Kamis, 09 November 2017

AUDIT TEKNOLOGI SISTEM INFORMASI (Chapter 9 Auditing Database)

AUDIT TEKNOLOGI SISTEM INFORMASI
Chapther 9 Auditing Database









Kelompok 4
Anggota:

1.    Birgita Juliana                   12114201
2.    Cynthia Fega P                  12114473
3.    Novy Hafsari                      14114104
4.    Risma Putri Fitrianti          19114514
5.    Rosyi Nurul Fatihah          19114822
6.    Tytha Chairunnisa             1A114915

Kelas 4KA41












Universitas Gunadarma

Karawaci











1.    TEORI DAN KONSEP AUDITING

Teori dapat di klasifikasikan berdasarkan sifat menjadi dua, yaitu teori normatif, danteori deskriptif. Teori normatif merupakan teori yang seharusnya di laksanakan. Teorideskriptif merupakan teori yang sesungguhnya di laksanakan. Tidak seperti pada akuntansi, pada auditing tidak banyak orang yang berbicaratentang teori auditing sebagai lawan kata praktik auditing. Pada umumnya, orangmenganggap auditing hanya suatu rangkaian prosedur, metode dan teknik. Auditing tidaklebih dari pada sekedar suatu cara untuk melakukan sesuatu dengan sedikit penjelasan, uraian, rekonsiliasi, dan argumentasi. Meskipun demikian, telah di coba untuk meyakinkan perlunya suatu teori normatif pada auditing.  Professor R. K. Mautz dan H. A. Sh raf dengan bukunya “ The Philosophy of Auditing “, merupakan tokoh pertama yang melakukan usaha tersebut.Profesor C. W. Schandl pada tahun 1978 yang mengembangkan pemikiran dari Mautz dan Sharaf, mengemukakan elemen-elemen dasar teori adalah sebagai berikut :
1.    Postulat yaitu: Konsep dasar yang harus diterima tanpa perlu pembuktian. Sebagaisyarat penting dalam pengembangan disiplin, tidak perlu di periksa kebenaranyalagi, sebagai dasar pengambil kesimpulan,sebagai dasar membangun struktur teoridan bisa juga dimodifikasi sesuai perkembangan ilmu pengetahuan.
2.    Teori yaitu : Dalil yang diterangkan oleh postulat.
3.    Struktur yaitu : Komponen disiplin tertentu dan hubungan antar komponen tersebut.
4.    Prinsip yaitu : Kaidah-kaidah yang diterapkan dalam praktik
5.    Standar yaitu : Kualitas yang ditetapkan dalam hubungannya dengan praktik.
Menurut Lee dalam bukunya Corporate Audit Theory ada tiga kelompok postulat sebagai dasar teori dalam auditing yaitu :
1.    Postulat yang berkaitan dengan aspek keberadaan audit.
2.    Postulat yang berfokus pada tindakan auditor dan aspek perilaku.
3.    Postulat yang berfokus pada prosedur audit atau fungsional audit.

Teori Auditing merupakan tuntunan untuk melaksanakan audit yang bersifatnormatif. Konsep adalah abstraksi-abstraksi yang diturunkan dari pengalaman danobservasi, dan dirancang untuk memahami kesamaan-kesamaan di dalam suatu subyek, dan perbedaan perbedaannya dengan subyek yang lain. Standar Auditing adalah pengukurkualitas dan tujuan sehingga jarang berubah. sedangkan Prosedur Audit adalah metode-metode atau teknik teknik rinci untuk melaksanakan standar, sehingga prosedur akan berubah bila lingkungan auditnya berubah.

Menurut Mautz dan Sharaf  teori auditing tersusun atas lima konsep dasar,yaitu:
1. Bukti Tujuan memperoleh dan mengevaluasi bukti adalah untuk memperoleh pengertiansebagai dasar untuk memberikan kesimpulan atas pemeriksaan yang di tuangkan dalam pendapat auditor. Secara umum usaha untuk memperoleh bukti dilakukan dengan cara ,yaitu :
a)    Authoritarianisme, Bukti diperoleh berdasar informasi dari pihak lain. Misalnyaketerangan lisan manajemen dan karyawan, dan pihak luar lainnya, sertaketerangan lisan tertulis berupa doklumen. 
b)    Mistikisme, Bukti dihasilkan dari intuisi. Misalnya pemeriksaan buku besar, dan penelaahan terhadap keterangan dari pihak luar.
c)    Rasionalisasi, Merupakan pemikiran asumsi yang diterima. Misalnya penghitungan kembalioleh auditor, dan pengamatan terhadap pengendalianintern.
d)    Emperikisme, Merupakan pengalaman yang sering terjadi. Misalnya perhitungan dan pengujian secara fisik.
e)    Pragmatisme, Merupakan hasil praktik. Misalnya kejadian setelah tanggalselesainya pekerjaan lapangan.

2.       Kehati-hatian dalam pemeriksaan (due care)
Artinya melakukan pekerjaan dengan sangat hati-hati dan selalu mengindahkannorma-norma profesi dan norma moral yang berlaku. Konsep kehati-hatian yang diharapkan auditor yang bertanggung jawab. Dalam auditing tersebut sebagai prudent auditor. Tanggung jawab yang di maksud adalah tanggung jawab profesional dalam melaksanakantugasnya. Konsep ini lebih di kenal dengan konsep konservatif.
3.         Penyajian atau pengungkapan yang wajar.
Konsep ini menuntut adanya informasi laporan keuangan yang bebas (tidakmemihak), tidak bias, dan mencerminkan posisi keuangan,hasil operasi, dan aliran kas perusahaan. Konsep ini dijabarkan lagi dalam 3 sub konsep, yaitu :
·         Accounting Propriety : berhubungan dengan penerapan prinsip akuntansitertentu dalam kondisi tertentu.
·         Adequate Disclosure : berkaitan dengan jumlah dan luas pengungkapan atau penyajian informasi
·         Audit Obligation : berkaitan dengan kewajiban auditor untuk independen dalammemberikan pendapat.
1.      Independensi
Merupakan suatu sikap mental yang di miliki auditor untuk tidak memihak dalammelakukan audit. Masyarakat pengguna jasa audit memandang bahwa auditor akan independen terhadap laporan keuangan yang di periksa dan pembuat dan pemakai laporan keuangan. Jika posisi auditor terhadap kedua hal tersebut tidak independen maka hasil kerjaauditor menjadi tidak berarti sama sekali.
2.         Etika perilaku dalam auditing berkaitan dengan perilaku yang ideal seorang auditor profesional yang independen dalam melaksanakan audit.


2.    PROSES AUDIT
Dalam tahapan Risk Based Audit terdapat pada individual Audit. Dalam Individual audit terdapat tahap pelaksanaan AIBR yang merupakan tahapan lanjutan dari tahap perencanaan. Tahap ini merupakan tahap perkerjaan lapangan (field work) berupa audit individual atas Unit Layak Audit (ULA).
Tahapan Individual Audit, yaitu:
  • ·        Perencanaan (Plan)

       Dalam tahap ini auditor melakukan perkenalan kepada perusahaan dan indutri klien.Proses pengenalan dan pengenalan bisa dilakukan dengan meeting dengan klien, diskusi vis telepon, melakukan riset mengenai industry, internal meeting dengan tim dan sebagainya. Tahap penting yang dilakukan di dalam tahap ini adalah penetuan materialistis. Secara sederhan meterialitas dapat dijelaskan sebagai besarnya penyimpangan dalam informasi akuntasi yang mana dalam kondisi tertentu bisa membuat pengguna laporan keuangan mengubah atau mempengaruhi pendapatnya jika penyimpangan tersebut diketahuinya. Tahapan dalam tahap perencanaan.
a.    Penetapan tujuan dan lingkup penugasan
b.    Pemahaman audit
c.    Identifikasi dan penilaian risiko
d.    Identifikasi pengendalian kunci
e.    Evaluasi pengendalian
f.     Penyusunan rencana pengujian
g.    Penyusunan program audit
h.    Pengalokasian sumber daya

  • ·Pelaksanaan (Act)

Pada tahap ini auditor mengumpulkan informasi dan bukti-bukti yang kuat untuk melakukan prosedur audit. Pengumpulan infromasi dapat dilakukan melalui diskusi dengan klien, pengumpulan dan pengecekan data hardcopy dan softcopy dari klien dan sebagainya. Bilamana terdapat finding yang membutuhkan koreksi dalam buku, maka perlu didiskusikan pada klien. Tahapan pada tahap pelaksanaan :
a.    Pengujian dan pengumpulan bukti
b.    Evaluasi bukti dan pengambilan kesimpulan
c.    Pengembangan temuan dan rekomendasi

  • ·         Pelaporan (Report)

Pada tahap ini dikumpulkan dan didapatkanlah Trial Balance per audit. Auditor memberikan sebuah laporan finding finding ( misalkan mengenai design internal control yang kurang baik)  dan memberikan rekomendasi kepada klien bagaimana memperbaikinya. Tahapan dalam tahap pelaporan :
a.    Penyampaian simpulan sementara
b.    Penyusunan laporan
c.    Distribusi laporan
d.    Monitoring tindak lanjut

3.    TEKNIK AUDIT DATABASE
           Dalam teknik audit database ini membahas bagaimana melakukan audit pada komponen berikut yang mempengaruhi operasional keamanan penyimpanan data, seperti :
  • ·         Perizinan database
  • ·         Keamanan sistem operasi
  • ·         Fitur kekuatan dan manajemen kata sandi
  • ·         Aktivitas pemantauan
  • ·         Database enkripsi
  • ·         Database kerentanan, integritas, dan proses patching

v  Database Audit Essentials
            Untuk mengaudit database secara efektif, memerlukan pemahaman dasar tentang bagaimana sebuah database bekerja. Pada awal tahun 1990an, aplikasi ditulis menggunakan model client-server, yang terdiri dari sebuah program desktop yang menghubungkan melalui jaringan langsung ke database back end. Ini disebut sebagai aplikasi two-tier. Pada akhir 1990an, aplikasi tiga tingkat menjadi norma. Model baru ini terdiri dari browser web yang terhubung ke aplikasi web tingkat menengah. Tingkat menengah kemudian dihubungkan dengan database backend. Aplikasi tiga tingkat merupakan langkah maju yang bagus. Ini berarti bahwa perangkat lunak khusus tidak perlu diinstal pada setiap workstation klien, dan pembaruan perangkat lunak dapat diterapkan ke server pusat. Klien bisa menjalankan sistem operasi yang mendukung browser dasar. Selain itu, dalam model tiga tingkat, mengamankan database jauh lebih sederhana.

Vendor Database Umum
        Biasanya, keterlibatan audit akan berfokus pada satu atau dua vendor database, seperti Oracle atau DB2. Namun, organisasi berukuran sedang atau besar biasanya akan menggunakan contoh dari banyak platform database yang berbeda.
·         Oracle
·         IBM
·         Mysql
·         Sybase
·         Miscrosoft

F        File program
          Database diimplementasikan sebagai sistem perangkat lunak, dan karena itu, ini terdiri dari seperangkat file sistem operasi inti. File-file ini termasuk file executable yang akan menjalankan sistem manajemen basis data. Ini juga mungkin berisi file program lain yang tidak dapat dieksekusi seperti file bantuan, sumber dan file include, file sampel, dan file penginstalan.

Configuration Values
     Database sangat bergantung pada pengaturan konfigurasi untuk menentukan bagaimana sistem beroperasi.
Nilai konfigurasi berada di berbagai tempat, termasuk yang berikut ini:
  • ·         Pada file teks sistem operasi
  • ·         Dalam file data
  • ·         Pada Windows, tersimpan dalam registri
  • ·         Di variabel lingkungan

Nilai konfigurasi digunakan untuk berbagai pengaturan, seperti ini:
  • ·         Menetapkan jenis otentikasi atau model kepercayaan
  • ·         Menetapkan kelompok mana yang merupakan administrator basis data
  • ·         Menentukan fitur manajemen password
  • ·         Menentukan mekanisme enkripsi yang digunakan oleh database

Memverifikasi integritas nilai konfigurasi merupakan komponen penting dari audit apapun.

Data File
Database perlu menyimpan data yang mereka pegang dalam file sistem operasi fisik yang typically terdiri dari serangkaian file. Format file biasanya milik, dan file data berisi informasi seperti berikut ini:
• Data disimpan
• Pointer dari satu bidang ke bidang berikutnya atau dari satu baris ke baris berikutnya
• Indeks data, termasuk petunjuk dari indeks ke data fisik

Client/Network Libraries
         Komponen penting dari setiap sistem database adalah klien. Biasanya, kliennya adalah terletak pada sistem remote dari database. Klien juga bisa terhubung dari lokal sistem, yang sering terjadi dengan proses batch. Agar klien dapat terhubung ke database, perpustakaan klien atau driver diperlukan pada mesin klien Ini biasanya terdiri dari satu set executable seperti DLL  dan objek bersama, serta API yang dapat digunakan klien untuk terhubung ke database. Perpustakaan klien sulit untuk dilindungi karena biasanya ada pada sistem jarak jauh dimana kontrol akses jauh lebih sulit untuk dipelihara. Namun, sangat penting untuk menjaga integritas driver klien di lokasi dari tempat administrator atau pengguna biasa sekalipun akan terhubung. 
            Salah satu kelemahan dalam model keamanan adalah integritas perpustakaan klien. Jika driver klien bisa dimanipulasi, kredensial bisa dicuri dengan cukup mudah. Klien driver dapat trojaned, atau bahkan sesuatu yang sederhana seperti keyboard logger pada sistem klien dapat menyebabkan kompromi database. 

Sistem Backup / Restore
            Backup adalah bagian yang sangat penting dari setiap platform database. Kegagalan dalam beberapa component database bukan pertanyaan jika tapi kapan. Backup berisi salinan database. Cadangan bisa ke file terpisah, ke tape, atau ke fasilitas penyimpanan lain. Data yang biasa dicuri, hilang, atau bocor melalui fasilitas backup. Backup seringkali dijamin dengan mengenkripsi data karena ditulis ke file atau dengan mengenkripsi keseluruhan file setelah ditulis.

Pernyataan SQL
            Pernyataan SQL digunakan untuk menarik data dari database. SQL dibangun di sekitar empat pernyataan inti:
 • SELECT, menampilkan subset data dari sebuah tabel
 • INSERT, tambahkan data baru ke sebuah tabel
 • UPDATE, mengubah data yang ada dalam sebuah tabel
 • DELETE, menghapus subset data dari sebuah tabel

Objek Database
Tabel, menyimpan deretan data dalam satu atau lebih kolom.
View, pernyataan SELECT di atas tabel atau tampilan lain yang dibuat  meja virtual. Tampilan bisa mengubah nomor atau urutan kolom, bisa di panggil  fungsi, dan bisa memanipulasi data dengan berbagai cara.
Stored procedure / function, kode prosedural yang bisa dipanggil untuk dieksekusi fungsionalitas  kompleks dalam database. Fungsi mengembalikan nilai. Prosedur  jangan mengembalikan nilai Prosedur tersimpan sangat efisien untuk akses data.
Trigger, kode prosedural yang dipanggil saat tabel dimodifikasi. Dapat digunakan untuk melakukan tindakan apapun, termasuk modifikasi pada tabel lainnya, bila ada data berubah.
Indeks,  mekanisme untuk menyediakan pencarian data dengan cepat. Indeks itu rumit objek, dan tuning yang tepat sangat penting untuk kinerja database.

Kamus Data
     Database menyimpan metadata tentang dirinya sendiri, disebut kamus data atau kadang-kadang tabel sistem. Metadata memberitahu database tentang konfigurasi, setup, dan objeknya sendiri. Format kamus data bersifat statis. Metadata dalam kamus data dirancang untuk dimanipulasi.

v  Langkah Uji untuk Mengaudit Database
            Sebelum melakukan audit, diperlukan beberapa alat dasar yaitu harus memiliki daftar periksa item yang perlu diverifikasi. Mulailah dengan bertemu dan berdiskusi dengan administrator database (DBA). Jelas, DBA tidak akan senang dengan gagasan untuk diaudit. Oleh karena itu, lakukan yang terbaik untuk mendekati DBA dengan cara sesantai mungkin. Pastikan DBA mengerti bahwa Anda ada untuk membantu, tidak menghalangi, pekerjaannya.
            Kita akan menemukan dorongan balik pada apapun yang anda inginkan, bahkan dengan kemungkinan mempengaruhi ketersediaan database. Pertama kali Anda sebagai auditor menurunkan database, pekerjaan anda menjadi jauh lebih sulit. 
        Bersiaplah untuk mengoptimalkan waktu saat akan mengakses sistem. Pastikan bahwa akun yang diberikan pada sistem berjalan hanya dengan izin yang dibutuhkan. Segera setelah selesai dengan pekerjaan apa pun, mintalah DBA mengunci akun tersebut. Jangan hapus akun, cukup kunci sampai selesai melakukan audit secara resmi. Kemudian, jika perlu mengumpulkan lebih banyak informasi, DBA hanya bisa membuka akun daripada menciptakannya kembali. 
         Dengan menunjukkan DBA tingkat kewaspadaan ini dengan database, dia akan memberi izin profesional untuk melakukan pekerjaan kita. Berselisih dengan DBA dapat menghasilkan audit yang memberikan sedikit nilai bagi organisasi.
      Setelah dilengkapi dengan beberapa latar belakang tentang database, kami memerlukan sebuah rencana untuk melakukan audit. Banyak langkah yang tercakup di sini hampir sama dengan langkah-langkah yang akan Anda lakukan pada sistem operasi atau audit jaringan, namun harus ditempatkan dalam konteks basis data. Beberapa langkah unik untuk database :
Setup dan General Controls
1. Dapatkan versi database dan bandingkan dengan persyaratan kebijakan perusahaan kita. Pastikan database menjalankan versi perangkat lunak database yang terus didukung vendor.
2. Verifikasi bahwa kebijakan dan prosedur diterapkan untuk mengidentifikasi kapan patch tersedia dan untuk menerapkan patch. Pastikan semua tambalan yang disetujui dipasang sesuai dengan kebijakan pengelolaan basis data Anda.
3. Tentukan apakah sebuah standar build tersedia untuk yang baru sistem database dan apakah baseline tersebut memiliki pengaturan keamanan yang memadai. 
Keamanan Sistem Operasi
            Database yang tidak aman bisa digunakan untuk masuk ke sistem operasi. Sebaliknya, sistem operasi yang tidak aman bisa digunakan untuk masuk ke database. Mengunci satu tetapi tidak dengan kegagalan yang lain untuk memberikan keamanan yang tepat . Namun, database harus mendapatkan yang paling fokus karena database adalah target yang paling "berharga" di jaringan.
4. Pastikan akses ke sistem operasi dibatasi dengan benar.
5. Pastikan bahwa perizinan pada direktori tempat database terinstal, dan file database itu sendiri dibatasi dengan benar. 
6. Pastikan bahwa hak akses pada kunci registri yang digunakan oleh database dibatasi dengan benar. 

Manajemen Akun dan Perizinan
        Manajemen akun sulit pada level apapun hanya karena harus menyediakan dan menghapus pengguna pada waktu yang tepat. Menambahkan kompleksitas database, dan pembuatan akun, manajemen, otentikasi, otorisasi, dan audit bisa menjadi hal yang sulit. Tantangan mengelola akun ditambah dengan risiko inheren dari data sensitif yang biasanya tersimpan dalam database membuat bagian audit ini sangat penting. 
 7. Meninjau dan mengevaluasi prosedur untuk membuat akun pengguna dan memastikan bahwa akun dibuat hanya dengan kebutuhan bisnis yang sah. Juga meninjau dan mengevaluasi proses untuk memastikan bahwa akun pengguna dihapus atau dinonaktifkan secara tepat waktu jika terjadi penghentian atau perubahan pekerjaan. 
Kekuatan Password dan Fitur Manajemen
       Banyak platform database mempertahankan setting autentikasi mereka sendiri. Pastikan bahwa lulus kata-kata dan mekanisme otentikasi tidak menjadi link lemah dalam rantai. Menggunakan keamanan operasi terpadu untuk platform database mana pun memiliki banyak pro dan kontra.
Kelebihannya adalah sebagai berikut:
·        Otentikasi sistem operasi biasanya lebih kuat daripada database otentikasi.
·  Otentikasi sistem operasi biasanya mencakup lebih banyak kata sandi fitur manajemen
·         Fitur manajemen password lebih mungkin diterapkan di tingkat sistem operasi.
 Kontra adalah sebagai berikut:
  • ·        Otentikasi ada di luar tangan DBA.
  • ·       Pengguna dengan akun sistem operasi dapat mengakses sistem operasi database jika tidak dikonfigurasi dengan benar.

8. Periksa nama pengguna dan kata sandi default.
9. Periksa password yang mudah ditebak. 
10. Periksa kemampuan manajemen password yang diaktifkan.

Tinjau Keistimewaan Database (Review Database Privilege)
Hak istimewa database sedikit berbeda dengan hak akses sistem operasi. Keistimewaan dikelola dengan menggunakan pernyataan GRANT dan REVOKE. Pernyataan GRANT dapat digunakan secara selektif untuk memberikan izin, seperti SELECT, UPDATE, DELETE, atau EXECUTE.
11. Verifikasi bahwa hak akses database diberikan atau dicabut dengan tepat untuk tingkat otorisasi yang diperlukan.
12. Tinjau kembali perizinan database yang diberikan kepada individu dan bukan kelompok atau peran. 
13. Pastikan bahwa hak akses database tidak secara implisit diberikan secara tidak benar.
14. Meninjau SQL dinamis yang dijalankan dalam prosedur tersimpan.
15. Pastikan akses tingkat baris ke data tabel benar dilaksanakan. 
16. Cabut izin PUBLIK jika tidak diperlukan.

Enkripsi data
Enkripsi data diterapkan pada tiga area yang berbeda, atau negara bagian. Data bergerak menggambarkan data dalam transit di seluruh jaringan dan sering dienkripsi menggunakan protokol seperti Secure Sockets Layer (SSL). 
17. Pastikan enkripsi jaringan diimplementasikan.
18. Verifikasi bahwa enkripsi data saat istirahat diterapkan bila sesuai.
19. Verifikasi penggunaan audit database dan pemantauan aktivitas yang sesuai. 
20. Mengevaluasi bagaimana kapasitas dikelola untuk lingkungan database untuk mendukung kebutuhan bisnis yang ada dan yang diantisipasi.
21. Mengevaluasi bagaimana kinerja dikelola dan dipantau untuk lingkungan database untuk mendukung kebutuhan bisnis yang ada dan yang diantisipasi. 

Alat dan Teknologi
Meskipun dapat melakukan sebagian besar audit menggunakan metode manual, tetapi akan sering merasa terbantu untuk menggunakan seperangkat alat untuk melakukan tugas berulang atau teknis. Alat audit dan pemantauan dapat menyediakan bahan baku yang perlu dianalisis dan interpretasikan. Ini adalah nilai tambah yang dimiliki oleh seorang auditor saat menggunakan salah satu alat ini.

Auditing Tools
Alat berguna untuk mencari celah dan celah. Dua perspektif tentang pemindaian database untuk kerentanan dan tambalan biasa terjadi : mencari dan mendokumentasikan sebanyak mungkin kerentanan, dan untuk mengurangi kerentanan malah berfokus pada tambalan apa yang telah diinstal. Pada akhir hari, perlu tahu patch apa yang belum diterapkan dan perlu mengidentifikasi kerentanan kritis dan konfigurasi yang salah.

Monitoring Tools
      Banyak alat dirancang untuk membantu memantau aktivitas basis data. Sebagai auditor, memiliki pengaruh atas penggunaan alat ini untuk mencatat dan mendeteksi akses tidak sah atau berbahaya ke data sensitif. Perlu menentukan peraturan apa yang berlaku untuk database dan kemudian menerjemahkannya ke dalam item tertentu yang dapat diimplementasikan sebagai audit asli atau pemantauan aktivitas yang lebih mendalam. 
      Solusi pemantauan basis data mencakup pendekatan yang memonitor database dengan cara melihat jaringan atau dengan menggunakan klien yang terinstal di host. Beberapa solusi pemindaian menggunakan pendekatan hibrida yang menggabungkan kedua metode ini. 

Master Checklist
Berikut langkah-langkah yang tercantum di sini untuk mengaudit database.

Auditing Database
 Daftar Periksa untuk Database Audit
1. Dapatkan versi database dan bandingkan dengan persyaratan kebijakan. Verifikasi bahwa database menjalankan versi yang terus didukung vendor.
2. Verifikasi bahwa kebijakan dan prosedur tersedia untuk mengidentifikasi kapan tersedia patch dan untuk menerapkan patch. Pastikan semua tambalan yang disetujui dipasang sesuai database Anda kebijakan manajemen
3. Tentukan apakah standar build tersedia untuk sistem database baru dan apakahbaseline itu memiliki pengaturan keamanan yang memadai.
4. Pastikan akses ke sistem operasi dibatasi dengan benar.
5. Pastikan hak akses pada direktori tempat database terinstal, dan file database itu sendiri, benar dibatasi
6. Pastikan hak akses pada kunci registri yang digunakan oleh database benar terbatas.

Daftar Periksa untuk Database Audit
7. Mengkaji dan mengevaluasi prosedur pembuatan akun pengguna dan memastikan akun tersebut hanya dibuat bila ada kebutuhan bisnis yang sah. Juga tinjau dan evaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan secara tepat waktu di acara penghentian atau perubahan pekerjaan.
8. Periksa nama pengguna dan kata sandi default.
9. Periksa password yang mudah ditebak.
10. Periksa kemampuan manajemen password yang diaktifkan.
11. Verifikasi bahwa hak akses database diberikan atau dicabut secara tepat untuk tingkat otorisasi yang dibutuhkan
12. Tinjau kembali perizinan database yang diberikan kepada individu dan bukan kelompok atau peran.
13. Pastikan hak akses database tidak diberikan secara implisit.
14. Tinjau ulang SQL dinamis yang dieksekusi dalam prosedur tersimpan.
15. Pastikan bahwa akses tingkat tinggi ke data tabel diimplementasikan dengan benar.
16. Cabut izin PUBLIK jika tidak diperlukan.
17. Pastikan enkripsi jaringan diimplementasikan.
18. Pastikan enkripsi data saat istirahat diterapkan jika sesuai.
19. Verifikasi penggunaan audit database dan pemantauan aktivitas yang sesuai.
20. Mengevaluasi bagaimana kapasitas dikelola untuk lingkungan database untuk mendukung yang ada dan persyaratan bisnis yang diantisipasi.
21. Mengevaluasi bagaimana kinerja dikelola dan dimonitor untuk lingkungan database untuk mendukung kebutuhan bisnis yang ada dan yang diantisipasi.


4    REGULASI
Komunitas bisnis global terus mendorong peraturan dan undang-undang baru yang mempengaruhi dan meningkatkan tanggung jawab perusahaan untuk pengendalian internal.
Kelompok audit internal dan eksternal ditugaskan untuk meninjau proses bisnis dan prosedur untuk memastikan pengendalian yang tepat ada yang melindungi kepentingan bisnis dan konsumen. Sifat global bisnis dan teknologi mendorong kebutuhan akan standar dan peraturan yang mengatur bagaimana perusahaan bekerja sama dan bagaimana informasi dibagi. Kemitraan strategis dan kolaboratif telah berevolusi dengan badan-badan seperti International Organization of Standardization (ISO), International Electrotechnical Commission (IEC), International Telecommunication Union (ITU), dan Organisasi Perdagangan Dunia (WTO). Partisipasi dalam badan standar ini bersifat sukarela, dengan tujuan bersama untuk mempromosikan perdagangan global untuk semua negara.
Bangsa, industri, dan perusahaan memiliki kekhawatiran tentang kerahasiaan, integritas, dan ketersediaan informasi mereka. Standar dan undang- metode yang memastikan kekhawatiran undang adalah dua ini terpenuhi.

Dampak Regulatory terhadap Audit TI
Pertimbangkan Rantai Nilai Porter yang ditunjukkan pada Gambar 17-1. Masing-masing komponen fungsional bisnis saat ini terus menarik tuntutan kemitraan yang lebih tinggi pada organisasi TI untuk mendukung proses bisnis. Hubungan saling terkait antara kontrol TI dan fungsi bisnis pendukungnya telah menciptakan usaha besar untuk mengikat kontrol TI tertentu terhadap proses bisnis yang ada dan yang baru. Upaya tersebut terdiri dari pembuat undang-undang yang berusaha melindungi konsumen, layanan keuangan yang berusaha melindungi aset mereka, membantu penjual mencoba menjual lebih banyak produk, dan bisnis yang berusaha mematuhi persyaratan yang tampaknya berkembang dan tidak konsisten.

Asosiasi Internasional Auditor Internal (IIA) dan Asosiasi Audit dan Pengawasan Sistem Informasi Internasional (ISACA) menerbitkan panduan untuk membantu anggota kelompok audit internal dan eksternal ini dalam membangun kontrol umum dan proses audit.

1.    Sarbanes-Oxley Act dan Dewan Pengawas Akuntansi Perusahaan Publik
(PCAOB) diciptakan untuk memulihkan kepercayaan investor di pasar umum A.S. Tujuan utamanya adalah untuk meningkatkan tanggung jawab perusahaan, meningkatkan pengungkapan keuangan, dan mencegah kecurangan perusahaan dan akuntansi. Dengan demikian, kontrol yang diperlukan untuk kepatuhan terhadap fokus SOX pada kontrol kunci penting untuk memastikan kerahasiaan, integritas, dan ketersediaan data keuangan.

Dampak SOX terhadap Korporasi Publik
SOX mewajibkan eksekutif perusahaan untuk membuktikan kecukupan dan efektivitas pengendalian internal mereka terkait dengan transaksi dan pelaporan keuangan, termasuk pengendalian TI. Kontrol ini harus diaudit secara eksternal, dan sebuah pernyataan kontrol harus disertakan dalam laporan perusahaan tahunan yang diajukan ke Security and Exchange Commission (SEC). CEO perusahaan dan CFO sekarang dimintai pertanggungjawaban atas kualitas dan integritas informasi yang dihasilkan
SOX diminta untuk memeriksa risiko teknologi dan menguji semua kontrol secara menyeluruh. Ini berarti bahwa banyak manajer IS meminta panduan atau bantuan konsultasi untuk memastikan bahwa mereka mematuhi undang-undang yang baru. Karena budaya bisnis yang berbeda yang terlibat dalam korporasi global dan jumlah investor internasional di perusahaan berbasis A.S., komunitas TI global harus menyadari dampak audit keuangan terhadap pengoperasian departemen IS.

Dampak SOX terhadap Departemen IT
Bagi kebanyakan organisasi, layanan TI sekarang menjadi bagian penting dari proses pelaporan keuangan. Aplikasi dan layanan mendukung pembuatan, penyimpanan, pemrosesan, dan pelaporan transaksi keuangan. Kepatuhan SOX juga harus mencakup pengendalian penggunaan teknologi dalam penanganan data, pengolahan, dan pelaporan Departemen TI sekarang harus secara formal menangani perancangan, dokumentasi, implementasi, pengujian, pemantauan, dan pemeliharaan pengendalian internal TI.

Dampak Layanan Pihak Ketiga terhadap Kepatuhan SOX
Langkah-langkah pengendalian ditujukan untuk meninjau dan memantau kontrak dan prosedur yang ada untuk efektivitas dan kepatuhan mereka terhadap kebijakan organisasi. Pembubaran kontrak besar bisa berdampak signifikan terhadap pelaporan keuangan. Dengan demikian akan termasuk dalam panduan pengungkapan oleh petugas perusahaan.

Empat tujuan fungsional untuk mengaudit layanan pihak ketiga dan melakukan outsourcing sebagian besar kegiatan perusahaan yang relevan dengan perusahaan, anak perusahaan korporasi, dan perusahaan multinasional diringkas sebagai berikut:
·         Pernyataan kebijakan mengenai integritas data, ketersediaan, dan kerahasiaan ditentukan oleh manajemen senior dan harus dipelihara dan didukung oleh pengaturan outsource.
·         Persyaratan perlindungan aset harus didefinisikan dan dipahami dengan jelas prinsipal dalam perjanjian outsourcing
·         Tanggung jawab kustodian data dan informasi harus didefinisikan dengan baik dan sesuai dengan.
·         Tingkat layanan harus didefinisikan, terukur, dan dapat diterima oleh kedua belah pihak. Kegagalan untuk memenuhi kesepakatan tingkat layanan harus memiliki beberapa tindakan kompensasi. Tagihan dan faktur harus akurat dan biaya dalam jumlah yang dianggarkan.


Kontrol TI Tertentu yang Dibutuhkan untuk Kepatuhan SOX
Secara umum, kontrol TI berikut harus didokumentasikan dan dievaluasi seefektif sesuai dengan persyaratan SOX:

• Kontrol akses
Akses terhadap data keuangan dan "pribadi yang dilindungi" juga harus dibatasi pada orang-orang yang memiliki alasan bisnis yang sah untuk mengakses.



• Ubah control
Untuk memastikan akurasi, kelengkapan, dan integritas pelaporan keuangan, perusahaan harus memiliki proses pengendalian perubahan yang terdokumentasi dan efektif yang mencakup perubahan pada aplikasi keuangan, semua aplikasi antarmuka, sistem operasi yang mengendalikan server desktop dan host, alat produktivitas yang digunakan untuk membuat ringkasan. analisis, sistem manajemen database, dan jaringan.
Kontrol perubahan aplikasi keuangan merupakan perhatian yang jelas saat meninjau kontrol atas pelaporan keuangan. Seringkali, auditor kepatuhan belum menilai risiko pengendalian perubahan yang tidak memadai untuk sistem antarmuka, infrastruktur basis data, sistem operasi, sistem jaringan, atau konfigurasi perangkat keras. Bahkan kelompok internal IS mungkin tidak menyadari relevansi kontrol yang didokumentasikan dan ditegakkan di bidang ini terkait dengan kegiatan pelaporan keuangan. Analisis terbaru oleh pakar penilaian risiko telah menunjukkan bahwa metode kontrol perubahan yang tidak memadai dapat menyebabkan hilangnya integritas informasi dalam aplikasi keuangan dan sistem data. Risiko potensial meliputi pelaporan yang tidak akurat atau pelaporan yang tidak lengkap.

• Manajemen data
Manajemen data mencakup pengelolaan data logis dan fisik serta identifikasi dan perlindungan data penting, terutama data yang berkaitan dengan pemrosesan dan pelaporan keuangan.

Transfer Data Antar : Kesalahan yang ditemukan dalam proses ekstraksi, transformasi, dan unduhan harus dipisahkan, dilaporkan, dan dibersihkan dalam jangka waktu yang wajar untuk memastikan pelaporan keuangan yang akurat

Struktur Database : Kompatibilitas sistem manajemen basis data yang digunakan untuk menyimpan data keuangan itu penting. Jika data transaksional yang digunakan untuk pelaporan keuangan disimpan dalam struktur data yang berbeda, integritas penjumlahan, interpretasi, dan analisis dapat terancam. Jika struktur data yang berbeda diperlukan, maka kontrol kompensasi harus dilakukan untuk memvalidasi kompilasi data akhir.

Konsistensi Elemen Data : Banyak perusahaan menjalankan beberapa sistem akuntansi yang menggunakan terminologi yang berbeda untuk mewakili informasi yang sama atau terminologi yang sama untuk mewakili informasi yang berbeda. Oleh karena itu, file metadata dan kamus data harus digunakan untuk memastikan interpretasi yang konsisten terhadap elemen data utama.

Pengendalian Fisik Data  : Kontrol fisik data sangat penting bagi integritas pelaporan keuangan. Jika fasilitas di mana server, workstation, dan laporan hard copy berada tidak diamankan, maka tampilan atau perubahan yang tidak sah dapat membahayakan transaksi dan / atau data.

Cadangan data          Waktu dan frekuensi proses backup harus ditentukan oleh kebutuhan bisnis untuk pemulihan data jangka pendek dalam situasi bermasalah. Rencana pemulihan bencana dan kelanjutan bisnis bukanlah bagian yang melekat pada persyaratan terbaru untuk kepatuhan SOX namun sangat penting untuk ketahanan bisnis. Lihat Bab 4 untuk informasi tambahan tentang pemulihan bencana.


• Operasi TI
Kontrol operasi TI melampaui pengelolaan perangkat keras dan pusat data yang jelas. Sehubungan dengan akuisisi lingkungan TI, ada kontrol atas definisi, akuisisi, pemasangan, konfigurasi, integrasi, dan pemeliharaan infrastruktur TI.
Komponen perangkat lunak sistem operasi mencakup kontrol atas akuisisi, implementasi, konfigurasi, dan pemeliharaan perangkat lunak sistem operasi, sistem manajemen basis data, perangkat lunak middleware, perangkat lunak komunikasi jaringan, perangkat lunak keamanan, dan utilitas

• Operasi jaringan
Pengolahan tentang jaringan dalam sistem agar dapat melindungi dari ancaman penyerangan virus, warm, dan ancaman lainnya.

• Manajemen asset
Audit pengelolaan aset sebagian besar berkaitan dengan otorisasi, pengeluaran keuangan, dan depresiasi dan pelaporan yang tepat. pengelolaan aset yang dapat ditinjau meliputi persediaan, pelepasan aset, pengelolaan perubahan inventori aset, dan keseluruhan pemahaman tentang prosedur asset.

  
1   2. Gramm-Leach-Bliley Act
Undang-undang ini adalah Undang-Undang Modernisasi Jasa Keuangan. Tindakannya, yang lebih dikenal dengan Gramm-Leach-Bliley Act (GLBA), diarahkan terutama untuk memungkinkan fungsi dan hubungan yang diperluas di antara institusi keuangan. Undang-undang tersebut mencakup bagaimana dan dalam keadaan apa perusahaan induk bank dapat melakukan afiliasi baru dan terlibat dalam kegiatan yang sebelumnya dibatasi.

Dari perspektif dampak terhadap pengendalian internal, bagian GLBA Title V memberikan serangkaian peraturan khusus yang mengatur bagaimana informasi individual untuk pelanggan lembaga keuangan dapat dibagi. GLBA mensyaratkan bahwa perusahaan keuangan mengungkapkan kepada pelanggan tentang kebijakan dan praktik privasi lembaga tersebut. 

3.    California SB 1386
California SB 1386 adalah salah satu undang-undang negara yang paling awal dan pasti yang paling terlihat terkait dengan pelanggaran keamanan yang menyebabkan informasi pribadi diungkapkan.
Termasuk dalam undang-undang adalah definisi tentang apa yang dianggap sebagai informasi pribadi, metode untuk mengevaluasi apakah informasi telah diungkapkan secara tidak sah, dan persyaratan untuk pemberitahuan warga negara California.

2.    Undang-undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996
HIPAA adalah bagian undang-undang yang sangat besar dan kompleks. Tindakan tersebut mencakup dua bagian. Judul I memberikan jaminan kesehatan setelah karyawan kehilangan pekerjaan. Judul II membahas tindakan administratif yang dimaksudkan untuk menyederhanakan dan membakukan informasi kesehatan.

5.    Standard an Kerangka Kerja
Pada tahun 1970-an, kekhawatiran meningkatnya kebangkrutan perusahaan dan keruntuhan finansial mulai terjadi.  Dalam upaya untuk mencegah intervensi pemerintah, sebuah sektor swasta yang disebut Komite Organisasi Sponsoring (COSO) berinisiatif untuk meningkatkan kualitas pelaporan keuangan, dimulai pada tahun 1985. COSO meresmikan konsep pengendalian internal dan kerangka kerja pada tahun 1992.

COSO
Committee of Sponsoring Organizations of the Treadway Commission (COSO), adalah suatu inisiatif dari sector swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO menerbitkan panduan formal pertama untuk pengendalian internal, pada tahun 1992.
Kerangka Pengendalian Terpadu Internal

Pengendalian internal terdiri dari lima komponen yang saling terkait:
  • -       control environment adalah dasar bagi semua komponen pengendalian internal lainnya, memberikan struktur.
  • -       Risk assessment adalah identifikasi dan analisis risiko yang relevan dengan pencapaian tujuan yang membentuk dasar penentuan bagaimana risikonya harus dikelola.
  • -       Control activities adalah kebijakan dan prosedur yang membantu untuk memastikan arahan manajemen dan membantu untuk memastikan bahwa tindakan yang diperlukan diambil untuk mengatasi risiko.
  • -       Information and Communicatio,  Menurut COSO, informasi harus diidentifikasi, ditangkap, dan dikomunikasikan.

-       Monitoring, sistem pengendalian internal perlu dipantau.



Konsep Kerangka Kerja Manajemen Risiko-Terpadu
Kerangka manajemen risiko perusahaan diarahkan untuk mencapai entitas tujuan, yang ditetapkan dalam empat kategori:
  • -       Strategic,  Tujuan tingkat tinggi, selaras dengan dan mendukung misinya
  • -       Operations, Efektif dan efisien penggunaan sumber dayanya
  • -       Reporting, Reliabilitas pelaporan
  • -       Compliance, Permohonan dengan hukum dan peraturan yang berlaku

Manajemen risiko perusahaan terdiri dari delapan komponen yang saling terkait. Berasal dari cara manajemen menjalankan perusahaan dan terintegrasi dengan manajemen proses.
  • -        Internal environment
  • -       Objective setting
  • -       Event identification
  • -       Risk assessment
  • -        Risk response
  • -       Control activities
  • -       Information and communication
  • -       Monitoring

COBIT
Control Objectives for Information and related Technology (COBIT) adalah sebuah control kerangka kerja TI yang diterbitkan oleh Information Technology Governance Institute (ITGI) pada tahun 1994 bekerja sama dengan ISACA.

ITIL
IT Infrastructure Library (ITIL) dikembangkan oleh pemerintah Inggris pada pertengahan- 1980an dan telah menjadi standar de facto untuk praktik terbaik dalam penyediaan infrastruktur TI manajemen dan pemberian layanan.

ISO 27001
Sejak didirikan pada tahun 1947, International Organization for Standardization (ISO) telah melakukannya menciptakan sejumlah standar untuk manajemen keamanan jaringan, pengembangan perangkat lunak, dan kontrol kualitas.

Kerangka dan Standar
Kerangka dan standar hanya menyediakan struktur dan panduan yang dibutuhkan agar organisasi menyesuaikan dengan kebutuhan spesifik. Kerangka dan standar berguna untuk:
-          membimbing tujuan pengendalian dan aktivitas pengendalian,
-          mengembangkan tata kelola, manajemen risiko, dan kepatuhan,
-          memberikan panduan kepada auditor untuk mendasarkan audit mereka.
 
Secara umum, kerangka kerja adalah seperangkat aturan dan gagasan konseptual yang menyediakan struktur ke situasi yang kompleks dan beragam. Meskipun kerangka kerja bersifat kaku dalam kerangkanya, namun tetap fleksibel.
 
 
6.    MANAJEMEN RESIKO
Hanya beberapa tahun yang lalu, firewall dan perangkat lunak antivirus adalah semua yang kebanyakan organisasi yang digunakan untuk mengurangi risiko. Dalam beberapa tahun terakhir, namun, ancaman lansekap telah berubah jauh. Hari ini, ancaman insider yang lebih jelas, ribuan varian malware sedang didistribusikan, dan pemerintah telah diberlakukan Undang-undang yang memerlukan pelaksanaan berbagai kontrol. Sebagai akibatnya, proses manajemen risiko formal sekarang harus menjadi bagian dari setiap IT audit program.

Manfaat manajemen resiko
Tidak diragukan lagi potensi manajemen risiko itu masih dengan baik dirahasiakan. Selama beberapa tahun, banyak organisasi telah meningkat efektivitas mereka kontrol IT atau dikurangi biaya mereka mempekerjakan praktik manajemen risiko dan risiko-analisis suara. Ketika manajemen memiliki pemandangan perwakilan organisasi itu eksposur, dapat mengarahkan sumberdaya yang sesuai untuk mengurangi bidang tertinggi risiko daripada menghabiskan sumber daya yang langka di daerah yang memberikan sedikit atau tidak ada pengembalian atas investasi (ROI). Hasil akhirnya adalah tingkat pengurangan risiko yang lebih tinggi untuk setiap dolar yang dihabiskan.

Manajemen risiko dari perspektif Eksekutif
Kebenaran adalah, bisnis adalah semua tentang risiko dan imbalan. Eksekutif diwajibkan untuk menimbang manfaat investasi dengan risiko yang terkait dengan mereka. Akibatnya, sebagian besar memiliki akan datang cukup mahir di mengukur risiko melalui analisis ROI, indikator kinerja utama dan berbagai alat analisis keuangan dan operasional lainnya. Akibatnya, beberapa jenis analisis keuangan biasanya diperlukan untuk membuat kasus busi-ness untuk investasi di kontrol tambahan.

Mengatasi risiko
Risiko dapat diatasi dalam tiga cara: menerima , mengurangi atau transfer. Metode yang tepat sepenuhnya tergantung pada nilai keuangan risiko versus investasi yang dibutuhkan untuk mengurangi ke tingkat yang dapat diterima atau transfer ke pihak ketiga

Risiko penerimaan
Nilai keuangan risiko ini sering lebih kecil dari biaya mengurangi atau memindahkannya. Dalam kasus ini, opsi paling masuk akal akan menerima risiko. Namun, jika organisasi-bantuan kepada memilih untuk menerima risiko, itu harus menunjukkan bahwa risiko memang dinilai dan dokumen alasan di balik keputusan.

Mitigasi risiko
Ketika risiko memiliki nilai keuangan yang signifikan, hal ini sering lebih sesuai untuk mengurangi risiko daripada menerimanya. Dengan beberapa pengecualian, biaya pelaksanaan dan mempertahankan-ing kontrol yang harus kurang dari nilai moneter risiko yang dikurangi. Kami menunjukkan bagaimana untuk menetapkan nilai moneter untuk risiko kemudian dalam bab ini.

Pengalihan risiko
Industri asuransi didasarkan pada risiko transferensi. Organisasi sering membeli asuransi untuk menutupi biaya pelanggaran keamanan atau kegagalan bencana system. Hal ini penting untuk dicatat bahwa perusahaan asuransi yang menawarkan jenis kebijakan sering memerlukan bahwa pemegang polis melaksanakan kontrol tertentu. Kegagalan untuk mematuhi persyaratan kontrol dapat meniadakan kebijakan.

Kuantitatif vs Analisis kualitatif risiko
Risiko dapat dianalisis dalam dua cara: kuantitatif dan kualitatif. Seperti apa pun, masing-masing memiliki kelebihan dan kekurangan. Dimana pendekatan kuantitatif adalah lebih objektif dan mengungkapkan risiko dalam istilah keuangan yang pengambil keputusan dapat lebih mudah membenarkan, itu juga lebih memakan waktu. Pendekatan kualitatif lebih cocok untuk pres-THT pemandangan bertingkat-tingkat risiko, tetapi hal ini dapat lebih subyektif dan oleh karena itu sulit untuk diperkuat.

Analisis kuantitatif risiko
Dengan sedikit pengecualian, baik yang berhubungan dengan sumber daya keuangan, fisik, atau teknologi, jenis risiko dapat dihitung dengan rumus universal yang sama. Risiko dapat didefinisikan oleh perhitungan berikut: risiko = aset nilai × ancaman × kerentanan.

Unsur-unsur risiko
Seperti yang Anda lihat dalam persamaan sebelumnya, risiko terdiri dari tiga unsur: nilai aset, ancaman dan kerentanan. Memperkirakan elemen-elemen ini dengan benar penting untuk menilai risiko secara akurat.

·         Assets (asset)
Biasanya digambarkan sebagai nilai moneter, aset dapat didefinisikan sebagai sesuatu yang layak untuk sebuah organisasi yang dapat rusak, terganggu, atau dihancurkan oleh tindakan disengaja atau tidak disengaja.

·         Threats (ancaman)
Ancaman dapat didefinisikan sebagai acara potensial yang, jika terwujud, akan menyebabkan dampak yang tidak diinginkan.

·         Vulnerabilities (kerentanan)
Kerentanan dapat didefinisikan sebagai ketiadaan atau kelemahan kumulatif kontrol melindungi-ing aset tertentu. Kerentanan diperkirakan sebagai persentase berdasarkan tingkat kontrol kelemahan.

Aplikasi praktis
Sekarang bahwa kita sudah didefinisikan bagaimana menganalisis risiko, kita dapat mulai memasukkannya ke dalam praktek. Berikut adalah beberapa contoh tentang bagaimana persamaan ini relevan dalam itu serta daerah lain.

Skenario risiko fisik
Pemerintah AS salam pusat komando dan kontrol di instalasi militer di Timur Tengah sangat penting untuk kemampuan untuk beroperasi di wilayah itu. Jika fasilitas ini hancur, itu mungkin akan menyebabkan hilangnya kehidupan (dalam fasilitas dan di bidang), merusak fasilitas itu sendiri, dan kemunduran untuk tujuan militer.
Dalam contoh ini, aset yang merupakan pusat komando dan kontrol. Nilai sebenarnya dari pusat komando dan kontrol termasuk kehidupan para prajurit yang akan terpengaruh, komando dan kontrol fasilitas itu sendiri, dan tujuan militer yang akan pergi tak terpenuhi dalam hal kerugian yang akan terjadi.

IT risiko skenario
IT audit Direktur Nasional pengecer telah menetapkan bahwa iklim hukum adalah chang-ing terkait dengan informasi kartu kredit yang dipercayakan perusahaan. Sampai sekarang, perusahaan tidak dianggap risiko pengungkapan informasi nasabah yang pribadi atau kredit-kartu-spesifik.

Analisis kuantitatif risiko dalam praktek
Jika Anda belum mulai mengidentifikasi ancaman organisasi Anda saat ini, ini akan menjadi berharga untuk melakukannya. Dari sana, mengidentifikasi ancaman baru dapat latihan mental sehari-hari. Sebagai bisnis atau perubahan teknologi, Anda harus bertanya, apa ancaman baru Apakah perubahan ini memperkenalkan? Jika menyadari, bagaimana ancaman ini mempengaruhi bisnis Anda? Ketika Anda mengidentifikasi ancaman yang signifikan dan ingin membuat bisnis pembenaran untuk pembelian kontrol tambahan, Anda dapat menggunakan perhitungan sebelumnya untuk mendukung kasus Anda.

Penyebab umum untuk ketidakakuratan
Kebanyakan analisis risiko berusaha hari ini mengakibatkan bottom-line perkiraan yang jauh dari sasaran. Sayangnya, ketika manajemen organisasi kehilangan iman dalam risiko informa-tion yang disajikan untuk itu, ia cenderung untuk mengabaikan sejumlah permintaan untuk mitigasi risiko investasi yang tidak proporsional. Manajemen tertarik berinvestasi sumber daya yang terbatas di daerah yang akan membuat uang organisasi atau akan menghemat uang organisasi. Ini adalah mengapa sangat penting bahwa Anda hadir analisis risiko yang padat setiap kali mendekati manajemen sumber daya tambahan. Berikut ini adalah penyebab paling umum dari risiko analisis ketidakakuratan.

Kegagalan untuk mengidentifikasi aset, ancaman, atau kerentanan
Penyebab paling umum dari ketidakakuratan dalam proses analisis risiko adalah kegagalan untuk mengidentifikasi aset, ancaman, dan kerentanan.

Estimasi tidak akurat
Sayangnya, cukup banyak estimasi terlibat dalam menganalisis risiko, yang membuatnya ilmu yang tepat. Banyak kesalahan dapat dikaitkan dengan fakta ini.

ASET Pendekatan tradisional untuk analisis risiko tidak memperhitungkan biaya yang diakibatkan dari kompromi yang di luar hilangnya aset itu sendiri.

Ancaman Tidak seperti aset atau kerentanan, ancaman adalah satu-satunya unsur persamaan analisis risiko yang selalu berasal dari nilai satu.

Kerentanan Seperti telah dibahas sebelumnya, kerentanan adalah tidak adanya atau kelemahan dalam kontrol kumulatif. Oleh karena itu, untuk mengidentifikasi kerentanan, kita harus memahami kekuatan kontrol. Risiko analisis kesalahan sering dibuat karena kekuatan kontrol tidak dievaluasi dengan benar atau kontrol kontrol kompensasi tidak diperhitungkan.

Analisis kualitatif risiko
Tidak seperti pendekatan kuantitatif analisis risiko, teknik analisis kualitatif risiko dapat memberikan tampilan tingkat tinggi menjadi risiko perusahaan. Dimana metode kuantitatif berfokus pada rumus, Analisis kualitatif risiko akan berfokus pada nilai-nilai seperti tinggi, menengah, dan rendah atau warna merah, kuning dan hijau untuk mengevaluasi risiko.

IT risiko manajemen siklus hidup
Seperti dengan kebanyakan metodologi, manajemen risiko, bila diterapkan dengan benar, mengambil pada karakteristik siklus kehidupanIni dapat dibagi menjadi beberapa fase, mulai dengan identifikasi informasi aset dan berpuncak dengan manajemen risiko residual. Tahap-tahap khusus adalah sebagai berikut:
·         Tahap 1 mengidentifikasi aset informasi.
·         Tahap 2 diukur dan memenuhi syarat ancaman.
·         Tahap 3 menilai kerentanan.
·         Tahap 4 Remediate kontrol kesenjangan.
·         Tahap 5 mengelola risiko residual.

Tahap 1 mengidentifikasi aset informasi.
Tahap pertama dalam siklus hidup manajemen risiko adalah untuk mengidentifikasi aset informasi organisasi. Untuk menjadi sukses, Anda harus menyelesaikan beberapa tugas:
·         menetapkan nilai-nilai kritis informasi.
·         Mengidentifikasi fungsi bisnis.
·         Peta informasi proses.
·         Mengidentifikasi aset informasi.
·         Menetapkan nilai-nilai kritis untuk aset informasi.
Tujuan dari tahap ini adalah untuk mengidentifikasi semua aset informasi dan menetapkan setiap informa-tion aset kritis nilai tinggi, sedang, atau rendah untuk kerahasiaan, integritas, dan ketersediaan persyaratan.

Tahap 2 diukur dan memenuhi syarat ancaman.
Informasi ancaman mempengaruhi organisasi melalui loyalitas merek berkurang, kehilangan sumber daya, biaya pemulihan, dan tindakan hukum dan peraturan. Ketika ancaman menyadari, biaya-biaya tersebut sering terhitung untuk karena mereka tidak diidentifikasi dengan baik.
Langkah berikutnya dalam siklus hidup manajemen risiko adalah untuk mengukur dan memenuhi syarat ancaman.
Fase siklus hidup manajemen risiko memerlukan langkah-langkah berikut: menilai bisnis ancaman.
·         Mengidentifikasi ancaman teknis, fisik, dan administrasi.
·         Mengukur dampak ancaman dan probabilitas.
·         Mengevaluasi arus proses untuk kelemahan.
·         Mengidentifikasi komponen proses ancaman.

Tahap 3 menilai kerentanan.
Pada fase ini, kita akan menilai kerentanan. Dalam memeriksa ancaman, common denominator adalah aset informasi, karena ancaman masing-masing terikat aset informasi. Ketika menilai kerentanan, di sisi lain, common denominator adalah proses informasi. Kami akan terlebih dahulu mengidentifikasi komponen proses kerentanan dan kemudian menggabungkan mereka untuk menentukan kerentanan proses kami. Proses kerentanan maka akan dikombinasikan untuk menentukan bisnis fungsi kerentanan.
Daripada bekerja dari atas ke bawah (dari fungsi bisnis untuk proses compo-nent), kami akan bekerja dari bawah ke dalam menilai kerentanan. Kita akan menggunakan langkah-langkah berikut dalam menganalisis kerentanan:
·         mengidentifikasi ada kontrol dalam hubungannya dengan ancaman.
·         Menentukan proses komponen kontrol kesenjangan.
·         Menggabungkan kontrol kesenjangan menjadi proses dan kemudian fungsi bisnis.
·         Mengkategorikan kesenjangan kontrol berdasarkan tingkat keparahan.
·         Menetapkan peringkat risiko.

Tahap 4 Remediate kontrol kesenjangan.
Pada titik ini, risiko kami harus dapat dikategorikan sebagai tinggi, menengah atau rendah. Pada awalnya, kita akan fokus pada mengurangi risiko paling parah, karena kita kemungkinan akan melihat kembali tertinggi pada investasi kami. Pada dasarnya, kita dapat mengurangi risiko lebih banyak dengan lebih sedikit uang. Kita akan menggunakan langkah-langkah berikut di kontrol kesenjangan remediasi:
·         Pilih control.
·         Menerapkan kontrol.
·         Memvalidasi kontrol baru.
·         Menghitung ulang penilaian risiko.

Tahap 5 mengelola risiko residual.
Risiko inheren dinamis di alam, terutama ancaman komponen risiko. Sebagai re-Gan, kita akan perlu untuk mengukur risiko terus-menerus dan berinvestasi dalam kontrol baru untuk merespon ancaman yang timbul. Tahap ini terdiri dari dua langkah:
·         membuat risiko dasar
·         menilai kembali risiko
 










Sumber :
Judul : Audit Berbasis Risiko
Disampaikan oleh : Embharri Manda Nasutian, SE, MM
Tahun 2016
Tgl 29 April 2016, Bogor
Didukung oleh : bpkp (Penikatan Kapasitas APIP Kemenristek dan Dikti dalam Melakukan Audit Berbasis Risiko)


Diposting oleh di

1 komentar:

  1. fabreullmann3 Maret 2022 pukul 21.43

    Casino City | Casinos Near You in Washington, USA - Mapyro
    Find the best casino 양주 출장샵 city in Washington, D.C.. See 10 reviews, 당진 출장샵 20 photos and blog posts 진주 출장마사지 from Mapyro 대전광역 출장마사지 of Washington, D.C. "I found the first casino 논산 출장샵 on

    BalasHapus

Langganan: Posting Komentar (Atom)