HOME DAFTAR ISI B3 Auditing Obyektif Mengetahui phase-phase dalam audit sistem informasi Mengetahui proses evaluasi dan pengujian dalam audit sistem informasi 3.1 Phase Audit Sistem Informasi Dalam melakukan audit terhadap Sistem Informasi, seorang auditor harus mempertimbangkan pengawasan terhadap hal-hal yang berhubungan dengan komputer pada saat melakukan penilaian terhadap integritas, kerahasiaan, dan ketersediaan data komputer. Untuk mendukung kemudahan dalam melakukan audit tersebut, maka ada beberapa phase yang sebaiknya dilakukan : Phase Perencanaan Selama phase ini, auditor berusaha mengerti keterhubungan antar operasional komputer dan kontrolnya serta resiko yang. Dari sudut pandang resiko yang ada, auditor secara sementara Auditing, Universitas Gunadarma B/S hal. B 11
memutuskan kontrol mana yang kelihatannya lebih efektif. Jika kontrol tersebut dirasa efektif dan relevan dengan tujuan audit maka auditor harus menentukan cakupan kerja audit yang dibutuhkan untuk mengkonfirmasi kesimpulan sementara yang dibuatnya. Phase internal kontrol Dalam phase ini, auditor memeriksa informasi mengenai kebijakan pengawasan, prosedur dan tujuan serta performa uji dari aktivitas kontrol secara detail. Tujuan dari pemeriksaan ini adalah untuk menentukan apakah kontrol operasional yang ada sudah efektif. Jika kontrol dirasa cukup efektif maka auditor melakukan uji dan evaluasi terhadap kefektifan kontrol terhadap aplikasi tersebut. Sebaliknya jika kontrol dirasa belum efektif maka kontrol pada level aplikasi tidak diuji. Jika tujuan audit mengidentifikasi kelemahan kontrol pada sebuah aplikasi dimana pegawai memiliki kemungkinan potensial untuk melakukan kecurangan, maka penilaian terhadap kontrol aplikasi perlu dilakukan seperti berikut : - Apakah data dipersiapkan secara lengkap, valid dan bisa dipercaya; - Apakah data dikonversi secara otomatis dari form dan dimasukkan ke dalam aplikasi seacra akurat, lengkap dan tepat waktu; - Apakah data diproses oleh aplikasi secara lengkap dan tepat waktu, sesuai kebutuhan, dan - Apakah output dilindungi dari penyalahgunaan modifikasi atau kerusakan dan distribusi sesuai dengan kebijakan yang ada. Auditor mengevaluasi dan menguji keefektifan dari kontrol aplikasi melalui observasi terhadap kontrol dari operasional, pengujian Auditing, Universitas Gunadarma B/S hal. B 12
dokumentasi, diskusi dengan personil, dan penilaian kembali terhadap kontrol yang telah diuji. Phase Uji Pada phase ini, uji yang dilakukan melibatkan dokumendokumen sumber yang mendukung transaksi dalam menentukan apakah dokumen-dokumen tersebut di catat, diproses, dan dilaporkan secara sesuai dan lengkap. Seorang auditor sistem informasi seharusnya didampingi oleh auditor keuangan dalam mengidentifikasi dan menyeleksi transaksi yang diproses oleh komputer untuk diuji. Phase Pelaporan Pada phase ini, auditor menghasilkan opini pada akhir periode tentang apakah kontrol internal sudah cukup dalam mengantisipasi pencegahan atau deteksi kerugian, noncompliance atau missstatement yang cukup material berhubungan dengan laporan keuangan. 3.2 Teknik Pengawasan dan Prosedur Audit pada ATM Sebelum teknik pengawasan dan prosedur audit dilakukan, identifikasi sistem merupakan hal utama yang harus dilakukan terlebih dahulu. Tahapan ini bertujuan untuk mengetahui secara detail mengenai sistem yang akan diaudit. Beberapa hal yang perlu diperhatikan pada saat identifikasi adalah : diagram keseluruhan sistem Informasi organisasi dan staff pada sistem Informasi operasional kelangsungan operasional Auditing, Universitas Gunadarma B/S hal. B 13
Setelah Identifikasi sistem diketahui, maka teknik pengawasan dan prosedur audit dapat dilakukan. Berikut adalah tahapan evaluasi dan uji pada sistem informasi yang harus dilakukan : 1. Akses kontrol (AC) Pembatasan dan pendeteksian akses ke komputer sumber (data, program, peralatan, dan fasilitas), dalam rangka melindungi sumber-sumber tersebut dari modifikasi sewenang-wenang, kehilangan, dan keterbukaan. AC-1. Klasifikasi sumber informasi berdasarkan tingkat kekritisannya dan sensitivitasnya. AC-2. Pemeliharaan daftar otorisasi pemakai dan hak aksesnya. Klasifikasi dan kriteria telah dibuat dan dikomunikasikan kepada pemilik sumber. Sumber-sumber diklasifikasikan berdasarkan penilaian resiko. Klasifikasi didokumentasikan dan disetujui oleh senior official yang berwenang dan direview secara periodik. Apakah hak akses telah: - Didokumentasikan dalam form standar dan diarsipkan dalam file. - Disetujui oleh manajer senior Pemilik secara periodik mereview daftar otorisasi akses dan menentukan apakah masih cocok untuk diterapkan. Setiap perubahan dari profil keamanan oleh manajer secara otomatis di catat dan direview secara periodik oleh independen manajemen dari fungsi keamanan. Aktivitas yang tidak biasa terjadi di investigasi. Apakah otorisasi akses darurat dan sementara: - didokumentasikan pada format standar dan dipelihara dalam file - disetujui oleh menajer tertulis Interview pemilik sumber Review dokumentasi klasifikasi sumber dan bandingkan dengan penilaian resiko. Diskusikan setiap perbedaan yang ada dengan personil. tertulis yang Untuk pemilihan user, review dokumentasi otorisasi akses Interview pemilik dan review dokumentasi pendukung Review otorisasi dan penyesuaian Interview security manajer dan review dokumentasi yang mereka hasilkan. Review perubahan profil dan catatan kegiatan. Bandingkan hak otorisasi tersebut dengan daftar user berwenang pada sistem yang sudah berjalan Auditing, Universitas Gunadarma B/S hal. B 14
AC-3. Membangun kontrol fisik dan logik untuk mencegah atau mendeteksi hak akses yang tidak berwenang - dikomunikasikan secara aman kepada fungsi keamanan - secara otomatis diterminasi setelah periode tertentu Identifikasi fasilitas yang sensitif dan kritis Semua ancaman yang serius terhadap sumber fisik telah diidentifkasi dan telah ditentukan keterhubungan resikonya Akses terbatas pada individual yang secara rutin membutuhkan akses melalui tanda pengenal atau entry device (kunci kartu) Manajemen secara reguler mereview daftar orang yang memiliki akses ke fasilitas sensitif dan kritis Kunci atau akses lainnya dibutuhkan untuk masuk kedalam ruang komputer dan penyimpanan tape / media. Password : - unik untuk setiap individu - dikontrol oleh user yang ditugasi dan subjek tidak untuk dibuka - dirubah secara periodik setiap 30 90 hari - tidak ditampilkan saat diinput - minimal panjang 6 karakter alphanumerik File password di enkripsi Software keamanan digunakan untuk akses terbatas Terminal komputer secara otomatis logged off dalam periode tertentu jika tidak ada aktivitas Account user yang tidak aktif dimonitor dan dihapus jika tidak dibutuhkan Review diagram fisik dari layout komputer, telekomunikasi dan fasilitas sistem pendinginan Datangi fasilitas Review analisis resiko Review daftar akses individu Observasi masuk dan keluar dari fasilitas selama dan setelah jam bisnis normal Observasi utilitas akses path Interview manajemen Interview pegawai Review kebijkan dan prosedur Interview user Review parameter password software keamanan Observasi user dalam memakai password Coba log on tanpa password yang benar Lihat contoh dari file password Interview security asministratiors dan sistem user Observasi penggunaan terminal Review parameter software keamanan Review daftar ID yang tidak aktif, dan tentukan kenapa akses dari user tersebut belum diterminasi. Database Management System (DBMS) dan Data Dictionary (DD) kontrol telah diimplementasikan : - akses terbatas pada file data pada logical data view, field, or field level value Interview database administrator Review parameter DBMS dan DD security Uji kontrol dengan mencoba akses pada file-file terbatas Auditing, Universitas Gunadarma B/S hal. B 15
AC-4. Pengawasan akses, investigasi pelanggaran, penanganannya - akses kontrol ke DD menggunakan profil security dan password - memelihara jejak audit untuk memonitoring perubahan DD Penggunaan DBMS dibatasi Peralatan Kriptograpi telah diimplementasikan untuk melindungi integritas dan kerahasiaan data sensitif dan kritis serta program software Seluruh kegiatan yang dengan akses ke dan modifikasi dari file sensitif dan kritis di catat Kerusakan keamanan dan aktivitas dilaporkan ke manajemen dan diinvestigasi Kerusakan dibuat ringkasannya dan dilaporkan ke senior manajemen Review parameter sistem keamanan Untuk mengevaluasi kriptograpi tools, auditor harus didampingi dengan Review setting software keamanan untuk mengidentifikasi jenis dari catatan kegiatan Review laporan kerusakan pada keamanan Interview senior manajemen dan personil yang bertanggung jawab atas ringkasan kerusakan Review dokumentasi pendukung 2. Software aplikasi Melindungi program atau modifikasi yang belum diotorisasi untuk diimplementasikan. CC-1. Otorisasi fiturfitur proses dan modifikasi program. Permintaan perubahan software harus dibuat dalam forms dan didokumentasikan Perubahan software harus disetujui oleh system users dan staff data proses Identifkasi modifikasi sofware yang ada dan tentukan apakah forms perubahan digunakan Interview staff pengembangan software CC-2. Tes dan perbaikan software baru dan lama. Standar rencana uji telah dibuat Detail spesifikasi sistem telah dipersiapkan oleh programer dan direview oleh supervisor programming Perubahan software didokumentasikan dan disetujui Live data tidak digunakan dalam uji perubahan program, kecuali untuk membangun file data uji Review standar rencana uji Review spesikikasi Trace perubahan dari code ke spesifikasi desain Review rencana uji Bandingkan dokumentasi uji dengan rencana uji yang Analisa kegagalan uji untuk menentukan apakah ini mengindikasikan uji software Auditing, Universitas Gunadarma B/S hal. B 16
CC-3. Perpustakaan kontrol software. Uji komprehensif terhadap transaksi dan data dibuat untuk mewakili kondisi dan aktifitas yang berbedabeda Hasil uji direview dan didokumentasikan Program baru dipindahkan ke mesin produksi hanya jika dokumentasi telah disetujui oleh user dan manajemen pengembangan sistem Prosedur standard untuk mendistribusikan software baru untuk implementasi Manajemen perpustakaan software digunakan untuk : - produksi jejak audit dari perubahan program - pemeliharaan jumlah versi program - mencatat dan melaporkan perubahan program - pemliharaan salinan jumlah versi sebelumnya Source code disimpan dan dipelihara Akses ke seluruh program termasuk production code, source code, dan salinan program tambahan diproteksi dengan sofware akses kontrol dan fitur sistem operasi yang tidak efektif Review uji transaksi dan data Review hasil uji Verifikasi tanggapan user Review update dokumentasi Uji prosedur untuk distribusi sofware baru Interview personil yang bertanggung jawab terhadap pengawasan perpustakaan Lakukan uji coba dengan memilih program yang telah dipelihara dan nilai apakah sesuai dengan prosedur Verifikasi bahwa source code itu ada Tentukan apakah aturan akses kontrol software telah didefinisikan secara jelas Uji akses ke program perpustakaan dengan melihat parameter sistem keamanan 3. Software Sistem(SS) Mengontrol batasan akses dan memonitor akses ke seluruh program dan file-file sensitif yang mengontrol hardware komputer dan aplikasi keamanan yang didukung oleh sistem. SS-1. Batasan akses ke sistem software. Kebijakan dan prosedur batasan akses ke sistem software ada dan up-to-date Akses ke sistem software dibatasi jumlah personilnya berdasarkan Interview personil manajemen dan sistem mengenai batasan Auditing, Universitas Gunadarma B/S hal. B 17
SS-2. Pengawasan akses ke dan pemakaian sistem software. SS-3. Pengawasan perubahan sistem software. tanggung jawab pekerjaannya. Programer aplikasi secara khusus dilarang untuk mengakses sistem software Dkokumentasi yang menunjukkan penilaian dan persetujuan manajemen untuk mengakses ke sistem software Kapabilitas akses dari sistem programer secara periodik diriview Sistem operasi dikonfigurasikan untuk mencegah penyalahgunaaan keamanan software dan aplikasi kontrol Kebijakan dan prosedur penggunaan dan monitoring dari utilitas sistem software ada dan upto-date Tanggung jawab penggunaan utilitas sistem yang sensitif telah didefinisikan dengan jelas dan dimengerti oleh sistem programer Penggunaan utilitas dari sistem sensitif dicatat menggunakan akses kontrol laporan software Penggunaan utilitas dan sistem sofware secara khusus diriview oleh teknikal manajemen Aktivitas sistem programer dimonitor dan direview Prosedur identifikasi dan dokumentasi masalah software sistem Akses Observasi akses personil ke sistem software Uji coba akses ke sistem operasi dan sistem software lainnya. Pilih beberapa sistem programer dan tentukan apakah dokumentasi persetujuan manajemen mendukung hak akses mereka ke sistem sofware Tentukan terakhir kali kapabilitas akses dari sistem programmer diriview Uji parameter sistem operasi untuk memverifikasi bahwa konfigurasinya dibuat untuk menjaga integritas dari software keamanan dan aplikasi kontrol Interview personil manajemen dan system berkaitan dengan tanggung jawabnya Tentukan apakah ada catatan penggunaan dan informasi apa saja yang dicatat Interview teknikal manajemen berkaitan dengan review mereka terhadap penggunaan utilitas dan sistem software secara khusus Review dokumentasi pendukung review mereka Interview supervisor sistem programer untuk menentukan aktivitas mereka sehubungan dengan pengawasan dan monitoring staff mereka Review dokumentasi pendukung Review prosedur dan identifikasi dokumentasi masalah software sistem Review penyebab dan frekwensi terjadinya masalah. Review prosedur untuk kontrol Auditing, Universitas Gunadarma B/S hal. B 18
Prosedur kontrol perubahan darurat meliputi : - Otorisasi dan dokumentasi - laporan perubahan untuk reviview manajemen - review oleh supervisor sistem informasi independen dannpersetujuan perubahan darurat Pilih beberapa perubahan darurat pada software sistem dan uji apakah prosedur benarbenar dipakai Interview manajemen pusat data mengenai peranan mereka dalam mereview instalasi software sistem Instalasi software sistem baru dijadwal dan dicatat untuk meminimalkan dampak pada data proses Untuk proses audit pada Automated Teller Machine, tahapan yang dilakukan sama dengan proses diatas, hanya saja teknik kontrol dan prosedur audit disesuaikan dengan kondisi yang terdapat pada ATM. Pada modul ini kegiatan audit difokuskan pada aplikasi Host / ATM center. Adapun beberapa hal yang harus diperhatikan pada audit Host adalah : 1. Audit keamanan fisik Host Site security and controls (Mis. Siapa saja yang dapat masuk ke ruangan Host?) Kesesuaian suhu ruang dengan persyaratan minimum peralatan 2. Audit keamanan sistem Cash control (kesesuaian dengan jurnal ATM) Transaction processing control Penyalahgunaan account management (customer management) Penyalahgunaan system management (username, password, database) Audit keamanan encryption key Penyimpanan key yang dipusatkan pada satu orang Penyimpanan key secara sembarangan Untuk penerapannya, teknik kontrol dan prosedur audit aplikasi Host tersebut dapat dilihat pada lembar kerja atau lampiran. Auditing, Universitas Gunadarma B/S hal. B 19