AUDIT
TEKNOLOGI SISTEM INFORMASI
Chapther
9 Auditing Database
Kelompok 4
Anggota:
1.
Birgita
Juliana 12114201
2.
Cynthia
Fega P 12114473
3.
Novy
Hafsari 14114104
4.
Risma
Putri Fitrianti 19114514
5.
Rosyi
Nurul Fatihah 19114822
6.
Tytha
Chairunnisa 1A114915
Kelas 4KA41
Universitas
Gunadarma
Karawaci
1.
TEORI
DAN KONSEP AUDITING
Teori dapat di klasifikasikan berdasarkan sifat menjadi
dua, yaitu teori normatif, danteori deskriptif. Teori normatif merupakan
teori yang seharusnya di laksanakan. Teorideskriptif merupakan teori yang
sesungguhnya di laksanakan. Tidak seperti pada akuntansi, pada auditing tidak
banyak orang yang berbicaratentang teori auditing sebagai lawan kata praktik
auditing. Pada umumnya, orangmenganggap auditing hanya suatu rangkaian
prosedur, metode dan teknik. Auditing tidaklebih dari pada sekedar suatu cara
untuk melakukan sesuatu dengan sedikit penjelasan, uraian, rekonsiliasi, dan
argumentasi. Meskipun demikian, telah di coba untuk meyakinkan perlunya suatu teori normatif pada auditing.
Professor R. K. Mautz dan H. A. Sh
raf dengan bukunya “ The Philosophy of Auditing “, merupakan
tokoh pertama yang melakukan usaha tersebut.Profesor C. W. Schandl pada tahun 1978 yang mengembangkan pemikiran dari Mautz
dan Sharaf, mengemukakan elemen-elemen dasar teori adalah sebagai berikut
:
1.
Postulat
yaitu: Konsep dasar yang harus diterima tanpa perlu pembuktian. Sebagaisyarat
penting dalam pengembangan disiplin, tidak perlu di periksa kebenaranyalagi,
sebagai dasar pengambil kesimpulan,sebagai dasar membangun struktur teoridan
bisa juga dimodifikasi sesuai perkembangan ilmu pengetahuan.
2.
Teori
yaitu : Dalil yang diterangkan oleh postulat.
3.
Struktur
yaitu : Komponen disiplin tertentu dan hubungan antar komponen tersebut.
4.
Prinsip
yaitu : Kaidah-kaidah yang diterapkan dalam praktik
5.
Standar
yaitu : Kualitas yang ditetapkan dalam hubungannya dengan praktik.
Menurut Lee dalam bukunya Corporate
Audit Theory ada tiga kelompok postulat sebagai dasar teori dalam
auditing yaitu :
1.
Postulat yang berkaitan dengan
aspek keberadaan audit.
2.
Postulat yang berfokus pada
tindakan auditor dan aspek perilaku.
3.
Postulat yang berfokus pada
prosedur audit atau fungsional audit.
Teori
Auditing merupakan tuntunan untuk
melaksanakan audit yang bersifatnormatif. Konsep adalah abstraksi-abstraksi
yang diturunkan dari pengalaman danobservasi, dan dirancang untuk memahami
kesamaan-kesamaan di dalam suatu subyek, dan perbedaan perbedaannya dengan subyek yang lain. Standar Auditing adalah pengukurkualitas
dan tujuan sehingga jarang berubah. sedangkan Prosedur Audit adalah
metode-metode atau teknik teknik rinci untuk melaksanakan standar, sehingga
prosedur akan berubah bila lingkungan auditnya berubah.
Menurut Mautz dan Sharaf teori auditing tersusun atas
lima konsep dasar,yaitu:
1.
Bukti Tujuan memperoleh dan mengevaluasi bukti adalah untuk memperoleh
pengertiansebagai dasar untuk memberikan kesimpulan atas pemeriksaan yang di
tuangkan
dalam pendapat auditor. Secara umum usaha untuk memperoleh bukti dilakukan dengan cara ,yaitu
:
a)
Authoritarianisme, Bukti
diperoleh berdasar informasi dari pihak lain. Misalnyaketerangan lisan
manajemen dan karyawan, dan pihak luar lainnya, sertaketerangan lisan tertulis
berupa doklumen.
b)
Mistikisme, Bukti dihasilkan
dari intuisi. Misalnya pemeriksaan buku besar, dan penelaahan terhadap
keterangan dari pihak luar.
c)
Rasionalisasi, Merupakan
pemikiran asumsi yang diterima.
Misalnya penghitungan kembalioleh auditor, dan pengamatan terhadap pengendalianintern.
d)
Emperikisme, Merupakan
pengalaman yang sering terjadi. Misalnya perhitungan dan pengujian secara
fisik.
e)
Pragmatisme, Merupakan hasil
praktik. Misalnya kejadian setelah tanggalselesainya pekerjaan lapangan.
2. Kehati-hatian dalam pemeriksaan (due care)
Artinya melakukan pekerjaan dengan sangat hati-hati dan selalu
mengindahkannorma-norma profesi dan norma moral yang berlaku. Konsep
kehati-hatian yang diharapkan auditor yang bertanggung jawab. Dalam auditing
tersebut sebagai prudent auditor. Tanggung jawab yang di maksud
adalah tanggung jawab profesional dalam melaksanakantugasnya. Konsep ini lebih
di kenal dengan konsep konservatif.
3. Penyajian atau pengungkapan
yang wajar.
Konsep ini menuntut adanya informasi laporan keuangan yang bebas
(tidakmemihak), tidak bias, dan mencerminkan posisi keuangan,hasil operasi, dan
aliran kas perusahaan. Konsep ini dijabarkan lagi dalam 3 sub konsep,
yaitu :
·
Accounting Propriety :
berhubungan dengan penerapan prinsip akuntansitertentu dalam kondisi tertentu.
·
Adequate Disclosure : berkaitan
dengan jumlah dan luas pengungkapan atau penyajian informasi
·
Audit Obligation : berkaitan
dengan kewajiban auditor untuk independen dalammemberikan pendapat.
1.
Independensi
Merupakan suatu sikap mental yang di miliki auditor untuk tidak
memihak dalammelakukan audit. Masyarakat pengguna jasa audit memandang bahwa
auditor akan independen terhadap laporan keuangan yang di periksa dan pembuat
dan pemakai laporan keuangan. Jika posisi auditor terhadap kedua hal tersebut
tidak independen maka hasil kerjaauditor menjadi tidak berarti sama sekali.
2.
Etika perilaku dalam auditing
berkaitan dengan perilaku yang ideal seorang auditor profesional yang
independen dalam melaksanakan audit.
2.
PROSES AUDIT
Dalam tahapan Risk Based Audit
terdapat pada individual Audit. Dalam Individual audit terdapat tahap
pelaksanaan AIBR yang merupakan tahapan lanjutan dari tahap perencanaan. Tahap
ini merupakan tahap perkerjaan lapangan (field work) berupa audit individual
atas Unit Layak Audit (ULA).
Tahapan
Individual Audit, yaitu:
Dalam tahap ini auditor
melakukan perkenalan kepada perusahaan dan indutri klien.Proses pengenalan dan
pengenalan bisa dilakukan dengan meeting dengan klien, diskusi vis telepon,
melakukan riset mengenai industry, internal meeting dengan tim dan sebagainya.
Tahap penting yang dilakukan di dalam tahap ini adalah penetuan materialistis.
Secara sederhan meterialitas dapat dijelaskan sebagai besarnya penyimpangan
dalam informasi akuntasi yang mana dalam kondisi tertentu bisa membuat pengguna
laporan keuangan mengubah atau mempengaruhi pendapatnya jika penyimpangan
tersebut diketahuinya. Tahapan dalam tahap perencanaan.
a.
Penetapan
tujuan dan lingkup penugasan
b.
Pemahaman
audit
c.
Identifikasi
dan penilaian risiko
d.
Identifikasi
pengendalian kunci
e.
Evaluasi
pengendalian
f.
Penyusunan
rencana pengujian
g.
Penyusunan
program audit
h.
Pengalokasian
sumber daya
Pada tahap ini auditor
mengumpulkan informasi dan bukti-bukti yang kuat untuk melakukan prosedur
audit. Pengumpulan infromasi dapat dilakukan melalui diskusi dengan klien,
pengumpulan dan pengecekan data hardcopy dan softcopy dari klien dan
sebagainya. Bilamana terdapat finding yang membutuhkan koreksi dalam buku, maka
perlu didiskusikan pada klien. Tahapan pada tahap pelaksanaan :
a.
Pengujian
dan pengumpulan bukti
b.
Evaluasi
bukti dan pengambilan kesimpulan
c.
Pengembangan
temuan dan rekomendasi
Pada tahap ini
dikumpulkan dan didapatkanlah Trial Balance per audit. Auditor memberikan
sebuah laporan finding finding ( misalkan mengenai design internal control yang
kurang baik) dan memberikan rekomendasi
kepada klien bagaimana memperbaikinya. Tahapan dalam tahap pelaporan :
a.
Penyampaian
simpulan sementara
b.
Penyusunan
laporan
c.
Distribusi
laporan
d.
Monitoring
tindak lanjut
3. TEKNIK
AUDIT DATABASE
Dalam teknik audit
database ini membahas bagaimana melakukan audit pada komponen
berikut yang mempengaruhi operasional keamanan penyimpanan data, seperti
:
- ·
Perizinan database
- ·
Keamanan sistem operasi
- ·
Fitur kekuatan dan manajemen kata sandi
- ·
Aktivitas pemantauan
- ·
Database enkripsi
- ·
Database kerentanan, integritas, dan proses patching
v
Database Audit Essentials
Untuk
mengaudit database secara efektif, memerlukan pemahaman dasar tentang bagaimana
sebuah database bekerja. Pada awal tahun 1990an, aplikasi ditulis menggunakan
model client-server, yang terdiri dari sebuah program desktop yang
menghubungkan melalui jaringan langsung ke database back end. Ini disebut
sebagai aplikasi two-tier. Pada akhir 1990an, aplikasi tiga tingkat menjadi
norma. Model baru ini terdiri dari browser web yang terhubung ke aplikasi
web tingkat menengah. Tingkat menengah kemudian dihubungkan dengan database
backend. Aplikasi tiga tingkat merupakan langkah maju yang bagus. Ini berarti
bahwa perangkat lunak khusus tidak perlu diinstal pada setiap workstation
klien, dan pembaruan perangkat lunak dapat diterapkan ke server
pusat. Klien bisa menjalankan sistem operasi yang mendukung browser dasar.
Selain itu, dalam model tiga tingkat, mengamankan database jauh lebih
sederhana.
Vendor
Database Umum
Biasanya,
keterlibatan audit akan berfokus pada satu atau dua vendor database, seperti
Oracle atau DB2. Namun, organisasi berukuran sedang atau besar biasanya akan
menggunakan contoh dari banyak platform database yang berbeda.
·
Oracle
·
IBM
·
Mysql
·
Sybase
·
Miscrosoft
F File
program
Database
diimplementasikan sebagai sistem perangkat lunak, dan karena itu, ini terdiri
dari seperangkat file sistem operasi inti. File-file ini termasuk file
executable yang akan menjalankan sistem manajemen basis data. Ini juga mungkin
berisi file program lain yang tidak dapat dieksekusi seperti file bantuan,
sumber dan file include, file sampel, dan file penginstalan.
Configuration Values
Database sangat
bergantung pada pengaturan konfigurasi untuk menentukan bagaimana sistem
beroperasi.
Nilai konfigurasi berada di berbagai
tempat, termasuk yang berikut ini:
- ·
Pada file teks sistem operasi
- ·
Dalam file data
- ·
Pada Windows, tersimpan dalam registri
- ·
Di variabel lingkungan
Nilai konfigurasi digunakan untuk
berbagai pengaturan, seperti ini:
- ·
Menetapkan jenis otentikasi atau model kepercayaan
- ·
Menetapkan kelompok mana yang merupakan administrator
basis data
- ·
Menentukan fitur manajemen password
- ·
Menentukan mekanisme enkripsi yang digunakan oleh
database
Memverifikasi
integritas nilai konfigurasi merupakan komponen penting dari audit apapun.
Data File
Database perlu menyimpan data yang mereka pegang dalam file sistem operasi
fisik yang typically terdiri dari serangkaian file. Format file biasanya milik,
dan file data
berisi informasi seperti berikut ini:
• Data disimpan
• Pointer dari satu bidang ke bidang berikutnya atau dari satu baris ke baris
berikutnya
• Indeks data, termasuk petunjuk dari indeks ke data fisik
Client/Network
Libraries
Komponen penting dari setiap sistem
database adalah klien. Biasanya, kliennya adalah terletak pada
sistem remote dari database. Klien juga bisa terhubung dari lokal sistem, yang sering
terjadi dengan proses batch.
Agar klien dapat terhubung ke database, perpustakaan klien atau driver
diperlukan pada mesin klien Ini
biasanya terdiri dari satu set executable seperti DLL dan
objek bersama, serta API yang dapat digunakan klien untuk terhubung ke
database. Perpustakaan klien sulit untuk dilindungi karena biasanya ada pada
sistem jarak jauh dimana kontrol akses jauh lebih sulit untuk
dipelihara. Namun, sangat penting untuk menjaga integritas driver klien di
lokasi dari tempat administrator atau pengguna biasa sekalipun akan
terhubung.
Salah satu kelemahan dalam model keamanan
adalah integritas perpustakaan klien. Jika driver klien bisa dimanipulasi,
kredensial bisa dicuri dengan cukup mudah. Klien driver dapat trojaned, atau
bahkan sesuatu yang sederhana seperti keyboard logger pada sistem klien dapat
menyebabkan kompromi database.
Sistem
Backup / Restore
Backup
adalah bagian yang sangat penting dari setiap platform database. Kegagalan
dalam beberapa component database bukan pertanyaan jika tapi kapan. Backup
berisi salinan database. Cadangan bisa ke file terpisah, ke tape, atau ke
fasilitas penyimpanan lain. Data yang biasa dicuri, hilang, atau bocor melalui
fasilitas backup. Backup seringkali dijamin dengan mengenkripsi data karena
ditulis ke file atau dengan mengenkripsi keseluruhan file setelah ditulis.
Pernyataan
SQL
Pernyataan
SQL digunakan untuk menarik data dari database. SQL dibangun di sekitar
empat pernyataan inti:
• SELECT, menampilkan subset data dari sebuah
tabel
• INSERT, tambahkan data baru ke sebuah tabel
• UPDATE, mengubah data yang ada dalam sebuah
tabel
• DELETE, menghapus subset data dari sebuah
tabel
Objek Database
• Tabel,
menyimpan deretan data dalam satu atau lebih kolom.
• View,
pernyataan SELECT di atas tabel atau tampilan lain yang dibuat meja virtual. Tampilan bisa mengubah nomor
atau urutan kolom, bisa di panggil
fungsi, dan bisa memanipulasi data dengan berbagai cara.
• Stored
procedure / function, kode prosedural yang bisa dipanggil untuk dieksekusi
fungsionalitas kompleks dalam database.
Fungsi mengembalikan nilai. Prosedur
jangan mengembalikan nilai Prosedur tersimpan sangat efisien untuk akses
data.
• Trigger,
kode prosedural yang dipanggil saat tabel dimodifikasi. Dapat digunakan untuk
melakukan tindakan apapun, termasuk modifikasi pada tabel lainnya, bila ada
data berubah.
• Indeks,
mekanisme untuk menyediakan
pencarian data dengan cepat. Indeks itu rumit objek, dan tuning yang tepat
sangat penting untuk kinerja database.
Kamus Data
Database menyimpan metadata tentang
dirinya sendiri, disebut kamus data atau kadang-kadang tabel sistem. Metadata
memberitahu database tentang konfigurasi, setup, dan objeknya sendiri. Format
kamus data bersifat statis. Metadata dalam kamus data dirancang untuk
dimanipulasi.
v
Langkah Uji untuk Mengaudit Database
Sebelum
melakukan audit, diperlukan beberapa alat dasar yaitu harus memiliki daftar
periksa item yang perlu diverifikasi. Mulailah dengan bertemu dan berdiskusi
dengan administrator database (DBA). Jelas, DBA tidak akan senang dengan
gagasan untuk diaudit. Oleh karena itu, lakukan yang terbaik untuk mendekati
DBA dengan cara sesantai mungkin. Pastikan DBA mengerti bahwa Anda ada untuk
membantu, tidak menghalangi, pekerjaannya.
Kita
akan menemukan dorongan balik pada apapun yang anda inginkan, bahkan dengan
kemungkinan mempengaruhi ketersediaan database. Pertama kali Anda sebagai
auditor menurunkan database, pekerjaan anda menjadi jauh lebih sulit.
Bersiaplah
untuk mengoptimalkan waktu saat akan mengakses sistem. Pastikan bahwa akun yang
diberikan pada sistem berjalan hanya dengan izin yang dibutuhkan. Segera
setelah selesai dengan pekerjaan apa pun, mintalah DBA mengunci akun tersebut.
Jangan hapus akun, cukup kunci sampai selesai melakukan audit secara
resmi. Kemudian, jika perlu mengumpulkan lebih banyak informasi, DBA hanya
bisa membuka akun daripada menciptakannya kembali.
Dengan
menunjukkan DBA tingkat kewaspadaan ini dengan database, dia akan memberi izin
profesional untuk melakukan pekerjaan kita. Berselisih dengan DBA dapat
menghasilkan audit yang memberikan sedikit nilai bagi organisasi.
Setelah
dilengkapi dengan beberapa latar belakang tentang database, kami memerlukan
sebuah rencana untuk melakukan audit. Banyak langkah yang tercakup di sini
hampir sama dengan langkah-langkah yang akan Anda lakukan pada sistem operasi
atau audit jaringan, namun harus ditempatkan dalam konteks basis data. Beberapa
langkah unik untuk database :
Setup
dan General Controls
1. Dapatkan versi database dan
bandingkan dengan persyaratan kebijakan perusahaan kita. Pastikan database
menjalankan versi perangkat lunak database yang terus didukung vendor.
2. Verifikasi bahwa kebijakan dan
prosedur diterapkan untuk mengidentifikasi kapan patch tersedia dan untuk
menerapkan patch. Pastikan semua tambalan yang disetujui dipasang sesuai dengan
kebijakan pengelolaan basis data Anda.
3. Tentukan apakah sebuah standar
build tersedia untuk yang baru sistem database dan apakah baseline tersebut
memiliki pengaturan keamanan yang memadai.
Keamanan
Sistem Operasi
Database
yang tidak aman bisa digunakan untuk masuk ke sistem operasi. Sebaliknya,
sistem operasi yang tidak aman bisa digunakan untuk masuk ke
database. Mengunci satu tetapi tidak dengan kegagalan yang lain untuk
memberikan keamanan yang tepat . Namun, database harus mendapatkan yang paling
fokus karena database adalah target yang paling "berharga" di
jaringan.
4. Pastikan akses ke sistem operasi
dibatasi dengan benar.
5. Pastikan bahwa perizinan pada
direktori tempat database terinstal, dan file database itu sendiri dibatasi
dengan benar.
6. Pastikan bahwa hak akses pada kunci
registri yang digunakan oleh database dibatasi dengan benar.
Manajemen Akun dan Perizinan
Manajemen
akun sulit pada level apapun hanya karena harus menyediakan dan menghapus
pengguna pada waktu yang tepat. Menambahkan kompleksitas database, dan
pembuatan akun, manajemen, otentikasi, otorisasi, dan audit bisa menjadi hal
yang sulit. Tantangan mengelola akun ditambah dengan risiko inheren dari
data sensitif yang biasanya tersimpan dalam database membuat bagian audit ini
sangat penting.
7.
Meninjau dan mengevaluasi prosedur untuk membuat akun pengguna dan memastikan
bahwa akun dibuat hanya dengan kebutuhan bisnis yang sah. Juga meninjau dan
mengevaluasi proses untuk memastikan bahwa akun pengguna dihapus atau
dinonaktifkan secara tepat waktu jika terjadi penghentian atau perubahan
pekerjaan.
Kekuatan
Password dan Fitur Manajemen
Banyak
platform database mempertahankan setting autentikasi mereka sendiri. Pastikan
bahwa lulus kata-kata dan mekanisme otentikasi tidak menjadi link lemah dalam
rantai. Menggunakan keamanan operasi terpadu untuk platform database mana
pun memiliki banyak pro dan kontra.
Kelebihannya adalah sebagai berikut:
· Otentikasi
sistem operasi biasanya lebih kuat daripada database otentikasi.
· Otentikasi
sistem operasi biasanya mencakup lebih banyak kata sandi fitur manajemen
·
Fitur
manajemen password lebih mungkin diterapkan di tingkat sistem operasi.
Kontra adalah sebagai berikut:
- · Otentikasi
ada di luar tangan DBA.
- · Pengguna
dengan akun sistem operasi dapat mengakses sistem operasi database jika tidak
dikonfigurasi dengan benar.
8. Periksa nama pengguna dan kata
sandi default.
9. Periksa password yang mudah
ditebak.
10. Periksa kemampuan manajemen
password yang diaktifkan.
Tinjau
Keistimewaan Database (Review Database Privilege)
Hak istimewa database sedikit berbeda
dengan hak akses sistem operasi. Keistimewaan dikelola dengan menggunakan
pernyataan GRANT dan REVOKE. Pernyataan GRANT dapat digunakan secara
selektif untuk memberikan izin, seperti SELECT, UPDATE, DELETE, atau EXECUTE.
11. Verifikasi bahwa hak akses
database diberikan atau dicabut dengan tepat untuk tingkat otorisasi yang
diperlukan.
12. Tinjau kembali perizinan database
yang diberikan kepada individu dan bukan kelompok atau peran.
13. Pastikan bahwa hak akses database
tidak secara implisit diberikan secara tidak benar.
14. Meninjau SQL dinamis yang
dijalankan dalam prosedur tersimpan.
15. Pastikan akses tingkat baris ke
data tabel benar dilaksanakan.
16. Cabut izin PUBLIK jika tidak
diperlukan.
Enkripsi
data
Enkripsi data diterapkan pada tiga
area yang berbeda, atau negara bagian. Data bergerak menggambarkan data dalam
transit di seluruh jaringan dan sering dienkripsi menggunakan protokol seperti
Secure Sockets Layer (SSL).
17. Pastikan enkripsi jaringan
diimplementasikan.
18. Verifikasi bahwa enkripsi data saat
istirahat diterapkan bila sesuai.
19. Verifikasi penggunaan audit
database dan pemantauan aktivitas yang sesuai.
20. Mengevaluasi bagaimana kapasitas
dikelola untuk lingkungan database untuk mendukung kebutuhan bisnis yang ada
dan yang diantisipasi.
21. Mengevaluasi bagaimana kinerja
dikelola dan dipantau untuk lingkungan database untuk mendukung kebutuhan
bisnis yang ada dan yang diantisipasi.
Alat
dan Teknologi
Meskipun dapat melakukan sebagian
besar audit menggunakan metode manual, tetapi akan sering merasa terbantu untuk
menggunakan seperangkat alat untuk melakukan tugas berulang atau teknis. Alat
audit dan pemantauan dapat menyediakan bahan baku yang perlu dianalisis dan
interpretasikan. Ini adalah nilai tambah yang dimiliki oleh seorang auditor saat
menggunakan salah satu alat ini.
Auditing
Tools
Alat berguna untuk mencari celah dan
celah. Dua perspektif tentang pemindaian database untuk kerentanan dan tambalan
biasa terjadi : mencari dan mendokumentasikan sebanyak mungkin kerentanan, dan
untuk mengurangi kerentanan malah berfokus pada tambalan apa yang telah
diinstal. Pada akhir hari, perlu tahu patch apa yang belum diterapkan dan
perlu mengidentifikasi kerentanan kritis dan konfigurasi yang salah.
Monitoring
Tools
Banyak
alat dirancang untuk membantu memantau aktivitas basis data. Sebagai auditor,
memiliki pengaruh atas penggunaan alat ini untuk mencatat dan mendeteksi akses
tidak sah atau berbahaya ke data sensitif. Perlu menentukan peraturan apa yang
berlaku untuk database dan kemudian menerjemahkannya ke dalam item tertentu
yang dapat diimplementasikan sebagai audit asli atau pemantauan aktivitas yang
lebih mendalam.
Solusi pemantauan basis data mencakup
pendekatan yang memonitor database dengan cara melihat jaringan atau dengan
menggunakan klien yang terinstal di host. Beberapa solusi pemindaian
menggunakan pendekatan hibrida yang menggabungkan kedua metode ini.
Master
Checklist
Berikut langkah-langkah yang tercantum
di sini untuk mengaudit database.
Auditing
Database
Daftar Periksa untuk Database Audit
❑ 1. Dapatkan
versi database dan bandingkan dengan persyaratan kebijakan. Verifikasi bahwa
database menjalankan versi yang terus didukung vendor.
❑
2. Verifikasi bahwa kebijakan dan prosedur tersedia untuk mengidentifikasi
kapan tersedia patch dan untuk menerapkan patch. Pastikan semua tambalan yang
disetujui dipasang sesuai database Anda kebijakan manajemen
❑ 3. Tentukan
apakah standar build tersedia untuk sistem database baru dan apakahbaseline itu
memiliki pengaturan keamanan yang memadai.
❑ 4. Pastikan
akses ke sistem operasi dibatasi dengan benar.
❑ 5. Pastikan hak
akses pada direktori tempat database terinstal, dan file database itu sendiri,
benar dibatasi
❑ 6. Pastikan hak
akses pada kunci registri yang digunakan oleh database benar terbatas.
Daftar
Periksa untuk Database Audit
❑ 7. Mengkaji dan
mengevaluasi prosedur pembuatan akun pengguna dan memastikan akun tersebut
hanya dibuat bila ada kebutuhan bisnis yang sah. Juga tinjau dan evaluasi
proses untuk memastikan bahwa akun dihapus atau dinonaktifkan secara tepat
waktu di acara penghentian atau perubahan pekerjaan.
❑ 8. Periksa nama
pengguna dan kata sandi default.
❑ 9. Periksa
password yang mudah ditebak.
❑ 10. Periksa
kemampuan manajemen password yang diaktifkan.
❑11. Verifikasi
bahwa hak akses database diberikan atau dicabut secara tepat untuk tingkat
otorisasi yang dibutuhkan
❑12. Tinjau
kembali perizinan database yang diberikan kepada individu dan bukan kelompok
atau peran.
❑ 13. Pastikan hak
akses database tidak diberikan secara implisit.
❑ 14. Tinjau ulang
SQL dinamis yang dieksekusi dalam prosedur tersimpan.
❑ 15. Pastikan bahwa
akses tingkat tinggi ke data tabel diimplementasikan dengan benar.
❑ 16. Cabut izin
PUBLIK jika tidak diperlukan.
❑ 17. Pastikan
enkripsi jaringan diimplementasikan.
❑ 18. Pastikan
enkripsi data saat istirahat diterapkan jika sesuai.
❑ 19. Verifikasi
penggunaan audit database dan pemantauan aktivitas yang sesuai.
❑ 20. Mengevaluasi bagaimana kapasitas dikelola untuk
lingkungan database untuk mendukung yang ada dan persyaratan bisnis yang
diantisipasi.
❑ 21. Mengevaluasi
bagaimana kinerja dikelola dan dimonitor untuk lingkungan database untuk
mendukung kebutuhan bisnis yang ada dan yang diantisipasi.
4
REGULASI
Komunitas bisnis global terus
mendorong peraturan dan undang-undang baru yang mempengaruhi dan meningkatkan
tanggung jawab perusahaan untuk pengendalian internal.
Kelompok
audit internal dan eksternal ditugaskan untuk meninjau proses bisnis dan
prosedur untuk memastikan pengendalian yang tepat ada yang melindungi
kepentingan bisnis dan konsumen. Sifat global bisnis dan teknologi mendorong
kebutuhan akan standar dan peraturan yang mengatur bagaimana perusahaan bekerja
sama dan bagaimana informasi dibagi. Kemitraan strategis dan kolaboratif telah
berevolusi dengan badan-badan seperti International Organization of
Standardization (ISO), International Electrotechnical Commission (IEC),
International Telecommunication Union (ITU), dan Organisasi Perdagangan Dunia
(WTO). Partisipasi dalam badan standar ini bersifat sukarela, dengan tujuan
bersama untuk mempromosikan perdagangan global untuk semua negara.
Bangsa, industri, dan
perusahaan memiliki kekhawatiran tentang kerahasiaan, integritas, dan
ketersediaan informasi mereka. Standar dan undang- metode yang memastikan
kekhawatiran undang adalah dua ini terpenuhi.
Dampak
Regulatory terhadap Audit TI
Pertimbangkan
Rantai Nilai Porter yang ditunjukkan pada Gambar 17-1. Masing-masing komponen
fungsional bisnis saat ini terus menarik tuntutan kemitraan yang lebih tinggi
pada organisasi TI untuk mendukung proses bisnis. Hubungan saling terkait
antara kontrol TI dan fungsi bisnis pendukungnya telah menciptakan usaha besar
untuk mengikat kontrol TI tertentu terhadap proses bisnis yang ada dan yang
baru. Upaya tersebut terdiri dari pembuat undang-undang yang berusaha
melindungi konsumen, layanan keuangan yang berusaha melindungi aset mereka,
membantu penjual mencoba menjual lebih banyak produk, dan bisnis yang berusaha
mematuhi persyaratan yang tampaknya berkembang dan tidak konsisten.
Asosiasi
Internasional Auditor Internal (IIA) dan Asosiasi Audit dan Pengawasan Sistem
Informasi Internasional (ISACA) menerbitkan panduan untuk membantu anggota
kelompok audit internal dan eksternal ini dalam membangun kontrol umum dan
proses audit.
1. Sarbanes-Oxley
Act dan Dewan Pengawas Akuntansi Perusahaan Publik
(PCAOB) diciptakan
untuk memulihkan kepercayaan investor di pasar umum A.S. Tujuan utamanya adalah
untuk meningkatkan tanggung jawab perusahaan, meningkatkan pengungkapan
keuangan, dan mencegah kecurangan perusahaan dan akuntansi. Dengan demikian,
kontrol yang diperlukan untuk kepatuhan terhadap fokus SOX pada kontrol kunci
penting untuk memastikan kerahasiaan, integritas, dan ketersediaan data
keuangan.
Dampak
SOX terhadap Korporasi Publik
SOX mewajibkan
eksekutif perusahaan untuk membuktikan kecukupan dan efektivitas pengendalian
internal mereka terkait dengan transaksi dan pelaporan keuangan, termasuk pengendalian
TI. Kontrol ini harus diaudit secara eksternal, dan sebuah pernyataan kontrol
harus disertakan dalam laporan perusahaan tahunan yang diajukan ke Security and
Exchange Commission (SEC). CEO perusahaan dan CFO sekarang dimintai
pertanggungjawaban atas kualitas dan integritas informasi yang dihasilkan
SOX
diminta untuk memeriksa risiko teknologi dan menguji semua kontrol secara
menyeluruh. Ini berarti bahwa banyak manajer IS meminta panduan atau bantuan
konsultasi untuk memastikan bahwa mereka mematuhi undang-undang yang baru.
Karena budaya bisnis yang berbeda yang terlibat dalam korporasi global dan
jumlah investor internasional di perusahaan berbasis A.S., komunitas TI global
harus menyadari dampak audit keuangan terhadap pengoperasian departemen IS.
Dampak
SOX terhadap Departemen IT
Bagi
kebanyakan organisasi, layanan TI sekarang menjadi bagian penting dari proses
pelaporan keuangan. Aplikasi dan layanan mendukung pembuatan, penyimpanan,
pemrosesan, dan pelaporan transaksi keuangan. Kepatuhan SOX juga harus mencakup
pengendalian penggunaan teknologi dalam penanganan data, pengolahan, dan
pelaporan Departemen TI sekarang harus secara formal menangani perancangan,
dokumentasi, implementasi, pengujian, pemantauan, dan pemeliharaan pengendalian
internal TI.
Dampak
Layanan Pihak Ketiga terhadap Kepatuhan SOX
Langkah-langkah
pengendalian ditujukan untuk meninjau dan memantau kontrak dan prosedur yang
ada untuk efektivitas dan kepatuhan mereka terhadap kebijakan organisasi.
Pembubaran kontrak besar bisa berdampak signifikan terhadap pelaporan keuangan.
Dengan demikian akan termasuk dalam panduan pengungkapan oleh petugas
perusahaan.
Empat
tujuan fungsional untuk mengaudit layanan pihak ketiga dan melakukan
outsourcing sebagian besar kegiatan perusahaan yang relevan dengan perusahaan,
anak perusahaan korporasi, dan perusahaan multinasional diringkas sebagai
berikut:
·
Pernyataan
kebijakan mengenai integritas data, ketersediaan, dan kerahasiaan ditentukan
oleh manajemen senior dan harus dipelihara dan didukung oleh pengaturan
outsource.
·
Persyaratan
perlindungan aset harus didefinisikan dan dipahami dengan jelas prinsipal dalam
perjanjian outsourcing
·
Tanggung
jawab kustodian data dan informasi harus didefinisikan dengan baik dan sesuai
dengan.
·
Tingkat
layanan harus didefinisikan, terukur, dan dapat diterima oleh kedua belah
pihak. Kegagalan untuk memenuhi kesepakatan tingkat layanan harus memiliki
beberapa tindakan kompensasi. Tagihan dan faktur harus akurat dan biaya dalam
jumlah yang dianggarkan.
Kontrol TI Tertentu yang
Dibutuhkan untuk Kepatuhan SOX
Secara umum, kontrol TI
berikut harus didokumentasikan dan dievaluasi seefektif sesuai dengan
persyaratan SOX:
• Kontrol akses
Akses terhadap data
keuangan dan "pribadi yang dilindungi" juga harus dibatasi pada
orang-orang yang memiliki alasan bisnis yang sah untuk mengakses.
• Ubah control
Untuk
memastikan akurasi, kelengkapan, dan integritas pelaporan keuangan, perusahaan
harus memiliki proses pengendalian perubahan yang terdokumentasi dan efektif
yang mencakup perubahan pada aplikasi keuangan, semua aplikasi antarmuka,
sistem operasi yang mengendalikan server desktop dan host, alat produktivitas
yang digunakan untuk membuat ringkasan. analisis, sistem manajemen database,
dan jaringan.
Kontrol
perubahan aplikasi keuangan merupakan perhatian yang jelas saat meninjau
kontrol atas pelaporan keuangan. Seringkali, auditor kepatuhan belum menilai
risiko pengendalian perubahan yang tidak memadai untuk sistem antarmuka,
infrastruktur basis data, sistem operasi, sistem jaringan, atau konfigurasi
perangkat keras. Bahkan kelompok internal IS mungkin tidak menyadari relevansi
kontrol yang didokumentasikan dan ditegakkan di bidang ini terkait dengan
kegiatan pelaporan keuangan. Analisis terbaru oleh pakar penilaian risiko telah
menunjukkan bahwa metode kontrol perubahan yang tidak memadai dapat menyebabkan
hilangnya integritas informasi dalam aplikasi keuangan dan sistem data. Risiko
potensial meliputi pelaporan yang tidak akurat atau pelaporan yang tidak
lengkap.
• Manajemen data
Manajemen
data mencakup pengelolaan data logis dan fisik serta identifikasi dan
perlindungan data penting, terutama data yang berkaitan dengan pemrosesan dan
pelaporan keuangan.
Transfer
Data Antar : Kesalahan
yang ditemukan dalam proses ekstraksi, transformasi, dan unduhan harus
dipisahkan, dilaporkan, dan dibersihkan dalam jangka waktu yang wajar untuk
memastikan pelaporan keuangan yang akurat
Struktur
Database : Kompatibilitas
sistem manajemen basis data yang digunakan untuk menyimpan data keuangan itu
penting. Jika data transaksional yang digunakan untuk pelaporan keuangan
disimpan dalam struktur data yang berbeda, integritas penjumlahan, interpretasi,
dan analisis dapat terancam. Jika struktur data yang berbeda diperlukan, maka
kontrol kompensasi harus dilakukan untuk memvalidasi kompilasi data akhir.
Konsistensi Elemen Data : Banyak perusahaan menjalankan beberapa
sistem akuntansi yang menggunakan terminologi yang berbeda untuk mewakili
informasi yang sama atau terminologi yang sama untuk mewakili informasi yang
berbeda. Oleh karena itu, file metadata dan kamus data harus digunakan untuk
memastikan interpretasi yang konsisten terhadap elemen data utama.
Pengendalian Fisik Data : Kontrol
fisik data sangat penting bagi integritas pelaporan keuangan. Jika fasilitas di
mana server, workstation, dan laporan hard copy berada tidak diamankan, maka
tampilan atau perubahan yang tidak sah dapat membahayakan transaksi dan / atau
data.
Cadangan data Waktu
dan frekuensi proses backup harus ditentukan oleh kebutuhan bisnis untuk
pemulihan data jangka pendek dalam situasi bermasalah. Rencana pemulihan
bencana dan kelanjutan bisnis bukanlah bagian yang melekat pada persyaratan
terbaru untuk kepatuhan SOX namun sangat penting untuk ketahanan bisnis. Lihat
Bab 4 untuk informasi tambahan tentang pemulihan bencana.
• Operasi TI
Kontrol operasi TI
melampaui pengelolaan perangkat keras dan pusat data yang jelas. Sehubungan
dengan akuisisi lingkungan TI, ada kontrol atas definisi, akuisisi, pemasangan,
konfigurasi, integrasi, dan pemeliharaan infrastruktur TI.
Komponen perangkat
lunak sistem operasi mencakup kontrol atas akuisisi, implementasi, konfigurasi,
dan pemeliharaan perangkat lunak sistem operasi, sistem manajemen basis data,
perangkat lunak middleware, perangkat lunak komunikasi jaringan, perangkat
lunak keamanan, dan utilitas
• Operasi jaringan
Pengolahan tentang
jaringan dalam sistem agar dapat melindungi dari ancaman penyerangan virus,
warm, dan ancaman lainnya.
• Manajemen asset
Audit pengelolaan aset
sebagian besar berkaitan dengan otorisasi, pengeluaran keuangan, dan depresiasi
dan pelaporan yang tepat. pengelolaan aset yang dapat ditinjau meliputi persediaan,
pelepasan aset, pengelolaan perubahan inventori aset, dan keseluruhan pemahaman
tentang prosedur asset.
1 2. Gramm-Leach-Bliley
Act
Undang-undang
ini adalah Undang-Undang Modernisasi Jasa Keuangan. Tindakannya, yang lebih
dikenal dengan Gramm-Leach-Bliley Act (GLBA), diarahkan terutama untuk
memungkinkan fungsi dan hubungan yang diperluas di antara institusi keuangan.
Undang-undang tersebut mencakup bagaimana dan dalam keadaan apa perusahaan
induk bank dapat melakukan afiliasi baru dan terlibat dalam kegiatan yang
sebelumnya dibatasi.
Dari
perspektif dampak terhadap pengendalian internal, bagian GLBA Title V
memberikan serangkaian peraturan khusus yang mengatur bagaimana informasi
individual untuk pelanggan lembaga keuangan dapat dibagi. GLBA mensyaratkan
bahwa perusahaan keuangan mengungkapkan kepada pelanggan tentang kebijakan dan
praktik privasi lembaga tersebut.
3. California
SB 1386
California
SB 1386 adalah salah satu undang-undang negara yang paling awal dan pasti yang
paling terlihat terkait dengan pelanggaran keamanan yang menyebabkan informasi
pribadi diungkapkan.
Termasuk
dalam undang-undang adalah definisi tentang apa yang dianggap sebagai informasi
pribadi, metode untuk mengevaluasi apakah informasi telah diungkapkan secara
tidak sah, dan persyaratan untuk pemberitahuan warga negara California.
2. Undang-undang
Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996
HIPAA
adalah bagian undang-undang yang sangat besar dan kompleks. Tindakan tersebut
mencakup dua bagian. Judul I memberikan jaminan kesehatan setelah karyawan
kehilangan pekerjaan. Judul II membahas tindakan administratif yang dimaksudkan
untuk menyederhanakan dan membakukan informasi kesehatan.
5. Standard
an Kerangka Kerja
Pada
tahun 1970-an, kekhawatiran meningkatnya kebangkrutan perusahaan dan keruntuhan
finansial mulai terjadi. Dalam upaya
untuk mencegah intervensi pemerintah, sebuah sektor swasta yang disebut Komite
Organisasi Sponsoring (COSO) berinisiatif untuk meningkatkan kualitas pelaporan
keuangan, dimulai pada tahun 1985. COSO meresmikan konsep pengendalian internal
dan kerangka kerja pada tahun 1992.
COSO
Committee of Sponsoring
Organizations of the Treadway Commission (COSO), adalah suatu inisiatif dari sector swasta yang
dibentuk pada tahun 1985. Tujuan
utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan
penggelapan laporan keuangan dan membuat
rekomendasi untuk mengurangi kejadian tersebut. COSO menerbitkan panduan formal
pertama untuk pengendalian internal, pada tahun 1992.
Kerangka
Pengendalian Terpadu Internal
Pengendalian
internal terdiri dari lima komponen yang saling terkait:
- -
control
environment adalah
dasar bagi semua komponen pengendalian internal lainnya, memberikan struktur.
- - Risk assessment adalah
identifikasi dan analisis risiko yang relevan dengan pencapaian tujuan yang
membentuk dasar penentuan bagaimana risikonya harus dikelola.
- - Control activities adalah kebijakan
dan prosedur yang membantu untuk memastikan arahan manajemen dan membantu untuk
memastikan bahwa tindakan yang diperlukan diambil untuk mengatasi risiko.
- - Information and Communicatio, Menurut COSO, informasi harus diidentifikasi,
ditangkap, dan dikomunikasikan.
- Monitoring, sistem pengendalian internal
perlu dipantau.
Konsep Kerangka Kerja Manajemen Risiko-Terpadu
Kerangka manajemen risiko perusahaan diarahkan untuk
mencapai entitas tujuan, yang ditetapkan dalam empat kategori:
- - Strategic, Tujuan tingkat tinggi, selaras dengan dan
mendukung misinya
- - Operations,
Efektif dan efisien penggunaan sumber dayanya
- - Reporting,
Reliabilitas pelaporan
- - Compliance,
Permohonan dengan hukum dan peraturan yang berlaku
Manajemen risiko perusahaan terdiri dari delapan
komponen yang saling terkait. Berasal dari cara manajemen menjalankan
perusahaan dan terintegrasi dengan manajemen proses.
- - Internal environment
- - Objective setting
- - Event identification
- - Risk assessment
- - Risk response
- - Control activities
- - Information and communication
- - Monitoring
COBIT
Control
Objectives for Information and related Technology (COBIT) adalah sebuah control
kerangka kerja TI yang diterbitkan oleh Information Technology Governance
Institute (ITGI) pada tahun 1994 bekerja sama dengan ISACA.
ITIL
IT
Infrastructure Library (ITIL) dikembangkan oleh pemerintah Inggris pada
pertengahan- 1980an dan telah menjadi standar de facto untuk praktik terbaik
dalam penyediaan infrastruktur TI manajemen dan pemberian layanan.
ISO 27001
Sejak
didirikan pada tahun 1947, International Organization for Standardization (ISO)
telah melakukannya menciptakan sejumlah standar untuk manajemen keamanan
jaringan, pengembangan perangkat lunak, dan kontrol kualitas.
Kerangka dan Standar
Kerangka dan standar hanya menyediakan struktur dan panduan yang dibutuhkan agar organisasi menyesuaikan dengan kebutuhan spesifik. Kerangka dan standar berguna untuk:
- membimbing tujuan pengendalian dan aktivitas pengendalian,
- mengembangkan tata kelola, manajemen risiko, dan kepatuhan,
- memberikan panduan kepada auditor untuk mendasarkan audit mereka.
Secara umum, kerangka kerja adalah seperangkat aturan dan gagasan konseptual yang menyediakan struktur ke situasi yang kompleks dan beragam. Meskipun kerangka kerja bersifat kaku dalam kerangkanya, namun tetap fleksibel.
6.
MANAJEMEN
RESIKO
Hanya
beberapa tahun yang lalu, firewall dan perangkat lunak antivirus adalah semua
yang kebanyakan organisasi yang digunakan untuk mengurangi risiko. Dalam
beberapa tahun terakhir, namun, ancaman lansekap telah berubah jauh. Hari ini,
ancaman insider yang lebih jelas, ribuan varian malware sedang didistribusikan,
dan pemerintah telah diberlakukan Undang-undang yang memerlukan pelaksanaan
berbagai kontrol. Sebagai akibatnya, proses manajemen risiko formal sekarang
harus menjadi bagian dari setiap IT audit program.
Manfaat
manajemen resiko
Tidak
diragukan lagi potensi manajemen risiko itu masih dengan baik dirahasiakan.
Selama beberapa tahun, banyak organisasi telah meningkat efektivitas mereka
kontrol IT atau dikurangi biaya mereka mempekerjakan praktik manajemen risiko
dan risiko-analisis suara. Ketika manajemen memiliki pemandangan perwakilan
organisasi itu eksposur, dapat mengarahkan sumberdaya yang sesuai untuk
mengurangi bidang tertinggi risiko daripada menghabiskan sumber daya yang
langka di daerah yang memberikan sedikit atau tidak ada pengembalian atas
investasi (ROI). Hasil akhirnya adalah tingkat pengurangan risiko yang lebih
tinggi untuk setiap dolar yang dihabiskan.
Manajemen
risiko dari perspektif Eksekutif
Kebenaran
adalah, bisnis adalah semua tentang risiko dan imbalan. Eksekutif diwajibkan
untuk menimbang manfaat investasi dengan risiko yang terkait dengan mereka.
Akibatnya, sebagian besar memiliki akan datang cukup mahir di mengukur risiko
melalui analisis ROI, indikator kinerja utama dan berbagai alat analisis keuangan
dan operasional lainnya. Akibatnya, beberapa jenis analisis keuangan biasanya
diperlukan untuk membuat kasus busi-ness untuk investasi di kontrol tambahan.
Mengatasi
risiko
Risiko
dapat diatasi dalam tiga cara: menerima , mengurangi atau transfer. Metode yang
tepat sepenuhnya tergantung pada nilai keuangan risiko versus investasi yang
dibutuhkan untuk mengurangi ke tingkat yang dapat diterima atau transfer ke
pihak ketiga
Risiko
penerimaan
Nilai
keuangan risiko ini sering lebih kecil dari biaya mengurangi atau
memindahkannya. Dalam kasus ini, opsi paling masuk akal akan menerima risiko.
Namun, jika organisasi-bantuan kepada memilih untuk menerima risiko, itu harus
menunjukkan bahwa risiko memang dinilai dan dokumen alasan di balik keputusan.
Mitigasi
risiko
Ketika
risiko memiliki nilai keuangan yang signifikan, hal ini sering lebih sesuai
untuk mengurangi risiko daripada menerimanya. Dengan beberapa pengecualian,
biaya pelaksanaan dan mempertahankan-ing kontrol yang harus kurang dari nilai
moneter risiko yang dikurangi. Kami menunjukkan bagaimana untuk menetapkan
nilai moneter untuk risiko kemudian dalam bab ini.
Pengalihan
risiko
Industri
asuransi didasarkan pada risiko transferensi. Organisasi sering membeli
asuransi untuk menutupi biaya pelanggaran keamanan atau kegagalan bencana
system. Hal ini penting untuk dicatat bahwa perusahaan asuransi yang menawarkan
jenis kebijakan sering memerlukan bahwa pemegang polis melaksanakan kontrol
tertentu. Kegagalan untuk mematuhi persyaratan kontrol dapat meniadakan kebijakan.
Kuantitatif
vs Analisis kualitatif risiko
Risiko
dapat dianalisis dalam dua cara: kuantitatif dan kualitatif. Seperti apa pun,
masing-masing memiliki kelebihan dan kekurangan. Dimana pendekatan kuantitatif
adalah lebih objektif dan mengungkapkan risiko dalam istilah keuangan yang
pengambil keputusan dapat lebih mudah membenarkan, itu juga lebih memakan
waktu. Pendekatan kualitatif lebih cocok untuk pres-THT pemandangan
bertingkat-tingkat risiko, tetapi hal ini dapat lebih subyektif dan oleh karena
itu sulit untuk diperkuat.
Analisis
kuantitatif risiko
Dengan
sedikit pengecualian, baik yang berhubungan dengan sumber daya keuangan, fisik,
atau teknologi, jenis risiko dapat dihitung dengan rumus universal yang sama.
Risiko dapat didefinisikan oleh perhitungan berikut: risiko = aset nilai ×
ancaman × kerentanan.
Unsur-unsur
risiko
Seperti
yang Anda lihat dalam persamaan sebelumnya, risiko terdiri dari tiga unsur:
nilai aset, ancaman dan kerentanan. Memperkirakan elemen-elemen ini dengan
benar penting untuk menilai risiko secara akurat.
·
Assets
(asset)
Biasanya
digambarkan sebagai nilai moneter, aset dapat didefinisikan sebagai sesuatu
yang layak untuk sebuah organisasi yang dapat rusak, terganggu, atau
dihancurkan oleh tindakan disengaja atau tidak disengaja.
·
Threats
(ancaman)
Ancaman
dapat didefinisikan sebagai acara potensial yang, jika terwujud, akan
menyebabkan dampak yang tidak diinginkan.
·
Vulnerabilities
(kerentanan)
Kerentanan
dapat didefinisikan sebagai ketiadaan atau kelemahan kumulatif kontrol melindungi-ing
aset tertentu. Kerentanan diperkirakan sebagai persentase berdasarkan tingkat
kontrol kelemahan.
Aplikasi
praktis
Sekarang
bahwa kita sudah didefinisikan bagaimana menganalisis risiko, kita dapat mulai
memasukkannya ke dalam praktek. Berikut adalah beberapa contoh tentang
bagaimana persamaan ini relevan dalam itu serta daerah lain.
Skenario
risiko fisik
Pemerintah
AS salam pusat komando dan kontrol di instalasi militer di Timur Tengah sangat
penting untuk kemampuan untuk beroperasi di wilayah itu. Jika fasilitas ini
hancur, itu mungkin akan menyebabkan hilangnya kehidupan (dalam fasilitas dan
di bidang), merusak fasilitas itu sendiri, dan kemunduran untuk tujuan militer.
Dalam
contoh ini, aset yang merupakan pusat komando dan kontrol. Nilai sebenarnya
dari pusat komando dan kontrol termasuk kehidupan para prajurit yang akan
terpengaruh, komando dan kontrol fasilitas itu sendiri, dan tujuan militer yang
akan pergi tak terpenuhi dalam hal kerugian yang akan terjadi.
IT
risiko skenario
IT
audit Direktur Nasional pengecer telah menetapkan bahwa iklim hukum adalah
chang-ing terkait dengan informasi kartu kredit yang dipercayakan perusahaan.
Sampai sekarang, perusahaan tidak dianggap risiko pengungkapan informasi
nasabah yang pribadi atau kredit-kartu-spesifik.
Analisis
kuantitatif risiko dalam praktek
Jika
Anda belum mulai mengidentifikasi ancaman organisasi Anda saat ini, ini akan
menjadi berharga untuk melakukannya. Dari sana, mengidentifikasi ancaman baru
dapat latihan mental sehari-hari. Sebagai bisnis atau perubahan teknologi, Anda
harus bertanya, apa ancaman baru Apakah perubahan ini memperkenalkan? Jika
menyadari, bagaimana ancaman ini mempengaruhi bisnis Anda? Ketika Anda
mengidentifikasi ancaman yang signifikan dan ingin membuat bisnis pembenaran
untuk pembelian kontrol tambahan, Anda dapat menggunakan perhitungan sebelumnya
untuk mendukung kasus Anda.
Penyebab
umum untuk ketidakakuratan
Kebanyakan
analisis risiko berusaha hari ini mengakibatkan bottom-line perkiraan yang jauh
dari sasaran. Sayangnya, ketika manajemen organisasi kehilangan iman dalam
risiko informa-tion yang disajikan untuk itu, ia cenderung untuk mengabaikan
sejumlah permintaan untuk mitigasi risiko investasi yang tidak proporsional.
Manajemen tertarik berinvestasi sumber daya yang terbatas di daerah yang akan
membuat uang organisasi atau akan menghemat uang organisasi. Ini adalah mengapa
sangat penting bahwa Anda hadir analisis risiko yang padat setiap kali
mendekati manajemen sumber daya tambahan. Berikut ini adalah penyebab paling
umum dari risiko analisis ketidakakuratan.
Kegagalan
untuk mengidentifikasi aset, ancaman, atau kerentanan
Penyebab
paling umum dari ketidakakuratan dalam proses analisis risiko adalah kegagalan
untuk mengidentifikasi aset, ancaman, dan kerentanan.
Estimasi
tidak akurat
Sayangnya,
cukup banyak estimasi terlibat dalam menganalisis risiko, yang membuatnya ilmu
yang tepat. Banyak kesalahan dapat dikaitkan dengan fakta ini.
ASET Pendekatan tradisional untuk analisis
risiko tidak memperhitungkan biaya yang diakibatkan dari kompromi yang di luar
hilangnya aset itu sendiri.
Ancaman Tidak seperti aset atau kerentanan,
ancaman adalah satu-satunya unsur persamaan analisis risiko yang selalu berasal
dari nilai satu.
Kerentanan Seperti telah dibahas sebelumnya,
kerentanan adalah tidak adanya atau kelemahan dalam kontrol kumulatif. Oleh
karena itu, untuk mengidentifikasi kerentanan, kita harus memahami kekuatan
kontrol. Risiko analisis kesalahan sering dibuat karena kekuatan kontrol tidak
dievaluasi dengan benar atau kontrol kontrol kompensasi tidak diperhitungkan.
Analisis
kualitatif risiko
Tidak seperti
pendekatan kuantitatif analisis risiko, teknik analisis kualitatif risiko dapat
memberikan tampilan tingkat tinggi menjadi risiko perusahaan. Dimana metode
kuantitatif berfokus
pada rumus, Analisis kualitatif risiko akan berfokus pada nilai-nilai seperti
tinggi, menengah, dan rendah atau warna merah, kuning dan hijau untuk
mengevaluasi risiko.
IT
risiko manajemen siklus hidup
Seperti
dengan kebanyakan metodologi, manajemen risiko, bila diterapkan dengan benar,
mengambil pada karakteristik siklus kehidupanIni dapat dibagi menjadi beberapa
fase, mulai dengan identifikasi informasi aset dan berpuncak dengan manajemen
risiko residual. Tahap-tahap khusus adalah sebagai berikut:
·
Tahap
1 mengidentifikasi aset informasi.
·
Tahap
2 diukur dan memenuhi syarat ancaman.
·
Tahap
3 menilai kerentanan.
·
Tahap
4 Remediate kontrol kesenjangan.
·
Tahap
5 mengelola risiko residual.
Tahap
1 mengidentifikasi aset informasi.
Tahap
pertama dalam siklus hidup manajemen risiko adalah untuk mengidentifikasi aset
informasi organisasi. Untuk menjadi sukses, Anda harus menyelesaikan beberapa
tugas:
·
menetapkan
nilai-nilai kritis informasi.
·
Mengidentifikasi
fungsi bisnis.
·
Peta
informasi proses.
·
Mengidentifikasi
aset informasi.
·
Menetapkan
nilai-nilai kritis untuk aset informasi.
Tujuan
dari tahap ini adalah untuk mengidentifikasi semua aset informasi dan
menetapkan setiap informa-tion aset kritis nilai tinggi, sedang, atau rendah
untuk kerahasiaan, integritas, dan ketersediaan persyaratan.
Tahap
2 diukur dan memenuhi syarat ancaman.
Informasi
ancaman mempengaruhi organisasi melalui loyalitas merek berkurang, kehilangan
sumber daya, biaya pemulihan, dan tindakan hukum dan peraturan. Ketika ancaman
menyadari, biaya-biaya tersebut sering terhitung untuk karena mereka tidak
diidentifikasi dengan baik.
Langkah
berikutnya dalam siklus hidup manajemen risiko adalah untuk mengukur dan
memenuhi syarat ancaman.
Fase
siklus hidup manajemen risiko memerlukan langkah-langkah berikut: menilai
bisnis ancaman.
·
Mengidentifikasi
ancaman teknis, fisik, dan administrasi.
·
Mengukur
dampak ancaman dan probabilitas.
·
Mengevaluasi
arus proses untuk kelemahan.
·
Mengidentifikasi
komponen proses ancaman.
Tahap
3 menilai kerentanan.
Pada
fase ini, kita akan menilai kerentanan. Dalam memeriksa ancaman, common denominator
adalah aset informasi, karena ancaman masing-masing terikat aset informasi.
Ketika menilai kerentanan, di sisi lain, common denominator adalah proses
informasi. Kami akan terlebih dahulu mengidentifikasi komponen proses
kerentanan dan kemudian menggabungkan mereka untuk menentukan kerentanan proses
kami. Proses kerentanan maka akan dikombinasikan untuk menentukan bisnis fungsi
kerentanan.
Daripada
bekerja dari atas ke bawah (dari fungsi bisnis untuk proses compo-nent), kami
akan bekerja dari bawah ke dalam menilai kerentanan. Kita akan menggunakan
langkah-langkah berikut dalam menganalisis kerentanan:
·
mengidentifikasi
ada kontrol dalam hubungannya dengan ancaman.
·
Menentukan
proses komponen kontrol kesenjangan.
·
Menggabungkan
kontrol kesenjangan menjadi proses dan kemudian fungsi bisnis.
·
Mengkategorikan
kesenjangan kontrol berdasarkan tingkat keparahan.
·
Menetapkan
peringkat risiko.
Tahap
4 Remediate kontrol kesenjangan.
Pada
titik ini, risiko kami harus dapat dikategorikan sebagai tinggi, menengah atau
rendah. Pada awalnya, kita akan fokus pada mengurangi risiko paling parah,
karena kita kemungkinan akan melihat kembali tertinggi pada investasi kami.
Pada dasarnya, kita dapat mengurangi risiko lebih banyak dengan lebih sedikit
uang. Kita akan menggunakan langkah-langkah berikut di kontrol kesenjangan
remediasi:
·
Pilih
control.
·
Menerapkan
kontrol.
·
Memvalidasi
kontrol baru.
·
Menghitung
ulang penilaian risiko.
Tahap
5 mengelola risiko residual.
Risiko
inheren dinamis di alam, terutama ancaman komponen risiko. Sebagai re-Gan, kita
akan perlu untuk mengukur risiko terus-menerus dan berinvestasi dalam kontrol
baru untuk merespon ancaman yang timbul. Tahap ini terdiri dari dua langkah:
·
membuat
risiko dasar
·
menilai
kembali risiko
Sumber :
Judul : Audit Berbasis Risiko
Disampaikan oleh : Embharri Manda Nasutian, SE, MM
Tahun 2016
Tgl 29 April 2016, Bogor
Didukung oleh : bpkp (Penikatan Kapasitas APIP
Kemenristek dan Dikti dalam Melakukan Audit Berbasis Risiko)
