TSI Perbankan
HOME
DAFTAR ISI
B3 Auditing Obyektif Mengetahui phase-phase dalam audit sistem informasi Mengetahui proses evaluasi dan pengujian dalam audit sistem informasi
3.1 Phase Audit Sistem Informasi Dalam melakukan audit terhadap Sistem Informasi, seorang auditor harus
mempertimbangkan
pengawasan
terhadap
hal-hal
yang
berhubungan dengan komputer pada saat melakukan penilaian terhadap integritas,
kerahasiaan,
dan
ketersediaan
data
komputer.
Untuk
mendukung kemudahan dalam melakukan audit tersebut, maka ada beberapa phase yang sebaiknya dilakukan : Phase Perencanaan Selama phase ini, auditor berusaha mengerti keterhubungan antar operasional komputer dan kontrolnya serta resiko yang terkait. Dari sudut
pandang
resiko
Auditing, Universitas Gunadarma
yang
ada,
auditor
secara
sementara
B/S hal. B 11
TSI Perbankan
memutuskan kontrol mana yang kelihatannya lebih efektif. Jika kontrol tersebut dirasa efektif dan relevan dengan tujuan audit maka auditor harus menentukan cakupan kerja audit yang dibutuhkan untuk mengkonfirmasi kesimpulan sementara yang dibuatnya. Phase internal kontrol Dalam phase ini, auditor memeriksa informasi mengenai kebijakan pengawasan, prosedur dan tujuan serta performa uji dari aktivitas kontrol secara detail. Tujuan dari pemeriksaan ini adalah untuk menentukan apakah kontrol operasional yang ada sudah efektif. Jika kontrol dirasa cukup efektif maka auditor melakukan uji dan evaluasi terhadap kefektifan kontrol terhadap aplikasi tersebut. Sebaliknya jika kontrol dirasa belum efektif maka kontrol pada level aplikasi tidak diuji. Jika tujuan audit mengidentifikasi kelemahan kontrol pada sebuah aplikasi dimana pegawai memiliki kemungkinan potensial untuk melakukan kecurangan, maka penilaian terhadap kontrol aplikasi perlu dilakukan seperti berikut : -
Apakah data dipersiapkan secara lengkap, valid dan bisa dipercaya;
-
Apakah data dikonversi secara otomatis dari form dan dimasukkan ke dalam aplikasi seacra akurat, lengkap dan tepat waktu;
-
Apakah data diproses oleh aplikasi secara lengkap dan tepat waktu, sesuai kebutuhan, dan
-
Apakah output dilindungi dari penyalahgunaan modifikasi atau kerusakan dan distribusi sesuai dengan kebijakan yang ada. Auditor mengevaluasi dan menguji keefektifan dari kontrol
aplikasi melalui observasi terhadap kontrol dari operasional, pengujian
Auditing, Universitas Gunadarma
B/S hal. B 12
TSI Perbankan
dokumentasi terkait, diskusi dengan personil terkait, dan penilaian kembali terhadap kontrol yang telah diuji. Phase Uji Pada phase ini, uji yang dilakukan melibatkan dokumendokumen sumber yang mendukung transaksi dalam menentukan apakah dokumen-dokumen tersebut di catat, diproses, dan dilaporkan secara sesuai dan lengkap. Seorang auditor sistem informasi seharusnya didampingi oleh auditor keuangan dalam mengidentifikasi dan menyeleksi transaksi yang diproses oleh komputer untuk diuji. Phase Pelaporan Pada phase ini, auditor menghasilkan opini pada akhir periode tentang apakah kontrol internal sudah cukup dalam mengantisipasi pencegahan
atau
deteksi
kerugian,
noncompliance
atau
missstatement yang cukup material berhubungan dengan laporan keuangan.
3.2 Teknik Pengawasan dan Prosedur Audit pada ATM Sebelum teknik pengawasan dan prosedur audit dilakukan, identifikasi sistem merupakan hal utama yang harus dilakukan terlebih dahulu. Tahapan ini bertujuan untuk mengetahui secara detail mengenai sistem yang akan diaudit. Beberapa hal yang perlu diperhatikan pada saat identifikasi adalah : diagram keseluruhan sistem Informasi organisasi dan staff pada sistem Informasi operasional kelangsungan operasional
Auditing, Universitas Gunadarma
B/S hal. B 13
TSI Perbankan
Setelah Identifikasi sistem diketahui, maka teknik pengawasan dan prosedur audit dapat dilakukan. Berikut adalah tahapan evaluasi dan uji pada sistem informasi yang harus dilakukan : 1. Akses kontrol (AC) Pembatasan dan pendeteksian akses ke komputer sumber (data, program, peralatan, dan fasilitas), dalam rangka melindungi sumber-sumber tersebut dari modifikasi sewenang-wenang, kehilangan, dan keterbukaan. Aktivitas kontrol AC-1. Klasifikasi sumber informasi berdasarkan tingkat kekritisannya dan sensitivitasnya. AC-2. Pemeliharaan daftar otorisasi pemakai dan hak aksesnya.
Teknik kontrol Klasifikasi dan kriteria telah dibuat dan dikomunikasikan kepada pemilik sumber. Sumber-sumber diklasifikasikan berdasarkan penilaian resiko. Klasifikasi didokumentasikan dan disetujui oleh senior official yang berwenang dan direview secara periodik. Apakah hak akses telah: - Didokumentasikan dalam form standar dan diarsipkan dalam file. - Disetujui oleh manajer senior Pemilik secara periodik mereview daftar otorisasi akses dan menentukan apakah masih cocok untuk diterapkan.
Setiap perubahan dari profil keamanan oleh manajer secara otomatis di catat dan direview secara periodik oleh independen manajemen dari fungsi keamanan. Aktivitas yang tidak biasa terjadi di investigasi. Apakah otorisasi akses darurat dan sementara: - didokumentasikan pada format standar dan dipelihara dalam file - disetujui oleh menajer terkait
Auditing, Universitas Gunadarma
Prosedur audit Review kebijakan dan prosedur tertulis Interview pemilik sumber Review dokumentasi klasifikasi sumber dan bandingkan dengan penilaian resiko. Diskusikan setiap perbedaan yang ada dengan personil terkait. Review kebijakan dan prosedur tertulis yang terkait Untuk pemilihan user, review dokumentasi otorisasi akses Interview pemilik dan review dokumentasi pendukung Review otorisasi dan penyesuaian Interview security manajer dan review dokumentasi yang mereka hasilkan. Review perubahan profil dan catatan kegiatan.
Review kebijakan dan prosedur terkait Bandingkan hak otorisasi tersebut dengan daftar user berwenang pada sistem yang sudah berjalan
B/S hal. B 14
TSI Perbankan
Aktivitas kontrol
Teknik kontrol dikomunikasikan secara aman kepada fungsi keamanan - secara otomatis diterminasi setelah periode tertentu Identifikasi fasilitas yang sensitif dan kritis Semua ancaman yang serius terhadap sumber fisik telah diidentifkasi dan telah ditentukan keterhubungan resikonya Akses terbatas pada individual yang secara rutin membutuhkan akses melalui tanda pengenal atau entry device (kunci kartu) Manajemen secara reguler mereview daftar orang yang memiliki akses ke fasilitas sensitif dan kritis Kunci atau akses lainnya dibutuhkan untuk masuk kedalam ruang komputer dan penyimpanan tape / media. Password : - unik untuk setiap individu - dikontrol oleh user yang ditugasi dan subjek tidak untuk dibuka - dirubah secara periodik setiap 30 – 90 hari - tidak ditampilkan saat diinput - minimal panjang 6 karakter alphanumerik File password di enkripsi Software keamanan digunakan untuk akses terbatas Terminal komputer secara otomatis logged off dalam periode tertentu jika tidak ada aktivitas Account user yang tidak aktif dimonitor dan dihapus jika tidak dibutuhkan
Prosedur audit
-
AC-3. Membangun kontrol fisik dan logik untuk mencegah atau mendeteksi hak akses yang tidak berwenang
Database Management System (DBMS) dan Data Dictionary (DD) kontrol telah diimplementasikan : - akses terbatas pada file data pada logical data view, field, or field level value
Auditing, Universitas Gunadarma
Review diagram fisik dari layout komputer, telekomunikasi dan fasilitas sistem pendinginan Datangi fasilitas Review analisis resiko Review daftar akses individu
Observasi masuk dan keluar dari fasilitas selama dan setelah jam bisnis normal Observasi utilitas akses path Interview manajemen Interview pegawai Review kebijkan dan prosedur terkait Interview user Review parameter password software keamanan Observasi user dalam memakai password Coba log on tanpa password yang benar Lihat contoh dari file password Interview security asministratiors dan sistem user Observasi penggunaan terminal Review parameter software keamanan Review daftar ID yang tidak aktif, dan tentukan kenapa akses dari user tersebut belum diterminasi. Interview database administrator Review parameter DBMS dan DD security Uji kontrol dengan mencoba akses pada file-file terbatas
B/S hal. B 15
TSI Perbankan
Aktivitas kontrol
Teknik kontrol - akses kontrol ke DD menggunakan profil security dan password - memelihara jejak audit untuk memonitoring perubahan DD Penggunaan DBMS dibatasi
AC-4. Pengawasan akses, investigasi pelanggaran, penanganannya
Peralatan Kriptograpi telah diimplementasikan untuk melindungi integritas dan kerahasiaan data sensitif dan kritis serta program software Seluruh kegiatan yang terkait dengan akses ke dan modifikasi dari file sensitif dan kritis di catat Kerusakan keamanan dan aktivitas dilaporkan ke manajemen dan diinvestigasi Kerusakan dibuat ringkasannya dan dilaporkan ke senior manajemen
Prosedur audit
Review parameter sistem keamanan Untuk mengevaluasi kriptograpi tools, auditor harus didampingi dengan
Review setting software keamanan untuk mengidentifikasi jenis dari catatan kegiatan Review laporan kerusakan pada keamanan Interview senior manajemen dan personil yang bertanggung jawab atas ringkasan kerusakan Review dokumentasi pendukung
2. Software aplikasi Melindungi program atau modifikasi yang belum diotorisasi untuk diimplementasikan. Aktivitas kontrol
Teknik kontrol
CC-1. Otorisasi fiturfitur proses dan modifikasi program.
Permintaan perubahan software harus dibuat dalam forms dan didokumentasikan Perubahan software harus disetujui oleh system users dan staff data proses
Identifkasi modifikasi sofware yang ada dan tentukan apakah forms perubahan digunakan Interview staff pengembangan software
CC-2. Tes dan perbaikan software baru dan lama.
Standar rencana uji telah dibuat Detail spesifikasi sistem telah dipersiapkan oleh programer dan direview oleh supervisor programming Perubahan software didokumentasikan dan disetujui Live data tidak digunakan dalam uji perubahan program, kecuali untuk membangun file data uji
Review standar rencana uji Review spesikikasi Trace perubahan dari code ke spesifikasi desain Review rencana uji Bandingkan dokumentasi uji dengan rencana uji yang terkait Analisa kegagalan uji untuk menentukan apakah ini mengindikasikan uji software
Auditing, Universitas Gunadarma
Prosedur audit
B/S hal. B 16
TSI Perbankan
Aktivitas kontrol
CC-3. Perpustakaan kontrol software.
Teknik kontrol Uji komprehensif terhadap transaksi dan data dibuat untuk mewakili kondisi dan aktifitas yang berbedabeda Hasil uji direview dan didokumentasikan Program baru dipindahkan ke mesin produksi hanya jika dokumentasi telah disetujui oleh user dan manajemen pengembangan sistem Prosedur standard untuk mendistribusikan software baru untuk implementasi Manajemen perpustakaan software digunakan untuk : - produksi jejak audit dari perubahan program - pemeliharaan jumlah versi program - mencatat dan melaporkan perubahan program - pemliharaan salinan jumlah versi sebelumnya Source code disimpan dan dipelihara Akses ke seluruh program termasuk production code, source code, dan salinan program tambahan diproteksi dengan sofware akses kontrol dan fitur sistem operasi
Prosedur audit yang tidak efektif Review uji transaksi dan data
Review hasil uji Verifikasi tanggapan user Review update dokumentasi
Uji prosedur untuk distribusi sofware baru Review kebijakan dan prosedur terkait Interview personil yang bertanggung jawab terhadap pengawasan perpustakaan Lakukan uji coba dengan memilih program yang telah dipelihara dan nilai apakah sesuai dengan prosedur Verifikasi bahwa source code itu ada Tentukan apakah aturan akses kontrol software telah didefinisikan secara jelas Uji akses ke program perpustakaan dengan melihat parameter sistem keamanan
3. Software Sistem(SS) Mengontrol batasan akses dan memonitor akses ke seluruh program dan file-file sensitif yang mengontrol hardware komputer dan aplikasi keamanan yang didukung oleh sistem. Aktivitas kontrol SS-1. Batasan akses ke sistem software.
Teknik kontrol Kebijakan dan prosedur batasan akses ke sistem software ada dan up-to-date Akses ke sistem software dibatasi jumlah personilnya berdasarkan
Auditing, Universitas Gunadarma
Prosedur audit Review kebijakan dan prosedur terkait Interview personil manajemen dan sistem mengenai batasan
B/S hal. B 17
TSI Perbankan
Aktivitas kontrol
Teknik kontrol tanggung jawab pekerjaannya. Programer aplikasi secara khusus dilarang untuk mengakses sistem software Dkokumentasi yang menunjukkan penilaian dan persetujuan manajemen untuk mengakses ke sistem software Kapabilitas akses dari sistem programer secara periodik diriview Sistem operasi dikonfigurasikan untuk mencegah penyalahgunaaan keamanan software dan aplikasi kontrol
SS-2. Pengawasan akses ke dan pemakaian sistem software.
Kebijakan dan prosedur penggunaan dan monitoring dari utilitas sistem software ada dan upto-date Tanggung jawab penggunaan utilitas sistem yang sensitif telah didefinisikan dengan jelas dan dimengerti oleh sistem programer Penggunaan utilitas dari sistem sensitif dicatat menggunakan akses kontrol laporan software Penggunaan utilitas dan sistem sofware secara khusus diriview oleh teknikal manajemen
Aktivitas sistem programer dimonitor dan direview
SS-3. Pengawasan perubahan sistem software.
Prosedur identifikasi dan dokumentasi masalah software sistem
Auditing, Universitas Gunadarma
Prosedur audit Akses Observasi akses personil ke sistem software Uji coba akses ke sistem operasi dan sistem software lainnya. Pilih beberapa sistem programer dan tentukan apakah dokumentasi persetujuan manajemen mendukung hak akses mereka ke sistem sofware Tentukan terakhir kali kapabilitas akses dari sistem programmer diriview Uji parameter sistem operasi untuk memverifikasi bahwa konfigurasinya dibuat untuk menjaga integritas dari software keamanan dan aplikasi kontrol Review kebijakan dan prosedur terkait Interview personil manajemen dan system berkaitan dengan tanggung jawabnya Tentukan apakah ada catatan penggunaan dan informasi apa saja yang dicatat Interview teknikal manajemen berkaitan dengan review mereka terhadap penggunaan utilitas dan sistem software secara khusus Review dokumentasi pendukung review mereka Interview supervisor sistem programer untuk menentukan aktivitas mereka sehubungan dengan pengawasan dan monitoring staff mereka Review dokumentasi pendukung Review prosedur dan identifikasi dokumentasi masalah software sistem Review penyebab dan frekwensi terjadinya masalah. Review prosedur untuk kontrol
B/S hal. B 18
TSI Perbankan
Aktivitas kontrol
Teknik kontrol
Prosedur audit
Prosedur kontrol perubahan darurat meliputi : - Otorisasi dan dokumentasi - laporan perubahan untuk reviview manajemen - review oleh supervisor sistem informasi independen
dannpersetujuan perubahan darurat Pilih beberapa perubahan darurat pada software sistem dan uji apakah prosedur benarbenar dipakai
Instalasi software sistem baru dijadwal dan dicatat untuk meminimalkan dampak pada data proses
Interview manajemen pusat data mengenai peranan mereka dalam mereview instalasi software sistem
Untuk proses audit pada Automated Teller Machine, tahapan yang dilakukan sama dengan proses diatas, hanya saja teknik kontrol dan prosedur audit disesuaikan dengan kondisi yang terdapat pada ATM. Pada modul ini kegiatan audit difokuskan pada aplikasi Host / ATM center. Adapun beberapa hal yang harus diperhatikan pada audit Host adalah : 1. Audit keamanan fisik Host Site security and controls (Mis. Siapa saja yang dapat masuk ke ruangan Host ?) Kesesuaian suhu ruang dengan persyaratan minimum peralatan 2. Audit keamanan sistem Cash control (kesesuaian dengan jurnal ATM) Transaction processing control Penyalahgunaan account management (customer management) Penyalahgunaan system management (username, password, database) Audit keamanan encryption key Penyimpanan key yang dipusatkan pada satu orang Penyimpanan key secara sembarangan Untuk penerapannya, teknik kontrol dan prosedur audit aplikasi Host tersebut dapat dilihat pada lembar kerja atau lampiran.
Auditing, Universitas Gunadarma
B/S hal. B 19
