Page 1
MAKALAH AUDIT TEKNOLOGI SISTEM
INFORMASI
(PENGONTROLAN TINGKAT ENTITAS AUDIT)
Disusun Oleh :
1. Erlin Novianty (1C114791)
2. Robi Haris (19114756 )
3. Tri Kartika Sari (1A114835)
4. Wida Ramadanti (1C114202)
Dosen : Lily Wulandari
FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI
JURUSAN SISTEM INFORMASI
2017
Page 2
i
KATA PENGANTAR
Dengan menyebut nama Allah SWT yang Maha Pengasih lagi Maha Panyayang,
Kami panjatkan puji syukur atas kehadirat-Nya, yang telah melimpahkan rahmat, hidayah,
dan inayah-Nya sehingga kami dapat menyelesaikan makalah yang berjudul
“PENGONTROLAN TINGAT ENTITAS AUDIT” dengan mata kuliah Softskill yaitu Audit
Teknologi Sistem Informasi..
Makalah ini telah disusun dengan maksimal dan mendapatkan bantuan dari berbagai
pihak sehingga pembuatan makalah ini dapat berjalan dengan lancar dan selesai tepat pada
waktu. Untuk itu Kami menyampaikan terima kasih kepada semua pihak yang telah
membantu dalam pembuatan makalah ini.
Terlepas dari semua itu, Kami menyadari sepenuhnya bahwa makalah ini masih jauh
dari sempurna dan ada kekurangan baik dari segi penyusunan kalimat, tata bahasa ataupun
makalah ini belum memuat secara lengkap mengenai apa yang dibahas. Oleh karena itu
dengan tangan terbuka Kami menerima segala kritik dan saran dari pembaca agar makalah ini
dapat diperbaiki.
Akhir kata kami berharap semoga makalah ini dapat dimengerti dan memberikan
manfaat maupun inpirasi terhadap pembaca. Wasallam.
Bekasi, Oktober 2017
Penyusun
Page 3
ii
DAFTAR ISI
Halaman
Kata Pengantar ............................................................................................................................ i
Daftar Isi .................................................................................................................................... ii
PENGONTROLAN TINGKAT ENTITAS AUDIT ................................................................. 1
Kesimpulan .............................................................................................................................. 18
Daftar Pustaka .......................................................................................................................... 19
Page 4
1
PENGONTROLAN TINGKAT ENTITAS AUDIT
1. Tinjau Struktur Organisasi TI Secara Keseluruhan untuk Memastikannya
Menyediakan Penugasan Wewenang dan Tanggung Jawab yang Jelas atas
Operasi TI dan Menyediakan Segregasi Tugas yang Memadai.
Struktur organisasi TI yang kurang jelas dapat menyebabkan kebingungan mengenai
tanggung jawab, sehingga fungsi dukungan TI dapat dilakukan secara tidak efisien atau
tidak efektif. Misalnya, fungsi kritis mungkin terbengkalai atau dilakukan secara
berlebihan. Jika garis wewenang tidak jelas, maka dapat menyebabkan ketidaksepakatan
kepada siapa saja yang memiliki kemampuan tertinggi untuk membuat keputusan akhir.
Akhirnya, jika tugas IT tidak dipisahkan secara tepat, bisa mengakibatkan aktivitas
penipuan dan mempengaruhi integritas informasi dan proses perusahaan.
Bagaimana
Model "satu ukuran cocok untuk semua" untuk organisasi TI tidak ada, dan tidak dapat
secara mekanis menggunakan daftar periksa untuk menentukan apakah organisasi TI
perusahaan memadai. Sebagai gantinya, harus melihat keseluruhan organisasi dan
menerapkan penilaian dalam menentukan apakah elemen itu cukup yang paling penting.
Meninjau bagan organisasi TI dan pastikan menunjukkan secara jelas struktur pelaporan.
Misalnya, di sebagian besar perusahaan, semua organisasi TI akhirnya melapor kepada
petugas informasi utama (CIO) sehingga satu otoritas tertinggi dapat menetapkan
peraturan untuk keseluruhan lingkungan TI. Meninjau bagan organisasi IT dan piagam dan
memastikan secara jelas dalam bidang tanggung jawab yang terbagi antara organisasi, atau
mengevaluasi adanya peluang signifikan.
Berikut adalah beberapa panduan umum dasar yang dapat dipertimbangkan selama
peninjauan.
- Personel TI seharusnya tidak melakukan pemasukan data. Jadi, beberapa personil
pemasukan data dapat diklasifikasikan sebagai IT di perusahaan mereka.
Page 5
2
- Pemrogram dan mereka yang menjalankan / memelihara dukungan untuk sistem
seharusnya tidak langsung bisa memodifikasi kode produksi, data produksi, atau
penjadwalan kerja struktur.
- Pemrogram dan mereka yang menjalankan / mempertahankan dukungan untuk sistem
seharusnya dilakukan terpisah dari mereka yang melakukan dukungan operasi TI
(seperti dukungan untuk jaringan, pusat data, sistem operasi, dan sebagainya).
- Organisasi keamanan TI harus bertanggung jawab untuk menetapkan kebijakan dan
pemantauan untuk mematuhi kebijakan tersebut.
2. Tinjau Proses Perencanaan Strategis TI dan Pastikan Selaras dengan Strategi
Bisnis. Evaluasi Proses Organisasi TI untuk Memantau Kemajuan Terhadap
Rencana Strategis.
Untuk memberikan keefektifan jangka panjang, organisasi TI harus memiliki semacam
strategi mengenai tujuannya. Organisasi IT harus sadar akan kebutuhan bisnis dan
perubahan lingkungan yang akan datang dapat merencanakan dan bereaksi. Terlalu banyak
organisasi IT melupakan fakta bahwa satu-satunya alasan keberadaannya adalah untuk
mendukung perusahaan dalam memenuhi tujuan bisnisnya. Bahkan pada saat ini tujuannya
tidak secara langsung mendukung keseluruhan tujuan perusahaan.
Bagaimana
Mencari bukti proses perencanaan strategis di dalam TI, dan memahami bagaimana
perencanaan itu dilakukan. Menentukan bagaimana strategi dan prioritas perusahaan
digunakan untuk mengembangkan strategi dan prioritas TI. Evaluasi proses yang ada
untuk pemantauan berkala terhadap kemajuan prioritas tersebut dan untuk mengevaluasi
kembali dan memperbarui prioritas tersebut.
Page 6
3
3. Menentukan Apakah Teknologi dan Strategi Perencanaan Aplikasi Telah
Ada, dan mengevaluasi proses untuk teknis perencanaan Jangka Panjang.
TI adalah lingkungan yang berubah dengan cepat, dan penting bagi organisasi TI untuk
memahami dan merencanakan perubahan. Jika tidak, lingkungan TI perusahaan berisiko
menjadi usang dan / atau tidak sepenuhnya memanfaatkan teknologi untuk
menguntungkan perusahaan.
Bagaimana
Mencari bukti bahwa perencanaan teknis jangka panjang sedang dilakukan. Untuk dibeli
aplikasi dan teknologi, menentukan apakah TI memahami dukungan vendor peta jalan
untuk produk tersebut. Organisasi TI harus memahami kapan versi produk tidak lagi
didukung dan membuat rencana untuk upgrade atau mengganti produk. Menentukan
apakah proses sudah sesuai untuk dipantau perubahan teknologi yang relevan,
mempertimbangkan bagaimana perubahan tersebut akan berdampak pada perusahaan, dan
mencari peluang untuk menggunakan teknologi baru untuk membantu perusahaan.
4. Tinjau Kembali Indikator Kinerja dan Pengukuran untuk TI. Memastikan
Proses dan Metrik Berada di Tempat (dan Disetujui Oleh Kunci Stakeholder)
untuk Mengukur Kinerja Kegiatan Sehari-hari dan untuk Melacak Kinerja
Terhadap Tingkat Layanan, Anggaran, dan Persyaratan Operasional Lainnya.
Organisasi TI ada untuk mendukung bisnis dan operasi sehari-hari. Jika Standar kinerja
minimum tidak ditetapkan dan diukur, sulit untuk bisnis dalam menentukan apakah
layanan organisasi TI sedang dilakukan di tingkat yang dapat diterima.
Bagaimana
Mendapatkan salinan metrik yang ditangkap untuk aktivitas rutin organisasi TI (seperti
uptime sistem dan waktu respon). Menentukan tujuan metrik tersebut, dan memastikan
bahwa pemangku kepentingan yang tepat telah menyetujui tujuan tersebut. Meninjau
kembali SLA yang telah ditetapkan untuk mendukung pemangku kepentingan utama TI.
Page 7
4
Memastikan proses ada untuk mengukur kinerja aktual terhadap persyaratan SLA dan
untuk mengoreksi penyimpangan apapun. Memastikan proses sudah sesuai untuk
menetapkan anggaran dan untuk memegang organisasi TI bertanggung jawab untuk
memenuhi anggarannya.
5. Tinjau Proses Organisasi TI untuk Menyetujui dan Memprioritaskan Proyek
Baru. Menentukan Apakah Proses ini Memadai untuk Memastikan bahwa
Akuisisi dan Pengembangan Sistem Proyek Tidak Dapat Dimulai Tanpa
Persetujuan. Memastikan bahwa Manajemen dan Pemangku Kepentingan
Utama Meninjau Status Proyek, Jadwal dan Anggaran Secara Berkala
Sepanjang Masa Proyek Penting.
Tanpa proses terstruktur untuk menyetujui dan memprioritaskan proyek TI baru, sumber
daya TI mungkin tidak akan dapat digunakan secara efisien. Selain itu, proyek TI mungkin
akan mulai tidak memenuhi kebutuhan bisnis dan / atau yang tidak sepenting proyek
potensial lainnya dimana sumber daya tersebut dapat digunakan. Tanpa proses yang
terstruktur dimana manajemen dan pemangku kepentingan utama secara berkala meninjau
kemajuan proyek. Hal ini mungkin akan membuat proyek keluar jalur dan gagal
memenuhi tujuan dan tonggak utama.
Bagaimana
Meninjau dokumentasi yang ada mengenai usulan proyek dan proses persetujuan. Evaluasi
proses untuk lubang potensial yang memungkinkan proyek dimulai tanpa persetujuan.
Mencari bukti bahwa proyek yang diusulkan telah diprioritaskan sebelumnya untuk
persetujuan. Mempertimbangkan untuk memilih contoh proyek TI yang aktif dan
mendapatkan bukti bahwa itu proyek berjalan melalui proses proposal, prioritas, dan
persetujuan yang sesuai. Meninjau bukti bahwa manajemen dan pemangku kepentingan
utama secara berkala meninjau kembali status, jadwal, dan anggaran untuk proyek TI yang
aktif.
Page 8
5
6. Evaluasi Standar untuk Mengatur Pelaksanaan Proyek TI dan untuk
Memastikan Kualitas Produk yang Dikembangkan atau Diakuisisi oleh
Organisasi IT. Menentukan Bagaimana Standar ini Dikomunikasikan dan
Ditegakkan.
Jika standar tidak diterapkan dan diterapkan di lingkungan TI, proyek mungkin akan
berjalan dieksekusi dengan cara yang tidak disiplin, masalah kualitas akan ada dalam
pengembangan atau pembelian produk, dan lingkungan TI tidak perlu beragam (mengarah
ke peningkatan biaya dukungan dan masalah antarmuka potensial).
Bagaimana
Tentukan apakah standar terdokumentasi mengatur bidang-bidang seperti berikut ini. Jika
begitu, tinjau ulang standar tersebut dan pastikan mereka memadai. Manajemen proyek
untuk panduan mengenai elemen kunci yang harus ada dalam standar manajemen proyek
Pengembangan perangkat lunak standar harus ada dalam mengatur pembangunan kode,
termasuk standar untuk penamaan, riwayat revisi, komentar, dan panggilan ke program
lain tanpa standar, waktu dan usaha yang dibutuhkan bagi satu orang untuk mendukung
dan memecahkan masalah kode orang lain meningkat secara signifikan. Konfigurasi
sistem Ini termasuk konfigurasi standar untuk laptop, desktop, server, dan paket perangkat
lunak pengguna biasa. Standar jaminan kualitas Standar harus ada yang memastikan
bahwa proses pengembangan meliputi evaluasi risiko keamanan dan internal persyaratan
kontrol.
7. Pastikan bahwa Kebijakan Keamanan TI Ada dan Sediakan Persyaratan
Keamanan Lingkungan yang Memadai. Menentukan Bagaimana Kebijakan
Tersebut Dikomunikasikan dan Bagaimana Kepatuhannya Dipantau dan
Ditegakkan.
Jika kebijakan tidak ada atau memberikan cakupan yang memadai, karyawan dipaksa
untuk menebusnya aturan sendiri terkait masalah keamanan. Konsep yang sama meluas ke
sistem komputer, yang membutuhkan standar dimana keamanan sistem dapat dievaluasi.
Page 9
6
Bagaimana
Verifikasi Cakupan Kebijakan yang memadai. Kebijakan harus mencakup cakupan area
berikut:
- Penggunaan aset informasi perusahaan yang dapat diterima oleh karyawan (untuk
Misalnya, apakah karyawan bisa menggunakan komputer mereka, internet, dan e-mail
untuk alasan pribadi)
- Klasifikasi data, retensi, dan kerusakan
- Konektivitas jarak jauh (misalnya, keamanan dan keamanan jaringan secara
keseluruhan persyaratan untuk virtual private network (VPN), dial-up, dan bentuk
lainnya hubungan dengan pihak eksternal)
- Sandi
- Keamanan server (seperti persyaratan keamanan untuk server Unix dan Windows)
- Keamanan klien (seperti persyaratan keamanan untuk komputer desktop dan laptop)
- Akses logis (seperti persyaratan untuk mendapatkan dan memberikan akses sistem)
Verifikasi Pemangku Kepentingan Buy-in
Jika kebijakan keamanan TI dibuat dalam ruang hampa oleh organisasi keamanan TI tanpa
melibatkan orang lain, mereka cenderung dipandang tidak realistis dan akan diabaikan.
Verifikasi Proses Sekitar Proses Review
Organisasi keamanan TI harus memfasilitasi proses pengecualian, termasuk penyediaan
sebuah rekomendasi dan pendapat tentang risiko yang diajukan oleh permintaan tersebut,
namun mereka biasanya harus menghindari membuat keputusan akhir mengenai apakah
atau tidak untuk menerima risiko.
8. Mengkaji dan Mengevaluasi Proses Penilaian Risiko yang Ada untuk
Organisasi IT
Tanpa proses ini, organisasi TI tidak akan menyadari risiko terhadap pencapaian tersebut
dari tujuannya dan karena itu tidak akan memiliki kemampuan untuk membuat keputusan
sadar tentang apakah akan menerima atau mengurangi risiko tersebut.
Page 10
7
Bagaimana
Tugas beresiko mekanisme dapat mencakup hal-hal berikut:
- Memantau pengendalian internal di lingkungan TI, termasuk audit internal dan
penilaian diri
- Melakukan ancaman formal dan penilaian risiko terhadap pusat data kritis dan system
- Melakukan tinjauan berkala terhadap rencana strategis TI dan peta jalan teknis dan
menilai risiko terhadap pencapaian rencana tersebut
- Memonitor kepatuhan terhadap kebijakan keamanan TI dan kebijakan TI lainnya yang
relevan
9. Mengkaji dan Mengevaluasi Proses untuk Memastikan bahwa Karyawan TI
di Perusahaan Memiliki Keterampilan dan Pengetahuan yang Diperlukan
untuk Melakukan Pekerjaan Mereka
Jika karyawan di organisasi TI tidak memenuhi syarat untuk melakukan pekerjaan mereka,
kualitasnya dari layanan TI akan menjadi miskin Jika mekanisme tidak sesuai untuk
pemeliharaan dan peningkatan pengetahuan dan keterampilan karyawan IT, pengetahuan
mereka bisa menjadi ketinggalan jaman dan usang
Bagaimana
Tinjau kembali kebijakan dan proses sumber daya manusia (SDM) yang berkaitan dengan
karyawan TI. Tinjau bukti itu kebijakan dan proses ini diikuti.
Berikut adalah beberapa contohnya:
- Pastikan deskripsi pekerjaan ada untuk semua posisi TI dan pekerjaan itu deskripsi
secara khusus menyatakan pengetahuan dan keterampilan yang dibutuhkan untuk
setiap pekerjaan.
- Tinjau ulang kebijakan pelatihan organisasi TI dan pastikan mereka menyediakannya
kesempatan bagi karyawan untuk mengikuti kelas pelatihan dan seminar meningkatkan
dan memperbarui keterampilan dan pengetahuan mereka.
Page 11
8
10. Meninjau dan Mengevaluasi Kebijakan dan Proses Penugasan Kepemilikan
Data Perusahaan, Mengklasifikasikan Data, Melindungi Data Sesuai dengan
Klasifikasi nya, dan Menentukan Siklus Hidup Data.
Meskipun TI bertanggung jawab untuk menyediakan teknologi dan mekanisme untuk
melindungi data perusahaan, kerangka kerja harus ada untuk membuat keputusan
mengenai tingkat perlindungan diperlukan untuk elemen data tertentu (berdasarkan
kekritisan data).
Bagaimana
Tentukan apakah informasi siklus hidup telah dibuat untuk data perusahaan. Untuk
sebuah sampel elemen data utama, meninjau dokumentasi persyaratan siklus hidup data,
termasuk persyaratan retensi, arsip, dan penghancuran. Idealnya, persyaratan akan
diidentifikasi berapa lama data harus aktif (online, mudah diakses, dimodifikasi jika
sesuai, dan dicadangkan secara berkala), kapan dan untuk berapa lama mereka harus
diarsipkan (mungkin offline, belum tentu mudah diakses, tidak lagi bisa dimodifikasi,
dan tidak lagi dicadangkan secara berkala), dan kapan harus dihancurkan.
11. Memastikan bahwa Ada Proses yang Efektif Untuk Dipatuhi oleh Hukum
dan Peraturan yang Berlaku Mempengaruhi TI dan Untuk Mememelihara
Kesadaran akan Perubahan Peraturan di Lingkungan.
Jika perusahaan dinyatakan melanggar undang-undang dan peraturan yang berlaku
(seperti Asuransi Portabilitas dan Akuntabilitas Asuransi Kesehatan [HIPAA] dan
Sarbanes-Oxley), itu bisa menghadapi hukuman dan denda yang berat, reputasi yang
rusak, tuntutan hukum, dan kemungkinan penghentian dari perusahaan.
Bagaimana
Tinjau proses yang digunakan untuk memantau lingkungan peraturan, dan evaluasi
efektivitas mereka. Dapatkan daftar peraturan yang sesuai dengan IT yang telah
Page 12
9
diidentifikasi, dan mencari bukti bahwa tanggung jawab untuk mematuhi peraturan
tersebut telah telah ditugaskan dan sedang dipantau.
12. Mengkaji dan Mengevaluasi Proses untuk Memastikan bahwa Pengguna
Akhir Lingkungan TI dapat Melaporkan Masalah, Terlibat Secara Tepat
dalam Keputusan TI, dan Merasa Puas dengan Layanan yang Diberikan oleh
TI.
Lingkungan TI ada untuk mendukung karyawan perusahaan dalam menjalankan
pekerjaan mereka, sangat penting bahwa proses ada dimana karyawan tersebut dapat
memberikan masukan terhadap kualitas layanan yang mereka terima. Jika tidak,
organisasi TI mungkin tidak selaras dengan pengguna nya dan mereka tidak
menyadarinya.
Bagaimana
Pastikan fungsi help desk memberi pengguna akhir kemampuan untuk melaporkan
masalah. Meninjau dan mengevaluasi proses untuk menangkap masalah dan memastikan
bahwa mereka dilacak untuk menyelesaikan masalah. Carilah bukti bahwa metrik
kepuasan pengguna disimpan dan manajemen menindaklanjuti umpan balik pengguna
akhir.
Untuk memastikan bahwa help desk tidak mencari kepuasan pelanggan dengan
mengorbankan keamanan, mengkaji ulang kebijakan dan proses untuk mendapatkan
persetujuan yang benar sebelum menanggapi permintaan pengguna agar reset password
dan untuk mendapatkan akses sistem. Carilah keberadaan tim pengarah pelanggan untuk
memberi masukan dan prioritas proyek dan perangkat tambahan TI. Untuk area bisnis
yang signifikan, pemangku kepentingan utama harus diidentifikasi untuk memberikan
panduan kepada organisasi TI mengenai proyek dan keputusan yang mempengaruhi
mereka. Tinjau kembali SLA yang telah ditetapkan untuk mendukung pemangku
kepentingan utama TI.
Page 13
10
13. Meninjau dan Mengevaluasi Proses untuk Mengelola Layanan Pihak Ketiga,
Memastikan bahwa Peran dan Tanggung Jawab Didefinisikan Secara Jelas
dan Kinerjanya Dipantau.
Banyak perusahaan melakukan outsourcing beberapa atau semua proses dukungan TI
mereka, termasuk area seperti dukungan PC, server web hosting, dukungan sistem,
pemrograman, dan sebagainya. Jika vendor ini tidak dikelola dengan tepat, ini bisa
menyebabkan layanan yang buruk dan kualitas yang tidak dapat diterima di lingkungan
TI. Bergantung pada bagian lingkungan TI mana yang telah dioutsourcing, masalah ini
dapat secara signifikan mempengaruhi operasi perusahaan.
Bagaimana
Tinjau ulang proses pemilihan vendor. Pastikan proses tersebut memerlukan permintaan
beberapa penawaran kompetitif, perbandingan masing-masing vendor terhadap kriteria
yang telah ditentukan, keterlibatan personil pengadaan berpengetahuan untuk membantu
menegosiasikan kontrak, mengevaluasi kemampuan dan pengalaman dukungan teknis
vendor yang menyediakan dukungan bagi perusahaan dengan ukuran dan industri yang
serupa. Tinjau proses untuk memantau kinerja dan memberikan pengawasan terhadap
penyedia layanan pihak ketiga yang ada.
14. Mengkaji Ulang dan Mengevaluasi Proses untuk Mengendalikan Akses
Logis non-karyawan.
Sebagian besar perusahaan mempekerjakan beberapa tingkat outsourcing dan tenaga
kerja kontrak untuk menambah tenaga kerja internal mereka. Selain itu, beberapa
perusahaan mengizinkan vendor pihak ketiga mendapatkan akses logis ke sistem yang
dibeli untuk mendapatkan pemecahan masalah dan tujuan dukungan.
Page 14
11
Bagaimana
Pastikan bahwa kebijakan memerlukan persetujuan dan sponsor dari seorang karyawan
sebelum seorang karyawan tidak memperoleh akses logis ke sistem perusahaan.
Mengkaji ulang dan mengevaluasi proses untuk mengkomunikasikan kebijakan
perusahaan (termasuk kebijakan keamanan TI) kepada orang-orang yang tidak bekerja
sebelum memberi mereka akses sistem. Meninjau dan mengevaluasi proses untuk
menghapus akses logis dari orang-orang yang tidak bekerja bila mereka tidak lagi
bekerja dengan perusahaan atau tidak lagi membutuhkan akses. Pastikan perjanjian
nondisclosure (NDAs) ditandatangani oleh non-karywan untuk melindungi perusahaan
dari penggunaan data perusahaan yang tidak tepat. Tarik sampel akun non-karyawan, dan
dapatkan salinan NDA untuk akun tersebut. Pastikan bahwa pertimbangan telah
diberikan untuk mengidentifikasi data yang tidak boleh dilakukan oleh orang-orang yang
tidak bekerja dan kegiatan yang seharusnya tidak dilakukan oleh orang-orang yang tidak
bekerja.
15. Meninjau dan Mengevaluasi Proses untuk Memastikan bahwa Perusahaan
Mematuhi Lisensi Perangkat Lunak yang Berlaku.
Menggunakan perangkat lunak secara ilegal dapat menyebabkan denda, denda, dan
tuntutan hukum. Semakin mudah bagi karyawan perusahaan mendownload software dari
internet. Jika perusahaan tidak mengembangkan proses untuk mencegah atau melacak
aktivitas semacam itu (dan juga melacak penggunaan lisensi perusahaan untuk perangkat
lunak yang dibeli), mereka dapat menemukan dirinya tunduk pada audit vendor
perangkat lunak tanpa kemampuan untuk memperhitungkan dengan benar penggunaan
perusahaan perangkat lunak vendor.
Bagaimana
Mencari bukti bahwa perusahaan memelihara daftar lisensi perangkat lunak perusahaan
(seperti untuk Microsoft Office, akun aplikasi ERP, dan sebagainya) dan telah
mengembangkan sebuah proses untuk memantau penggunaan lisensi tersebut dan
mematuhi persyaratan persetujuan. Tentukan bagaimana lisensi terdesentralisasi (non-
Page 15
12
perusahaan) dipantau dan dilacak. Pengelolaan aset perangkat lunak yang benar-benar
komprehensif memerlukan database terpusat yang berisi informasi tentang perangkat
lunak apa yang dimiliki perusahaan yang berhak menggunakannya (lisensi yang dibeli)
dan perangkat lunak apa yang digunakan di lingkungan (lisensi yang digunakan) dan
dapat membandingkan keduanya. Uji keefektifan metode yang digunakan di perusahaan
Anda baik dengan melakukan pemindaian sendiri pada contoh komputer atau dengan
meninjau bukti dari proses perusahaan.
16. Mengkaji dan Mengevaluasi Kontrol atas Akses Jarak Jauh ke dalam
Jaringan Perusahaan (seperti dial-up, VPN, koneksi eksternal khusus).
Mengizinkan akses jarak jauh ke jaringan pada dasarnya menghasilkan jaringan yang
diperpanjang melampaui batas normalnya. Kurangnya kontrol yang kuat mengenai akses
ini dapat mengakibatkan akses yang tidak tepat ke jaringan dan jaringan yang
dikompromikan.
Bagaimana
Pastikan ID pengguna dan kata sandi yang kuat diperlukan untuk akses jarak jauh dan
kredensial ini dikirim melalui jalur komunikasi yang aman (seperti yang dienkripsi).
Tentukan apakah proses persetujuan diterapkan untuk memberikan akses jarak jauh,
terutama untuk orang yang tidak bekerja. Tarik sampel pengguna dengan akses jarak
jauh, dan cari bukti persetujuan. Juga mengevaluasi proses untuk menghapus akun akses
remote dial-up dan VPN saat karyawan meninggalkan perusahaan. Tarik sampel
pengguna dengan remote ac-cess, dan pastikan mereka masih menjadi karyawan aktif.
Evaluasi kontrol untuk memastikan bahwa koneksi eksternal yang didedikasikan untuk
anggota bisnis dihapus saat tidak diperlukan lagi. Evaluasi kontrol untuk memastikan
bahwa koneksi yang tidak sah tidak dapat dilakukan ke jaringan dan / atau untuk
mendeteksi mereka jika memang ada. Pastikan bahwa kebijakan memberikan persyaratan
keamanan minimum yang harus dipenuhi oleh semua mesin yang mengakses jaringan
dari jarak jauh. Pastikan mesin yang mengakses jaringan jarak jauh tidak diizinkan
menjadi dual-homed, yang akan menjembatani jaringan.
Page 16
13
17. Memastikan Prosedur Perekrutan dan Pemutusan Hubungan Kerja Jelas dan
Komprehensif.
Prosedur perekrutan memastikan bahwa karyawan diserahkan ke bagian pemeriksaan
obat dan pemeriksaan latar belakang, di mana undang-undang setempat mengizinkan,
sebelum mulai bekerja dalam organisasi. Prosedur Termi-nation memastikan bahwa
akses terhadap sistem dan fasilitas perusahaan dicabut sebelum karyawan yang tidak
puas dapat menyebabkan kerusakan dan properti perusahaan dikembalikan. Prosedur
pemutusan hubungan kerja atau pemutusan hubungan kerja menyamarkan perusahaan
untuk menyabotase atau menyalahgunakan hak istimewa yang dapat mengakibatkan
kompromi keamanan informasi. Pastikan bahwa prosedur penghentian meliputi
pembatalan akses fisik dan logis, pengembalian peralatan milik perusahaan, dan jika
perlu, lakukan pengawasan sementara saat mantan karyawan mengumpulkan barang
miliknya.
18. Meninjau dan Mengevaluasi Kebijakan dan Prosedur Pengendalian
Pengadaan dan Pergerakan Perangkat Keras.
Manajemen aset adalah pengendalian, pelacakan, dan pelaporan aset organisasi kepada
memfasilitasi akuntansi untuk aset. Tanpa pengelolaan aset yang efektif, perusahaan
akan dikenakan biaya peningkatan peralatan duplikat dalam situasi di mana peralatan
tersedia namun belum diketahui. Perusahaan juga akan dikenakan biaya yang tidak perlu
biaya sewa jika peralatan sewa tidak dilacak secara memadai dan dikembalikan pada
waktu. Demikian pula, tanpa pengelolaan aset yang memadai, kondisi peralatan akhir
kehidupan mungkin tidak dicatat, mengakibatkan peningkatan risiko kegagalan
perangkat keras. Selain itu, pencurian peralatan yang tidak dilacak kemungkinan akan
luput dari perhatian. Dalam konteks langkah ini, Aset yang di maksud adalah perangkat
keras komputer, seperti desktop, laptop, server, dan begitu seterusnya
Page 17
14
Bagaimana
Meninjau dan mengevaluasi kebijakan dan prosedur pengelolaan aset Perusahaan, dan
pastikan bahwa mereka mencakup hal berikut:
- Proses pengadaan aset Pastikan proses ini membutuhkan yang sesuai persetujuan
sebelum pembelian perangkat keras.
- Pelacakan aset Pastikan perusahaan menggunakan tag aset dan memiliki aset
manajemen database
- Persediaan semua peralatan saat ini Pastikan inventaris berisi nomor aset dan lokasi
semua perangkat keras, beserta informasi tentang status garansi peralatan, masa
sewa habis, dan siklus hidup keseluruhan (itu adalah, bila tidak lagi memenuhi
syarat untuk mendapatkan dukungan vendor). Pastikan itu efektif Mekanisme ada
agar persediaan ini tetap up to date. Contoh aset tag juga harus diperiksa dan diikat
kembali ke inventaris.
- Prosedur pemindahan dan pembuangan aset Pastikan peralatan yang tidak digunakan
di simpan dengan aman. Juga pastikan bahwa data terhapus dengan benar peralatan
sebelum pembuangan.
19. Memastikan Konfigurasi Sistem Dikendalikan dengan Perubahan
Manajemen untuk Menghindari Pemadaman Sistem yang Tidak Perlu.
Manajemen perubahan konfigurasi memastikan bahwa perubahan sistem dikendalikan
dandilacak untuk mengurangi resiko pemadaman sistem. Ini termasuk perencanaan,
penjadwalan, penerapan, dan melacak perubahan pada sistem untuk mengurangi risiko
perubahan tersebut ke lingkungan.
Bagaimana
Perubahan aktivitas dapat mempengaruhi dua bidang: perangkat keras dan perangkat
lunak (termasuk tingkat sistem operasi perubahan). Pastikan bahwa prosedur pengelolaan
konfigurasi termasuk proses sebagai berikut:
- Meminta perubahan (termasuk proses bagi pengguna akhir untuk meminta
perubahan)
Page 18
15
- Menentukan secara spesifik apa yang harus diubah
- Memprioritaskan dan menyetujui usulan perubahan
- Penjadwalan perubahan yang disetujui
- Menguji dan menyetujui perubahan sebelum implementasi
- Mengkomunikasikan perubahan yang direncanakan sebelum implementasi
- Menerapkan perubahan
- Rolling back (menghapus) perubahan yang tidak bekerja seperti yang diharapkan
setelahnya pelaksanaan
Juga tinjau dokumentasi kontrol perubahan untuk memverifikasi bahwa perubahan
didokumentasikan secara penuh, disetujui, dan dilacak. Persetujuan harus memasukkan
penilaian risiko dan biasanya diberikan oleh panitia yang terdiri dari pemangku
kepentingan. kamu harus bisa dapatkan contoh permintaan perubahan kontrol, serta
manajemen konfigurasi lainnya dokumentasi, dari manajemen TI.
20. Memastikan Media Transportasi, Penyimpanan, Penggunaan Kembali, dan
Pembuangan Ditangani Secara Memadai oleh Kebijakan Perusahaan dan
Prosedur.
Kontrol media memastikan bahwa informasi yang tersimpan di media penyimpan data
tetap rahasia dan terlindungi dari kerusakan atau kerusakan dini. Media yang tidak
adekuat kebijakan dan prosedur transportasi, penyimpanan, penggunaan kembali, dan
pembuangan mengekspos organisasi untuk kemungkinan pengungkapan atau
penghancuran informasi penting yang tidak sah. Satu jenis insiden keamanan yang
semakin umum adalah hilangnya media backup saat transit operator pihak ketiga
Sejumlah perusahaan ternama telah menjadi korbannya ancaman dalam beberapa tahun
terakhir, setelah mengalami kerugian karena tindakan hukum, kerusakan reputasi, dan
biaya respon insiden.
Page 19
16
Bagaimana
Media komputer, termasuk, namun tidak terbatas pada, backup tape, CD dan DVD, susah
disk, drive lompat USB, dan floppy disk, harus dikontrol dengan ketat untuk memastikan
data pribadi. Sejak operator cadangan, teknisi komputer, administrator sistem, thirdparty
operator, dan bahkan pengguna akhir menangani media penyimpanan, kebijakan dan
prosedur media harus membahas peran yang berbeda ini. Saat mengaudit kebijakan dan
prosedur pengendalian media, cari yang berikut ini:
- Persyaratan informasi sensitif untuk dienkripsi sebelum mengangkutnya melalui
operator pihak ketiga
- Persyaratan media magnetik dicabut secara digital atau degaussed sebelumnya untuk
digunakan kembali atau dibuang
- Persyaratan media optik dan kertas dicabik secara fisik sebelum pembuangan
- Persyaratan bagi pengguna untuk dilatih secara memadai tentang bagaimana cara
menyimpan dan membuang media komputer, termasuk drive lompat
- Persyaratan media komputer untuk disimpan secara fisik aman, dikontrol suhu, dan
kering untuk mencegah kerusakan pada media
Anda bisa mendapatkan informasi ini melalui review kebijakan, prosedur, dan dokumen
pelatihan kesadaran keamanan, serta wawancara pengguna.
21. Verifikasi bahwa Pemantauan dan Perencanaan Kapasitas Ditangani Secara
Memadai Menurut Kebijakan dan Prosedur Perusahaan.
Mengantisipasi dan memantau kapasitas fasilitas data center, sistem komputer, dan
aplikasi merupakan bagian penting untuk memastikan ketersediaan sistem. Saat
perusahaan lalai. Kontrol ini, mereka sering mengalami gangguan sistem dan kehilangan
data.
Page 20
17
Bagaimana
Tinjau hal berikut ini:
- Dokumen arsitektur yang dipilih untuk memastikan bahwa sistem dan fasilitasnya
ada dirancang untuk mengantisipasi kebutuhan kapasitas
- Prosedur pemantauan sistem, memberikan perhatian khusus pada kapasitas ambang
batas
- Sistem pemantauan log untuk mengetahui persentase sistem yang ada mendekati
atau melampaui batas kapasitas
- Laporan ketersediaan sistem untuk memastikan bahwa masalah kapasitas sistem
tidak menyebabkan downtime yang tidak semestinya
Karena manajemen kapasitas ditangani paling sering oleh kelompok yang bertanggung
jawab pusat data, aplikasi, atau manajemen sistem, prosedur khusus harus ditangani
dalam area ini.
22. Berdasarkan Struktur Organisasi Perusahaan TI dan Proses, Identifikasi dan
Audit Proses Tingkat Entitas IT lainnya.
Dengan mengidentifikasi kontrol TI dasar tersebut, Anda harus dapat mengurangi
pengujian selama audit lainnya dan menghindari pengulangan. Misalnya, jika perusahaan
Anda hanya memiliki satu produksi pusat data, Anda bisa menguji keamanan fisik dan
pengendalian lingkungan itu pusat data sekali Kemudian, saat anda melakukan audit
terhadap sistem individual yang ada di dalamnya pusat data itu, alih-alih mengaudit
keamanan fisik dan pengendalian lingkungan untuk masing - masing sistem (yang akan
sangat berulang karena mereka semua di tempat yang sama), Anda bisa merujuk audit
tingkat entitas Anda dari topik tersebut dan melanjutkan.
Selain itu, dengan melakukan audit proses terpusat, Anda akan memiliki pemahaman
kompensasi kompensasi potensial di lingkungan TI secara keseluruhan yang dapat
mengurangi kekhawatiran anda memiliki kontrol tingkat rendah.
Page 21
18
KESIMPULAN
Bab ini membahas bidang-bidang yang diharapkan auditor untuk melihat dalam suatu
organisasi. Terdapat 22 tahap pada pengontrolan tingkat entitas audit dan hal tersebut
menjadi penting bagi organisasi TI. Entitas disuatu perusahaan tidak sama dengan entitas di
perusahaan lain. Jika proses TI terpusat maka baik untuk review pengontrolan tingkat entitas.
Sangat penting bagi manajemen untuk berkomunikasi dan mengatur kontrol internal,
manajemen risiko, dan tata kelola. Organisasi IT harus sadar akan kebutuhan bisnis dan
perubahan lingkungan yang akan datang. Terlalu banyak organisasi IT melupakan fakta
bahwa satu-satunya alasan keberadaannya adalah untuk mendukung perusahaan dalam
memenuhi tujuan bisnisnya
Kontrol tingkat entitas menunjukkan bahwa manajemen TI adalah tentang
pengendalian internal, manajemen risiko, dan tata kelola. Keseluruhan pengontrolan
lingkungan organisasi akan berujung pada proses dan fungsi desentralisasi. Sebaliknya,
kontrol tingkat entitas lemah meningkatkan kemungkinan kontrol akan lemah di seluruh
organisasi, karena manajemen puncak belum menunjukkan dan mengkomunikasikannya
kepada organisasi yang menilai pengendalian internal. Hal ini sering menyebabkan
ketidakkonsistenan di tingkat bawah, karena kepribadian dan nilai-nilai tingkat bawah
Manajer akan menjadi satu-satunya faktor penentu dalam seberapa serius pengontrolan
internal dilakukan dalam organisasi.
Page 22
19
DAFTAR PUSTAKA
Schiller, Mike and Chris Davis with Kevin Wheeler. 2011. IT Auditing : Using
Controls to Protect Information Assets. United States: The McGraw-Hill Companies.