REGULASI
PERATURAN TERKAIT PENGENDALIAN INTERNAL Kondisi global teknologi dan bisnis memaksa adanya standar dan regulasi yang mengatur bagaimana perusahaan bekerja dan pembagian informasi. Baik nasional, industri dan perusahaan memiliki kekhawatiran mengenai C.I.A informasi mereka. Standar dan regulasi merupakan dua metode yang dapat menjamin terpenuhinya masalah tersebut. Dampak peraturan terhadap Audit TI berkembang seiring semakin rumitnya pemenuhan otoritas. The International Association of Internal Auditors (IIA) dan International Information System Audit and Control Association (ISACA) menerbitkan panduan untuk membantu kelompok audit internal dan eksternal membangun pengendalian dan proses audit yang umum.
CONTOH REGULASI 1. The Sarbanes-Oxley Act of 2002 2. Gramm-Leach-Billey Act 2002 3. Payment Card Industry (PCI) Data Security Standard
THE SARBANES-OXLEY ACT OF 2002 Regulasi ini merupakan respon dari pemerintah USA atas maraknya skandal yang terjadi di perusahaan. Tujuan utamanya adalah untuk meningkatkan pertanggung jawaban perusahaan, transparansi keuangan, dan mengurangi penipuan keuangan. SOX fokus pada pengendalian yang penting untuk menjamin C.I.A data keuangan.
DAMPAK SOX TERHADAP DEPARTEMEN TI Saat ini, layanan TI merupakan bagian penting dalam proses pelaporan keuangan. Aplikasi dan layanan mendukung penciptaan, penyimpanan, pengolahan dan pelaporan dari transaksi keuangan. Maka, pemenuhan SOX termasuk dalam pengendalian internal tentang penggunaan teknologi dalam pengelolaan data, pegolahan dan pelaporan.
PENGENDALIAN TI YANG DIPERLUKAN UNTUK MEMENUHI SOX 1. Pengendalian Akses (Access Controls) 2. Pengendalian Perubahan (Change Control) 3. Manajemen Data (Data Management) 4. Operasional TI (IT Operations) 5. Operasional Jaringan (Network Operations) 6. Manajemen Aset (Asset Management)
PENGENDALIAN TI YANG DIPERLUKAN UNTUK MEMENUHI SOX CONT... Pengendalian Akses Administrasi keamanan harus memiliki proses yang efektif dan terdokumentasi untuk mengawasi dan menjalankan kebijakan keamanan yang ditetapkan oleh manajemen. Kebijakan dan proses harus dikomunikasikan ke semua kelompok/jenis user. Pengendalian akses ini menyangkut : Siapa yang memiliki akses terhadap aplikasi dan data? Siapa yang menyetujui akses? Bagaimana akses level ditinjau? Apa proses otorisasinya? Apa yang terjadi saat orang yang memiliki kewenangan pindah atau diganti? Apakah keamanan data dijalankan dalam setiap level? Apakah password diganti secara periodik?
PENGENDALIAN TI YANG DIPERLUKAN UNTUK MEMENUHI SOX CONT... Pengendalian Perubahan Untuk menjamin akurasi, kelengkapan dan integritas dari laporan keuangan, perusahaan harus memiliki proses pengendalian perubahan yang terdokumentasi dan efektif, termasuk perubahan terhadap aplikasi keuangan, semua aplikasi, SO yang mengendalikan desktop dan host server, DBMS, dan jaringan. Proses perubahan termasuk: Tinjauan manajemen Kewenangan Migrasi atas komponen yang dirubah Jadwal perubahan Laporan manajemen Komunikasi atas perubahan kepada user
PENGENDALIAN TI YANG DIPERLUKAN UNTUK MEMENUHI SOX CONT... Manajemen Data Meliputi manajemen data fisik dan logis juga identifikasi dan perlindungan data penting/sensitif (data yang menyangkut keuangan) Manajemen data meliputi : Pertukaran data antar sistem Struktur Basis data Konsistensi elemen data Pengendalian fisik data Backup Data
PENGENDALIAN TI YANG DIPERLUKAN UNTUK MEMENUHI SOX CONT... Operasional TI Menyangkut pengertian, pengadaan, instalasi/pemasangan, konfigurasi, integrasi dan perawatan infrastruktur TI. Seperti : Manajemen layanan sehari-hari Manajemen layanan dari pihak ketiga Ketersediaan sistem Layanan klien Konfigurasi dan manajemen sistem Manajemen dan resolusi masalah Penjadwalan manajemen operasional Manajemen fasilitas
PENGENDALIAN TI YANG DIPERLUKAN UNTUK MEMENUHI SOX CONT... Operasi Jaringan Meliputi tinjauan atas WAN ataupun LAN. Konfigurasi firewall, router dan modem peting untuk menghindari Unauthorized Accses dan modifikasi terhadap aplikasi dan data keuangan. Contoh ancaman potensial : hacker, virus, worm, serta malware. Manajemen Aset Audit manajemen aset biasanya berhubungan dengan pengeluaran keuangan dan pelaporan. Manajemen aset terdiri dari : persediaan, penghilangan/penghapusan aset, serta prosedur lainnya yang menyangkut aset.
GRAMM-LEACH-BILLEY ACT Nama resmi dari peraturan ini adalah Financial Services Modernization Act. Peraturan ini diarahkan untuk menyetujui perpanjangan fungsi dan hubungan antara institusi keuangan. GLBA meminta institusi keuangan untuk terbuka dalam kebijakan dan praktik perlindungan privasi kepada konsumen. Peraturan ini juga membahas mengenai akses terbatas penggunaan informasi konsumen.
KEBUTUHAN PENGENDALIAN INTERNAL DALAM GLBA GLBA memiliki 3 tujuan utama : Menjamin kerahasiaan informasi konsumen keuangan Melindungi informasi record konsumen terhadap ancaman Melindungi informasi konsumen dari Unauthorized Access yang akan berakibat/berdampak pada konsumen Panduan yang diberikan: Strategi/program keamanan informasi yang tertulis Penilaian dan manajemen risiko Pengendalian akses terhadap sistem informasi konsumen Pengendalian akses fisik di bagian yang berisi informasi konsumen Enkripsi informasi konsumen dalam penyimpanan dan pertukaran Prosedur pengendalian perubahan Pembagian tugas, background check staff Sistem pengawasan keamanan Program respon terhadap insiden yang mengancam keamanan Metode untuk melindungi informasi konsumen dari kerusakan fisik
PAYMENT CARD INDUSTRY (PCI) DATA SECURITY STANDARD PCI standar bukan merupakan suatu bentuk hukum atau peraturan, tetapi pemenuhan kebutuhan dalam industri proses card-payment. Secara umum dapat dikatakan, entitas, sistem atau komponen yang menyimpan, mengolah atau menukarkan informasi pemegang kartu dimana saja. Merchants harus dapat mematuhi/memenuhi standar ini jika mereka ingin melanjutkan/memanfaatkan proses pembayaran menggunakan kartu. Pihak yang memanfaatkan card-payment bukan hanya harus mengadopsi PCI tetapi juga memenuhi tandar yang ada dalam PCI.
REFERENSI Chris Davis, et al. IT Auditing : Using Controls To Protect Information Assets. 2011 Information Systems Control and Audit. Board of Studies The Institute of Chartered Accountants of India. 2010