auditing it governance controls
DESCRIPTION
auditTRANSCRIPT
AUDITING IT GOVERNANCE CONTROLS
A. Information Technology Governance
Tujuan utama dari tata kelola TI adalah untuk :
mengurangi risiko
memastikan bahwa investasi dalam sumber daya TI menambah nilai bagi perusahaan.
Sebelum SOX Act, praktek umum mengenai investasi pada TI adalah menyerahkan semua
keputusan kepada profesional TI. Sekarang semua elemen organisasi dituntut aktif berpartisipasi
dalam perencanaan s.d pengembangan TI.
a.IT Governance Controls
Based on SOX dan COSO ada 3 isu tata kelola IT:
Organizational structure of the IT function
Computer center operations
Disaster recovery planning
B. Structure of the Information Technology
a.Centralized Data Processing
Berdasarkan model pengolahan data terpusat, semua pemrosesan data dilakukan oleh satu atau
lebih komputer yang lebih besar bertempat di situs pusat yang melayani pengguna di seluruh
organisasi.
DBA: Central Location, Shared. DBA n teamnya responsible pada keamanan dan integritas
database.
Pemrosesan Data mengelola SDIT terdiri dari:
Konversi Data: HardCopy to SoftCopy (inputable to computer)
Operasi Komputer: memproses hasil konversi melalui suatu aplikasi
Data Library: Storage offline data-> Real Time data Procesing dan direct acces mengurangi peran
DL
Sys Dev and Maintenis: Analisis kebutuhan, partisipasi dalam desain sistem baru (Profesional, End
Users dan Stakeholder). Menjaga sistem beroperasi sesuai kebutuhan, 80-90% cost dalam IT
biasanya ada pada maintanance (tidak hanya soal merawat/membersihkan HW namun lebih kepada
tambal sulam SI.
Masalah control yang harus diperhatikan dalam proses data tersentralisasi adalah pengamanan DB.
Karena jika accesnya lemah maka seluruh informasi dapat terpapar resiko, bentuk topologi jaringan
juga mempengaruhi keandalan data informasi. Hal ini akan lebih jelas di appendix.
b.Segregation of Incompatible IT Functions
Pemisahan antara suatu fungsi tertentu demi menjaga IC yang baik:
Sys Dev pisahkan dengan Operasional
DBA fisahkan dari unit lain
Sys Dev pisahkan dengan Maintanance (merupakan superior structure) karena adanya resiko:
Inadequate Documentation: Programmer lebih suka mengembangkan sistem baru daripada
mendokumentasikan kinerja sistem lama, juga soal job security perlu diperhatikan karena dpat
menyusun program yang tidak sempurna biar ada kerjaan terus.
Program Fraud: unauthorized change karena programer faham seluk beluk operasi normal.
c. The Distributed Model
Small, powerful, and inexpensive systems. DisDataProc (DDP) melibatkan reorganisasi fungsi IT
pusat ke IT unit kecil yang ditempatkan di bawah kendali pengguna akhir (End Users). Unit IT dapat
didistribusikan menurut fungsi bisnis, lokasi geografis, atau keduanya.
Resikonya mnggunakan model DDP: tidak efisiennya penggunaan sumber daya, perusakan jejak
audit, pemisahan tugas kurang memadai, meningkatkan potensi kesalahan pemrograman dan
kegagalan sistem serta kurangnya standarisasi.
Keuntungannya termasuk pengurangan biaya, peningkatan kontrol biaya, meningkatkan kepuasan
pengguna, dan adanya fleksibilitas dalam backup sistem.
d. Controlling the DDP Environment
Central Testing of Commercial Software and Hardware diuji dipusat
User Services-> ada Chat room, FAQ, Intranet support dll
Standard-Setting Body -> untuk improve keseragaman prog and doc
Personnel Review-> ada assesment.
Audit Objective: Tujuan auditor adalah untuk memastikan bahwa struktur fungsi TI adalah
sedemikian rupa sehingga individu di daerah yang tidak kompatibel dipisahkan sesuai dengan
tingkat potensi risiko dan dengan suatu cara yang mempromosikan lingkungan kerja yang kondusif.
Audit Procedures:
Centralized
Tinjau dokumentasi yang relevan, untuk menentukan apakah individu atau kelompok yang
melakukan fungsi-fungsi yang tidak kompatibel.
Review catatan pemeliharaan,verifikasi bahwa programmer pemeliharaan tertentu tidakmerangkap
programer desain.
Pastikan bahwa operator komputer tidak memiliki akses ke logic sistem dokumentasi, seperti sistem
diagram alur, logika diagram alur, dan daftar kode program.
Review akses programer untuk alasan selain kegagalan sistem
Distributed
Tinjau bagan organisasi saat ini , pernyataan misi , dan uraian tugas incompatible duties .
• Pastikan bahwa desain sistem ,dokumentasi,hardware dan perangkat lunak hasil akuisisi
diterbitkan dan diberikan to unit TI.
• Pastikan kontrol kompensasi ->supervisi monitoring
• Dokumentasi sistem aplikasi , prosedur , dan databasesare dirancang dan berfungsi sesuai dengan
standar perusahaan .
Dalam sistem terdistribusi pemrosesan dan pengamanan data disebar ke berbagai titik,
pengamanan menjadi di banyak pintu namun tersebar, resikonya tidak seluruh titik memiliki
pengamanan yang sama. Dalam topologi STAR lebih aman karena kalo satu mati yg lain relatif tidak
terganggu sedang pada Topologi BUS jika satu titik mati akan menggangu yang lain meskipun
secara umum keunggulanya dia lebih cepat dan murah. Sayangnya sistem Bus akan rentan
tabrakan data (lebih lengkap di appendix) fokus auditor adalah kepada seringnya sistem down atau
kerusakan jaringan maupun software yang mengakibatkan gangguan komunikasi dan pada
database, resiko ini berbeda2 dalam masing2 topologi jaringan.
C.The Computer Center
a. Physical Location : Antisipasi bencana alam maupun manusia cari lokasi yang aman.
b. Construction : kontruksi fasilitas IT-> tunggal, acces terbatas dan filtrasi bagus.
c. Access : LIMITED
d. Air Conditioning : Adequate untuk menjaga database
e. Fire Suppression : Automatic Alarm, Pemadam Api, Exit Door
f. Fault Tolerance : Toleransi kesalahan adalah kemampuan sistem untuk melanjutkan operasi ketika
bagian dari sistem gagal (masih bisa running kalau ada sesuatu gangguan) karena kegagalan
hardware, error program aplikasi, atau kesalahan operator.
Redundant arrays of independent disks (RAID)->data
UPS->Listrik
g. Audit Objectives
Tujuan auditor adalah untuk mengevaluasi kontrol yang mengatur keamanan pusat komputer .
Secara khusus , auditor harus memastikan bahwa : kontrol keamanan fisik yang memadai untuk
cukup melindungi organisasi dari eksposur fisik DAN cakupan asuransi pada peralatan memadai
untuk mengkompensasi kerusakan pusat komputernya
h. Audit Procedures
Tests of Physical Construction. Fisik bangunan server, lokasi dan keamanan terhadap HAZARD
EVENT.
Tests of the Fire Detection System.
Tests of Access Control.
Tests of Raid, BU HD
Tests of the Uninterruptible Power Supply.
Tests for Insurance Coverage.
D. Disaster Recovery Planning
Dengan perencanaan kontinjensi yang hati-hati, dampak dari bencana dapat diredam dan organisasi
dapat pulih dengan cepat. Untuk bertahan hidup dari peristiwa darurat seperti itu, perusahaan harus
mengembangkan prosedur pemulihan dan meresmikan mereka ke dalam suatu rencana pemulihan
bencana (DRP), suatu skema dalam menghadapi keadaan darurat.Prosesnya adalah sbb:
a. Identify Critical Applications->Buat daftar aplikasi yang paling penting
b. Creating a Disaster Recovery Team ->buat Tim..langgar IC boleh
c. Providing Second- Site Backup buat lokasi data cadangan (duplikasi)
mutual aid pact->dua atau lebih, join SD IT pas bencana
empty shell or cold site; ->sewa tempat pada penyedia backup
recovery operations center or hot site; ->sewa full equipped backup
internally provided backup->buat sendiri (mirroring di tmpt lain)
Audit Objective: The auditor should verify that management’s disaster recovery plan is adequate
and feasible for dealing with a catastrophe that could deprive the organization of its computing
resources. Audit Procedures memastikan hal2 dibawah ini berfungsi dengan baik
Site Backup…lokasi HW IT dll
Daftar Aplikasi penting oke
Software Backup.
Data dan Dokumentasi Backup.
Backup Supplies dan Source Documents.
Disaster Recovery Team di test
E.Outsourcing the IT Function
Outsourcing IT kadangkala meningkatkan kinerja bisnis inti, meningkatkan Kinerja IT (karena keahlian
vendor), dan mengurangi biaya TI. Logika yang mendasari outsourcing TI dari teori kompetensi inti,
yang berpendapat bahwa organisasi harus fokus secara eksklusif pada kompetensi bisnis intinya saja,
sementara outsourcing vendor memungkinkan untuk secara efisien mengelola daerah non-inti seperti
fungsi TI (IT dianggap supporting).
Premis ini, bagaimanapun, mengabaikan perbedaan penting antara komoditas dan aset TI yang
spesifik. Commodity IT assets are not unique to a particular organization and are thus easily
acquired in the marketplace sementara Specific IT assets dapat merupakan keunggulan strategis
perusahaan. Transaction Cost Economics (TCE) theory is in conflict with the core competency
school by suggesting that firms should retain certain specific non–core IT assets inhouse. Jadi
disarankan boleh outsource pada SumberDaya IT yang bisa digantikan (SW/HW) atau tidak terlalu
kritikal..SD IT yang penting dan unggulan bagi organisasi jangan.
a. Risks Inherent to IT Outsourcing
Failure to Perform
Vendor Exploitation
Outsourcing Costs Exceed Benefit
Reduced Security
Loss of Strategic Advantage
b. Audit Implications of IT Outsourcing
Manajemen boleh saja mengalihdayakan fungsi ITnya namun tidak dapat mengalihkan tanggungjawab
manajemen pada penyediaan Pengendalian Intern yang memadai. SAS 70 merupakan standar yang
mendefinisikan perlunya auditor mengetahui kontrol jika IT dilaksanakan oleh vendor pihak ketiga.
Vendornya sendiri tentu diaudit oleh auditornya sehingga IT review dilaksanakan satu kali saja
supaya praktis dan murah.