Konsep Manajemen Risiko TI

Konsep Manajemen Risiko TI

Definisi Risiko 

Risk is anything that may affect the ability of organisation to achieve its objectives.



Covering 



Down-side risk 

Risk of loss

- Bad things are happening



Risk of uncertainty

- Things are not occurring as expected

Up-side Risk 

Risk of lost of opportunity



Inherent Risk



Residual Risk



Acceptable Risk

© 2010 – CHANDRA YULISTIA, CISA

- Good things are not happening

2

Manajemen Risiko

© 2010 – CHANDRA YULISTIA, CISA

3

Manajemen Risiko The Committee of Sponsoring Organizations of the Treadway Commissions (COSO) – Enterprise Risk Management Klasifikasi Risiko:

© 2010 – CHANDRA YULISTIA, CISA



Strategis



Operasional  ie. IT Risk



Pelaporan



Kepatuhan

4

Manajemen Risiko TI Tahap 2: Mengidentifikasi Risiko

Risiko

Risiko Sumber Risiko

Risiko

Risiko Risiko

© 2010 – CHANDRA YULISTIA, CISA

5

Manajemen Risiko TI Tahap 3: Pengukuran/Penilaian Risiko 

Likelihood



Impact/Consequence

© 2010 – CHANDRA YULISTIA, CISA

6

Manajemen Risiko TI

Risk = Likelihood X Impact (Consequences)

© 2010 – CHANDRA YULISTIA, CISA

7

Manajemen Risiko TI Metode Semi Kuantitatif:

Metode Kuantitatif: Kemungkinan Terjadi X Potensi Kerugian

© 2010 – CHANDRA YULISTIA, CISA

8

Manajemen Risiko TI Tahap 4: Menentukan Opsi Perlakuan Risiko 

Terima (accept) 



Hindari (avoid) 



Hilangkan (get out of situation)

Kurangi (mitigate) 



Monitor

Implementasikan pengendalian (controls)

Bagi/Alihkan 

Bermitra dengan pihak lain (e.g.insurance)

© 2010 – CHANDRA YULISTIA, CISA

9

Manajemen Risiko TI Tahap 5: Monitoring Tujuan:  Memantau apakah tingkat risiko yang dapat diterima terpenuhi  Menentukan apakah diperlukan tindakan korektif lanjutan  Menentukan apakah mungkin dilakukan penghapusan risiko  Menentukan apakah terdapat risiko-risiko baru Teknik-teknik Monitoring:  Proses manajemen risiko diterapkan secara terpadu  Kajian secara teratur oleh tim manajemen risiko

 Audit oleh audit intern

© 2010 – CHANDRA YULISTIA, CISA

10

Audit atas Pengendalian Umum TI

Pengendalian TI

Top Management

IS Management System Development Management

Programming Management Data Management Security Management Quality Assurance Management Operation Management Application System Control

© 2010 – CHANDRA YULISTIA, CISA

12

Audit atas Pengendalian Umum TI 

Audit atas pengendalian umum TI pada dasarnya merupakan audit atas 3 (tiga) aspek, yaitu: 

Audit atas Perencanaan & Organisasi TI  Audit atas Manajemen Puncak  Audit atas Manajemen Sistem Informasi



Audit atas Pengembangan & Implementasi TI  Audit atas Manajemen Pengembangan Sistem  Audit atas Manajemen Pemrograman  Audit atas Manajemen Data



Audit atas Operasi & Layanan TI  Audit atas Manajemen Kualitas  Audit atas Manajemen Operasi  Audit atas Manajemen Keamanan

© 2010 – CHANDRA YULISTIA, CISA

13

Audit atas Perencanaan dan Organisasi TI

Audit atas Perencanaan & Organisasi TI



Perencanaan 



Aktivitas 

Kenali peluang dan permasalahan TI



Identifikasi sumber daya yang dibutuhkan



Susun strategi untuk memperoleh sumber daya yang dibutuhkan

Jenis-jenis Rencana  Rencana Stratejik TI 



Rencana Operasional TI

Komite TI  IT Strategic Committee 

IT Steering Committee



IT Security Committee

© 2010 – CHANDRA YULISTIA, CISA

15

Audit atas Perencanaan & Organisasi TI



Pengorganisasian & Staffing 

Struktur organisasi



Resourcing  Hardware







Software



Personil



Infrastruktur

Staffing  Rekruitment 

Pengembangan



Pemberhentian

Development  System Analyst  Application Programmer  Systems Programmer  Quality Assurance Administrator:  Data Administrator  Database Administrator  Security Administrator  Network Administrator Operator:  Computer Operator  Librarian  Data Entry

Sentralisasi vs Desentralisasi

© 2010 – CHANDRA YULISTIA, CISA

16

Audit atas Perencanaan & Organisasi TI Dewan Komisaris



Organisasi

Komisaris Utama

Komisaris Indenpenden

Dewan Direksi Direktur yang membawahi SKMR

Direktur yang membawahi SKTSI

Direksi yang membawahi Pemilik/Pengguna TSI

Komite Pengarah TSI terdiri dari : Anggota Tetap 1. Direktur yang membawahi SKTSI; 2. Direktur yang membawahi SKMR;

Komite Pengarah TSI

3. Pimpinan Satuan Kerja TSI; 4. Pimpinan Satuan Kerja MR;

(Lintas Organisasi)

5. Perwakilan dari Satuan Kerja Pemilik Aplikasi TSI. Anggota Tidak Tetap 

Perwakilan dari Satuan Kerja Pengguna Aplikasi TSI.

Anggota Pengamat 

Satuan Kerja Manajemen Risiko Manajemen Risiko Operasional / TSI

Pejabat Keamanan Informasi (Information Security Officer)

Perwakilan dari Satuan Kerja Audit Intern.

Satuan Kerja Lainnya Satuan Kerja Pemilik Aplikasi TSI

Satuan Kerja Pengguna Aplikasi TSI

Satuan Kerja Teknologi Sistem Informasi Bidang Perencanaan & Organisasi TSI © 2010 – CHANDRA YULISTIA, CISA

Bidang Pengembangan & Implementasi TSI

Bidang Operasional Layanan & Dukungan TSI

Bidang Pengawasan & Evaluasi TSI 17

Audit atas Pengembangan dan Implementasi TI

Audit atas Manajemen Pengembangan Sistem

Studi Kelayakan

Perencanaan

Definisi Kebutuhan

Analisa

Perancangan Sistem

Perancangan

Pemrograman

Pembuatan Dokumen

Pengembangan

Uji Penerimaan

Konversi

Implementasi Operasi & Pemeliharaan

© 2010 – CHANDRA YULISTIA, CISA

19

Audit atas Manajemen Pengembangan Sistem  Perencanaan 

Studi kelayakan 

Technical



Operational



Economic



Behavioral

Teknologi

Operasional

Ekonomi

Perilaku

Proses Pengembangan Sistem

Berhenti

© 2010 – CHANDRA YULISTIA, CISA

Mulai

20

Audit atas Manajemen Pengembangan Sistem  Perencanaan 



Development 

In-house



Outsourcing

Acquisition 

Off-the-shelf



Canned



Application Service Provider/ASP

 Analisa 

Definisi Kebutuhan Pengguna

© 2010 – CHANDRA YULISTIA, CISA

21

Audit atas Manajemen Pengembangan Sistem 

Perancangan 



Desain sistem 

Rancangan pemrosesan



Rancangan alur data dan informasi



Rancangan database



Rancangan tampilan antara muka



Rancangan logikal & phisikal



Rancangan platform

Desain Request for Proposal (RFP) dan metode penilaian  

Undangan kepada vendor Seleksi vendor

© 2010 – CHANDRA YULISTIA, CISA

22

Audit atas Manajemen Pengembangan Sistem 

Pengembangan 

Pemrograman  Coding & Compiling 



Aktivitas – Membagi modul kepada para programmer – Mengkoordinasikan kegiatan pemrograman – Mengatur jadwal pemrograman. Pengendalian Area – Area pengembangan (development area) – Area pengujian (testing area) – Area produksi (production area).

© 2010 – CHANDRA YULISTIA, CISA

23

Audit atas Manajemen Pengembangan Sistem 

Pengembangan 

Pemrograman  Coding  Compiling



Pembuatan dokumen  Dokumentasi sistem – Memahami sistem dan memudahkan pemeliharaan sistem  Dokumentasi pengguna – Membantu pengguna dalam mengoperasikan sistem » Manual pengguna (user manual) » Manual pelatihan (training manual) » On-line help system

© 2010 – CHANDRA YULISTIA, CISA

24

Audit atas Manajemen Pengembangan Sistem 

Pengembangan 

Pengujian Pengembangan (Development Testing) 



Pengujian Unit (Unit Testing) –

Black Box Testing

–

White Box Testing

Pengujian Integrasi (Integration Testing)/Link Testing –

Kesalahan interface antar program

–

Ketidaksesuaian dengan spesifikasi

–

Tidak ada fungsi yang tidak dispesifikasikan yang bekerja

© 2010 – CHANDRA YULISTIA, CISA

25

Audit atas Manajemen Pengembangan Sistem 

Pengembangan 

Pengujian Operasional (Operational Testing) 



Pengujian Sistem (System Testing) –

Requirement testing

–

Usability testing

–

Security testing

Pengujian Kinerja (Performance Testing) –

Response time testing (average; minimum)

–

Volume testing/reliability testing/stress testing



Pengujian Dokumentasi (Documentation Testing)



Pengujian Penerimaan (Acceptance Testing) –

© 2010 – CHANDRA YULISTIA, CISA

Alpha; Beta

26

Audit atas Manajemen Pengembangan Sistem  Implementasi 

Migrasi dan Konversi  Instalasi Hardware  Instalasi Software  Konversi Data



Operasi dan pemeliharaan  Corrective – kekeliruan logik  Adaptive – perubahan dalam lingkungan sistem dan pengguna  Perfective – meningkatkan kinerja

© 2010 – CHANDRA YULISTIA, CISA

27

Audit atas Manajemen Pengembangan Sistem

Jenis Konversi

Lokasi Konversi

Modul Konversi

Karak Bertahap

Simultan

Seluruh Sistem

Modular

Rendah

Sedang

Tinggi

Tinggi

Sedang

Tinggi

Sedang

Sedang

Tinggi

Sedang

Tinggi

Panjang

Sedang

Panjang

Pendek

Pendek

Panjang

teristik

Langsung

Paralel

Resiko

Tinggi

Rendah

Biaya

Rendah

Waktu

Pendek

© 2010 – CHANDRA YULISTIA, CISA

Pilot

28

Audit atas Manajemen Pengembangan Sistem



Pendekatan Audit 

Concurrent Audit



Post Implementation Review



General Audit

© 2010 – CHANDRA YULISTIA, CISA

29

Audit atas Manajemen Pemrograman 

Planning 

PLANNING

Teknik estimasi biaya  Algorithmic Models   

CODING

CONTROLS

DESIGN

 

Design 





TESTING

Pendekatan desain berdasarkan bahasa pemrograman

Coding 



Tahapan Coding Strategi Coding

Testing  

Tahapan Pengujian Jenis Pengujian  Static Analysis Test

OPERATION & MAINTENANCE 

HIGH-QUALITY PROGRAMS



–

Desk Checking

–

Structured Walk-Through

–

Design & Code Inspections

Dynamic Analytic Test

– Black Box Testing – White Box Testing Operation & Maintenance

 

© 2010 – CHANDRA YULISTIA, CISA

Expert Judgment Analogy Top-down Estimation Bottom-up Estimation

Pemantauan kinerja Metode Pemeliharaan 30

Audit atas Manajemen Pemrograman



Kriteria Program 

Fungsionalitas





Interface pengguna Efektif Dokumentasi Pemeliharaan



Reliabilitas

 

© 2010 – CHANDRA YULISTIA, CISA

31

Audit atas Manajemen Pemrograman  Pengendalian

Pemrograman



Kapabilitas programer





Pemisahan fungsi Standar metode, kinerja dan dokumentasi Batasi kewenangan Sediakan log manual dan machine log



Reviu independen oleh konsultan atau uji silang secara berkala

 

© 2010 – CHANDRA YULISTIA, CISA

32

Audit atas Manajemen Pemrograman

Alat Bantu Pengendalian

PLANNING

 Progress

CODING

CONTROLS

DESIGN

TESTING

report & time table



Gantt Charts



PERT

 Pengendalian

akses untuk menjamin autentikasi, akurasi dan kelengkapan 

Program Library Software

OPERATION & MAINTENANCE

HIGH-QUALITY PROGRAMS

© 2010 – CHANDRA YULISTIA, CISA

33

Audit atas Manajemen Data 

Pentingnya Manajemen Data 

Sharability 





Setiap pengguna dapat mengakses dan menggunakan data pada setiap saat, dimanapun dan dalam form yang mereka inginkan

Konflik antar Pengguna

Evolvalibity 



Setiap pengguna berhak mengakses dan menggunakan data yang sama

Availability 

Sharing Sumber daya

Data dan definisi data dapat dimodifikasi untuk merespon kebutuhan stakeholder

Perlu Dilakukan Mediasi

Integrity 

Data harus otentik, akurat dan lengkap

Kompromi

© 2010 – CHANDRA YULISTIA, CISA

34

Audit atas Manajemen Data Data Administrator (DA) & Database Administrator (DBA) Fungsi

Tanggung Jawab DA

Tanggung Jawab DBA

Defining Data

Strategic data planning; determining user needs; specifying conceptual & external schema (user-oriented) definition

Specifying internal schema (computer oriented) definition

Creating Data

Specifying data collection procedures and validation & editing criteria

Preparing programs to create data; assistance in populating database

Redefining / Restructuring Data

Specifying new conceptual & external schema definition; advising user to conform with new definition

Specifying new internal schema definition; altering database to conform with new schema

Retiring Data

Specifying retirement policies

Implementing retirement schema

Making Database Available to Users

Determining end-user requirement for database tools, testing & evaluating end-user database tools

Determining programmer requirement for database tools; determining database optimization tools; testing & evaluating programmer & database optimization tools.

© 2010 – CHANDRA YULISTIA, CISA

35

Audit atas Manajemen Data Data Administrator (DA) & Database Administrator (DBA) Fungsi

Tanggung Jawab DA

Tanggung Jawab DBA

Informing & Servicing User

Answering end-user queries; educating end-user; establishing & promulgating high-level policy information; providing conceptual & external schema information

Answering programmer queries; educating programmers; establishing & promulgating low-level policy information; providing internal schema information

Maintaining Database Integrity

Developing and promulgating organization-wide standards; assisting end-user to formulate application controls

Implementing database controls; assisting programmers to design & implement application controls

Monitoring Operations

Monitoring end-user patterns of database use

Monitoring programmer patterns of database use; collecting performance statistic; tuning the database

© 2010 – CHANDRA YULISTIA, CISA

36

Audit atas Manajemen Data Database Definition – Schemas & Mapping

Individual user view of the database

Total logical view of the database

Total storage structure of the database

Instances of the database definition

© 2010 – CHANDRA YULISTIA, CISA

External Schema 1

External Schema 2

External Schema 3

Conceptual Schema

Internal Schema

Stored Database

37

Audit atas Manajemen Data External Schema

Person (empno)

belongs to

Dept. (depno)

has

Person (empno)

has

paid to

Salary

Conceptual Schema

Dept. (depno)

has

belongs to

Person (empno)

has

paid to

Salary

Internal Schema

© 2010 – CHANDRA YULISTIA, CISA

Person (empno)

Dept. (depno)

10 character

6 character

Salary 12 numeric 38

Audit atas Manajemen Data Pengendalian atas integritas database: o o o o

o o

Pengendalian definisi Pengendalian eksistensi Pengendalian akses Pengendalian update Pengendalian concurrency Pengendalian kualitas

© 2010 – CHANDRA YULISTIA, CISA

39

Audit atas Operasi dan Layanan TI

Audit atas Manajemen Kualitas Mengapa Perlu Quality Assurance ? 

Safety-critical systems



Tuntutan untuk perangkat lunak yang berkualitas tinggi



Kelangsungan perusahaan yang bergerak di bidang pengembangan perangkat lunak



Tingginya biaya akibat tidak memadainya kelemahan pengendalian atas produksi, implementasi, operasi dan pemeliharaan perangkat lunak



Tren yang diterima luas di dunia dalam peningkatan kualitas jasa dan produk yang dijual

© 2010 – CHANDRA YULISTIA, CISA

41

Audit atas Manajemen Kualitas



Fungsi Quality Assurance 

Menetapkan sasaran kualitas bagi fungsi sistem informasi



Mengembangkan, menyebarluaskan, dan memelihara standar kualitas sistem informasi Memonitor pemenuhan terhadap standar kualitas sistem informasi Memberikan pelatihan kepada personil sistem informasi

 

© 2010 – CHANDRA YULISTIA, CISA

42

Audit atas Manajemen Kualitas 

Karakteristik Kualitas Software – ISO 9126 Karakteristik

Uraian

Functionality

Extent to which the software contains the functions needed to satisfy user needs

Reliability

Extent to which the software sustains its level of performance under stated conditions for some defined time period

Usability

Level of effort needed for user to exploit the functionality of the software

Efficiency

Level of resources consumed by the software to perform its functions

Maintainability

Level of effort needed to modify the software

Portability

Extent to which software can be transferred from one hardware/software platform to another

© 2010 – CHANDRA YULISTIA, CISA

43

Audit atas Manajemen Kualitas Proses Pengembangan Standar

Best Practices

National Standards

International Standards

Capability Maturity Model (CMM)

Level 5 - Optimized

• Best practice pursued

Level 4 - Managed

Organization-wide Information System Standards

• Continuous process improvement

• Quantitative quality goals • Quality and productivity measured

Level 3 - Defined

• Documented processes • Processes tailored to specific project

Project-based Information System Standards

Level 2 - Repeatable

• Basic project mgmt controls • Disciplined process

Level 1 - Initial

• Unstable software environment • Reliance on key personnel

© 2010 – CHANDRA YULISTIA, CISA

44

Audit atas Manajemen Operasi 

Computer Operation Controls 

Operation Controls 



Scheduling Controls 



Menentukan urutan dan jadual pekerjaan dalam platform hardware atau software

Maintenance Controls 



Menentukan fungsi yang harus dilakukan oleh operator dan otomasi

Menentukan bagaimana hardware dipelihara dalam urutan operasi

Network Operation Controls 

LAN : Physical & Logical Barriers



WAN : Network Control Terminal (NCT)

© 2010 – CHANDRA YULISTIA, CISA

45

Audit atas Manajemen Operasi LAN Controls

Physical Barrier

File Server

Workstation

© 2010 – CHANDRA YULISTIA, CISA

46

Audit atas Manajemen Operasi WAN Controls

Network Control Terminal N.C.T

© 2010 – CHANDRA YULISTIA, CISA

47

Audit atas Manajemen Operasi 

Data Preparation and Entry   



Desain dokumen sumber Penyimpanan dokumen sumber Desain screen input Desain area entri data    



Pencahayaan pada area keyboard Akustik pada lingkungan kerja Layout lingkungan kerja Desain ergonomik perlengkapan kantor

Production Controls 

Penerimaan dan pengiriman input dan output 



Penjadualan kerja 



Service level, Pinalti

Harga transfer 



Manual atau otomatis

Kesepakatan tingkat layanan dengan pengguna 



Kertas & elektronik

Billing & collection

Akuisisi perlengkapan komputer 

Kertas printer, diskette, tape magnetik, toner cartridges dll

© 2010 – CHANDRA YULISTIA, CISA

48

Audit atas Manajemen Operasi 

File Library    



Documentation and Program Library  



Penyimpanan media Penggunaan media Pemeliharaan dan penghancuran media Lokasi media

Mengelola dokumentasi sistem Mengelola persediaan perangkat lunak

Help Desk/Technical Support 

Inventory, logging, dan reporting

© 2010 – CHANDRA YULISTIA, CISA

49

Audit atas Manajemen Operasi 



Capacity Planning and Performance Monitoring 

Apakah ada aktivitas yang tidak terotorisasi



Apakah kinerja sistem pada tingkatan yang dapat diterima



Kebutuhan perangkat keras dan perangkat lunak

Management of Outsourced Operations 

Evaluasi terus menerus atas kemampuan finansial vendor



Memastikan ketaatan kepada kontrak



Memastikan secara terus menerus pengendalian yang memadai atas operasi vendor



Memelihara prosedur disaster recovery dengan vendor

© 2010 – CHANDRA YULISTIA, CISA

50

Audit atas Keamanan TI 

Aset dinyatakan secure apabila kerugian yang diperkirakan akan terjadi akibat kemungkinan ancaman dalam batas waktu tertentu masih dalam tingkat yang dapat diterima

Physical

Personnel

Mainframes, minis, micros

Hardware

Peripherals online/offline

Facilities

Storage media

Documentation

Asset

Supplies Data/Information System

Logical

Software

© 2010 – CHANDRA YULISTIA, CISA

Application

51

Audit atas Keamanan TI Implementasi Manajemen Keamanan TI Prepare Project Plan

Identify Assets

Value Assets

Identify Threats

Objectives

Personnel

Who Values

Source

Scope

Hardware

How Lost

Internal

Tasks

Facilities

Loss Period

External

Team

Document

Asset Age

Nature

Budget

Supplies

Accidental

Schedule

Data and Information

Deliberate

Applications Software Systems Software

Probability Asses Adjust of threats Exposure Controls

Statistical History

Identify current controls

Estimation : Managements Users

Asses the reliability of controls

Prepare Security Report

Is exposure level is still acceptable Identify new controls

IT Functions Evaluate the probability that a threat will successful

Controls Adjustment

Assess the resulting loss

© 2010 – CHANDRA YULISTIA, CISA

52

Audit atas Keamanan TI 

Jenis-jenis Ancaman Keamanan TI

Water Damage

Fire Damage

Hacking Virus & Worms

Energy Variations

Misuse of Software Data & Services

Structural Damage Pollution

© 2010 – CHANDRA YULISTIA, CISA

Unauthorized Intrusion

53

Audit atas Keamanan TI Mekanisme Pengendalian Akses Access Control Data

User X

User X

Name & Account Number

Access Control Mechanism

Identified User

Identification Data

Identification Process

Password ; Card/Key ; Biometrics

Access Control Mechanism

Valid / Invalid User

Authentication Data

Permitted / Denied Actions

Authorization Data

User X Authentication Process

Resources Action

Access Control Mechanism

User X Authorization Process © 2010 – CHANDRA YULISTIA, CISA

54

Audit atas Keamanan TI 



Disaster Recovery Plan 

Emergency Plan



Backup Plan 

Cold Site

 Hanya fasilitas, tanpa hardware & software



Hot Site

 Semua hardware & software, data, perlengkapan



Warm Site

 Fasilitas dan sejumlah hardware utama



Reciprocal

 Pertukaran antara dua atau lebih organisasi



Recovery Plan



Test Plan

Asuransi

© 2010 – CHANDRA YULISTIA, CISA

55

Audit atas Keamanan TI 

Komponen Disaster Recovery Plan

Emergency Plan

Test Plan

Disaster Recovery Plan

Back-up Plan

Recovery Plan

© 2010 – CHANDRA YULISTIA, CISA

56