Tahapan/Prosedur
IT Audit
Tahapan Perencanaan sebagai suatu pendahuluan
mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa
sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar
pelaksanaannya akan berjalan efektif dan efisien.
Mengidentifikasikan resiko dan kendali. Tahap ini untuk memastikan
bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang
berpengalaman dan juga referensi praktik-praktik terbaik.
Mengevaluasi kendali dan mengumpulkan bukti-bukti melalui berbagai
teknik termasuk survei, interview, observasi, dan review dokumentasi.
Mendokumentasikan dan mengumpulkan temuan-temuan dan
mengidentifikasikan dengan audit.
Menyusun laporan.Hal ini mencakup tujuan pemeriksaan, sifat, dan
kedalaman pemeriksaan yang dilakukan.
Contoh Prosedur
IT Audit
Kontrol lingkungan:
1.Apakah kebijakan keamanan (security policy) memadai dan efektif
?
2.Jika
data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg
terikini dari external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan financial
4. Memeriksa persetujuan lisen (license agreement)
Kontrol
keamanan fisik
1.Periksa apakah keamanan fisik perangkat keras dan penyimpanan
data memadai
2.Periksa apakah backup administrator keamanan sudah memadai
(trained,tested)
3.Periksa apakah rencana kelanjutan bisnis memadai dan efektif
4.Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data
memadai
Kontrol
keamanan logical
1.Periksa apakah password memadai dan perubahannya dilakukan
regular
2.Apakah administrator keamanan memprint akses kontrol setiap user
CONTOH –
CONTOH
-Internal IT Deparment Outputnya Solusi teknologi meningkat,
menyeluruh & mendalam dan Fokus kepada global, menuju ke standard2 yang
diakui.
-External IT Consultant Outputnya Rekrutmen staff, teknologi
baru dan kompleksitasnya Outsourcing yang tepat dan Benchmark / Best-Practices
Contoh
Metodologi IT Audit:
BSI (Bundesamt for Sicherheit in der Informationstechnik):
● IT Baseline Protection Manual (IT-
Grundschutzhandbuch )
● Dikembangkan oleh GISA: German Information
Security Agency
● Digunakan: evaluasi konsep keamanan &
manual
● Metodologi evaluasi tidak dijelaskan
● Mudah digunakan dan sangat detail sekali
Lembar Kerja
IT AUDIT
•Stakeholders:
Internal IT Deparment, External IT Consultant, Board of Commision, Management,
Internal IT Auditor, External IT Auditor
•Kualifikasi
Auditor: Certified Information Systems Auditor (CISA), Certified Internal
Auditor (CIA), Certified Information Systems Security Professional (CISSP),
dll.
•Output
Internal IT: Solusi teknologi meningkat, menyeluruh & mendalam, Fokus
kepada global, menuju ke standard-standard yang diakui.
•Output
External IT: Rekrutmen staff, teknologi baru dan kompleksitasnya,
Outsourcing yang tepat, Benchmark / Best-Practices.
•Output
Internal Audit & Business: Menjamin keseluruhan audit, Budget & Alokasi
sumber daya, Reporting.
.png)
Gambar diatas merupakan contoh lembar kerja pemeriksaan IT Audit.
Gambar A untuk contoh yang masih ‘arround the computer‘, sedangkan B contoh
‘through the computer‘.
Referensi :
Tidak ada komentar:
Posting Komentar