PANDUAN UMUM Keijakan umum audit TI Perbedaan rientasi atas pelaksanaan aktifitas satu audit TI dengan yang lainnya Tidak terintegrasinya seluruh aktifitas audit TI dalam rangkaian manajemen risik bisnis perusahaan Standar metdlgi audit TI Pendekatan yang berbeda-beda sesuai dengan selera tiap auditr,sehingga memungkinkan diperlehnya prfil risik yang berbeda atas sebuah sistem Frmat pelapran yang berbeda-beda, sehingga mempersulit kmpilasi Kinerja yang tidak terstandarisasi Visi dan misi Prses penilaian risik Penentuan frekuensi dan jadwal audit minimal Prses audit intern TI Perencanaan audit Pelaksanaan audit Pelapran Tindak lanjut audit Audit intern yang dilaksanakan leh pihak pihak lain Perbedaan referensi risik dan lingkup kntrl Kepatuhan atas kebijakan, standar dan prsedur audit TI perusahaan Tidak didapatkannya prfil risik yang sebenarnya yang sesuai dengan karakteristik bisnis PANDUAN KHUSUS Audit Manajemen Perencanaan penggunaan TI Penilaian risik yang berkesinambungan Audit Pengembangan dan Pengadaan Risik pada pengembangan dan pengadaan sistem: Risik perasinal Risik reputasi Kntrl pada pengembangan aplikasi Tahap inisiasi dan perencanaan Tahap pendefinisian kebutuhan pengguna Risik strategik Tahap perancangan 2008 Basuki Rahmad, CISA, CISM basuki@transfrma-institute.biz 1
Risik kepatuhan Tahap pemrgraman Tahap uji cba Tahap implementasi Pst implementatin review Tahap pemeliharaan Tahap dispsal Kntrl pada pengadaan Standar pengadaan Pedman pryek pengadaan Escrw agreement Kntrak pengembangan dan perjanjian lisensi dari perangkat lunak Kntrl pada pemeliharaan sistem aplikasi Manajemen perubahan Patch management Lirabry Knversi Pemeliharaan dkumentasi Audit Aktifitas Operasinal Teknlgi Infrmasi Risik perasinal TI Kesalahan investasi teknlgi Kntrl perasinal Data Center Kntrl Perencanaan Kapasitas Kegagalan supplier Pendefinisian kebutuhan yang tidak tepat Ketidaksesuaian dengan sistem eksisting Keusangan sftware Permasalahan pengembangan sistem dan implementasi Kntrl Pengellaan Knfigurasi Perangkat Keras dan Perangkat Lunak Kntrl Pemeliharaan Perangkat Keras dan Perangkat Lunak Perawatan perangkat keras dan fasilitas Data Center Pengamanan Fisik dan lingkungan Kntrl pengellaan perubahan 2008 Basuki Rahmad, CISA, CISM basuki@transfrma-institute.biz 2
Manajemen kapasitas Kegagalan sistem Pelanggaran keamanan infrmasi Kntrl penanganan kejadian/permasalahan Kntrl pengellaan datawarehuse Kntrl pengellaan database Kntrl pertukaran infrmasi Kntrl fungsi library Kntrl fungsi Quality Assurance Kntrl pengellaan hubungan dengan pihak penyedia jasa Kntrl penghapusan perangkat keras dan perangkat lunak (dispsal) Audit Jaringan Kmunikasi Risik pada jaringan kmunikasi Kehilangan data/infrmasi Kehilangan integritas data/infrmasi Tidak lengkapnya data/infrmasi yang ditransmisikan Hilangnya kerahasiaan infrmasi Tidak tersedianya jaringan kmunikasi akibat gangguan atau bencana Kehilangan/kerusakan perangkat jaringan kmunikasi Audit Pengamanan Infrmasi Risik terkait dengan pengamanan infrmasi: Gangguan pada integrity data/infrmasi Gangguan pada cnfidentiality data/infrmasi Gangguan pada availability Kntrl pada desain jaringan kmunikasi Kntrl pada access cntrl Kntrl pada perasi dan pemeliharaan jaringan kmunikasi Kntrl pada kinerja jaringan kmunikasi Kntrl pada manajemen kapasitas Kntrl kecukupan kebijakan dan prsedur pengamanan infrmasi Pengellaan aset Pengellaan SDM Pengamanan fisik dan lingkungan Pengamanan lgic 2008 Basuki Rahmad, CISA, CISM basuki@transfrma-institute.biz 3
data/infrmasi Pengamanan perasinal TI Penanganan insiden dalam pengamanan infrmasi Prsedur pendukung lainnya Kntrl kecukupan teknlgi pada arsitektur teknlgi keamanan infrmasi Kntrl prgram edukasi dan awareness keamanan infrmasi Audit Business Cntinuity Plan Risik terkait Business Cntinuity Plan Risik perasinal terkait terganggunya/berhentinya perasinal bisnis bank terutama pelayanan kepada nasabah Risik reputasi Kntrl kecukupan pengawasan aktif manajemen Kecukupan struktur rganisasi Peran dan tanggung jawab Tim BCP Ssialisasi BCP Review atas pengujian reguler Kntrl kecukupan prses penyusunan BCP Business Impact Analysis Risk Assessment Kntrl kecukupan prsedur BCP Prsedur tanggap darurat Prsedur pemulihan sistem Prsedur pemulihan bisnis Prsedur sinkrnisasi data Kecukupan kntrl perasinal dan fasilitas/teknlgi khususnya atas: Keberadaan DRC dan karakteristik minimal yang harus dimiliki Backup dkumentasi, sistem dan data Business Recvery Center (BRR)/Crisis 2008 Basuki Rahmad, CISA, CISM basuki@transfrma-institute.biz 4
Center/Business Resumpsin Center Fasilitas kmunikasi Kntrl kecukupan pengujian BCP Kntrl pemeliharaan keterkininan BCP Audit End User Cmputing Akses leh pihak yang tidak berhak sehingga terjadi terjadinya kebcran data/infrmasi atau terjadinya fraud baik secara finansial maupun nn finansial Audit Electrnic Banking Risik umum: Ketergantungan pada pihak yang mengembangkan karena keterbatasan dkumentasi Sistem yang dikembangkan kurang memadai, dilihat dari aspek risik, tingkat kmpetensi/pengalaman pengembang, penggunaan teknlgi yang tak tepat dengan kebutuhan bisnis dan kebutuhan bank Ketidakjelasan kepemilikan sistem dan penanganan permasalahan jika timbul Menurunnya integritas dan akurasi data/infrmasi bank Tidak tersedianya audit trail Transactin/peratin risk Credit risk Cmpliance/legal risk Strategic risk Reputatin risk Kntrl pada pengembangan, pengujian dan perubahan aplikasi EUC Registrasi setiap aplikasi EUC ke Satuan Kerja TI Persetujuan/sertifikasi leh Satuan Kerja TI sebelum aplikasi digunakan Inventarisasi seluruh aplikasi EUC Manajemen perubahan Pengamanan pada data, surce cde dan executable file Kntrl kecukupan standar pengamanan pada setiap aplikasi EUC, paling tidak terkait dengan: Validasi input data Penyiapan data, pelaksanaan input, pemrsesan, distribusi utput dan prses reknsiliasi Backup data dan aplikasi EUC Kntrl pengamanan aktifitas e- Mekanisme authenticatin dan authrizatin nasabah yang melakukan transaksi Terpenuhinya asas nn-repudiatin atas transaksi Segregatin f duties pada penggunaan 2008 Basuki Rahmad, CISA, CISM basuki@transfrma-institute.biz 5
Market risk Liquidity risk Risik khusus: Risik perasinal: kecurangan, penyadapan/skimming, kesalahan atau tidak berfungsinya sistem Risik yang timbul dari crss brder e- Risik-risik penyelenggaraan e- : Nasabah memperleh infmrasi yang kurang akurat Pencurian data finansial Serangan/ancaman melalui internet Pencurian identitas Unauthrized transactin atau fraud sistem, database, dan aplikasi e- Otrisasi dan hak akses (privilege) atas sistem, database, dan aplikasi e- Perlindungan integritas data, catatan, dan infrmasi terkait transaksi e- Ketersediaan audit trail atas seluruh transaksi e- Perlindungan kerahasiaan infrmasi e- Ketersediaan BCP dan cntingency plan e- Kecukupan incident respnse plan Kntrl pengamanan teknlgi e- ATM Mbile Phne POS/EDC Pengamanan transmisi data antara EFT dan hst cmputer Kntrl edukasi dan perlindungan nasabah Kntrl atas crss brder e- Kntrl atas sistem dan layanan e- yang diselenggarakan leh pihak penyedia jasa Audit Penggunaan Pihak Penyedia Jasa TI Risik perasinal Risik hukum Risik reputasi Kntrl pemilihan penyedia jasa Kntrl klausul perjanjian penyediaan jasa, baik yang tercantum pada dkumen kntrak 2008 Basuki Rahmad, CISA, CISM basuki@transfrma-institute.biz 6
Risik strategis Risik kepatuhan Cuntry risk maupun pemenuhan klausul-klausul khusus Kntrl penyedia jasa yang berada di luar Indnesia Kntrl kecukupan BCP Kntrl atas risik lainnya seperti kesalahan manusia, penerapan prsedur yang salah dan emplyee theft 2008 Basuki Rahmad, CISA, CISM basuki@transfrma-institute.biz 7