Kamis, 07 Juni 2018
Senin, 26 Maret 2018
Senin, 01 Januari 2018
Auditing Konsep, Proses, Regulasi, Manajemen Resiko
KONSEP AUDIT
Konsep
Audit adalah gambaran mengenai pelaksanaan proses audit.
  |
|||||||||||
 |
|||||||||||
 |
|||||||||||
Empat Metode Konsultasi dan Keterlibatan Awal
·
Keterlibatan
Awal
Inilah yang anda lakukan pada tahap keterlibatan awal.
Seperti merencanakan audit. Anda perlu meluangkan waktu untuk memahami sistem,
teknologi, atau proses yang sedang diterapkan. Anda perlu memikirkan potensi
risiko yang mungkin mempengaruhi keamanan, integritas, atau keandalannya. Anda
kemudian dapat memberikan masukan kepada tim mengenai kontrol apa yang akan
Anda cari jika Anda mengaudit pelaksanaannya setelah kejadian tersebut. Pada
dasarnya, Anda merencanakan audit dan membagikan kunci utama dari rencana audit
Anda dengan auditee saat sistem sedang dikembangkan. Dari sudut pandang Anda,
Anda berbagi mengenai rencana audit Anda. Dari sudut pandang mereka, Anda
memberi mereka seperangkat persyaratan pengendalian internal. Jika ini semua
bisa Anda lakukan, Anda sudah memberikan layanan terbaik.
·
Informal
Audit
Informal Audit terlihat hampir seperti proses audit,
untuk lebih jelasnya lihat langkah-langkah sederhana di bawah:
1. Bagian
audit harus menyetujui waktu dan ruang lingkup kajian informal dengan
orang-orang yang akan diaudit.
2. Auditor
yang akan melakukan review kemudian harus membuat daftar periksa dasar daerah
yang akan diperiksa. (Daftar periksa di sepanjang buku ini memberikan titik
awal yang baik.)
3. Auditor
menjalankan langkah-langkah tersebut, mencatatnya sesuai kebutuhan namun tidak
membuat kertas kerja untuk ditinjau. Catatan tidak perlu disimpan setelah audit
selesai. Ingat bahwa kecepatan adalah intinya, dan ini adalah pertunangan
konsultasi, bukan review audit formal. Jika Anda tidak merasa nyaman dengan hal
ini, Anda akan terjebak dalam dokumentasi dan proses, kehilangan fleksibilitas
untuk melakukan ulasan semacam ini secara efektif.
4. Pada
akhir proyek, auditor mengumpulkan semua masalah dari tinjauan.
5. Auditor
mengadakan pertemuan tanya jawab dengan orang-orang yang diaudit untuk
mendiskusikan masalah tersebut dan berkonsultasi tentang seberapa serius
permasalahan dan potensi sarana untuk mengatasinya.
6. Auditor
mendokumentasikan daftar akhir masalah, disertai pemikiran yang relevan untuk
menyelesaikannya, dalam sebuah memo. Memo ini tidak perlu menyertakan tanggal
jatuh tempo dan dapat mencakup peringatan yang disebutkan sebelumnya (misalnya,
ini bukan audit formal, kami tidak akan melacak masalah, dan sebagainya). Memo
tersebut juga harus menunjukkan kesediaan auditor untuk terus berkonsultasi
dengan tim karena menangani item ini.
7. Auditor
mengeluarkan memo dan arsipnya secara elektronik untuk referensi di kemudian
hari.
Daftar langkah ini mungkin tampak terlalu sederhana,
namun ini yang dimaksudkan. Anda perlu menghindari over-engineering prosesnya.
intinya bahwa Anda adalah departemen dengan keahlian pengendalian internal, dan
Anda berkonsultasi dengan departemen lain dalam hal ini. Kirimkan auditor yang
berpengetahuan luas dan berpengalaman, dan biarkan mereka "melakukan
pekerjaan mereka." Keterlibatan konsultasi informal adalah alat lain di
toolkit Anda yang dapat Anda gunakan untuk mempromosikan kontrol internal di
perusahaan Anda.
·
Berbagi
Pengetahuan
Sebagai auditor internal, Anda memiliki perpaduan unik
antara pengetahuan perusahaan dan keahlian dalam pengendalian internal. Bagian
audit internal harus kreatif dalam menemukan cara baru untuk berbagi
pengetahuan uniknya dengan bagian perusahaan lainnya. Tentu saja, sebagian
besar pembagian pengetahuan harus terjadi saat Anda melakukan audit, saat Anda
melakukan konsultasi ulasan, dan saat Anda memberikan masukan sebagai bagian
dari aktivitas keterlibatan awal Anda.
·
Penilaian-Diri
Konsep lain untuk mempromosikan kontrol di luar audit formal
adalah Penilaian-Diri. Sebelumnya di bab ini, Anda belajar tentang audit
informal, yang merupakan sesuatu yang kurang dari audit formal, namun memberi
masukan yang baik kepada perusahaan mengenai keadaan pengendalian internal
mereka. Latihan penilaian mandiri adalah sesuatu yang kurang dari audit
informal, karena sama sekali tidak memberikan validasi independen terhadap
kontrol di lingkungan, namun juga dapat menjadi sarana yang berguna untuk
mempromosikan kontrol. Sekali lagi, auditor yang berpengalaman dan
berpengalaman sangat penting untuk membuat alat ini bekerja.
Pemikiran Akhir
Ada banyak metode untuk meninjau dan
mempromosikan pengendalian internal di perusahaan selain audit formal. Tentu
saja, salah satu tantangan Anda adalah mendapatkan manajemen perusahaan dan
komite audit menyetujui penggunaan sumber daya Anda dengan cara ini. Dukungan
vokal dari organisasi IT juga membantu. Jika TI mendukung dan melakukan
penyesuaian berdasarkan pekerjaan Anda dan jika mereka bersedia
mengkomunikasikan fakta tersebut kepada manajemen senior, Anda akan memiliki
waktu yang lebih mudah untuk membangun program yang berkelanjutan.
Peran Tim Audit TI
kelompok audit TI dapat dipanggil
untuk meninjau:
·
Fasilitas pusat data Ini, cukup sederhana, adalah
bangunan fisik dan pusat data yang menyimpan peralatan komputer yang menjadi
tempat sistem yang bersangkutan berada.
·
Jaringan Hal ini memungkinkan sistem dan pengguna lain
berkomunikasi dengan sistem yang bersangkutan saat mereka tidak memiliki akses
fisik terhadapnya. Lapisan ini mencakup perangkat jaringan dasar seperti
firewall, switch, dan router.
·
Platform sistem Ini menyediakan lingkungan operasi
dasar dimana aplikasi tingkat tinggi berjalan. Contohnya adalah sistem operasi
seperti Unix, Linux, dan Windows.
·
Database Alat ini mengatur dan menyediakan akses ke
data yang dijalankan oleh aplikasi akhir.
·
Aplikasi, Ini adalah aplikasi akhir, yang sebenarnya
dilihat dan diakses oleh pengguna akhir. Ini bisa berupa aplikasi perencanaan
sumber daya perusahaan (enterprise) yang menyediakan fungsi bisnis dasar,
aplikasi e-mail, atau sistem yang memungkinkan ruang konferensi dijadwalkan.
Beberapa
model peran tim audit TI:
v Auditor Aplikasi
Sejumlah besar kelompok audit TI benar-benar bukan
kelompok audit TI sama sekali. Kelompok-kelompok ini pada umumnya tidak berisi
auditor TI yang benar, namun terdiri dari orang-orang bisnis atau keuangan yang
tahu bagaimana menggunakan sistem aplikasi bisnis. Tim audit ini fokus hampir
hanya pada lapisan aplikasi. Mereka melakukan pekerjaan yang sangat teliti
untuk memastikan bahwa akses terkontrol dengan benar dan bahwa pemisahan tugas
tidak ada. Mereka mungkin akan melakukannya.
v Pakar Data Ekstrasi dan Analisis
Penerapan model yang paling efektif ini melibatkan
pengembangan analisis yang memungkinkan dilakukannya pemantauan terus menerus
atas bukti kecurangan, pelanggaran pengendalian internal, ketidakpatuhan
kebijakan, dan pelanggaran lainnya. Misalnya, pemantauan mungkin disiapkan
untuk mencari bukti pembayaran duplikat kepada vendor, membagi pembayaran ke
vendor (untuk menghindari batas persetujuan pengeluaran), karyawan yang
ditetapkan sebagai vendor, menduplikat nomor deposit langsung (yang mungkin
mengindikasikan karyawan hantu) , tagihan perjalanan dan biaya duplikat untuk
periode waktu yang sama, dan seterusnya. Item spesifik yang akan dipantau akan
bervariasi menurut perusahaan. Bila analisis menunjukkan kemungkinan
pengecualian, spesialis data akan menyelidiki masalah potensial tersebut. Hal
ini dapat menyebabkan penyelidikan kecurangan formal (yang kemudian harus
diserahkan ke organisasi yang sesuai di dalam perusahaan), atau dapat
menyebabkan identifikasi masalah pengendalian internal (yang kemudian harus
dibentuk menjadi masalah audit tradisional, dengan ditugaskan tanggung jawab,
solusi, dan tanggal jatuh tempo). Pakar data mungkin juga memberikan dukungan
terhadap audit, membantu tim audit untuk memperoleh dan menganalisis data yang
relevan, namun itu bukan fokus utama mereka.
Ini adalah fungsi yang sangat sulit untuk ditetapkan
secara efektif, namun ini adalah salah satu yang dapat menjadi pelengkap yang
sangat kuat untuk audit tradisional Anda jika dilakukan dengan benar. Hal ini
memungkinkan untuk 100 persen pengujian data daripada mengandalkan sampling.
Namun, jika Anda serius membangun fungsi semacam ini, Anda perlu
menginvestasikan sumber daya khusus dengan fokus pada ekstraksi data dan
analisis. Mencoba melatih semua auditor dalam alat dan keterampilan yang
diperlukan biasanya tidak efektif. Auditor tersebut ditarik terlalu banyak arah
dan memiliki terlalu banyak prioritas lainnya. Mempekerjakan tim ini secara
efektif mengharuskan orang-orang yang memahami data dan audit, yang merupakan
keahlian unik.
v Auditor IT
Bagian lain memiliki auditor TI yang menghabiskan
sebagian besar waktunya untuk memusatkan perhatian pada area di bawah lapisan
aplikasi di tumpukan. Mereka memastikan bahwa infrastruktur inti yang mendukung
sistem perusahaan memiliki keamanan dan kontrol yang tepat. Tim audit ini
umumnya terdiri dari profesional TI, berbeda dengan orang-orang bisnis yang
mengerti bagaimana menggunakan sistem aplikasi. Lapisan database dan di
bawahnya merupakan domain dari auditor TI ini, dan audit aplikasi didorong oleh
auditor keuangan dengan dukungan yang diberikan oleh auditor TI sesuai
kebutuhan. Misalnya, auditor TI mungkin melihat lapisan database dan di
bawahnya saat mereka menerapkan aplikasi spesifik tersebut (dengan asumsi item
tersebut belum dibahas sebelumnya dalam audit berskala lebih besar di
lingkungan TI). Selain itu, auditor TI dapat membantu untuk meninjau beberapa
kontrol aplikasi umum, seperti kontrol perubahan dan administrasi akses sistem
secara keseluruhan. Namun, auditor keuangan harus memiliki pengetahuan dan
berada dalam posisi yang lebih baik untuk memahami jenis kontrol integritas
data dan pemisahan tugas yang diperlukan untuk aplikasi bisnis tertentu.
2. PROSES AUDIT
Planning
Sebelum Anda mulai mengerjakan
audit, Anda harus menentukan apa yang akan Anda tinjau. Jika proses perencanaan
dijalankan secara efektif, maka proses pembentukan tim audit akan berhasil.
Sebaliknya, jika dilakukan dengan buruk dan pekerjaan dimulai tanpa rencana dan
tanpa arahan yang jelas, upaya tim audit dapat mengakibatkan kegagalan. Tujuan
dari proses perencanaan adalah untuk menentukan tujuan dan ruang lingkup audit.
Anda perlu menentukan apa yang ingin Anda capai dengan ulasannya. Sebagai
bagian dari proses ini, Anda harus mengembangkan serangkaian langkah yang harus
dijalankan untuk mencapai tujuan audit. Proses perencanaan ini memerlukan
penelitian, pemikiran, dan pertimbangan yang cermat untuk setiap audit.
·
Hand-off
dari Manajer Audit Jika audit termasuk dalam rencana audit, pasti ada
beberapa alasan. Manajer audit harus menyampaikan kepada tim audit informasi
yang mengarah pada audit yang dijadwalkan. Ini mungkin termasuk komentar dari
manajemen TI dan / atau masalah yang diketahui di wilayah ini. Faktor-faktor
yang menyebabkan audit dijadwalkan perlu dicakup dalam rencana audit. Selain
itu, manajer audit harus dapat memberikan tim audit kontak kunci untuk audit
tersebut.
·
Survei
Awal Tim audit harus meluangkan waktu sebelum setiap audit
melakukan survei pendahuluan di wilayah tersebut untuk diaudit untuk memahami
apa yang akan dilakukan audit. Kemungkinan ini akan mencakup wawancara dengan
pelanggan audit untuk memahami fungsi sistem atau proses yang sedang ditinjau,
dan juga meninjau dokumentasi terkait. Tujuannya adalah untuk mendapatkan latar
belakang dasar dan pemahaman daerah yang akan ditinjau. Hal ini diperlukan
untuk melakukan penilaian awal terhadap risiko di daerah tersebut.
·
Permintaan
Pelanggan Bab 1 membahas pentingnya membuat audit sebagai
proses kerjasama dan kooperatif. Sebagai bagian dari pencapaian tujuan ini,
pelanggan audit harus merasa memiliki beberapa kepemilikan dalam audit. Tim
audit harus menanyakan kepada pelanggan area mana yang mereka pikir harus
ditinjau dan area mana yang menjadi perhatian. Masukan ini harus sesuai dengan
hasil penilaian risiko objektif auditor untuk menentukan ruang lingkup audit.
Tentu, terkadang auditor tidak akan menggunakan input pelanggan.
·
Daftar
Standar Daftar periksa audit standar untuk area yang sedang
diperiksa sering tersedia. Daftar periksa di Bagian II buku ini dapat menjadi
titik awal yang bagus untuk banyak audit. Selain itu, departemen audit mungkin
memiliki daftar periksa untuk sistem dan proses standar di perusahaan. Memiliki
daftar periksa audit yang standar dan berulang untuk area umum dapat memberikan
awal yang berguna untuk banyak audit. Daftar periksa tersebut, bagaimanapun,
harus dievaluasi dan diubah seperlunya untuk setiap audit tertentu. Memiliki
daftar periksa standar tidak menghilangkan persyaratan bagi auditor untuk
melakukan penilaian risiko sebelum setiap audit.
·
Penelitian
Akhirnya, Internet, buku, dan materi pelatihan harus dirujuk dan digunakan
sebagaimana mestinya untuk setiap audit untuk mendapatkan informasi tambahan
tentang area yang diaudit.
Kerja Lapangan dan Dokumentasi
Dokumentasi juga merupakan bagian
penting dari kerja lapangan. Auditor harus melakukan pekerjaan yang cukup untuk
mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat dibuktikan.
Tujuannya adalah untuk mendokumentasikan pekerjaan dengan cukup rinci sehingga
orang yang tepat informasi dapat memahami apa yang telah dilakukan dan sampai
pada kesimpulan yang sama dengan auditor. Auditor pada dasarnya harus
menceritakan sebuah cerita: "Inilah yang saya lakukan. Inilah yang saya
temukan. Inilah kesimpulan saya. Inilah mengapa saya mencapai kesimpulan itu.
"Jika sebuah proses ditinjau, prosesnya harus dijelaskan, dan titik kontrol
utama dalam proses itu harus disorot. Jika sebuah sistem atau teknologi
ditinjau, pengaturan dan data spesifik yang ditinjau harus dijelaskan (beserta
bagaimana informasi itu diperoleh) dan diinterpretasikan.
Proses dokumentasi mungkin tampak membosankan, tapi penting. Pertama,
dibutuhkan untuk memenuhi standar profesi. Kedua, ada kemungkinan di masa depan
temuan audit dapat dipertanyakan atau ditantang, dan auditor yang melakukan
pekerjaan tersebut mungkin tidak lagi dipekerjakan oleh perusahaan atau departemen
pada saat itu (atau mungkin telah melupakan rincian dari audit). Akan sangat
penting bahwa dokumentasi ada untuk menjelaskan dan proses audit dan memperkuat
kesimpulan. Ketiga, jika audit dilakukan lagi suatu hari nanti, mempertahankan
dokumentasi terperinci akan memungkinkan tim audit berikutnya untuk belajar
dari pengalaman tim audit sebelumnya, sehingga memungkinkan dilakukannya
perbaikan dan efisiensi terus-menerus.
Penemuan Masalah dan Validasi
Saat melaksanakan penelitian
lapangan, auditor akan mengembangkan daftar masalah potensial. Ini jelas salah
satu fase audit yang lebih penting, dan auditor harus berhati-hati untuk
menggandakan daftar isu potensial untuk memastikan bahwa semua masalah tersebut
valid dan relevan. Dengan semangat kolaborasi, auditor harus mendiskusikan
masalah potensial dengan pelanggan sesegera mungkin. Tidak ada yang suka
menunggu auditor menyelesaikan audit dan kemudian harus menanggung daftar
masalah.
Solusi Pengembangan
Tiga pendekatan umum digunakan untuk
mengembangkan dan menetapkan item tindakan untuk menangani masalah audit:
·
The
Recommendation Approach
Using this common approach, auditors raise issues and
provide recommendations for addressing them. They then ask the customers
whether they agree to the recommendations and, if so, when they’ll get them
done.Berikut ini adalah skenario umum untuk pendekatan ini. Tim audit tidak
mengetahui adanya proses yang ada untuk memastikan bahwa pengguna memiliki
patch keamanan terbaru pada PC mereka sebelum terhubung ke jaringan. Mereka
menyajikan masalah ini kepada pelanggan, bersama dengan rekomendasi yang
mengatakan, "Kami merekomendasikan bahwa sebuah proses untuk memastikan
bahwa pengguna memiliki patch keamanan terbaru pada PC mereka sebelum mereka
diizinkan untuk terhubung ke jaringan," atau sesuatu sama cemerlang dan
berguna. Auditor kemudian bertanya kepada pelanggan kapan prosesnya bisa
selesai. Pelanggan membuang tanggal untuk mengalihkan auditor dari belakang,
umumnya tanpa memikirkan apa pekerjaan sebenarnya. Para auditor pergi dengan
gembira karena rekomendasi mereka diterima, dan mereka memiliki tanggal jatuh
tempo.
·
Pendekatan
Manajemen-Respon
Dengan pendekatan manajemen-respons, auditor
mengembangkan daftar masalah dan kemudian melemparkannya ke pelanggan untuk
tanggapan dan rencana tindakan mereka. Terkadang auditor mengirimkan
rekomendasi mereka untuk resolusi beserta masalahnya, dan terkadang mereka
hanya mengirim masalah tanpa rekomendasi. Either way, pelanggan seharusnya
mengirim kembali tanggapan mereka, yang termasuk dalam laporan audit.
·
Solusi
pendekatan
Dengan menggunakan pendekatan ini, auditor bekerja
sama dengan pelanggan untuk mengembangkan solusi yang merupakan rencana
tindakan yang saling dikembangkan dan disepakati untuk menangani masalah yang
diangkat selama audit berlangsung. Ini adalah kombinasi dari dua pendekatan
sebelumnya, membawa yang terbaik dari masing-masing. Seperti pendekatan
rekomendasi, auditor memberikan ide untuk resolusi berdasarkan pengetahuan
kontrol mereka. Seperti pendekatan manajemen-respons, pelanggan memberikan ide
untuk resolusi berdasarkan pengetahuan operasional reallife mereka.
Dalam pendekatan ini, pengembangan solusinya harus
benar-benar kolaboratif. Meskipun auditor harus mencoba untuk memungkinkan
pelanggan mengembangkan beberapa gagasan awal, mereka harus memiliki beberapa
solusi potensial yang siap di "kantong belakang" mereka jika
pelanggan tidak dapat menemukan jawaban yang dapat diterima. Selain itu,
auditor harus memiliki semacam gagasan mengenai jumlah minimum mitigasi dimana
mereka merasa nyaman. Mereka perlu bersiap untuk memberi tahu pelanggan jika
solusi yang diajukan tidak memenuhi kebutuhan mitigasi risiko minimal.
Pembuatan laporan dan Asuransi
Ada banyak format laporan audit
karena ada departemen audit internal. Namun, berikut adalah elemen penting dari
laporan audit:
·
Pernyataan
Lingkup Audit
Buatlah jelas dalam laporan apa yang termasuk dalam
audit dan, jika perlu, apa yang tidak termasuk dalam audit. Jika suatu area
atau topik secara khusus diambil dari audit, penting untuk menyatakan sebanyak
mungkin laporan tersebut untuk menghindari kesalahpahaman.
·
Ringkasan
Eksekutif
Selain mencantumkan semua masalah dan rencana tindakan
terperinci, Anda perlu menulis ringkasan eksekutif sehingga seseorang yang
tidak memiliki waktu atau keinginan untuk membaca semua detail dapat memahami
keadaan keseluruhan kontrol di lingkungan. Ringkasan ini harus bisa berdiri
sendiri sebagai dokumen informatif, bahkan jika dikeluarkan dari sisa laporan.
·
Daftar
Masalah dan Rencana Aksi
Ini adalah daging laporan karena memberikan rincian
tentang semua masalah penting yang ditemukan selama audit dan apa yang akan
dilakukan untuk memperbaikinya. Kualitas dan kejelasan penulisan sangat
penting, karena setiap isu harus didokumentasikan sedemikian rupa sehingga
beberapa tingkat pembaca dapat memahaminya. Orang-orang yang berurusan dengan
area dari hari ke hari harus dapat memahami masalah dan rencana Anda, dan
manajemen senior juga harus dapat memahami risikonya dan mengapa hal itu perlu
dikurangi.
Pelacakan Masalah
Bagian audit harus mengembangkan
sebuah proses dimana anggotanya dapat melacak dan menindaklanjuti isu sampai
mereka menyelesaikannya. Hal ini kemungkinan akan melibatkan pemeliharaan
database yang berisi semua titik audit dan tanggal jatuh tempo mereka, beserta
mekanisme untuk menandai mereka sebagai tertutup, terlambat, dan seterusnya.
sebuah keputusan perlu dibuat mengenai validasi solusi yang diterapkan
untuk menangani masalah audit. Berapa banyak penekanan yang perlu dilakukan
untuk menguji ulang area tersebut untuk memastikan bahwa kontrol baru bekerja
secara efektif? Meskipun akan menyenangkan untuk menguji ulang semuanya,
mungkin tidak praktis dari sudut pandang sumber daya. Dalam beberapa kasus, akan
memerlukan pemeriksaan ulang lengkap area untuk memvalidasi solusinya. Jawaban
praktisnya biasanya melakukan upaya "usaha terbaik" untuk memvalidasi
bahwa pengendalian memang dilaksanakan. Jika solusinya adalah memodifikasi
setting sistem, misalnya auditor pasti bisa mengecek settingnya. Jika solusinya
adalah membuat rencana pemulihan bencana, auditor tentu bisa melihat rencana
tersebut. Namun, terkadang jawaban praktisnya adalah membuat pelanggan bisa
menjelaskan dan berjalan melalui proses atau sistem yang telah dilaksanakan
tanpa benar-benar menguji keefektifannya. Ini adalah bidang lain di mana
penilaian auditor dan akal sehat perlu diterapkan.
3. Teknik Audit
ü Audit Kontrol Tingkat Entitas
ü Audit Pusat Data dan Pemulihan Kerusakan
ü Audit Routers, Switches, dan Firewall
ü Audit Windows dan Sistem Operasi
ü Audit Unix dan Operasi Sistem Linux
ü Audit Web Servers dan Web Aplikasi
ü Audit Basisdata
ü Audit Ruang Penyimpanan
ü Audit Lingkungan Virtual
ü Audit WLAN dan Perangkat Ponsel
ü Audit Aplikasi
ü Audit Komputasi Awan dan Oprerasi Outsorced
ü Audit Proyek Perusahaan
4. Regulasi Audit
Sifat global bisnis dan teknologi
mendorong kebutuhan akan standar dan peraturan yang mengatur bagaimana
perusahaan bekerja sama dan bagaimana informasi dibagi. Kemitraan strategis dan
kolaboratif telah berevolusi dengan badan-badan seperti International
Organization of Standardization (ISO), International Electrotechnical
Commission (IEC), International Telecommunication Union (ITU), dan Organisasi
Perdagangan Dunia (WTO).
Partisipasi dalam badan standar ini
bersifat sukarela, dengan tujuan bersama untuk mempromosikan perdagangan global
untuk semua negara. Masing-masing negara telah melangkah lebih jauh untuk
membentuk kontrol pemerintah atas kegiatan bisnis perusahaan yang beroperasi di
dalam batas-batas mereka.
Sarbanes-Oxley Act tahun 2002
Undang-undang Sarbanes-Oxley (SOX)
tahun 2002 (yang secara formal dikenal sebagai Akuntan Publik dan Undang-Undang
Perlindungan Investor) merupakan tanggapan dari pemerintah AS terhadap ruam
skandal korporat yang terkenal yang dimulai dengan Enron dan Arthur Andersen,
diikuti oleh Tyco , Adelphia Communications, WorldCom, HealthSouth, dan banyak
lainnya. Undang-Undang Sarbanes-Oxley dan Dewan Pengawas Akuntansi Perusahaan
Publik (PCAOB) diciptakan untuk memulihkan kepercayaan investor di pasar umum
A.S. Tujuan utamanya adalah untuk meningkatkan tanggung jawab perusahaan,
meningkatkan pengungkapan keuangan, dan mencegah kecurangan perusahaan dan
akuntansi. Dengan demikian, kontrol yang diperlukan untuk kepatuhan terhadap
fokus SOX pada kontrol kunci penting untuk memastikan kerahasiaan, integritas,
dan ketersediaan data keuangan.
Gramm-Leach-Bliley Act
Judul resmi undang-undang ini adalah
Undang-Undang Modernisasi Jasa Keuangan. Tindakannya, yang lebih dikenal dengan
Gramm-Leach-Bliley Act (GLBA), diarahkan terutama untuk memungkinkan fungsi dan
hubungan yang diperluas di antara institusi keuangan. Undang-undang tersebut
mencakup bagaimana dan dalam keadaan apa perusahaan induk bank dapat melakukan
afiliasi baru dan terlibat dalam kegiatan yang sebelumnya dibatasi.
Tren Peraturan Lainnya
Seiring komputer berkembang biak pada
masa kejayaan tahun 1980an dan 1990an, kontrol internal atas TI gagal
mengimbangi arsitektur infrastruktur yang berubah dengan cepat. Namun, tindakan
keras terhadap pengendalian internal yang dimulai atas pelaporan keuangan telah
diperluas untuk mencakup TI, dan memang seharusnya demikian. Sekarang, selain
SOX, GLBA, California SB 1386, HIPAA, dan peraturan lainnya, persyaratan lebih
lanjut akan datang. Dengan pencurian identitas yang mendekati proporsi krisis,
perlindungan data dan privasi merupakan topik yang sangat mendesak bagi
legislator.
5. Standar dan kerangka kerja audit
Pada 1970-an, kekhawatiran akan
meningkatnya kebangkrutan perusahaan dan keruntuhan keuangan mulai meningkatkan
permintaan akan pertanggungjawaban dan transparansi di antara perusahaan
publik. Foreign Corrupt Practices Act of 1977 (FCPA) mengkriminalisasi
penyuapan di luar negeri dan merupakan peraturan pertama yang mengharuskan
perusahaan untuk menerapkan program pengendalian internal untuk menyimpan
catatan transaksi yang ekstensif untuk tujuan pengungkapan.
Ketika industri simpan pinjam ambruk
pada pertengahan tahun 1980an, ada seruan untuk mengawasi standar akuntansi dan
profesi auditing pemerintah. Dalam upaya untuk mencegah intervensi pemerintah,
sebuah inisiatif sektor swasta independen, yang kemudian disebut Komite
Sponsoring Organizations (COSO), dimulai pada tahun 1985 untuk menilai
bagaimana cara terbaik untuk memperbaiki kualitas pelaporan keuangan. COSO
meresmikan konsep pengendalian dan kerangka kerja internal pada tahun 1992 saat
menerbitkan publikasi penting Kerangka Pengendalian Internal Terpadu. Sejak
saat itu, asosiasi profesional lainnya terus mengembangkan kerangka kerja dan
standar tambahan untuk memberikan panduan dan praktik terbaik kepada konstituen
mereka dan komunitas TI secara umum. Bagian berikut menyoroti COSO dan beberapa
kerangka kerja dan standar TI paling menonjol yang digunakan saat ini.
COSO
Pada pertengahan 1980an, Komisi
Nasional Penipuan Pelaporan Keuangan dibentuk sebagai tanggapan atas
meningkatnya krisis keuangan A.S. dan seruan untuk mengawasi praktik akuntansi
dan audit pemerintah.
COSO Definisi Pengendalian Internal
Pengendalian internal adalah sebuah
proses, dipengaruhi oleh dewan direksi, manajemen, dan personil perusahaan,
yang dirancang untuk memberikan keyakinan memadai mengenai pencapaian tujuan
dalam kategori berikut:
·
Efektivitas
dan efisiensi operasi
·
Keandalan
pelaporan keuangan
·
Kepatuhan
terhadap hukum dan peraturan yang berlaku
Konsep Utama Pengendalian Internal
Berikut
ini adalah konsep kunci pengendalian internal menurut COSO:
·
Kontrol
internal adalah sebuah proses. Ini adalah sarana untuk mencapai tujuan, bukan
tujuan itu sendiri.
·
Kontrol
internal dipengaruhi oleh orang. Ini bukan sekadar manual dan formulir
kebijakan, tapi juga orang-orang di setiap tingkat organisasi.
·
Pengendalian
internal dapat diharapkan hanya memberikan kepastian yang memadai, bukan
jaminan mutlak, kepada manajemen dan dewan entitas.
·
Pengendalian
internal diarahkan pada pencapaian tujuan dalam satu atau beberapa kategori
yang terpisah namun saling tumpang tindih.
Kerangka Pengendalian Terpadu Internal
·
Kontrol
lingkungan
·
Tugas
beresiko
·
Aktivitas
pengendalian
·
Informasi
dan Komunikasi
·
Monitoring
COBIT
Tujuan Pengendalian untuk Informasi
dan Teknologi Terkait, pertama kali diterbitkan pada bulan April 1996. Ini
adalah kerangka kerja terdepan yang diakui secara internasional untuk tata
kelola dan pengendalian TI. Versi terbaru, COBIT 4.1, dirilis pada tahun 2007.
COBIT dikembangkan oleh IT Governance Institute (ITGI) dengan menggunakan panel
pakar di seluruh dunia dari kalangan industri, akademisi, pemerintah, dan pakar
keamanan dan kontrol TI. Penelitian mendalam dilakukan di berbagai sumber
global untuk menarik bersama ide terbaik dari semua standar teknis dan
profesional.
Konsep COBIT
COBIT membagi tujuan pengendalian
utamanya menjadi empat domain: merencanakan dan mengatur, memperoleh dan
menerapkan, memberikan dan mendukung, dan memantau dan mengevaluasi. Kerangka
ini menyoroti tujuh kualitas informasi:
·
Efektivitas
·
Efisiensi
·
Kerahasiaan
·
Integritas
·
Ketersediaan
·
Kepatuhan
·
Keandalan
ITIL
IT Infrastructure Library (ITIL)
dikembangkan oleh pemerintah Inggris pada pertengahan tahun 1980-an dan telah
menjadi standar de facto untuk praktik terbaik dalam penyediaan manajemen
infrastruktur TI dan pemberian layanan. ITIL adalah merek dagang terdaftar dari
Kantor Dagang Pemerintah Inggris (OGC), yang memiliki dan mengembangkan
kerangka praktik terbaik ITIL.
Konsep ITIL
ITIL menyediakan serangkaian referensi
praktis dan standar khusus untuk manajemen infrastruktur dan layanan yang dapat
disesuaikan secara virtual dengan organisasi manapun. Fungsi layanan dukungan
menangani masalah seperti manajemen masalah, manajemen kejadian, meja layanan,
manajemen perubahan, manajemen rilis, dan manajemen konfigurasi. Fungsi
pengiriman layanan menangani manajemen kapasitas, manajemen ketersediaan,
manajemen keuangan, manajemen kontinuitas, dan tingkat layanan.
ISO 27001
Sejak didirikan pada tahun 1947,
International Organization for Standardization (ISO) telah menciptakan sejumlah
standar untuk manajemen keamanan jaringan, pengembangan perangkat lunak, dan
kontrol kualitas, disamping sejumlah standar lain untuk berbagai fungsi bisnis
dan pemerintahan. ISO 27001, ISO 17799, dan BS 7799 pada dasarnya adalah
standar inti yang sama yang menangani beberapa aspek praktik keamanan
informasi, manajemen keamanan informasi, dan manajemen risiko keamanan
informasi.
Konsep ISO 27001
Juga disebut sebagai Kode Praktik
untuk Manajemen Keamanan Informasi, ISO 27001: 2005 membahas 11 bidang utama
dalam disiplin keamanan informasi.Standar tersebut menguraikan 133 kontrol
keamanan di 11 area berikut:
·
Kebijakan
keamanan
·
Organisasi
keamanan informasi
·
Manajemen
aset
·
Keamanan
sumber daya manusia
·
Keamanan
fisik dan lingkungan
·
Manajemen
komunikasi dan operasi
·
Kontrol
akses
·
Akuisisi,
pengembangan, dan pemeliharaan sistem informasi
·
Manajemen
insiden keamanan informasi
·
Pengelolaan
kesinambungan bisnis
·
Kepatuhan
Metodologi Penilaian NSA INFOSEC
The National Security Agency INFOSEC
Assessment Methodology (NSA IAM) dikembangkan oleh Badan Keamanan Nasional AS
dan dimasukkan ke dalam Program Pelatihan dan Penilaian INFOSEC (IATRP) pada
awal tahun 2002. Meskipun program IATRP dan dukungan untuk NSA IAM dihentikan
oleh NSA Pada tahun 2009, masih banyak digunakan dan sekarang dikelola oleh
Security Horizon, yang merupakan salah satu perusahaan yang menyediakan
pelatihan NSA IAM dan IEM untuk NSA.
Konsep Metodologi Penilaian NSA
INFOSEC
NSA IAM adalah metodologi penilaian
keamanan informasi yang mendasari kegiatan penilaian. Ini memecahkan penilaian
keamanan informasi menjadi tiga tahap: pra-penilaian, aktivitas di tempat, dan
pasca penilaian. Masing-masing fase ini berisi kegiatan wajib untuk memastikan
konsistensi penilaian keamanan informasi. Penting untuk dicatat, bagaimanapun,
bahwa penilaian NSA IAM hanya terdiri dari tinjauan dokumentasi, wawancara, dan
observasi. Tidak ada pengujian yang terjadi selama penilaian IAM NSA. NSA
merilis INFOSEC Evaluation Methodology pada kegiatan pengujian awal.Delapan
belas area baseline dievaluasi selama penilaian IAM:
·
Dokumentasi
keamanan informasi seperti kebijakan, prosedur, dan garis dasar
·
Peran
dan tanggung jawab
·
Perencanaan
kontingensi
·
Manajemen
konfigurasi
·
Identifikasi
dan otentikasi
·
Manajemen
akun
·
Kontrol
sesi
·
Audit
·
Kode
berbahaya perlindungan
·
Perbaikan
sistem
·
Jaminan
sistem
·
Jaringan
/ konektivitas
·
Keamanan
komunikasi
·
Kontrol
media
·
Klasifikasi
informasi dan pelabelan
·
Lingkungan
fisik
·
Keamanan
personil
·
Pendidikan,
pelatihan, dan kesadaran
6. Manajemen Resiko
Manfaat Manajemen Risiko tidak
diragukan lagi potensi pengelolaan risiko TI masih dirahasiakan dengan baik. Selama
beberapa tahun terakhir, banyak organisasi telah meningkatkan efektivitas
pengendalian TI mereka atau mengurangi biaya mereka dengan menerapkan analisis
risiko dan praktik manajemen risiko yang baik.
Manajemen Risiko dari Perspektif
Eksekutif
Eksekutif diharuskan menimbang manfaat
investasi dengan risiko yang terkait dengannya. Akibatnya, sebagian besar telah
cukup mahir dalam mengukur risiko melalui analisis ROI, indikator kinerja
utama, dan berbagai alat analisis keuangan dan operasional lainnya. Agar sukses
dalam mengelola risiko TI organisasi, Anda harus memahami bahwa eksekutif
melihat risiko secara finansial. Akibatnya, semacam analisis keuangan biasanya
diperlukan untuk membuat kasus bisnis untuk investasi dalam kontrol tambahan.
Mengatasi Resiko
Resiko dapat diatasi dengan tiga cara:
menerimanya, mengurangi, atau mentransfernya.
Menerima Risiko
Nilai finansial suatu risiko
seringkali lebih kecil daripada biaya untuk mengurangi atau memindahkannya.
Dalam hal ini, pilihan yang paling masuk akal adalah menerima risiko.
Mitigasi risiko
Bila risiko memiliki nilai keuangan
yang signifikan, seringkali lebih tepat untuk mengurangi risiko daripada
menerimanya. Dengan sedikit pengecualian, biaya untuk menerapkan dan
mempertahankan kontrol harus kurang dari nilai moneter dari risiko yang
dikurangi.
Transfer Resiko
Industri asuransi didasarkan pada
transferensi risiko. Organisasi sering membeli asuransi untuk menutupi biaya
pelanggaran keamanan atau bencana sistem outage. Penting untuk dicatat bahwa
perusahaan asuransi yang menawarkan jenis kebijakan ini seringkali mewajibkan
pemegang polis menerapkan kontrol tertentu. Kegagalan untuk mematuhi
persyaratan pengendalian dapat membatalkan kebijakan.
Menganalisis Risiko
Risiko dapat dianalisis dengan dua
cara: kuantitatif dan kualitatif. Seperti hal lainnya, masing-masing memiliki
kelebihan dan kekurangan.
Analisis Risiko Kuantitatif
Pendekatan kuantitatif lebih obyektif
dan mengungkapkan risiko secara finansial sehingga pengambil keputusan bisa
lebih mudah dibenarkan, hal ini juga lebih menyita waktu.Resiko dapat
didefinisikan dengan perhitungan sebagai berikut:
Risiko = nilai aset ×
ancaman × kerentanan
Aktiva
Biasanya diwakili sebagai nilai
moneter, aset dapat didefinisikan sebagai sesuatu yang layak untuk sebuah
organisasi yang dapat rusak, dikompromikan, atau dihancurkan oleh tindakan yang
disengaja atau disengaja.
Ancaman
Ancaman dapat didefinisikan sebagai
peristiwa potensial yang, jika disadari, akan menyebabkan dampak yang tidak
diinginkan. Dampak yang tidak diinginkan dapat terjadi dalam banyak bentuk,
namun seringkali mengakibatkan kerugian finansial. Misalnya, jika kita
memperkirakan bahwa kebakaran akan menyebabkan 70 persen kehilangan nilai aset
jika terjadi, faktor pemaparannya adalah 70 persen.
Kerentanan
Kerentanan dapat didefinisikan sebagai
tidak adanya atau kelemahan kontrol kumulatif yang melindungi aset tertentu.
Kerentanan diperkirakan sebagai persentase berdasarkan tingkat kelemahan
kontrol. Kita bisa menghitung defisiensi kontrol (CD) dengan mengurangi
efektifitas kontrol sebesar 1 atau 100 persen. Sebagai contoh, kita dapat
menentukan bahwa kontrol spionase industri kita 70 persen efektif, jadi 100
persen - 70 persen = 30 persen (CD). Kerentanan ini akan diwakili 30 persen,
atau 0,3.
Analisis Risiko Kualitatif
Pendekatan kualitatif lebih cocok
untuk menyajikan pandangan berlapis risiko, namun bisa jadi lebih subjektif dan
karena itu sulit untuk dibuktikan. Dimana metode kuantitatif berfokus pada
formula, analisis risiko kualitatif akan berfokus pada nilai-nilai seperti
tinggi, sedang, dan rendah atau warna seperti merah, kuning, dan hijau untuk
mengevaluasi risikonya.
Siklus Hidup Manajemen Risiko TI
Seperti kebanyakan metodologi,
manajemen risiko, bila diterapkan dengan benar, mengambil karakteristik siklus
hidup.
Tahap 1: Identifikasi Aset Informasi
Tahap pertama dalam siklus hidup
manajemen risiko adalah mengidentifikasi aset informasi organisasi. Agar
sukses, Anda harus menyelesaikan beberapa tugas:
·
Tentukan
nilai kekritisan informasi.
·
Mengidentifikasi
fungsi bisnis.
·
Proses
informasi peta.
·
Mengidentifikasi
aset informasi.
·
Tetapkan
nilai kekritisan pada aset informasi.
Tujuan dari tahap ini adalah untuk
mengidentifikasi semua aset informasi dan menetapkan setiap aset informasi
sebagai nilai kekritisan yang tinggi, menengah, atau rendah untuk persyaratan
kerahasiaan, integritas, dan ketersediaannya.
Tahap 2: Mengukur dan Mengklaim
Ancaman
Ancaman informasi mempengaruhi
organisasi melalui penurunan loyalitas merek, kehilangan sumber daya, biaya
pemulihan, dan tindakan hukum dan peraturan. Ketika ancaman direalisasikan,
biaya ini sering kali tidak diketahui karena tidak diidentifikasi dengan
benar.Tahap siklus pengelolaan risiko ini memerlukan langkah-langkah berikut:
·
Menilai
ancaman bisnis.
·
Mengidentifikasi
ancaman teknis, fisik, dan administratif.
·
Mengukur
dampak dan kemungkinan ancaman.
·
Mengevaluasi
arus proses untuk kelemahan.
·
Identifikasi
ancaman komponen-komponen.
Tahap 3: Kaji Kerentanan
Ketika menilai kerentanan, di sisi
lain, common denominator adalah proses informasi. Pertama-tama kami akan
mengidentifikasi kerentanan komponen-komponen dan menggabungkannya untuk
menentukan kerentanan proses kami. Proses kerentanan kemudian akan digabungkan
untuk menentukan kerentanan fungsi bisnis.Langkah-langkah dalam menganalisis
kerentanan:
1.
Identifikasi
kontrol yang ada dalam kaitannya dengan ancaman.
2.
Tentukan
gap kontrol komponen proses.
3.
Gabungkan
celah kontrol ke dalam proses dan kemudian fungsi bisnis.
4.
Kategorikan
kesenjangan kontrol dengan tingkat keparahan.
5.
Tetapkan
peringkat risiko.
Tahap 4: Remediasi Kontrol Kesenjangan
Pada titik ini, risiko kita harus
dikategorikan tinggi, menengah, atau rendah. Awalnya, kami akan fokus untuk
mengurangi risiko yang paling parah, karena kemungkinan besar kami akan melihat
hasil investasi tertinggi kami. Intinya, kita bisa mengurangi lebih banyak
risiko dengan sedikit uang. Kita akan menggunakan langkah-langkah berikut dalam
remediasi gap gap:
1.
Pilih
kontrol.
2.
Melaksanakan
kontrol.
3.
Validasi
kontrol baru.
4.
Hitung
ulang peringkat risiko
Tahap 5: Mengelola Risiko Sisa
Risiko bersifat inheren dinamis,
terutama komponen ancaman risiko. Akibatnya, kita perlu mengukur risiko secara
terus menerus dan berinvestasi pada kontrol baru untuk merespons ancaman yang
muncul. Fase ini terdiri dari dua tahap:
1.
Buat
garis dasar risiko
2.
Menilai
kembali risiko
Langganan:
Postingan (Atom)