IT AUDITOR
I.
Pengertian
IT Auditor
IT auditor merupakan
bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi
secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama
dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan
evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit
pemrosesan daa elektronik, dan sekarang audit teknologi informasi secara umum
merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi
dalam perusahaan itu.
II.
Jenis-jenis
IT Audit
IT
Audit terbagi kedalam beberapa jenis diantaranya:
1. Sistem
dan Aplikasi.
yaitu Audit yang berfungsi untuk memeriksa apakah
sistem dan aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan
memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat
waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan
sistem.
2. Fasilitas
Pemrosesan Informasi.
Audit yang berfungsi untuk memeriksa apakah fasilitas
pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan
pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk.
3. Pengembangan
Sistem.
Audit yang berfungsi untuk memeriksa apakah sistem
yang dikembangkan mencakup kebutuhan
obyektif organisasi.
4. Arsitektur
perusahaan dan manajemen TI.
Audit yang berfungsi untuk memeriksa apakah manajemen
TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin kontrol
dan lingkungan yang berdaya guna untuk pemrosesan informasi.
5. Client/Server,
Telekomunikasi, Intranet dan Internet.
Suatu audit yang berfungsi untuk memeriksa apakah
kontrol-kontrol berfungsi pada client, server, dan jaringan yang menghubungkan
client dan server.
III.
Tujuan
IT Audit
Tujuan
IT Audit yakni,
1. Availabilityketersediaan
informasi
apakah informasi pada
perusahaan dapat menjamin ketersediaan informasi dapat dengan mudah
tersedia setiap saat.
2. Confidentialitykerahasiaan
informasi
apakah informasi yang
dihasilkan oleh sistem informasi perusahaan hanya dapat diakses oleh
pihak-pihak yang berhak dan memiliki otorisasi.
3. Integrity
apakah informasi yang tersedia
akurat, handal, dan tepat waktu.
IV.
Subyek
Audit
Subyek
yang perlu diaudit mencakup:
1. Aspek
keamanan
Masalah keamanan mencakup
tidak hanya keamanan file servers dan penerapan metodacadangan, melainkan juga
penerapan standar tertentu, seperti C-ICT.
2. Keandalan
Keandalan meliputi
penerapan RAID V disk subsystems untuk server dengan criticalapplications dan
prosedur penyimpanan data di file server, bukan di drive lokal C.
3. Kinerja
Kinerja mencakup
persoalan standarisasi PC, penggunaan LAN serta cadangan yangsesuai dengan
beban kerja.
4. Manageability
manageability menyangkut penerapan
standar tertentu dan pendokumentasian secarateratur dan berkesinambungan
V.
Prosedur
IT Audit
Mengumpulkan
dan mengevaluasi bukti-bukti bagaimana system informasi dikembangkan,
dioperasikan, diorganisasikan, serta bagaimana praktek dilaksanakan:
·
Apakah IS melindungi aset institusi: asset
protection, availability
·
Apakah integritas data dan sistem
diproteksi secara cukup (security, confidentiality )
·
Apakah operasi sistem efektif dan efisien
dalam mencapai tujuan organisasi, dan lain-lain.
VI.
Metodologi
IT Audit
Dalam
prakteknya, tahapan-tahapan dalam audit IT tidak berbeda dengan audit pada
umumnya, sebagai berikut:
1. Tahapan
Perencanaan.
Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
2. Mengidentifikasikan
resiko dan kendali.
Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktek-praktek terbaik.
Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktek-praktek terbaik.
3. Mengevaluasi
kendali dan mengumpulkan bukti-bukti.
Melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi
Melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi
4. Mendokumentasikan.
Mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit.
Mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit.
5. Menyusun
laporan.
Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.
Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.
VII.
Lembar
Kerja IT AUDIT
1. Stakeholders:
•
Internal IT Deparment
•
External IT Consultant
•
Board of Commision
•
Management
•
Internal IT Auditor
•
External IT Auditor
2. Kualifikasi
Auditor:
•
Certified Information Systems Auditor
(CISA)
•
Certified Internal Auditor (CIA)
•
Certified Information Systems Security
Professional (CISSP)
3. Output
Internal IT:
•
Solusi teknologi meningkat, menyeluruh
& mendalam
•
Fokus kepada global, menuju ke
standard-standard yang diakui
4. Output
External IT:
•
Rekrutmen staff, teknologi baru dan
kompleksitasnya
•
Outsourcing yang tepat
•
Benchmark / Best-Practices
5. Output
Internal Audit & Business:
•
Menjamin keseluruhan audit
•
Budget & Alokasi sumber daya
VIII.
Tools
Tools
yang digunakan untuk IT Audit:
1.
Hardware
•
Harddisk IDE dan SCSI kapasitas sangat
besar, CD-R, DVR drives
•
Memori yang besar (1 – 2 GB RAM)
•
Hub, Switch, keperluan LAN
•
Legacy hardware (8088s, Amiga)
•
Laptop Forensic Workstations
2.
Software
•
ACL
ACL
(Audit Command Language) merupakan sebuah software CAAT (Computer Assisted
Audit Techniques) yang sudah sangat populer untuk melakukan analisa terhadap
data dari berbagai macam sumber.
•
Hash utility (MD5, SHA1)
•
Text search utilities (dtsearch
http://www.dtsearch.com/ )
•
Drive imaging utilities (Ghost, Snapback,
Safeback)
•
Forensic toolkits
•
Unix/Linux : TCT The Coroners Toolkit / ForensiX
•
Windows : Forensic Toolkit
•
Disk editors (Winhex)
•
Forensic aquisition tools (DriveSpy,
EnCase, Safeback, SnapCopy)
•
Write-blocking tools (FastBloc
http://www.guidancesoftware.com/ ) untuk memproteksi bukti-bukti.
•
Forensic software tools for Windows (dd
for Windows, Encase 4, FTK, MD5, ISOBuster)
•
Image and Document Readers (ACDSee,
DecExt)
•
Data Recovery/Investigation (Active
Partition Recovery, Decode – Forensic Date/Time Decoder)
•
Dll.
IX.
Ruang
Lingkup IT Auditor
Ruang
lingkup Audit Sistem Informasi (SI) sebagai audit operasional terhadap fungsi
sistem informasi (IT governance), audit objective-nya adalah melakukan
assessment terhadap efektifitas, efisiensi, dan ekonomis tidaknya pengelolaan
sistem informasi suatu organisasi.
Jadi,
terdapat berbagai jenis penugasan audit sistem informasi yang dapat
dilaksanakan pada suatu organisasi, misalnya sebagai berikut:
1. Untuk
mengidentifikasi sistem yang ada (inventory existing systems), baik yang ada
pada tiap divisi/unit/departemen ataupun yang digunakan menyeluruh.
2. Untuk
dapat lebih memahami seberapa besar sistem informasi mendukung kebutuhan
strategis perusahaan, operasi perusahaan, mendukung kegaitan operasional
departemen/unit/divisi, kelompok kerja, maupun para petugas dalam melaksanakan
kegiatannya.
3. Untuk
mengetahui pada bidang atau area mana, fungsi, kegiatan atau business
processesyang didukung dengan sistem serta teknologi informasi yang ada.
4. Untuk
menganalisis tingkat pentingnya data/informasi yang dihasilkan oleh sistem
dalam rangka mendukung kebutuhan para pemakainya.
5. Untuk
mengetahui keterkaitan antara data, sistem pengolahan dan transfer informasi.
6. Untuk
mengidentifikasi apakah ada kesenjangan (gap) antara sistem dengan kebutuhan.
7. Untuk
membuat peta (map) dari information flows yang ada.
Sumber :
0 comments:
Post a Comment