banner

Kamis, 09 April 2015

Prosedur dan Lembar Kerja IT Audit




·         Prosedur IT Audit
Prosedur yang dilakukan dalam IT Audit terdiri dari beberapa tahapan. Tahapan – tahapan tersebut antara lain sebagai berikut:
1.      Tahapan Perencanaan.
Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
2.      Mengidentifikasikan resiko dan kendali.
Tahap ini untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik.
3.      Evaluasi
Mengevaluasi kendali dan mengumpulkan bukti-bukti melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi.
4.      Dokumentasi
Mendokumentasikan dan mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit.
5.      Laporan
Menyusun laporan.Hal ini mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.
            Dalam prosedur IT audit terdapat tiga kontrol terhadap lingkungan, keamanan fisik dan keaman logikal. Prosedurnya sebagai berikut ini:
1.      Kontrol lingkungan:
a.      Apakah kebijakan keamanan (security policy) memadai dan efektif?
b.      Jika data dipegang oleh vendor, periksa laporan tentang kebijakan dan prosedural yang terikini dari external auditor.
c.       Jika sistem dibeli dari vendor, periksa kestabilan finansial.
d.      Memeriksa persetujuan lisensi (license agreement).
2.      Kontrol keamanan fisik:
a.      Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai.
b.      Periksa apakah backup administrator keamanan sudah memadai (trained, tested).
c.       Periksa apakah rencana kelanjutan bisnis memadai dan efektif.
d.      Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai.
3.      Kontrol keamanan logikal:
a.      Periksa apakah password memadai dan perubahannya dilakukan reguler.
b.      Apakah administrator keamanan memprint akses kontrol setiap user.


·         Contoh IT Audit
1.      Internal IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan Fokus kepada global, menuju ke standard2 yang diakui.
2.      External IT Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya Outsourcing yang tepat dan Benchmark / Best-Practices.
.
·         Metodologi IT Audit
Salah satu contoh metodologi dalam IT Audit adalah BSI (Bundesamt für Sicherheit in der Informationstechnik) dan IT Baseline Protection Manual (IT- Grundschutzhandbuch) yang dikembangkan oleh GISA: German Information Security Agency. Metodologi tersebut digunakan untuk mngevaluasi konsep keamanan & manual yang memiliki karakteristik sebagai berikut:
1.      Metodologi evaluasi tidak dijelaskan
2.      Mudah digunakan dan sangat detail sekali
3.      Tidak cocok untuk analisis resiko
4.      Representasi tidak dalam grafik yg mudah dibaca

·         Tools IT Audit dan Audit Forensik
1.      Hardware:
a.      Harddisk IDE & SCSI
b.      Memori RAM
c.       Hub, Switch dan keperluan LAN
d.      Legacy Hardware (8088s, Amiga)
e.      Laptop forensic workstations
2.      Software:
a.      Viewers (QVP)
b.      Erase / Unerase Tools (Diskscrub/Norton Utilities)
c.       Hash utility (MD5, SHA1)
d.      Text Search Utilities (http://www.dtsearch.com/)
e.      Drive Imaging Utilities (Ghost, Snapback, Safeback)
f.        Forensic Toolkits. (TCT The Coroners Toolkit, Forensic Toolkit)
g.      Disk Editors (Winhex)
h.      Forensic Acquisition Tools (DriveSpy, EnCase, Safeback, SnapCopy)
i.        Write-blocking Tools (FastBloc)

·         Lembar Kerja IT Audit
Salah satu contoh dari Lembar Kerja Audit adalah Lembar Kerja Pemeriksaan dengan metode Through The Computer. Berikut ini merupakan lembar kerja IT Audit dengan metode Through The Computer.
Apakah kebijaksanaan pengamanan penggunaan aplikasi telah memperhatikan prinsip - prinsip umum kontrol aplikasi yang meliputi:
1.      Pemisahaan tugas antara pengguna, operasi dan pengembangan? (Y/T)
2.      Penggunaan hanya yang berwenang? (Y/T)
3.      Menjamin data telah divalidasi? (Y/T)
4.      Menjamin data yang ditransfer benar dan lengkap? (Y/T)
5.      Tersedianya jejak audit yang memadai serta penelaahan oleh pihak yang berwenang? (Y/T)
6.      Tersedianya prosedur restart dan recovery? (Y/T)

Sumber:
·         https://freezcha.wordpress.com/2011/03/20/it-audit-dan-it-forensik-1/
·         http://gunrave.blogspot.com/2011/03/contoh-prosedur-dan-lembar-kerja-it.html
·         http://gid3on.blogspot.com/2013/03/prosedurnya-dan-lembar-kerja-it-audit.html

IT Audit Trail dan Real Time Audit


·         IT Audit Trail
1.      Pengertian IT Audit Trail
Audit Trail merupakan salah satu fitur dalam suatu program yang mencatat semua kegiatan yang dilakukan tiap user dalam suatu tabel log. Secara rinci, Audit Trail secara default akan mencacat waktu, user, data yang diakses dan berbagai jenis kegiatan. Jenis kegiatan bisa berupa menambah, merubah, dan menghapus. Audit Trail apabila diurutkan berdasarkan waktu bisa membentuk suatu kronologis manipulasi data. Dasar ide membuat  fitur Audit Trail adalah menyimpan histori tentang suatu data (Dibuat, Diubah, atau Dihapus) dan oleh siapa serta bisa menampilkannya secara kronologis. Dengan adanya trail ini, semua kegiatan dalam program yang bersangkutan diharapkan bisa dicatat dengan baik.
Audit trail sebagai “yang menunjukkan catatan yang telah mengakses sistem operasi komputer dan apa yang dia telah dilakukan selama periode waktu tertentu”. Dalam telekomunikasi, istilah ini berarti catatan baik akses selesai dan berusaha dan jasa, atau data membentuk suatu alur yang logis menghubungkan urutan peristiwa, yang digunakan untuk melacak transaksi yang telah mempengaruhi isi record. Dalam informasi atau keamanan komunikasi, audit informasi berarti catatan kronologis kegiatan sistem untuk memungkinkan rekonstruksi dan pemeriksaan dari urutan peristiwa dan / atau perubahan dalam suatu acara. Perangkat lunak ini dapat beroperasi dengan kontrol tertutup dilingkarkan, atau sebagai sebuah ‘sistem tertutup, ”seperti yang disyaratkan oleh banyak perusahaan ketika menggunakan sistem Audit Trail.
2.      Cara Kerja Audit Trail
-          Audit Trail Yang Disimpan Dalam Suatu Tabel
a.      Dengan menyisipkan perintah penambahan record ditiap Query Insert, Update, Delete
b.      Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL statement, yang secara otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada sebuah tabel.
3.      Fasilitas Audit Trail
Apabila fasilitas Audit Trail diaktifkan, maka setiap transaksi yang dimasukkan ke Accurate, jurnalnya akan dicacat di dalam sebuah tabel, termasuk oleh siapa, dan kapan. Apabila ada sebuah transaksi yang di edit, maka jurnal lamanya akan disimpan, begitu pula dengan jurnal barunya.
4.      Hasil Audit Trail
Record Audit Trail disimpan dalam bentuk sebagai berikut:
a.      Binary File (Ukuran tidak besar dan tidak bisa dibaca begitu saja).
Dengan ukuran log yang dapat mencapai ukuran relatif besar,  maka dapat melakukan penghematan kapasitas ruang harddisk, dengan menyimpan log pada file binary. Walaupun memiliki keuntungan dari sisi penggunaan kapasitas, tetapi file binary tentunya tidak dapat dibaca begitu saja melalui text editor, karena hanya akan melihat karakter-karakter biner yang tidak dapat dimengerti. Maka diharuskan membuat modul atau program untuk melakukan konversi file biner ini, menjadi format yang dapat dibaca dengan mudah.
b.      Text File (Ukuran besar dan bisa dibaca langsung)
Merupakan jenis log yang mudah digunakan oleh siapapun, Pengguna dapat langsung melihatnya pada text editor favorit dari pengguna. Kerugiannya selain menyita kapasitas harddisk yang relatif besar, juga tidak terdapat keamanan yang memadai. Siapapun yang dapat mengakses file tersebut akan dapat melihat isi file log ini, dan bisa jadi dapat mengubahnya, jika memiliki hak untuk mengedit file tersebut.
c.       Tabel
Dengan menyimpan log di dalam table, dapat memperoleh keuntungan lain, yaitu kemudahan untuk memroses lebih lanjut data log di dalam table tersebut, baik untuk kegunaan analisis ataupun pencarian data. Selain itu, penyimpanan dalam table relatif lebih aman, karena untuk mengaksesnya harus melalui akses database yang menjadi hak database administrator. Data di dalam table juga dapat dengan mudah diekspor menjadi format text, excel, ataupun format umum lainnya, bilamana diperlukan. Beberapa field yang perlu disimpan dalam sebuah Log Audit Trail aplikasi database:
1)      Tanggal dan jam.
2)      User/Pengguna.
3)      Nama table yang diakses.
4)      Aksi yang dilakukan (INSERT, DELETE, ataukah UPDATE).
5)      Informasi field/kolom yang diproses, termasuk dengan nilai pada masing-masing field.

·         Real Time Audit
1.      Pengertian Real Time Audit
Dalam sistem pengolahan on-line/real time, transaksi secara individual dientri melalui peralatan terminal, divalidasi dan digunakan untuk mengupdate dengan segera pada file komputer. Hasil pengolahan ini kemudian tersedia segera untuk permintaan keterangan atau laporan. Real time audit adalah suatu kegiatan evaluasi dan pemeriksaan dokumen, transaksi dalam suatu sistem organisasi yang dilakukan secara langsung atau realtime secara online, hal ini berbeda dengan internal audit yang memiliki pengertian yaitu audit yang pelaksanaan nya dilakukan oleh pegawai pemeriksa yang berada dalam organisasi tersebut.
Real Time Audit atau biasa yang di sebut dengan RTA adalah sebuah sistem manajemen kegiatan online yang menggabungkan sistem kegiatan manajemen dengan sistem monitoring dan evaluasi. Dalam penggunaannya, RTA sangat membantu dalam penghematan biaya overhead administrasi yang timbul dari penggunaan RTA yang signifikan, seiring dengan meningkatnya kemajuan teknologi, teknik kualitas dari pelaporan dan kontrol manajemen meningkatkan menyediakan kedua manajer dan pemilik modal dengan cara untuk mencari kegiatan yang dibiayai dari sudut pandang beberapa manfaat dengan minimum atau tidak ada konsumsi waktu di bagian aktivitas manajer. Oleh karena itu RTA sangat berguna sekali dalam membantu kita mengaudit suatu administrasi. RTA menggabungkan logis prosedural merekam dan sederhana dari perencanaan dan komitmen dana. prosedur analitik yang sedang berlangsung memberikan alert tepat waktu untuk mencegah pengeluaran yang tidak sesuai. Dan ilmu yang mempelajari audit sistem informasi yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya disebut IT Forensik. Dan metode audit yang bisa digunakan adalah COBIT.
2.      Ruang Lingkup Real Time Audit
Real Time Audit (RTA) pertama kali dikenalkan oleh The George Boole Foundation1, pusat pengembangan dan distribusi aplikasi logic canggih, pada tahun 2009 sebagai dasar untuk mengelola proyek yang didanai oleh sponsor. Tujuan dari penggunaan RTA adalah untuk memberikan kontribusi kepada George Boole Institute atau ke Decision Analysis Initiative 2010-2015, dengan pengawasan yang sepenuhnya transparan dalam hal alokasi dan kinerja dana ke dalam portfolionya. RTA menyediakan pengambil keputusan dengan laporan langsung dan laporan status dari pemanfaatan sumber daya yang berkelanjutan tanpa melibatkan administrasi dalam permintaan untuk laporan per periode.
-          Teknologi
RTA memanfaatkan kekuatan dan kenyamanan dari World Wide Web untuk mengumpulkan informasi terkini tentang keadaan semua informasi yang menarik dan mengirimkan informasi ini secara real time kepada pihak yang berkepentingan terletak di mana saja di dunia. Secara umum, RTA berguna untuk mengelola setiap proses yang menggabungkan orang dan alat-alat dalam produksi barang atau jasa. Aktivitas ini  dapat berhubungan dengan operasi yang sedang berlangsung atau sebuah proyek baru yang dirancang untuk menambahkan sesuatu ke proses yang ada. RTA menyediakan sarana yang nyaman untuk merekam keadaan semua variabel dikumpulkan untuk mengelola proses. Selain memberikan informasi bagi para pemangku kepentingan dalam proses RTA menyediakan dukungan yang efektif untuk manajemen proses analisis keputusan terkait dengan pemilihan taktik jangka pendek maupun menengah dengan strategi jangka panjang untuk menjamin efektivitas dari proses yang sedang dikelola.
-          Keputusan yang Tepat Waktu
Manfaat dasar informasi real time adalah untuk memastikan keadaan kesadaran yang tinggi dari semua informasi yang relevan tentang kegiatan sehingga memungkinkan situasi yang tepat waktu dan responsi terhadap perubahan kondisi atau peristiwa yang mungkin akan menghambat dalam mencapai tujuan kegiatan. Hal ini menjadi sangat penting ketika keputusan tergantung pada organisasi di kesepakatan mengenai tindakan – tindakan yang diperlukan.
-          Sumber Daya Generik
RTA adalah sumber daya generik dan tidak tergantung “alat / hardware”. Karena itu, sepenuhnya beradaptasi dengan sebagian besar aplikasi pusat yang menyediakan informai kegiatan proses dan hasil. RTA dapat melibatkan kesatuan data yang relatif kecil atau dapat diatur untuk menangani seluruh kompleksitas audit perusahaan atau bahkan model ekonometrik dari ekonomi. Data dapat terdiri dari teknis, keuangan, lingkungan dan sosial ekonomi kuantitatif.
-          Spesifik
Sistem aplikasi khusus yang diterapkan RTA menyediakan konteks untuk spesifikasi dari kumpulan data diperlukan. Di mana data yang digunakan untuk mendukung keputusan yang relevan dengan proses manajemen juga terstruktur sesuai dengan proses aplikasi dan tujuan dari proses itu. Dalam setiap kasus, sangat penting untuk memastikan bahwa dimensi dan konfigurasi kemampuan manajemen informasi.
-          Perencanaan yang Pasti dan Fleksibel
Akses ke informasi real time hanya berguna jika proses alokasi sumber daya yang cukup fleksibel untuk memungkinkan reaksi tepat waktu saat ini diperlukan. Kerangka perencanaan yang kaku dapat menjadi penyebab kegagalan investasi dan proyek karena manajemen pembuatan keputusan pengganti oleh prosedur administratif mendukung satu set alokasi sumber daya yang telah ditentukan. RTA adalah dasar untuk manajemen proaktif pengambilan keputusan untuk mengelola realokasi sumber daya penting sehingga mencapai tujuan awal dengan cara yang paling hemat biaya dan tepat waktu, RTA memanfaatkan Pilihan Taktis Peta 2 (TOMS) untuk mendukung desain dan operasional pengambilan keputusan.
3.      Kelebihan Pemrosesan Secara Real Time
a.      Pemrosesan real time akan sangat menyederhanakan siklus kas perusahaan. Sistem real time dengan terminal komputer yang terhubung dengan komputer pusat akan mengurangi atau malah menghilangkan hambatan-hambatan seperti keterlambatan beberapa hari antara pengambilan pesanan dan penagihan ke pelanggan.
b.      Pemrosesan real time memberikan perusahaan keuntungan persaingan pada pasar. Dengan memelihara informasi persediaan, staf penjualan dapat menentukan dengan cepat bahwa terdapat persediaan di gudang. Informasi yang mutakhir yang disediakan melalui proses real time akan meningkatkan  kemampuan perusahaan untuk memaksimalkan kepuasan pelanggan, yang menyebabkan peningkatan penjualan.
c.       Prosedur manual mempunyai kecenderungan untuk menghasilkan kesalahan kritis, seperti nomor rekening yang salah, nomor persediaan yang tidak valid, dan salah dalam melakukan perhitungan harga. Program perbaikan yang dilakukan secara real time memperbolehkan untuk memperbaiki banyak tipe kesalahan yang mengidentifikasi dan meningkatkan efektifitas serta efisiensi operasional.
d.      Akhirnya, pemrosesan secara real time akan mengurangi pemakaian kertas. Kertas dokumen mahal untuk dibuat dan sering rusak. Dokumen elektronik sangat efisien, efektif, dan sangat berguna bagi jejak audit.

Sumber:
·         http://rakhmatmalik.blogspot.com/2013/05/it-audit-trail.html
·         http://rainzacious.blogspot.com/2013/03/penulisan-pengertian-audit-trail-real.html
·         https://salamunhasan.wordpress.com/2013/05/07/real-time-audit/