Senin, 01 Januari 2018

Auditing Konsep, Proses, Regulasi, Manajemen Resiko




 KONSEP AUDIT

Konsep Audit adalah gambaran mengenai pelaksanaan proses audit. 




























 
       
Empat Metode Konsultasi dan Keterlibatan Awal
·         Keterlibatan Awal
Inilah yang anda lakukan pada tahap keterlibatan awal. Seperti merencanakan audit. Anda perlu meluangkan waktu untuk memahami sistem, teknologi, atau proses yang sedang diterapkan. Anda perlu memikirkan potensi risiko yang mungkin mempengaruhi keamanan, integritas, atau keandalannya. Anda kemudian dapat memberikan masukan kepada tim mengenai kontrol apa yang akan Anda cari jika Anda mengaudit pelaksanaannya setelah kejadian tersebut. Pada dasarnya, Anda merencanakan audit dan membagikan kunci utama dari rencana audit Anda dengan auditee saat sistem sedang dikembangkan. Dari sudut pandang Anda, Anda berbagi mengenai rencana audit Anda. Dari sudut pandang mereka, Anda memberi mereka seperangkat persyaratan pengendalian internal. Jika ini semua bisa Anda lakukan, Anda sudah memberikan layanan terbaik.

·         Informal Audit
Informal Audit terlihat hampir seperti proses audit, untuk lebih jelasnya lihat langkah-langkah sederhana di bawah:
1.    Bagian audit harus menyetujui waktu dan ruang lingkup kajian informal dengan orang-orang yang akan diaudit.
2.    Auditor yang akan melakukan review kemudian harus membuat daftar periksa dasar daerah yang akan diperiksa. (Daftar periksa di sepanjang buku ini memberikan titik awal yang baik.)
3.    Auditor menjalankan langkah-langkah tersebut, mencatatnya sesuai kebutuhan namun tidak membuat kertas kerja untuk ditinjau. Catatan tidak perlu disimpan setelah audit selesai. Ingat bahwa kecepatan adalah intinya, dan ini adalah pertunangan konsultasi, bukan review audit formal. Jika Anda tidak merasa nyaman dengan hal ini, Anda akan terjebak dalam dokumentasi dan proses, kehilangan fleksibilitas untuk melakukan ulasan semacam ini secara efektif.
4.    Pada akhir proyek, auditor mengumpulkan semua masalah dari tinjauan.
5.    Auditor mengadakan pertemuan tanya jawab dengan orang-orang yang diaudit untuk mendiskusikan masalah tersebut dan berkonsultasi tentang seberapa serius permasalahan dan potensi sarana untuk mengatasinya.
6.    Auditor mendokumentasikan daftar akhir masalah, disertai pemikiran yang relevan untuk menyelesaikannya, dalam sebuah memo. Memo ini tidak perlu menyertakan tanggal jatuh tempo dan dapat mencakup peringatan yang disebutkan sebelumnya (misalnya, ini bukan audit formal, kami tidak akan melacak masalah, dan sebagainya). Memo tersebut juga harus menunjukkan kesediaan auditor untuk terus berkonsultasi dengan tim karena menangani item ini.
7.    Auditor mengeluarkan memo dan arsipnya secara elektronik untuk referensi di kemudian hari.

Daftar langkah ini mungkin tampak terlalu sederhana, namun ini yang dimaksudkan. Anda perlu menghindari over-engineering prosesnya. intinya bahwa Anda adalah departemen dengan keahlian pengendalian internal, dan Anda berkonsultasi dengan departemen lain dalam hal ini. Kirimkan auditor yang berpengetahuan luas dan berpengalaman, dan biarkan mereka "melakukan pekerjaan mereka." Keterlibatan konsultasi informal adalah alat lain di toolkit Anda yang dapat Anda gunakan untuk mempromosikan kontrol internal di perusahaan Anda.

·         Berbagi Pengetahuan
Sebagai auditor internal, Anda memiliki perpaduan unik antara pengetahuan perusahaan dan keahlian dalam pengendalian internal. Bagian audit internal harus kreatif dalam menemukan cara baru untuk berbagi pengetahuan uniknya dengan bagian perusahaan lainnya. Tentu saja, sebagian besar pembagian pengetahuan harus terjadi saat Anda melakukan audit, saat Anda melakukan konsultasi ulasan, dan saat Anda memberikan masukan sebagai bagian dari aktivitas keterlibatan awal Anda.

·         Penilaian-Diri
Konsep lain untuk mempromosikan kontrol di luar audit formal adalah Penilaian-Diri. Sebelumnya di bab ini, Anda belajar tentang audit informal, yang merupakan sesuatu yang kurang dari audit formal, namun memberi masukan yang baik kepada perusahaan mengenai keadaan pengendalian internal mereka. Latihan penilaian mandiri adalah sesuatu yang kurang dari audit informal, karena sama sekali tidak memberikan validasi independen terhadap kontrol di lingkungan, namun juga dapat menjadi sarana yang berguna untuk mempromosikan kontrol. Sekali lagi, auditor yang berpengalaman dan berpengalaman sangat penting untuk membuat alat ini bekerja.

Pemikiran Akhir
            Ada banyak metode untuk meninjau dan mempromosikan pengendalian internal di perusahaan selain audit formal. Tentu saja, salah satu tantangan Anda adalah mendapatkan manajemen perusahaan dan komite audit menyetujui penggunaan sumber daya Anda dengan cara ini. Dukungan vokal dari organisasi IT juga membantu. Jika TI mendukung dan melakukan penyesuaian berdasarkan pekerjaan Anda dan jika mereka bersedia mengkomunikasikan fakta tersebut kepada manajemen senior, Anda akan memiliki waktu yang lebih mudah untuk membangun program yang berkelanjutan.
Peran Tim Audit TI
            kelompok audit TI dapat dipanggil untuk meninjau:
·         Fasilitas pusat data Ini, cukup sederhana, adalah bangunan fisik dan pusat data yang menyimpan peralatan komputer yang menjadi tempat sistem yang bersangkutan berada.
·         Jaringan Hal ini memungkinkan sistem dan pengguna lain berkomunikasi dengan sistem yang bersangkutan saat mereka tidak memiliki akses fisik terhadapnya. Lapisan ini mencakup perangkat jaringan dasar seperti firewall, switch, dan router.
·         Platform sistem Ini menyediakan lingkungan operasi dasar dimana aplikasi tingkat tinggi berjalan. Contohnya adalah sistem operasi seperti Unix, Linux, dan Windows.
·         Database Alat ini mengatur dan menyediakan akses ke data yang dijalankan oleh aplikasi akhir.
·         Aplikasi, Ini adalah aplikasi akhir, yang sebenarnya dilihat dan diakses oleh pengguna akhir. Ini bisa berupa aplikasi perencanaan sumber daya perusahaan (enterprise) yang menyediakan fungsi bisnis dasar, aplikasi e-mail, atau sistem yang memungkinkan ruang konferensi dijadwalkan.
Beberapa model peran tim audit TI:
v  Auditor Aplikasi
Sejumlah besar kelompok audit TI benar-benar bukan kelompok audit TI sama sekali. Kelompok-kelompok ini pada umumnya tidak berisi auditor TI yang benar, namun terdiri dari orang-orang bisnis atau keuangan yang tahu bagaimana menggunakan sistem aplikasi bisnis. Tim audit ini fokus hampir hanya pada lapisan aplikasi. Mereka melakukan pekerjaan yang sangat teliti untuk memastikan bahwa akses terkontrol dengan benar dan bahwa pemisahan tugas tidak ada. Mereka mungkin akan melakukannya.

v  Pakar Data Ekstrasi dan Analisis
Penerapan model yang paling efektif ini melibatkan pengembangan analisis yang memungkinkan dilakukannya pemantauan terus menerus atas bukti kecurangan, pelanggaran pengendalian internal, ketidakpatuhan kebijakan, dan pelanggaran lainnya. Misalnya, pemantauan mungkin disiapkan untuk mencari bukti pembayaran duplikat kepada vendor, membagi pembayaran ke vendor (untuk menghindari batas persetujuan pengeluaran), karyawan yang ditetapkan sebagai vendor, menduplikat nomor deposit langsung (yang mungkin mengindikasikan karyawan hantu) , tagihan perjalanan dan biaya duplikat untuk periode waktu yang sama, dan seterusnya. Item spesifik yang akan dipantau akan bervariasi menurut perusahaan. Bila analisis menunjukkan kemungkinan pengecualian, spesialis data akan menyelidiki masalah potensial tersebut. Hal ini dapat menyebabkan penyelidikan kecurangan formal (yang kemudian harus diserahkan ke organisasi yang sesuai di dalam perusahaan), atau dapat menyebabkan identifikasi masalah pengendalian internal (yang kemudian harus dibentuk menjadi masalah audit tradisional, dengan ditugaskan tanggung jawab, solusi, dan tanggal jatuh tempo). Pakar data mungkin juga memberikan dukungan terhadap audit, membantu tim audit untuk memperoleh dan menganalisis data yang relevan, namun itu bukan fokus utama mereka.

Ini adalah fungsi yang sangat sulit untuk ditetapkan secara efektif, namun ini adalah salah satu yang dapat menjadi pelengkap yang sangat kuat untuk audit tradisional Anda jika dilakukan dengan benar. Hal ini memungkinkan untuk 100 persen pengujian data daripada mengandalkan sampling. Namun, jika Anda serius membangun fungsi semacam ini, Anda perlu menginvestasikan sumber daya khusus dengan fokus pada ekstraksi data dan analisis. Mencoba melatih semua auditor dalam alat dan keterampilan yang diperlukan biasanya tidak efektif. Auditor tersebut ditarik terlalu banyak arah dan memiliki terlalu banyak prioritas lainnya. Mempekerjakan tim ini secara efektif mengharuskan orang-orang yang memahami data dan audit, yang merupakan keahlian unik.

v  Auditor IT
Bagian lain memiliki auditor TI yang menghabiskan sebagian besar waktunya untuk memusatkan perhatian pada area di bawah lapisan aplikasi di tumpukan. Mereka memastikan bahwa infrastruktur inti yang mendukung sistem perusahaan memiliki keamanan dan kontrol yang tepat. Tim audit ini umumnya terdiri dari profesional TI, berbeda dengan orang-orang bisnis yang mengerti bagaimana menggunakan sistem aplikasi. Lapisan database dan di bawahnya merupakan domain dari auditor TI ini, dan audit aplikasi didorong oleh auditor keuangan dengan dukungan yang diberikan oleh auditor TI sesuai kebutuhan. Misalnya, auditor TI mungkin melihat lapisan database dan di bawahnya saat mereka menerapkan aplikasi spesifik tersebut (dengan asumsi item tersebut belum dibahas sebelumnya dalam audit berskala lebih besar di lingkungan TI). Selain itu, auditor TI dapat membantu untuk meninjau beberapa kontrol aplikasi umum, seperti kontrol perubahan dan administrasi akses sistem secara keseluruhan. Namun, auditor keuangan harus memiliki pengetahuan dan berada dalam posisi yang lebih baik untuk memahami jenis kontrol integritas data dan pemisahan tugas yang diperlukan untuk aplikasi bisnis tertentu.

2. PROSES AUDIT
Planning
            Sebelum Anda mulai mengerjakan audit, Anda harus menentukan apa yang akan Anda tinjau. Jika proses perencanaan dijalankan secara efektif, maka proses pembentukan tim audit akan berhasil. Sebaliknya, jika dilakukan dengan buruk dan pekerjaan dimulai tanpa rencana dan tanpa arahan yang jelas, upaya tim audit dapat mengakibatkan kegagalan. Tujuan dari proses perencanaan adalah untuk menentukan tujuan dan ruang lingkup audit. Anda perlu menentukan apa yang ingin Anda capai dengan ulasannya. Sebagai bagian dari proses ini, Anda harus mengembangkan serangkaian langkah yang harus dijalankan untuk mencapai tujuan audit. Proses perencanaan ini memerlukan penelitian, pemikiran, dan pertimbangan yang cermat untuk setiap audit.
·         Hand-off dari Manajer Audit Jika audit termasuk dalam rencana audit, pasti ada beberapa alasan. Manajer audit harus menyampaikan kepada tim audit informasi yang mengarah pada audit yang dijadwalkan. Ini mungkin termasuk komentar dari manajemen TI dan / atau masalah yang diketahui di wilayah ini. Faktor-faktor yang menyebabkan audit dijadwalkan perlu dicakup dalam rencana audit. Selain itu, manajer audit harus dapat memberikan tim audit kontak kunci untuk audit tersebut.

·         Survei Awal Tim audit harus meluangkan waktu sebelum setiap audit melakukan survei pendahuluan di wilayah tersebut untuk diaudit untuk memahami apa yang akan dilakukan audit. Kemungkinan ini akan mencakup wawancara dengan pelanggan audit untuk memahami fungsi sistem atau proses yang sedang ditinjau, dan juga meninjau dokumentasi terkait. Tujuannya adalah untuk mendapatkan latar belakang dasar dan pemahaman daerah yang akan ditinjau. Hal ini diperlukan untuk melakukan penilaian awal terhadap risiko di daerah tersebut.

·         Permintaan Pelanggan Bab 1 membahas pentingnya membuat audit sebagai proses kerjasama dan kooperatif. Sebagai bagian dari pencapaian tujuan ini, pelanggan audit harus merasa memiliki beberapa kepemilikan dalam audit. Tim audit harus menanyakan kepada pelanggan area mana yang mereka pikir harus ditinjau dan area mana yang menjadi perhatian. Masukan ini harus sesuai dengan hasil penilaian risiko objektif auditor untuk menentukan ruang lingkup audit. Tentu, terkadang auditor tidak akan menggunakan input pelanggan.

·         Daftar Standar Daftar periksa audit standar untuk area yang sedang diperiksa sering tersedia. Daftar periksa di Bagian II buku ini dapat menjadi titik awal yang bagus untuk banyak audit. Selain itu, departemen audit mungkin memiliki daftar periksa untuk sistem dan proses standar di perusahaan. Memiliki daftar periksa audit yang standar dan berulang untuk area umum dapat memberikan awal yang berguna untuk banyak audit. Daftar periksa tersebut, bagaimanapun, harus dievaluasi dan diubah seperlunya untuk setiap audit tertentu. Memiliki daftar periksa standar tidak menghilangkan persyaratan bagi auditor untuk melakukan penilaian risiko sebelum setiap audit.

·         Penelitian Akhirnya, Internet, buku, dan materi pelatihan harus dirujuk dan digunakan sebagaimana mestinya untuk setiap audit untuk mendapatkan informasi tambahan tentang area yang diaudit.

Kerja Lapangan dan Dokumentasi
            Dokumentasi juga merupakan bagian penting dari kerja lapangan. Auditor harus melakukan pekerjaan yang cukup untuk mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat dibuktikan. Tujuannya adalah untuk mendokumentasikan pekerjaan dengan cukup rinci sehingga orang yang tepat informasi dapat memahami apa yang telah dilakukan dan sampai pada kesimpulan yang sama dengan auditor. Auditor pada dasarnya harus menceritakan sebuah cerita: "Inilah yang saya lakukan. Inilah yang saya temukan. Inilah kesimpulan saya. Inilah mengapa saya mencapai kesimpulan itu. "Jika sebuah proses ditinjau, prosesnya harus dijelaskan, dan titik kontrol utama dalam proses itu harus disorot. Jika sebuah sistem atau teknologi ditinjau, pengaturan dan data spesifik yang ditinjau harus dijelaskan (beserta bagaimana informasi itu diperoleh) dan diinterpretasikan.
Proses dokumentasi mungkin tampak membosankan, tapi penting. Pertama, dibutuhkan untuk memenuhi standar profesi. Kedua, ada kemungkinan di masa depan temuan audit dapat dipertanyakan atau ditantang, dan auditor yang melakukan pekerjaan tersebut mungkin tidak lagi dipekerjakan oleh perusahaan atau departemen pada saat itu (atau mungkin telah melupakan rincian dari audit). Akan sangat penting bahwa dokumentasi ada untuk menjelaskan dan proses audit dan memperkuat kesimpulan. Ketiga, jika audit dilakukan lagi suatu hari nanti, mempertahankan dokumentasi terperinci akan memungkinkan tim audit berikutnya untuk belajar dari pengalaman tim audit sebelumnya, sehingga memungkinkan dilakukannya perbaikan dan efisiensi terus-menerus.

Penemuan Masalah dan Validasi
            Saat melaksanakan penelitian lapangan, auditor akan mengembangkan daftar masalah potensial. Ini jelas salah satu fase audit yang lebih penting, dan auditor harus berhati-hati untuk menggandakan daftar isu potensial untuk memastikan bahwa semua masalah tersebut valid dan relevan. Dengan semangat kolaborasi, auditor harus mendiskusikan masalah potensial dengan pelanggan sesegera mungkin. Tidak ada yang suka menunggu auditor menyelesaikan audit dan kemudian harus menanggung daftar masalah.

Solusi Pengembangan
            Tiga pendekatan umum digunakan untuk mengembangkan dan menetapkan item tindakan untuk menangani masalah audit:
·         The Recommendation Approach
Using this common approach, auditors raise issues and provide recommendations for addressing them. They then ask the customers whether they agree to the recommendations and, if so, when they’ll get them done.Berikut ini adalah skenario umum untuk pendekatan ini. Tim audit tidak mengetahui adanya proses yang ada untuk memastikan bahwa pengguna memiliki patch keamanan terbaru pada PC mereka sebelum terhubung ke jaringan. Mereka menyajikan masalah ini kepada pelanggan, bersama dengan rekomendasi yang mengatakan, "Kami merekomendasikan bahwa sebuah proses untuk memastikan bahwa pengguna memiliki patch keamanan terbaru pada PC mereka sebelum mereka diizinkan untuk terhubung ke jaringan," atau sesuatu sama cemerlang dan berguna. Auditor kemudian bertanya kepada pelanggan kapan prosesnya bisa selesai. Pelanggan membuang tanggal untuk mengalihkan auditor dari belakang, umumnya tanpa memikirkan apa pekerjaan sebenarnya. Para auditor pergi dengan gembira karena rekomendasi mereka diterima, dan mereka memiliki tanggal jatuh tempo.

·         Pendekatan Manajemen-Respon
Dengan pendekatan manajemen-respons, auditor mengembangkan daftar masalah dan kemudian melemparkannya ke pelanggan untuk tanggapan dan rencana tindakan mereka. Terkadang auditor mengirimkan rekomendasi mereka untuk resolusi beserta masalahnya, dan terkadang mereka hanya mengirim masalah tanpa rekomendasi. Either way, pelanggan seharusnya mengirim kembali tanggapan mereka, yang termasuk dalam laporan audit.

·         Solusi pendekatan
Dengan menggunakan pendekatan ini, auditor bekerja sama dengan pelanggan untuk mengembangkan solusi yang merupakan rencana tindakan yang saling dikembangkan dan disepakati untuk menangani masalah yang diangkat selama audit berlangsung. Ini adalah kombinasi dari dua pendekatan sebelumnya, membawa yang terbaik dari masing-masing. Seperti pendekatan rekomendasi, auditor memberikan ide untuk resolusi berdasarkan pengetahuan kontrol mereka. Seperti pendekatan manajemen-respons, pelanggan memberikan ide untuk resolusi berdasarkan pengetahuan operasional reallife mereka.
Dalam pendekatan ini, pengembangan solusinya harus benar-benar kolaboratif. Meskipun auditor harus mencoba untuk memungkinkan pelanggan mengembangkan beberapa gagasan awal, mereka harus memiliki beberapa solusi potensial yang siap di "kantong belakang" mereka jika pelanggan tidak dapat menemukan jawaban yang dapat diterima. Selain itu, auditor harus memiliki semacam gagasan mengenai jumlah minimum mitigasi dimana mereka merasa nyaman. Mereka perlu bersiap untuk memberi tahu pelanggan jika solusi yang diajukan tidak memenuhi kebutuhan mitigasi risiko minimal.

Pembuatan laporan dan Asuransi
            Ada banyak format laporan audit karena ada departemen audit internal. Namun, berikut adalah elemen penting dari laporan audit:
·         Pernyataan Lingkup Audit
Buatlah jelas dalam laporan apa yang termasuk dalam audit dan, jika perlu, apa yang tidak termasuk dalam audit. Jika suatu area atau topik secara khusus diambil dari audit, penting untuk menyatakan sebanyak mungkin laporan tersebut untuk menghindari kesalahpahaman.

·         Ringkasan Eksekutif
Selain mencantumkan semua masalah dan rencana tindakan terperinci, Anda perlu menulis ringkasan eksekutif sehingga seseorang yang tidak memiliki waktu atau keinginan untuk membaca semua detail dapat memahami keadaan keseluruhan kontrol di lingkungan. Ringkasan ini harus bisa berdiri sendiri sebagai dokumen informatif, bahkan jika dikeluarkan dari sisa laporan.

·         Daftar Masalah dan Rencana Aksi
Ini adalah daging laporan karena memberikan rincian tentang semua masalah penting yang ditemukan selama audit dan apa yang akan dilakukan untuk memperbaikinya. Kualitas dan kejelasan penulisan sangat penting, karena setiap isu harus didokumentasikan sedemikian rupa sehingga beberapa tingkat pembaca dapat memahaminya. Orang-orang yang berurusan dengan area dari hari ke hari harus dapat memahami masalah dan rencana Anda, dan manajemen senior juga harus dapat memahami risikonya dan mengapa hal itu perlu dikurangi.

Pelacakan Masalah
            Bagian audit harus mengembangkan sebuah proses dimana anggotanya dapat melacak dan menindaklanjuti isu sampai mereka menyelesaikannya. Hal ini kemungkinan akan melibatkan pemeliharaan database yang berisi semua titik audit dan tanggal jatuh tempo mereka, beserta mekanisme untuk menandai mereka sebagai tertutup, terlambat, dan seterusnya.
sebuah keputusan perlu dibuat mengenai validasi solusi yang diterapkan untuk menangani masalah audit. Berapa banyak penekanan yang perlu dilakukan untuk menguji ulang area tersebut untuk memastikan bahwa kontrol baru bekerja secara efektif? Meskipun akan menyenangkan untuk menguji ulang semuanya, mungkin tidak praktis dari sudut pandang sumber daya. Dalam beberapa kasus, akan memerlukan pemeriksaan ulang lengkap area untuk memvalidasi solusinya. Jawaban praktisnya biasanya melakukan upaya "usaha terbaik" untuk memvalidasi bahwa pengendalian memang dilaksanakan. Jika solusinya adalah memodifikasi setting sistem, misalnya auditor pasti bisa mengecek settingnya. Jika solusinya adalah membuat rencana pemulihan bencana, auditor tentu bisa melihat rencana tersebut. Namun, terkadang jawaban praktisnya adalah membuat pelanggan bisa menjelaskan dan berjalan melalui proses atau sistem yang telah dilaksanakan tanpa benar-benar menguji keefektifannya. Ini adalah bidang lain di mana penilaian auditor dan akal sehat perlu diterapkan.

3. Teknik Audit
ü  Audit Kontrol Tingkat Entitas
ü  Audit Pusat Data dan Pemulihan Kerusakan
ü  Audit Routers, Switches, dan Firewall
ü  Audit Windows dan Sistem Operasi
ü  Audit Unix dan Operasi Sistem Linux
ü  Audit Web Servers dan Web Aplikasi
ü  Audit Basisdata
ü  Audit Ruang Penyimpanan
ü  Audit Lingkungan Virtual
ü  Audit WLAN dan Perangkat Ponsel
ü  Audit Aplikasi
ü  Audit Komputasi Awan dan Oprerasi Outsorced
ü  Audit Proyek Perusahaan
4. Regulasi Audit
Sifat global bisnis dan teknologi mendorong kebutuhan akan standar dan peraturan yang mengatur bagaimana perusahaan bekerja sama dan bagaimana informasi dibagi. Kemitraan strategis dan kolaboratif telah berevolusi dengan badan-badan seperti International Organization of Standardization (ISO), International Electrotechnical Commission (IEC), International Telecommunication Union (ITU), dan Organisasi Perdagangan Dunia (WTO).
Partisipasi dalam badan standar ini bersifat sukarela, dengan tujuan bersama untuk mempromosikan perdagangan global untuk semua negara. Masing-masing negara telah melangkah lebih jauh untuk membentuk kontrol pemerintah atas kegiatan bisnis perusahaan yang beroperasi di dalam batas-batas mereka.
Sarbanes-Oxley Act tahun 2002
Undang-undang Sarbanes-Oxley (SOX) tahun 2002 (yang secara formal dikenal sebagai Akuntan Publik dan Undang-Undang Perlindungan Investor) merupakan tanggapan dari pemerintah AS terhadap ruam skandal korporat yang terkenal yang dimulai dengan Enron dan Arthur Andersen, diikuti oleh Tyco , Adelphia Communications, WorldCom, HealthSouth, dan banyak lainnya. Undang-Undang Sarbanes-Oxley dan Dewan Pengawas Akuntansi Perusahaan Publik (PCAOB) diciptakan untuk memulihkan kepercayaan investor di pasar umum A.S. Tujuan utamanya adalah untuk meningkatkan tanggung jawab perusahaan, meningkatkan pengungkapan keuangan, dan mencegah kecurangan perusahaan dan akuntansi. Dengan demikian, kontrol yang diperlukan untuk kepatuhan terhadap fokus SOX pada kontrol kunci penting untuk memastikan kerahasiaan, integritas, dan ketersediaan data keuangan.
Gramm-Leach-Bliley Act
Judul resmi undang-undang ini adalah Undang-Undang Modernisasi Jasa Keuangan. Tindakannya, yang lebih dikenal dengan Gramm-Leach-Bliley Act (GLBA), diarahkan terutama untuk memungkinkan fungsi dan hubungan yang diperluas di antara institusi keuangan. Undang-undang tersebut mencakup bagaimana dan dalam keadaan apa perusahaan induk bank dapat melakukan afiliasi baru dan terlibat dalam kegiatan yang sebelumnya dibatasi.
Tren Peraturan Lainnya
Seiring komputer berkembang biak pada masa kejayaan tahun 1980an dan 1990an, kontrol internal atas TI gagal mengimbangi arsitektur infrastruktur yang berubah dengan cepat. Namun, tindakan keras terhadap pengendalian internal yang dimulai atas pelaporan keuangan telah diperluas untuk mencakup TI, dan memang seharusnya demikian. Sekarang, selain SOX, GLBA, California SB 1386, HIPAA, dan peraturan lainnya, persyaratan lebih lanjut akan datang. Dengan pencurian identitas yang mendekati proporsi krisis, perlindungan data dan privasi merupakan topik yang sangat mendesak bagi legislator.

5. Standar dan kerangka kerja audit
Pada 1970-an, kekhawatiran akan meningkatnya kebangkrutan perusahaan dan keruntuhan keuangan mulai meningkatkan permintaan akan pertanggungjawaban dan transparansi di antara perusahaan publik. Foreign Corrupt Practices Act of 1977 (FCPA) mengkriminalisasi penyuapan di luar negeri dan merupakan peraturan pertama yang mengharuskan perusahaan untuk menerapkan program pengendalian internal untuk menyimpan catatan transaksi yang ekstensif untuk tujuan pengungkapan.
Ketika industri simpan pinjam ambruk pada pertengahan tahun 1980an, ada seruan untuk mengawasi standar akuntansi dan profesi auditing pemerintah. Dalam upaya untuk mencegah intervensi pemerintah, sebuah inisiatif sektor swasta independen, yang kemudian disebut Komite Sponsoring Organizations (COSO), dimulai pada tahun 1985 untuk menilai bagaimana cara terbaik untuk memperbaiki kualitas pelaporan keuangan. COSO meresmikan konsep pengendalian dan kerangka kerja internal pada tahun 1992 saat menerbitkan publikasi penting Kerangka Pengendalian Internal Terpadu. Sejak saat itu, asosiasi profesional lainnya terus mengembangkan kerangka kerja dan standar tambahan untuk memberikan panduan dan praktik terbaik kepada konstituen mereka dan komunitas TI secara umum. Bagian berikut menyoroti COSO dan beberapa kerangka kerja dan standar TI paling menonjol yang digunakan saat ini.
COSO
Pada pertengahan 1980an, Komisi Nasional Penipuan Pelaporan Keuangan dibentuk sebagai tanggapan atas meningkatnya krisis keuangan A.S. dan seruan untuk mengawasi praktik akuntansi dan audit pemerintah.
COSO Definisi Pengendalian Internal
Pengendalian internal adalah sebuah proses, dipengaruhi oleh dewan direksi, manajemen, dan personil perusahaan, yang dirancang untuk memberikan keyakinan memadai mengenai pencapaian tujuan dalam kategori berikut:
·         Efektivitas dan efisiensi operasi
·         Keandalan pelaporan keuangan
·         Kepatuhan terhadap hukum dan peraturan yang berlaku
Konsep Utama Pengendalian Internal
Berikut ini adalah konsep kunci pengendalian internal menurut COSO:
·         Kontrol internal adalah sebuah proses. Ini adalah sarana untuk mencapai tujuan, bukan tujuan itu sendiri.
·         Kontrol internal dipengaruhi oleh orang. Ini bukan sekadar manual dan formulir kebijakan, tapi juga orang-orang di setiap tingkat organisasi.
·         Pengendalian internal dapat diharapkan hanya memberikan kepastian yang memadai, bukan jaminan mutlak, kepada manajemen dan dewan entitas.
·         Pengendalian internal diarahkan pada pencapaian tujuan dalam satu atau beberapa kategori yang terpisah namun saling tumpang tindih.
Kerangka Pengendalian Terpadu Internal
·         Kontrol lingkungan
·         Tugas beresiko
·         Aktivitas pengendalian
·         Informasi dan Komunikasi
·         Monitoring


COBIT
Tujuan Pengendalian untuk Informasi dan Teknologi Terkait, pertama kali diterbitkan pada bulan April 1996. Ini adalah kerangka kerja terdepan yang diakui secara internasional untuk tata kelola dan pengendalian TI. Versi terbaru, COBIT 4.1, dirilis pada tahun 2007. COBIT dikembangkan oleh IT Governance Institute (ITGI) dengan menggunakan panel pakar di seluruh dunia dari kalangan industri, akademisi, pemerintah, dan pakar keamanan dan kontrol TI. Penelitian mendalam dilakukan di berbagai sumber global untuk menarik bersama ide terbaik dari semua standar teknis dan profesional.
Konsep COBIT
COBIT membagi tujuan pengendalian utamanya menjadi empat domain: merencanakan dan mengatur, memperoleh dan menerapkan, memberikan dan mendukung, dan memantau dan mengevaluasi. Kerangka ini menyoroti tujuh kualitas informasi:
·         Efektivitas
·         Efisiensi
·         Kerahasiaan
·         Integritas
·         Ketersediaan
·         Kepatuhan
·         Keandalan
ITIL
IT Infrastructure Library (ITIL) dikembangkan oleh pemerintah Inggris pada pertengahan tahun 1980-an dan telah menjadi standar de facto untuk praktik terbaik dalam penyediaan manajemen infrastruktur TI dan pemberian layanan. ITIL adalah merek dagang terdaftar dari Kantor Dagang Pemerintah Inggris (OGC), yang memiliki dan mengembangkan kerangka praktik terbaik ITIL.
Konsep ITIL
ITIL menyediakan serangkaian referensi praktis dan standar khusus untuk manajemen infrastruktur dan layanan yang dapat disesuaikan secara virtual dengan organisasi manapun. Fungsi layanan dukungan menangani masalah seperti manajemen masalah, manajemen kejadian, meja layanan, manajemen perubahan, manajemen rilis, dan manajemen konfigurasi. Fungsi pengiriman layanan menangani manajemen kapasitas, manajemen ketersediaan, manajemen keuangan, manajemen kontinuitas, dan tingkat layanan.
ISO 27001
Sejak didirikan pada tahun 1947, International Organization for Standardization (ISO) telah menciptakan sejumlah standar untuk manajemen keamanan jaringan, pengembangan perangkat lunak, dan kontrol kualitas, disamping sejumlah standar lain untuk berbagai fungsi bisnis dan pemerintahan. ISO 27001, ISO 17799, dan BS 7799 pada dasarnya adalah standar inti yang sama yang menangani beberapa aspek praktik keamanan informasi, manajemen keamanan informasi, dan manajemen risiko keamanan informasi.
Konsep ISO 27001
Juga disebut sebagai Kode Praktik untuk Manajemen Keamanan Informasi, ISO 27001: 2005 membahas 11 bidang utama dalam disiplin keamanan informasi.Standar tersebut menguraikan 133 kontrol keamanan di 11 area berikut:
·         Kebijakan keamanan
·         Organisasi keamanan informasi
·         Manajemen aset
·         Keamanan sumber daya manusia
·         Keamanan fisik dan lingkungan
·         Manajemen komunikasi dan operasi
·         Kontrol akses
·         Akuisisi, pengembangan, dan pemeliharaan sistem informasi
·         Manajemen insiden keamanan informasi
·         Pengelolaan kesinambungan bisnis
·         Kepatuhan
Metodologi Penilaian NSA INFOSEC
The National Security Agency INFOSEC Assessment Methodology (NSA IAM) dikembangkan oleh Badan Keamanan Nasional AS dan dimasukkan ke dalam Program Pelatihan dan Penilaian INFOSEC (IATRP) pada awal tahun 2002. Meskipun program IATRP dan dukungan untuk NSA IAM dihentikan oleh NSA Pada tahun 2009, masih banyak digunakan dan sekarang dikelola oleh Security Horizon, yang merupakan salah satu perusahaan yang menyediakan pelatihan NSA IAM dan IEM untuk NSA.
Konsep Metodologi Penilaian NSA INFOSEC
NSA IAM adalah metodologi penilaian keamanan informasi yang mendasari kegiatan penilaian. Ini memecahkan penilaian keamanan informasi menjadi tiga tahap: pra-penilaian, aktivitas di tempat, dan pasca penilaian. Masing-masing fase ini berisi kegiatan wajib untuk memastikan konsistensi penilaian keamanan informasi. Penting untuk dicatat, bagaimanapun, bahwa penilaian NSA IAM hanya terdiri dari tinjauan dokumentasi, wawancara, dan observasi. Tidak ada pengujian yang terjadi selama penilaian IAM NSA. NSA merilis INFOSEC Evaluation Methodology pada kegiatan pengujian awal.Delapan belas area baseline dievaluasi selama penilaian IAM:
·         Dokumentasi keamanan informasi seperti kebijakan, prosedur, dan  garis dasar
·         Peran dan tanggung jawab
·         Perencanaan kontingensi
·         Manajemen konfigurasi
·         Identifikasi dan otentikasi
·         Manajemen akun
·         Kontrol sesi
·         Audit
·         Kode berbahaya perlindungan
·         Perbaikan sistem
·         Jaminan sistem
·         Jaringan / konektivitas
·         Keamanan komunikasi
·         Kontrol media
·         Klasifikasi informasi dan pelabelan
·         Lingkungan fisik
·         Keamanan personil
·         Pendidikan, pelatihan, dan kesadaran

6. Manajemen Resiko
Manfaat Manajemen Risiko tidak diragukan lagi potensi pengelolaan risiko TI masih dirahasiakan dengan baik. Selama beberapa tahun terakhir, banyak organisasi telah meningkatkan efektivitas pengendalian TI mereka atau mengurangi biaya mereka dengan menerapkan analisis risiko dan praktik manajemen risiko yang baik.
Manajemen Risiko dari Perspektif Eksekutif
Eksekutif diharuskan menimbang manfaat investasi dengan risiko yang terkait dengannya. Akibatnya, sebagian besar telah cukup mahir dalam mengukur risiko melalui analisis ROI, indikator kinerja utama, dan berbagai alat analisis keuangan dan operasional lainnya. Agar sukses dalam mengelola risiko TI organisasi, Anda harus memahami bahwa eksekutif melihat risiko secara finansial. Akibatnya, semacam analisis keuangan biasanya diperlukan untuk membuat kasus bisnis untuk investasi dalam kontrol tambahan.
Mengatasi Resiko
Resiko dapat diatasi dengan tiga cara: menerimanya, mengurangi, atau mentransfernya.
Menerima Risiko
Nilai finansial suatu risiko seringkali lebih kecil daripada biaya untuk mengurangi atau memindahkannya. Dalam hal ini, pilihan yang paling masuk akal adalah menerima risiko.
Mitigasi risiko
Bila risiko memiliki nilai keuangan yang signifikan, seringkali lebih tepat untuk mengurangi risiko daripada menerimanya. Dengan sedikit pengecualian, biaya untuk menerapkan dan mempertahankan kontrol harus kurang dari nilai moneter dari risiko yang dikurangi.
Transfer Resiko
Industri asuransi didasarkan pada transferensi risiko. Organisasi sering membeli asuransi untuk menutupi biaya pelanggaran keamanan atau bencana sistem outage. Penting untuk dicatat bahwa perusahaan asuransi yang menawarkan jenis kebijakan ini seringkali mewajibkan pemegang polis menerapkan kontrol tertentu. Kegagalan untuk mematuhi persyaratan pengendalian dapat membatalkan kebijakan.
Menganalisis Risiko
Risiko dapat dianalisis dengan dua cara: kuantitatif dan kualitatif. Seperti hal lainnya, masing-masing memiliki kelebihan dan kekurangan.
Analisis Risiko Kuantitatif
Pendekatan kuantitatif lebih obyektif dan mengungkapkan risiko secara finansial sehingga pengambil keputusan bisa lebih mudah dibenarkan, hal ini juga lebih menyita waktu.Resiko dapat didefinisikan dengan perhitungan sebagai berikut:
Risiko = nilai aset × ancaman × kerentanan


Aktiva
Biasanya diwakili sebagai nilai moneter, aset dapat didefinisikan sebagai sesuatu yang layak untuk sebuah organisasi yang dapat rusak, dikompromikan, atau dihancurkan oleh tindakan yang disengaja atau disengaja.
Ancaman
Ancaman dapat didefinisikan sebagai peristiwa potensial yang, jika disadari, akan menyebabkan dampak yang tidak diinginkan. Dampak yang tidak diinginkan dapat terjadi dalam banyak bentuk, namun seringkali mengakibatkan kerugian finansial. Misalnya, jika kita memperkirakan bahwa kebakaran akan menyebabkan 70 persen kehilangan nilai aset jika terjadi, faktor pemaparannya adalah 70 persen.
Kerentanan
Kerentanan dapat didefinisikan sebagai tidak adanya atau kelemahan kontrol kumulatif yang melindungi aset tertentu. Kerentanan diperkirakan sebagai persentase berdasarkan tingkat kelemahan kontrol. Kita bisa menghitung defisiensi kontrol (CD) dengan mengurangi efektifitas kontrol sebesar 1 atau 100 persen. Sebagai contoh, kita dapat menentukan bahwa kontrol spionase industri kita 70 persen efektif, jadi 100 persen - 70 persen = 30 persen (CD). Kerentanan ini akan diwakili 30 persen, atau 0,3.
Analisis Risiko Kualitatif
Pendekatan kualitatif lebih cocok untuk menyajikan pandangan berlapis risiko, namun bisa jadi lebih subjektif dan karena itu sulit untuk dibuktikan. Dimana metode kuantitatif berfokus pada formula, analisis risiko kualitatif akan berfokus pada nilai-nilai seperti tinggi, sedang, dan rendah atau warna seperti merah, kuning, dan hijau untuk mengevaluasi risikonya.
Siklus Hidup Manajemen Risiko TI
Seperti kebanyakan metodologi, manajemen risiko, bila diterapkan dengan benar, mengambil karakteristik siklus hidup.
Tahap 1: Identifikasi Aset Informasi
Tahap pertama dalam siklus hidup manajemen risiko adalah mengidentifikasi aset informasi organisasi. Agar sukses, Anda harus menyelesaikan beberapa tugas:
·         Tentukan nilai kekritisan informasi.
·         Mengidentifikasi fungsi bisnis.
·         Proses informasi peta.
·         Mengidentifikasi aset informasi.
·         Tetapkan nilai kekritisan pada aset informasi.
Tujuan dari tahap ini adalah untuk mengidentifikasi semua aset informasi dan menetapkan setiap aset informasi sebagai nilai kekritisan yang tinggi, menengah, atau rendah untuk persyaratan kerahasiaan, integritas, dan ketersediaannya.
Tahap 2: Mengukur dan Mengklaim Ancaman
Ancaman informasi mempengaruhi organisasi melalui penurunan loyalitas merek, kehilangan sumber daya, biaya pemulihan, dan tindakan hukum dan peraturan. Ketika ancaman direalisasikan, biaya ini sering kali tidak diketahui karena tidak diidentifikasi dengan benar.Tahap siklus pengelolaan risiko ini memerlukan langkah-langkah berikut:
·         Menilai ancaman bisnis.
·         Mengidentifikasi ancaman teknis, fisik, dan administratif.
·         Mengukur dampak dan kemungkinan ancaman.
·         Mengevaluasi arus proses untuk kelemahan.
·         Identifikasi ancaman komponen-komponen.
Tahap 3: Kaji Kerentanan
Ketika menilai kerentanan, di sisi lain, common denominator adalah proses informasi. Pertama-tama kami akan mengidentifikasi kerentanan komponen-komponen dan menggabungkannya untuk menentukan kerentanan proses kami. Proses kerentanan kemudian akan digabungkan untuk menentukan kerentanan fungsi bisnis.Langkah-langkah dalam menganalisis kerentanan:
1.    Identifikasi kontrol yang ada dalam kaitannya dengan ancaman.
2.    Tentukan gap kontrol komponen proses.
3.    Gabungkan celah kontrol ke dalam proses dan kemudian fungsi bisnis.
4.    Kategorikan kesenjangan kontrol dengan tingkat keparahan.
5.    Tetapkan peringkat risiko.
Tahap 4: Remediasi Kontrol Kesenjangan
Pada titik ini, risiko kita harus dikategorikan tinggi, menengah, atau rendah. Awalnya, kami akan fokus untuk mengurangi risiko yang paling parah, karena kemungkinan besar kami akan melihat hasil investasi tertinggi kami. Intinya, kita bisa mengurangi lebih banyak risiko dengan sedikit uang. Kita akan menggunakan langkah-langkah berikut dalam remediasi gap gap:
1.    Pilih kontrol.
2.    Melaksanakan kontrol.
3.    Validasi kontrol baru.
4.    Hitung ulang peringkat risiko
Tahap 5: Mengelola Risiko Sisa
Risiko bersifat inheren dinamis, terutama komponen ancaman risiko. Akibatnya, kita perlu mengukur risiko secara terus menerus dan berinvestasi pada kontrol baru untuk merespons ancaman yang muncul. Fase ini terdiri dari dua tahap:
1.    Buat garis dasar risiko
2.    Menilai kembali risiko
Diposting oleh di

1 komentar:

  1. Anonim1 Februari 2022 pukul 03.50

    Casino Site Review - LuckyClub Live
    A luckyclub.live look at the Casino site with the best bonuses, payment methods and live chat support for UK players. Rating: 5 · ‎Review by luckyclub.live

    BalasHapus

Langganan: Posting Komentar (Atom)