AUDITING IT GOVERNANCE CONTROLS

Information Technology Governance

Tujuan utama dari tata kelola TI adalah untuk :•mengurangi risiko •memastikan bahwa investasi dalam sumber daya TI menambah nilai bagi perusahaan.

Sebelum SOX Act, praktek umum mengenai investasi pada TI adalah menyerahkan semua keputusan kepada profesional TI. Sekarang semua elemen organisasi dituntut aktif berpartisipasi dalam perencanaan s.d pengembangan TI.

IT Governance Controls Based on SOX dan COSO ada 3 isu tata kelola IT:•Organizational structure of the IT function•Computer center operations•Disaster recovery planning

Structure of the Information Technology

Berdasarkan model pengolahan data terpusat, semua pemrosesan data dilakukan oleh satu atau lebih komputer yang lebih besar bertempat di situs pusat yang melayani pengguna di seluruh organisasi.

• DBA: Central Location, Shared. DBA n teamnya responsible pada keamanan dan integritas database.

• Pemrosesan Data mengelola SDIT terdiri dari:– Konversi Data: HardCopy to SoftCopy (inputable to

computer)– Operasi Komputer: memproses hasil konversi melalui

suatu aplikasi– Data Library: Storage offline data-> Real Time data

Procesing dan direct acces mengurangi peran DL• Sys Dev and Maintenis: Analisis kebutuhan, partisipasi dalam

desain sistem baru (Profesional, End Users dan Stakeholder). Menjaga sistem beroperasi sesuai kebutuhan, 80-90% cost dalam IT biasanya ada pada maintanance (tidak hanya soal merawat/membersihkan HW namun lebih kepada tambal sulam SI.

Segregation of Incompatible IT Functions

Pemisahan antara suatu fungsi tertentu demi menjaga IC yang baik:•System Development Manager pisahkan dengan Operasional•DataBase Administrator pisahkan dari unit lain•System Development pisahkan dengan Maintanance (merupakan superior structure) karena adanya resiko:

– Inadequate Documentation: Programmer lebih suka mengembangkan sistem baru daripada mendokumentasikan kinerja sistem lama, juga soal job security perlu diperhatikan karena dpat menyusun program yang tidak sempurna biar ada kerjaan terus.

– Program Fraud: unauthorized change karena programer faham seluk beluk operasi normal.

The Distrubuted ModelSmall, powerful, and inexpensive systems.

DisDataProc (DDP) melibatkan reorganisasi fungsi IT pusat ke IT unit kecil yang ditempatkan di bawah kendali pengguna akhir (End Users). Unit IT dapat didistribusikan menurut fungsi bisnis, lokasi geografis, atau keduanya.•Resikonya mnggunakan model DDP: tidak efisiennya penggunaan sumber daya, perusakan jejak audit, pemisahan tugas kurang memadai, meningkatkan potensi kesalahan pemrograman dan kegagalan sistem serta kurangnya standarisasi.•Keuntungannya termasuk pengurangan biaya, peningkatan kontrol biaya, meningkatkan kepuasan pengguna, dan adanya fleksibilitas dalam backup sistem.

Controlling the DDP Environment

• Central Testing of Commercial Software and Hardware diuji dipusat

• User Services: ada Chat room, FAQ, Intranet support • Standard-Setting Body: untuk improve keseragaman prog

and doc• Personnel Review: ada assesment.• Audit Objective: Tujuan auditor adalah untuk memastikan

bahwa struktur fungsi TI adalah sedemikian rupa sehingga individu di daerah yang tidak kompatibel dipisahkan sesuai dengan tingkat potensi risiko dan dengan suatu cara yang mempromosikan lingkungan kerja yang kondusif.

Audit Procedures:

Centralized•Tinjau dokumentasi yang relevan, untuk menentukan apakah individu atau kelompok yang melakukan fungsi-fungsi yang tidak kompatibel. •Review catatan pemeliharaan,verifikasi bahwa programmer pemeliharaan tertentu tidakmerangkap programer desain. •Pastikan bahwa operator komputer tidak memiliki akses ke logic sistem dokumentasi, seperti sistem diagram alur, logika diagram alur, dan daftar kode program.•Review akses programer untuk alasan selain kegagalan sistem

Distributed•Tinjau bagan organisasi saat ini , pernyataan misi , dan uraian tugas incompatible duties .•Pastikan bahwa desain sistem ,dokumentasi,hardware dan perangkat lunak hasil akuisisi diterbitkan dan diberikan to unit TI.•Pastikan kontrol kompensasi supervisi monitoring•Dokumentasi sistem aplikasi , prosedur , dan databasesare dirancang dan berfungsi sesuai dengan standar perusahaan .

The Computer Center• Physical Location : Antisipasi bencana alam maupun manusia

cari lokasi yang aman.• Construction : kontruksi fasilitas IT-> tunggal, acces terbatas dan

filtrasi bagus.• Access : LIMITED• Air Conditioning : Adequate untuk menjaga database• Fire Suppression : Automatic Alarm, Pemadam Api, Exit Door• Fault Tolerance : Toleransi kesalahan adalah kemampuan sistem

untuk melanjutkan operasi ketika bagian dari sistem gagal (masih bisa running kalau ada sesuatu gangguan) karena kegagalan hardware, error program aplikasi, atau kesalahan operator.– Redundant arrays of independent disks (RAID)->data– UPS->Listrik

Audit Objectives : Tujuan auditor adalah untuk mengevaluasi

kontrol yang mengatur keamanan pusat komputer .Secara khusus , auditor harus memastikan bahwa: kontrol keamanan fisik yang memadai untuk cukup melindungi organisasi dari eksposur fisik DAN cakupan asuransi pada peralatan memadai untuk mengkompensasi kerusakan pusat komputernya

Audit Procedures•Tests of Physical Construction. Fisik bangunan server, lokasi dan keamanan terhadap HAZARD EVENT.•Tests of the Fire Detection System. •Tests of Access Control. •Tests of Raid, BU HD•Tests of the Uninterruptible Power Supply. •Tests for Insurance Coverage.

Disaster Recovery Planning

• Operating System Objectives– Menterjemahkan bahasa tingkat tinggi COBOL C++

dll, menggunakan translatornya -> yakni Compiler dan Interpreters –Ch 5 lbh lengkapnya

– Mengalokasikan SD kepada user, grup maupun aplikasi

– Mengelola pekerjaan dan banyak program seperti User/Jobs mengakses komputer melalui 3 cara: Directly, Job Ques dan Links

• Operating System SecurityKebijakan, prosedur dan pengendalian yang menentukan siapa yang dapat mengakses OS dan SD IT dan apa saja yang bisa dilakukannya.–Prosedur Log-ON pertahanan pertama, salah brp x blokir misalnya.–Token Akses -> mengandung KeyInfo:user ID, pass,previledge–Acces Control List (daftar kesaktian user)–Discretionary Acces Previledge->Super Admin (Highly Supervised)

• Threats to Operating System Integrity– Previldeged personel menyalahgunakan

otoritasnya– Individual di dalam dan di luar entitas yang

mencari celah sistem– Individual sengaja atau tidak memasukan

virus/bentuk program lain yg merusak

• Operating System Controls and Audit TestsArea-area yang perlu diperiksa adalah acces personil yang mendapat

previledge, kontrol password (password sekali pakai dan berulangkali), kontrol virus dan aplikasi berbahaya dan kontrol pada jejak audit. System audit trails (sekumpulan log yang merekam aktivitas sistem, aplikasi, user)-> Detailed Individual Logs dan Event oriented Logs– Audit prosedurnya:– Pastikan fitur audit trails diaktifkan, – Cari akses tanpa otorisasi, periode non aktif user, aktifitas user,

waktu log in dan out– Log on yang gagal (indikasi salah acces/coba2)– Pantau Acces ke file tertentu yang penting– Monitoring dan reporting pelanggaran keamanan IT

Auditing Networks

• Intranet Risks• Internet Risks• Controlling Networks

– Controlling Risks from Subversive Threats– Audit Objective– Controlling Risks from Equipment Ealiru

Auditing Electronic Data Interchange (EDI)

• EDI standards -> ANSI, EDIFACT, dll• Benefits of EDI• Financial EDI• EDI Controls (Validasi dan otorisasi)• Access Control

Auditing PC-Based Accounting Systems

• PC Systems Risks and Controls • Ada resiko unik terkait Accounting software:• Kelemahan Sistem Operasi dibanding Mainframe Model, PC

keamanannya minimal untuk data dan program, memang bawaan PC yang dituntut portabel

• Akses Kontrol Lemah program tertentu bisa run tanpa akses HD (boot from CD)

• Pemisahan fungsi kurang, satu orang bisa memiliki banyak akses

• Multivel password control kasih user pass beda2• Resiko Kemalingan small, handheld easy to theft.• Prosedur Backup Lemah• Resiko terpapar virus lebih besar

TERIMA KASIH