

    Lebih lanjut, saat ini, pihaknya sedang melakukan investigasi atas kemungkinan pencurian data kartu kredit maupun kartu debit pada nasabahnya. Menurutnya, kasus tersebut bukan disebabkan karena keteledoran nasabah tetapi oleh oknum yang berusaha mencuri data kartu kredit nasabah.

    "Kasus ini terjadi saat nasabah melakukan pembayaran. Petugas gerai biasanya menggesek kartu di mesin cash register, mesin inilah yang mencuri data kartu kredit tersebut," jelasnya.

    Jahja menambahkan, pihaknya menyerahkan mekanisme investasi kepada Bank Indonesia (BI), Asosiasi Kartu Kredit Indonesia (AKKI) bersama Mastercard atau Visa hingga pihak kepolisian setempat.

    "Kita sedang melakukan investasi untuk kasus ini, kasus ini bukanlah kelalaian nasabah," ungkap Jahja.

    Sebelumnya, BI mengakui Body Shop melakukan double swepe pada mesin electronic data capture (EDC) yang terdapat di Body Shop. Kasus ini terjadi di beberapa mal di Jakarta dan Padang. Meski begitu Body Shop mengklaim transaksi di merchantnya aman.






2 komentar: