Information system (IS) audit adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Weber mengemukakan bahwa audit sistem informasi merupakan proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset dan teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan pada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif dan efisien. Dengan demikian, Aktivitas audit perlu dilakukan untuk mengukur dan memastikan kesesuaian pengelolaan baik sistem maupun teknologi informasi dengan ketetapan dan standar yang berlaku pada suatu organisasi, sehingga perbaikan dapat dilakukan dengan lebih terarah dalam kerangka perbaikan berkelanjutan. Tujuan dari audit sistem informasi adalah untuk mengetahui apakah pengelolaan system dan teknologi informasi telah mencapai tujuan strategisnya. Berikut adalah beberapa tujuan strategisnya :
1. Meningkatkan perlindungan terhadap asset-aset (Asset safeguard)
2. Menjaga integritas data (Data integrity)
3. Meningkatkan efektifitas system (Effectivity)
4. Meningkatkan efisiensi (Efficiency)
Proses audit
Dalam bab ini, kita akan membahas tahap dasar proses audit, bagaimana cara melakukan masing-masing
satu secara efektif, dan berikut ini:
• Berbagai jenis kontrol internal
• Bagaimana Anda harus memilih apa yang harus di audit
• Bagaimana melakukan tahap dasar audit
• Perencanaan
• Kerja lapangan dan dokumentasi
• Mengeluarkan penemuan dan validasi masalah
• Solusi pengembangan
• Melaporkan penyusunan dan penerbitan
• Pelacakan masalah
Tahapan Audit
1. Perencanaan
2. Kerja lapangan dan dokumentasi
3. Terbitkan penemuan dan validasi
4. Solusi pengembangan
5. Melaporkan penyusunan dan penerbitan
6. Pelacakan masalah
1. Merencanakan
Tujuan dari proses perencanaan adalah untuk menentukan tujuan dan ruang lingkup audit dan perlu menentukan apa yang ingin di capai dengan ulasannya. Bagian dari proses ini harus mengembangkan serangkaian langkah yang harus dijalankan untuk mencapai tujuan audit. Proses perencanaan ini memerlukan penelitian, pemikiran, dan pertimbangan yang cermat untuk setiap audit
2. Kerja Lapangan dan Dokumentasi
Sebagian besar audit terjadi selama fase ini, ketika langkah-langkah audit yang dibuat pada tahap sebelumnya dilakukan oleh tim audit. Sekarang, tim memperoleh data dan melakukan wawancara yang akan membantu anggota tim untuk menganalisis potensi risiko dan menentukan risiko mana yang tidak terpenuhi dengan tepat.
3.Issue Discovery dan Validasi
Saat melaksanakan penelitian lapangan, auditor akan mengembangkan daftar masalah potensial. Salah satu fase audit yang lebih penting, dan auditor harus berhati-hati untuk menggandakan daftar isu potensial untuk memastikan bahwa semua masalah tersebut valid dan relevan. Dengan semangat kolaborasi, auditor harus mendiskusikan masalah potensial dengan pelanggan sesegera mungkin
4. Pengembangan Solusi
Setelah mengidentifikasi potensi masalah di area audisi dan telah memvalidasi fakta dan risiko, dapat bekerja sama dengan pelanggan untuk mengembangkan rencana tindakan untuk menangani setiap masalah. Jelas, hanya mengangkat isu apakah perusahaan itu tidak bagus kecuali, jika isu tersebut benar-benar ditangani.
Tiga pendekatan umum digunakan untuk mengembangkan dan menetapkan item tindakan untuk menangani masalah audit:
1. Pendekatan rekomendasi
2. Pendekatan manajemen-respon
3. Pendekatan solusi
5. Penyusunan Laporan dan Penerbitan
Begitu menemukan masalah di lingkungan yang diaudit, memvalidasi dengan pelanggan, dan mengembangkan solusi untuk mengatasinya, dapat menyusun laporan audit. Laporan audit adalah kendaraan yang digunakan untuk mendokumentasikan hasil audit. Ini melayani dua fungsi utama yaitu :
1. Pelanggan audit, ini berfungsi sebagai catatan audit, hasilnya, dan rencana tindakan yang dihasilkan.
2. Untuk manajemen senior dan komite audit, ini berfungsi sebagai "rapor" di area yang diaudit.
6. Pelacakan Masalah
Adalah umum bagi auditor untuk merasa seperti audit "selesai" begitu laporan audit diterbitkan. Namun, seperti yang telah dibahas sebelumnya dalam buku ini, mengeluarkan laporan audit tidak memberikan nilai tambah kepada perusahaan kecuali jika tindakan tersebut diambil. Audit tidak benar-benar lengkap sampai masalah yang diangkat dalam audit diselesaikan, baik dengan tetap (resolusi yang diinginkan) atau diterima oleh tingkat manajemen yang sesuai. Bagian audit harus mengembangkan sebuah proses dimana anggotanya dapat melacak dan menindaklanjuti isu sampai mereka menyelesaikannya. Hal ini kemungkinan akan melibatkan pemeliharaan database yang berisi semua titik audit dan tanggal jatuh tempo mereka, beserta mekanisme untuk menandai mereka sebagai tertutup, terlambat, dan seterusnya. Biasanya bijaksana bagi auditor yang melakukan atau memimpin audit untuk bertanggung jawab untuk menindaklanjuti poin dari audit tersebut dengan pelanggan yang bertanggung jawab sebagai tanggal jatuh tempo untuk setiap pendekatan poin. Auditor tidak boleh menunggu sampai titik tersebut jatuh tempo atau lewat sebelum menghubungi konsumen, namun sebaiknya secara reguler menghubungi status masalahnya.
Teknik audit
1. Auditing Entity-Level Kontrol
Auditing Entity-Level Kontrol membahas bagaimana mengaudit kontrol tingkat entitas, yang meresap di seluruh organisasi. Karena kontrol tingkat entitas sangat luas di seluruh organisasi, dan dapat mengauditnya berikut ini pembahasan audit teknologi informasi (TI) area seperti:
a. Perencanaan strategis dan peta jalan teknologi
b. Indikator kinerja dan metrik
c. Proses persetujuan dan pemantauan proyek
d. Kebijakan, standar, dan prosedur
e. Manajemen karyawan
f. Pengelolaan aset dan kapasitas
g. Manajemen perubahan konfigurasi sistem
2.Pusat Data Audit dan Pemulihan bencana
Fasilitas pengolahan teknologi informasi (TI), biasanya disebut sebagai pusat data,
merupakan inti dari sebagian besar operasi organisasi modern, yang mendukung hampir semua hal yang kritis
aktivitas bisnis. Berikut ini merupakan langkah-langkah untuk mengaudit pusat data kontrol, termasuk bidang berikut:
a. Keamanan fisik dan pengendalian lingkungan
b. Operasi pusat data
c. Sistem dan ketahanan situs
d. Kesiapsiagaan bencana
3.Mengaudit Router, Switch, dan Firewall
Jaringan adalah latar belakang mendasar dari infrastruktur operasi TI , yang memungkinkan
data melintang antara pengguna, penyimpanan data, dan pengolahan data. Router, switch,
dan firewall bekerja sama untuk memungkinkan transfer data sekaligus melindungi jaringan, data,
dan pengguna akhir. Berikut ini membahas bagaimana meninjau potongan-potongan kritis ,infrastruktur sambil membantu untuk melakukannya sebagai berikut :
a. Mengungkap kompleksitas peralatan jaringan.
b. Memahami kontrol jaringan kritis.
c. Tinjau kontrol khusus untuk router, switch, dan firewall.
4.Mengaudit Windows Sistem operasi
Sistem operasi Windows telah berkembang dari awal yang sederhana dan berkembang menjadi
salah satu sistem operasi paling umum di dunia untuk server dan klien, untuk
mencakup komponen dasar dari audit server Windows dan mencakup audit cepat untuk
Klien Windows,berikut pembahasan Audit server dan klien windows:
a. Sejarah singkat pengembangan Windows
b. Windows essentials: belajar tentang host target
c. Bagaimana mengaudit server Windows
d. Bagaimana mengaudit klien Windows
e. Alat dan sumber daya untuk meningkatkan audit Windows Anda
5. Mengaudit Unix dan Linux
Sistem operasi membahas langkah-langkah yang diperlukan untuk mengaudit operasi berbasis Unix dan Linux sistem (juga disebut sebagai sistem nix) dan mencakup hal-hal berikut:
a. Sejarah Unix dan Linux
b. Perintah dasar untuk berkeliling di lingkungan * nix
c. Bagaimana mengaudit sistem Unix dan Linux, dengan fokus pada bidang utama berikut:
d. Manajemen akun dan kontrol kata sandi
e. File keamanan dan kontrol
f. Keamanan dan kontrol jaringan
g. Audit log
h. Monitoring keamanan dan kontrol umum
i. Alat dan sumber daya untuk meningkatkan audit
6. Mengaudit Web Server dan Aplikasi Web
Pertumbuhan eksplosif di Internet juga mendorong pertumbuhan eksplosif alat pengembangan, bahasa pemrograman, web browser, database, dan berbeda model client-server. Hasil yang tidak menguntungkan adalah model kompleks yang sering dibutuhkan kontrol tambahan untuk mengamankan model. Berikut ini mencakup minimum mutlak seperangkat kontrol yang harus ditinjau ulang. Bab ini mencakup hal-hal berikut:
a. Bagaimana mengaudit server web
b. Bagaimana mengaudit aplikasi web
7.Mengaudit Database
Mengaudit Database membahas tentang audit lockbox informasi perusahaan.untuk melakukan audit pada komponen berikut yang mempengaruhi operasional keamanan penyimpanan data:
a. Perizinan database
b. Keamanan sistem operasi
c. Fitur kekuatan dan manajemen kata sandi
d. Aktivitas pemantauan
e. Database enkripsi
f. Database kerentanan, integritas, dan proses patching
8. Penyimpanan Audit
Penyimpanan audit dan dimulai dengan ikhtisar penyimpanan umum teknologi. Audit penyimpanan menggabungkan kekhawatiran platform dan datanya. Platform memiliki persyaratan kontrol yang sama seperti yang ditemukan di server. Data memiliki keunikan persyaratan kontrol karena perlunya menjaga kontrol yang sesuai dengan kelas data yang berbeda, dibawah ini mencakup hal-hal berikut:
a. Ikhtisar teknis singkat tentang penyimpanan
b. Bagaimana mengaudit lingkungan penyimpanan
c. Alat dan sumber daya untuk meningkatkan audit penyimpanan Anda
9. Mengaudit Virtualized Lingkungan
Inovasi dalam virtualisasi sistem operasi dan perangkat keras server diubah secara permanen
jejak, arsitektur, dan operasi pusat data. Mengaudit lingkungan virtualisasi, dan dimulai dengan ikhtisar tentang virtualisasi umum teknologi dan kontrol tombol. Audit virtualisasi menggabungkan kekhawatiran hypervisor dan sistem operasi tamu. Meski fokus adalah
hypervisor dan virtualisasi server, bisa menerapkan banyak langkah dan konsep yang sama
untuk virtualisasi desktop ,membuat asumsi bahwa komponen sistem ini adalah
di bawah kendali , "Mengaudit Komputasi Awan dan Operasi Outsourcing "untuk panduan bagaimana memastikan virtualisasi dari luar lingkungan dikelola dan diamankan dengan benar.
Dibawah ini mencakup hal-hal berikut:
a. Sekilas singkat teknis virtualisasi
b. Bagaimana mengaudit lingkungan virtualisasi
c. Alat dan sumber daya untuk meningkatkan audit virtualisasi Anda
10. Mengaudit WLAN dan Telepon genggam
Mengaudit WLAN dan Telepon genggam yaitu dua audit terpisah, yang dimulai dengan jaringan area lokal nirkabel(WLAN) dan kemudian mencakup perangkat seluler yang mendukung data. Audit WLAN meliputi klien, komunikasi, jalur akses, dan faktor operasional yang memungkinkan WLAN aktif, jaringan Audit perangkat mobile data-enabled meliputi Blackberry, iPhone, Droid, dan perangkat data-enabled serupa dan infrastruktur yang mendukungnya. Pengikuttopik yang dibahas adalah:
a. Latar belakang teknologi WLAN dan perangkat mobile
b. Masalah audit penting untuk teknologi ini
c. Langkah dan saran teknis utama mengenai bagaimana mendekati teknologi
d. Langkah operasional yang diperlukan agar teknologi ini beroperasi secara efisien
di jaringan anda
11.permohonan Audit
Setiap aplikasi unik, apakah mendukung fungsi keuangan atau operasional, dan
oleh karena itu masing-masing memiliki seperangkat persyaratan kontrol tersendiri. Tidak mungkin dokumen persyaratan kontrol spesifik yang akan berlaku untuk setiap aplikasi. Namun, akan menjelaskan beberapa pedoman pengendalian umum yang seharusnya berkenaan dengan aplikasi apapun terlepas dari fungsinya, bahasa pemrogramannya, dan platform teknologi. Topik-topik berikut dibahas dalam bab ini:
a. Komponen penting dari audit aplikasi
b. Bagaimana menelusuri kemungkinan masalah dengan kerangka kerja dan konsep kunci
c. Langkah terperinci untuk mengaudit aplikasi, termasuk yang berikut ini:
d. Kontrol input
e. Kontrol antarmuka
f. Jejak audit
g. Kontrol akses
h. Kontrol perubahan perangkat lunak
i. Backup dan pemulihan
j. Retensi data dan klasifikasi dan keterlibatan pengguna
12. Mengaudit Komputasi Awan dan Outsource Operasi
Mengaudit Komputasi Awan dan Outsource Operasi adalah kunci yang harus dicari saat mengaudit TI operasi yang telah dialihkan ke perusahaan eksternal, termasuk yang berikut ini:
a. Definisi komputasi awan dan bentuk lain dari outsourcing TI
b. SAS 70 melaporkan
c. Kontrol seleksi vendor
d. Item untuk disertakan dalam kontrak vendor
e. Persyaratan keamanan data
f. Masalah operasional
g. Masalah hukum dan kepatuhan peraturan
13. Proyek Perusahaan Audit
. Proyek Perusahaan Audit adalah kontrol kunci yang harus dicari saat mengaudit proses yang digunakan untuk mengelola proyek perusahaan, termasuk memahami hal-hal berikut yang berkaitan dengan manajemen proyek audit teknologi informasi:
a. Kunci keberhasilan manajemen proyek
b. Kebutuhan pengumpulan dan desain awal
c. Desain dan pengembangan sistem
d. Pengujian
e. Implementasi
f. Pelatihan
g. Membungkus proyek
Standart dan kerangka kerja
Kerangka danStandar seiring perkembangan teknologi informasi (IT) selama akhir abad ke-20, IT departemen dalam setiap organisasi biasanya mengembangkan metode sendiri untuk mengelola operasi. Akhirnya, kerangka kerja dan standar muncul untuk memberikan panduan bagi pengelolaan dan evaluasi proses TI. Beberapa kerangka kerja dan standar yang paling menonjol saat ini terkait dengan penggunaan teknologi.
Dibawah ini akan mencakup hal berikut:
a. Pengantar pengendalian, kerangka kerja, dan standar internal TI
b. Komite Organisasi Sponsor (COSO)
c. Tujuan Pengendalian Informasi dan Teknologi Terkait (COBIT)
d. IT Infrastructure Library (ITIL)
e. ISO 27001
f. Metodologi Penilaian INFOSEC Keamanan Nasional (Security Security Agency / NSA)
g. Kerangka dan tren standar
Regulasi Audit
Komunitas bisnis global terus mendukung peraturan dan undang-undang baru yang berlaku mempengaruhi dan meningkatkan tanggung jawab perusahaan untuk pengendalian internal. Mengulas pengembangan peraturan yang terkait dengan pengendalian internal sehubungan dengan Penggunaan informasi dan teknologi. Secara khusus, membahas hal berikut:
a. Pengantar undang-undang yang terkait dengan pengendalian internal
b. Sarbanes-Oxley Act tahun 2002
c. Tindakan Gramm-Leach-Bliley
d. Peraturan privasi seperti California SB1386
e. Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996
f. Komisi EU dan Basel II
g. Standard Keamanan Data Kartu Pembayaran (PCI)
h. Tren peraturan lainnya
Manajemen risiko
Beberapa tahun yang lalu, firewall dan perangkat lunak antivirus adalah sebagian besar organisasi digunakan untuk mengurangi risiko TI. Namun, dalam beberapa tahun terakhir, lanskap ancaman telah berubah sangat. Saat ini, ancaman orang dalam lebih terasa, ribuan variannyamalware didistribusikan, dan pemerintah telah memberlakukan undang-undang yang mewajibkan implementasi berbagai kontrol. Akibatnya, proses manajemen risiko formal sekarang harus menjadi bagian dari setiap program audit TI. Pertanyaan juta dolar hari ini adalah: Apa itu program manajemen risiko formal? Didalam ini membahas tentang mengeksplorasi proses analisis risiko, siklus manajemen risiko, dan metode untuk mengidentifikasi dan menangani risiko secara efektif.
