KOMPONEN AUDIT IT
Menetapkan ruang lingkup audit IT
Prasyarat utama untuk program audit organisasi
adalah menentukan jenis audit apa yang diperlukan dan mengidentifikasi apa yang
harus atau bisa diaudit. Potensi audit yg di kembangkan oleh inventaris disebut
dengan Ruang Lingkup. manajemen aset, arsitektur perusahaan, kerangka tata
kelola, atau pendekatan lain apa pun yang membantu mengidentifikasi elemen-elemen
penyusun organisasi. Organisasi kemudian melakukan penilaian risiko pada setiap
item yang termasuk dalam ruang lingkup audit untuk memberikan prioritas pada
subyek audit, Dengan mempertimbangkan faktor-faktor untuk setiap item seperti,
besarnya relatif risiko pentingnya bagi organisasi, atau potensi manfaat bagi
organisasi dari melakukan audit. Prioritasi mencerminkan efisiensi sumber daya
organisasi yang tersedia untuk mendukung audit, Aspek organisasi dapat di audit
secara memadai Tata kelola formal dan manajemen resiko, kedua domain organisasi
ini menekankan identifikasi dan penilaian asset sebagai dasar untuk menyusun
kegiatan manajemen dan mengalokasikan sumber daya organisasi, sumber daya
kontrol lainnya pada area organisasi
yang terkait dengan sumber risiko terbesar.
Mengembangkan dan mempertahankan ruang lingkup
audit
Audit di setiap organisasi biasanya
mencerminkan cara organisasi itu sendiri terstruktur dan dikelola. Semesta
audit dapat diatur atau dikategorikan berdasarkan hierarki unit bisnis,
arsitektur perusahaan, model proses bisnis, kerangka kerja tata kelola, katalog
layanan, atau dekomposisi fungsional lainnya yang paling sesuai dengan cara
organisasi memandang operasi dan aset mereka. ada beberapa level kontrol atau
tingkat entitas umum yang menyeluruh yang dapat diaudit. audit kontrol tingkat
entitas sering kali memerlukan beberapa pendekatan audit karena biasanya
mencakup berbagai jenis kontrol internal. Ruang lingkup audit ini penerapannya
di semua tingkat organisasi juga berarti bahwa laporan audit tingkat entitas
memiliki khalayak yang lebih luas daripada yang dihasilkan dalam jenis audit
lainnya. Auditor yang melakukan audit pada level apa pun di bawah seluruh
organisasi perlu memastikan bahwa ruang lingkup audit mereka mencakup level
entitas dan kontrol bersama lainnya, serta yang diterapkan secara khusus untuk
komponen yang diperiksa oleh audit.
Unsur-unsur organisasi yang biasanya dimasukkan
dalam ruang lingkup meliputi:
· unit
struktur organisasi seperti unit bisnis, divisi operasi, fasilitas, atau anak
perusahaan
· struktur
akuntansi seperti pusat biaya, lini bisnis, atau area proses
· sasaran,
sasaran, dan hasil strategis, yang dievaluasi sebagian dengan mengaudit sumber
daya yang dialokasikan untuk pencapaiannya;
· misi dan
proses bisnis, layanan, dan fungsi operasional yang dijalankan oleh organisasi
· aset termasuk aset TI organisasi memiliki, mengoperasikan, mengelola, atau
mengendalikan;
· program,
proyek, dan investasi di mana organisasi melakukan pendanaan atau sumber daya
lainnya;
· kontrol
internal dan eksternal yang dilaksanakan oleh organisasi atau atas namanya;
· fungsi atau
program manajemen seperti tata kelola, manajemen risiko, jaminan kualitas,
sertifikasi, dan kepatuhan serta audit internal.
Penggerak tata kelola, risiko, dan kepatuhan
organisasi menetapkan dan memelihara program di
bidang ini, kebutuhan untuk menilai efektivitasnya dan mengukur pencapaian
tujuan program mempengaruhi ruang lingkup dan frekuensi audit TI dan prosedur,
standar, dan kriteria yang digunakan dalam audit TI internal.
Meskipun kerangka kerja dan tata kelola
manajemen risiko jarang menentukan elemen yang cukup, untuk menyediakan
inventaris subjek potensial audit,
mereka menawarkan fondasi yang kuat, khususnya untuk komponen dan kontrol
terkait-TI di dunia audit.
Program kepatuhan memiliki pengaruh, di mana
kebutuhan untuk memenuhi tujuan atau persyaratan kepatuhan, adalah faktor utama
dalam penentuan prioritas dan kriteria yang digunakan sebagai dasar untuk
menunjukkan kepatuhan menetapkan ruang lingkup minimum untuk audit dilakukan
untuk mendukung kepatuhan.
Misalnya, versi yang dipakai secara luas 4.1
dari tujuan pengendalian untuk informasi dan teknologi (COBIT) mencakup 34
proses dalam 4 domain tata kelola utama dan mendefinisikan lebih dari 200
tujuan pengendalian yang terkait dengan proses tersebut. COBIT 5 memperluas
proses model referensi ke 37 proses di antara 5 domain, menggantikan tujuan
kontrol dengan tata kelola dan praktek manajemen yang disarankan dan kriteria
audit pada tujuh faktor, mirip dengan kategori ruang lingkup audit : prinsip,
kebijakan, dan kerangka kerja, struktur organisasi; Kebudayaan, etika, dan
perilaku. Informasi; Layanan, infrastruktur, dan aplikasi.
Enterprise risk management menggunakan ruang
lingkup audit development dan IT untuk mengaudit ruang lingkup dengan memberikan
identifikasi aset organisasi yang berisiko dan menetapkan jenis risiko-risiko
yang berlaku pada komponen atau aspek operasional organisasi. Sementara risiko
yang terkait dengan mata pelajaran audit yang berbeda membantu meningkatkan
sumber daya yang seharusnya, mempertimbangkan semua jenis risiko yang ada dan
dapat memengaruhi cakupan audit.
Strategi dan prioritas audit
Pada bab 3 sudah dijelaskan pentingnya strategi
audit terhadap sebuah organisasi dan program audit internalnya. Strategi audit
adalah sebuah kunci utama yang menentukan jenis, lingkup, dan frekuensi audit
sebuah organisasi memimpin dan mendefinisikan kriteria yang digunakan oleh
organisasi untuk memprioritaskan materi di alam semesta audit. Organisasi
mengikuti prosedur dalam strategi audit untuk membentuk prioritas audit dan
menggunakan determinasi untuk pengalokasikan sumber-sumber audit internal. Rencana
pada audit yang terkait untuk menguraikan sumber-sumber yang harus dialokasikan
untuk dapat menjawab persyaratan wajib dan tujuan serta persyaratan audit
tambahan apa pun. Banyak suatu organisasi menetapkan peringkat prioritas tinggi
untuk mengaudit kegiatan yang mendukung kepatuhan hukum atau peraturan, semacam
laporan kontrol internal yang diwajibkan dari perusahaan yang diperdagangkan pada
bawah pasal 404 dari undang-undang Sarbanes-Oxley [5]. Kegagalan untuk mematuhi
persyaratan wajib adalah salah satu dari beberapa jenis risiko organisasi yang
dihadapi yang dapat mengakibatkan dampak negatif yang diukur secara langsung
dalam istilah keuangan atau tidak langsung dari kerusakan reputasi, publisitas
negatif, sanksi hukuman, atau hasil potensial lainnya.
Jenis
kontrol
Jenis kontrol adalah sebuah elemen yang berbeda-beda
yang ada pada audit, operasi bisnis, aset-asetnya, dan sumber-sumber pendukung yang
membentuk kemampuan fungsional suatu organisasi, sementara kontrol pada kemampuan-kemampuan
tersebut mencakup struktur manajemen, proses dan protokol, serta
langkah-langkah teknis yang menyediakan efisiensi dan keefektifan operasional,
kepatuhan, keandalan, dan jaminan operasional. Seperangkat kontrol individu
(baik secara internal maupun eksternal) dijalankan oleh sebuah organisasi
bertentangan dengan proses pemerintahan pengendalian internal, yang ada untuk
membantu organisasi mencapai tujuan manajemen yang berkaitan dengan strategi,
operasi, suatu kepatuhan manajemen yang sah atau peraturan, kualitas, keamanan,
atau manajemen risiko. Kontrol terutama kontrol internal adalah fokus dari
banyak jenis audit, baik dilakukan oleh auditor internal ataupun eksternal.
Satu jenis kontrol atau lebih biasanya berlaku untuk semua benda dalam ruang
lingkup organisasi. Organisasi dan auditor perlu memiliki pemahaman yang luas
tentang berbagai jenis kontrol dan penerapan tujuan dan fungsinya untuk dapat
merencanakan dan melaksanakan sebuah audit dengan benar dari kontrol sebuah
organisasi dan untuk menyelaraskan jenis kontrol yang digunakan dengan cara
kompetensi, keterampilan, dan pengalaman sebelumnya kepada para auditor.
Kontrol
Kategorisasi
Kontrol
Kategorisasi adalah Kontrol yang luas dan memilih kontrol tersebut dari susunan
kontrol yang sama luas atau lebih luas yang disusun untuk implementasi. Seperti
halnya item-item dalam ruang lingkup audit dapat diatur atau dikategorikan
dalam banyak cara, banyak pendekatan kategorisasi kontrol yang berbeda-beda
digunakan dalam kerangka kerja yang tersedia, metodologi, dan panduan. Skema pengukuran
umum untuk kontrol termasuk yang didasarkan pada tujuan, sasaran, fungsi, sifat
implementasi, dan tingkat penerapan dalam organisasi. Tabel 6.1 memberikan sebuah
daftar pendekatan kategorisasi kontrol yang representatif dengan menggunakan
basis kategorisasi yang berbeda.
Kategorisasi
kontrol terutama dimaksudkan untuk memperkenalkan konsisten dengan cara kontrol
dirujuk dan diterapkan dalam konteks yang berbeda-beda dan untuk tujuan
berbeda. Seperti yang ditunjukkan oleh Tabel 6.1, tidak ada standar tunggal
yang dapat diterima untuk mengkategorikan kontrol, sehingga organisasi dapat
memilih atau mengadaptasi pendekatan yang ditentukan dalam susunan kerangka
kerja atau metodologi eksternal, mengembangkan kategorisasi mereka sendiri,
atau mengikuti standar yang ditetapkan dalam aturan hukum, peraturan, atau
kebijakan sebuah organisasi. harus memuaskan. Peraturan keamanan yang
diundangkan di bawah Undang-undang Portabilitas dan Akuntabilitas Asuransi
Kesehatan tahun 1996 (dikenal secara kolektif sebagai Peraturan Keamanan HIPAA)
misalnya, memisahkan persyaratan menjadi pengamanan administratif, teknis, dan
fisik, sehingga organisasi yang dicakup oleh hukum mungkin menemukan bahwa
menggunakan kategorisasi yang sama pendekatan untuk kontrol internal
memfasilitasi kepatuhan.
Tabel
6.1
Basis
|
Kategorisasi Representatif
|
Tujuan kontrol
|
Pencegahan, detektif, korektif
|
Kontrol objektif
|
Operasi, pelaporan, kepatuhan
Tata kelola, manajemen risiko, kepatuhan
|
Fungsi kontrol
|
Administratif, teknis, fisik
Manajemen, operasional, teknis
|
Sifat implementasi
|
Terpusat, dibagikan, didesentralisasi
|
Tingkat penerapan
|
Organisasi, divisi, unit bisnis, fungsi
Program, proyek, sistem, komponen
|
Kontrol Organisasi
Kontrol
organisasi adalah control yang ditingkat entitas penting sebagai area fokus
untuk audit internal dan eksternal karena mereka memberikan dasar untuk
bagaimana organisasi mengelola fungsi yang didukung oleh sebuah kontrol.
Kontrol pada level entitas juga disertakan dengan referensi ke dalam banyak
jenis audit dilakukan di tingkat organisasi lainnya, sebagai unit bisnis,
program dan proyek, dan aset teknologi semuanya yang memanfaatkan jenis-jenis
kontrol tingkat entitas. Gambar 6.2 menunjukkan berbagai kategori utama dari entitas
level dan jenis kontrol dalam setiap kategori Itu mungkin diterapkan dan akan
tunduk pada audit dalam organisasi yang berbeda.
Audit
dari kontrol tingkat entitas berbeda pada tingkat tertentu dari pemeriksaan
yang difokuskan pada unsur-unsur yang sempit di dalam organisasi. Efektivitas
kontrol tingkat entitas sebagian bergantung pada sejauh mana organisasi yang
membentuk otoritas kontrol dan menerapkan setiap kontrol dengan cara yang meliputi
seluruh organisasi. Dari perspektif ini, audit dari kontrol tingkat entitas
pada dasarnya memeriksa kemampuan manajemen dan tata kelola organisasi,
termasuk struktur organisasi, penyelarasan bisnis dan tujuannya, keberadaan
serta penggunaan kegiatan perencanaan strategis dan operasional. Unsur-unsur
pada kontrol ini membantu memastikan bahwa control yang di tentukan organisasi
kebijakan sebenarnya diimplementasikan dan digunakan untuk mendukung pencapaian
tujuan kontrol organisasi. Tata kelola terkemuka dan kerangka manajemen risiko
menekankan bahwa pentingnya menetapkan kontrol tingkat entitas dan tampaknya
mengasumsikan bahwa hampir semua organisasi mengenali nilai dari menerapkan
jenis-jenis pada kontrol ini [2,8,9]. Asumsi seperti itu sebagian berasal dari
proporsi besar perusahaan atau organisasi yang saling tukar di industri atau
lingkungan operasi yang diatur untuk membentuk sebuah audit yang diinginkan
tentang tata kelola, manajemen risiko, kepatuhan, dan audit.
Mengaudit
aset yang berbeda
Auditing
aset yang berbeda adalah untuk melakukan pengecekan asset dan kontrol teknis
yang terkait, baik sebagai focus utama dalam audit sentris atau dalam konteks
seperti fungsi manajemen audit dan proses bisnis yang didukung oleh
aset-asetnya.
Untuk
melakukan pengecekan asset-aset para auditor yang bertugas perlu untuk memilih
prosedur audit yang tepat, sesuai dengan jenis audit yang akan diadakan dan
membutuhkan pemahaman cukup tentang konteks asset yang dipakai sebagai bukti
yang relevan untuk mendukung temuan audit. Auditors memeriksa beberapa komponen-komponen
dalam ruang lingkup sebuah audit tunggal
yang memiliki kriteria dan prosedur audit dengan kebutuhan dengan pendekatan
konsisten untuk mengumpulkan dan menganalisis sebuah informasi serta melaporkan
temuan audit. Di sebagian besar aset TI, ada bidang-bidang umum atau prosedur
audit yang dapat membantu menyediakan konsistensi ini, seperti yang dirangkum pada
tabel 6.2. Secara kolektif, prosedur-prosedur ini menyoroti penggunaan terpadu
dari dokumentasi, penyelidikan, pengamatan, dan uji coba langsung untuk
menyediakan bukti yang diperlukan untuk mendukung temuan audit.
Fokus Audit TI
|
Audit Prosedur
|
Configuration
|
Memindai atau menganalisis konfigurasi
aset dan membandingkan konfigurasi aktual dengan kebijakan, baseline, dan
standar yang disetujui
|
Logging and monitoring
|
Konfirmasi logging diaktifkan pada
tingkat detail yang sesuai dan output log dipantau dan ditinjau atau
dianalisis secara teratur
|
Access control
|
Tinjau kebijakan, prosedur, dan
mekanisme untuk mengontrol akses ke subjek audit, termasuk pemberian dan
pencabutan hak akses dan otentikasi dan otorisasi akses
|
Dekomposisi Komponen IT
Dekomposisi
Komponen IT adalah komponen yang di gunakan untuk kinerja audit untuk lebih
efisien dan membantu menentukan ruang lingkup yang lebih akurat untuk
menyelesaikan proses audit. menentukan lingkup audit, seperangkat keterampilan
dan kompetensi yang diperlukan oleh audit, dan tingkat sumber yang diperlukan
untuk menyelesaikan proses audit. Sistem pengaudit ini mencerminkan jenis audit
dan tujuannya dimaksudkan, komponen-komponennya akan diperiksa, dan prosedur,
protokol, standar, atau auditor kriteria yang akan digunakan.
Tidak
ada metode standar tunggal atau "terbaik" untuk mengevaluasi sistem
lingkungan teknis. Salah satu caranya adalah menguraikan suatu sistem ke dalam
bagian-bagian penyusunnya dan mengaudit setiap komponen secara individu,
menerapkan protokol audit yang serupa di semua unsur utama, tetapi juga
menggunakan prosedur atau daftar periksa yang spesifik dalam hal teknologi jika
perlu
Kategori
umum atau komponen yang mewakili bidang audit mencakup delapan unsur yang
diperlihatkan pada Gambar 6.1. Beberapa contoh audit istimewa Pertimbangan juga
berlaku pada jenis-jenis tertentu dari lingkungan operasi seperti komputasi
awan atau penggunaan lainnya dari teknologi virtualisasi server, dan sistem
atau akses aplikasi menggunakan peramban web, perangkat seluler, atau jenis
aplikasi dan antarmuka klien lainnya. Bagian berikut menjelaskan secara singkat
dan pertimbangan audit yang berlaku untuk berbagai komponen-komponennya.
Sistem dan aplikasi
Sistem
dan aplikasi memiliki beragam karakteristik seperti arsitektur teknis, sistem
operasi, bahasa pemrograman, titik-titik integrasi, dan fungsi yang diinginkan.
Pilihan prosedur audit yang sesuai untuk sistem dan aplikasi tergantung pada
arsitekturnya dan berbagai jenis komponen teknis yang digunakan untuk
pemeriksaan setiap sistem atau subjek aplikasi. Auditor aplikasi sistem fokus
pada kemampuan dan kontrol non-fungsional. Masalah fungsional mencakup
memastikan bahwa apa yang organisasi lakukan untuk menjalankan fungsinya
memenuhi persyaratan yang ditentukan. Aspek yang tidak fungsional mencakup
kinerja, kegunaan, keandalan, dan keamanan, di mana para auditor sering menguji
atau meninjau bukti yang memperlihatkan penerapan kontrol yang sesuai dengan
penggunaan sistem atau penerapan yang diharapkan dan cara pengguna berinteraksi
dengannya. Misalnya, audit aplikasi berbasis web sering kali memeriksa
penggunaan kendali terhadap kerentanan yang diketahui, kesalahan konfigurasi,
dan pengungkapan informasi sensitif yang tidak sah.
Database
Istilah
database umumnya berarti setiap kumpulan atau repositori informasi yang disimpan
oleh suatu organisasi, tetapi dalam praktik paling sering menyiratkan jenis
teknologi spesifik yang menyimpan dan menyediakan akses ke data dalam mendukung
satu atau lebih aplikasi dan proses bisnis. Basis data mewakili sebuah jenis
perangkat lunak aplikasi khusus, yang tunduk pada banyak prosedur audit dan
kriteria pemeriksaan yang sama sebagai aplikasi dan sistem. Sifat dan kepekaan
data yang disimpan dalam basis data organisasi mempengaruhi kriteria yang
digunakan untuk mengaudit mereka, khususnya sehubungan dengan memeriksa kontrol
keamanan atau privasi seperti enkripsi data, pengawasan akses, dan backup data
serta pemulihan.
Sistem
Operasi
Organisasi
Modern sering menggunakan berbagai sistem operasi untuk mendukung berbagai
kebutuhan sistem dan komputer, yang paling umum termasuk Microsoft Windows,
berbagai versi Unix atau Linux, serta alternatif - dan platform-spesifik
seperti z/OS untuk komputer mainframe IBM. Sistem operasi sangat dapat
disesuaikan dan dapat diterapkan secara berbeda di seluruh organisasi atau
dalam organisasi yang sama. Untuk meningkatkan ketahanan, administrasi,
keamanan, dan dukungan, berbagai organisasi sering kali melakukan konfigurasi
sistem operasi untuk server, komputer desktop dan laptop, dan perangkat seluler.
Banyak pemasok sistem operasi menawarkan rekomendasi konfigurasi yang
dimaksudkan untuk mengoptimalkan keamanan atau kesesuaian untuk penggunaan yang
berbeda. Audits sistem operasi mengkonfirmasikan penggunaan dan konfigurasi
yang sesuai dari sistem operasi pada platform komputasi yang berbeda yang
diluncurkan dalam organisasi.
Perangkat Keras
Perangkat
keras terdiri dari perangkat fisik yang digunakan untuk membangun jaringan,
infrastruktur telekomunikasi, sistem komputer, pelanggan komputasi akhir, dan banyak
komponen keamanan fisik. Dalam banyak penguraian arsitektur teknis, perangkat
keras menghubungkan server, komputer desktop dan laptop, serta berbagai
organisasi perangkat seluler yang digunakan serta router, switch, firewall, dan
komponen-komponen lain yang digunakan dalam jaringan. Audit aset perangkat
keras itu biasanya berfokus pada konfigurasi yang konsisten dan benar serta
kepatuhan terhadap kebijakan dan standar internal. Dibandingkan dengan
perangkat lunak, proporsi yang lebih besar dari suatu perangkat keras
organisasi ini kemungkinan besar akan dibeli secara komersial, jadi auditor
perangkat keras juga mempertimbangkan vendor dan proses-proses internal yang
digunakan untuk memperoleh perangkat keras.
Jaringan
Jaringan
menyediakan konektivitas dan memungkinkan pertukaran komunikasi dan informasi
untuk sebagian besar, jika bukan dari aset-aset organisasi IT. Jaringan
meliputi aset-aset perangkat keras seperti router dan firewall yang
memungkinkan aliran informasi antara komponen dan komunikasi dan kontrol
keamanan yang melindungi kualitas layanan dalam komunikasi jaringan dan
informasi rahasia, integritas, dan ketersediaan data melintasi infrastruktur
jaringan. Audit jaringan memeriksa implementasi dan konfigurasi perangkat
keras, layanan, dan protokol yang dijalankan pada jaringan tersebut, dan
kontrol keamanan seperti firewall dan sistem deteksi jaringan. Audit ini juga
mempertimbangkan sifat komunikasi di dalam jaringan sehingga auditor dapat
memilih prosedur audit yang sesuai untuk menggunakan nirkabel, satelit, seluler
dan teknologi jaringan lainnya. Prosedur audit khusus yang digunakan untuk
memeriksa jaringan tergantung pada jenis perangkat keras, layanan, kontrol
keamanan, dan infrastruktur telekomunikasi yang diterapkan oleh suatu organisasi
dan pada skala jaringan dalam ukuran geografisnya serta jumlah dan berbagai
sistem dan fasilitas yang terhubung dengannya. Sementara sebagian besar
teknologi yang mendasarkannya sangat mirip terlepas dari skala jaringan, ada
perbedaan praktis dalam mengaudit konvensional atau virtual jaringan area lokal
yang digunakan dalam satu lokasi dengan jaringan luas area mencakup berbagai
situs.
Tempat
Penyimpanan
Meskipun
organisasi menyimpan sejumlah besar data dalam basis data antarnegara, konten
dan dokumen sistem manajemen, dan komponen-komponennya yang serupa, penggunaan
teknologi penyimpanan yang mutakhir membuat tempat, jaringan, dan infrastruktur
merupakan bagian yang unik dari program ini yang digunakan pada audit. Solusi
penyimpanan menggunakan perangkat keras, perangkat lunak, protokol komunikasi,
dan metode penyimpanan data serta akses, meskipun bidang penekanannya untuk
audit penyimpanan tumpang tindih secara substansial dengan bidang-bidang yang
ada pada basis data. Prosedur Audit dan kriteria penyimpanan bergantung pada
jenis spesifik teknologi penyimpanan yang digunakan suatu organisasi dan sifat
serta kepekaan data yang ditampung di lingkungan penyimpanan. Penyimpanan dapat
diaudit secara terpisah atau dalam teknologi operasional yang lebih luas seperti
ini biasanya ditetapkan sebagai komponen pendukung dari pusat data atau
lingkungan operasi teknis lainnya, di mana sebuah infrastruktur penyimpanan
tunggal dapat menerima data dari berbagai sistem.
Pusat Data
Sebagai
fasilitas yang digunakan sistem, perangkat keras, infrastruktur jaringan, dan
teknologi terkait, pusat data menyediakan fondasi yang penting bagi cara
kerjanya. Selain berfungsi sebagai lokasi fisik bagi banyak komponen teknologi,
pusat data juga menjadi titik pelaksanaan bagi banyak proses, prosedur, dan
fungsinya yang mendukung proses tersebut. Audit fasilitas pusat data berfokus
pada kontrol jenis khusus ini dan proses dukungan operasional, sumber, dan
personil yang memastikan bahwa komponen yang berasal di pusat data beroperasi
secara normal untuk mendukung proses dan fungsi bisnis yang bergantung padanya.
Apakah dimiliki dan dikelola oleh suatu organisasi atau pihak ketiga, pusat
data sering dianggap penyedia jasa dan oleh karena itu digunakan pada standar
eksplisit yang ditetapkan untuk audit organisasi layanan.
Lingkungan
tervirtualisasi
Teknologi
virtualisasi menyediakan sebuah pendekatan teknis alternatif untuk menyediakan
infrastruktur, platform dan sistem operasi, server, perangkat lunak, serta
sistem dan aplikasi. Kebanyakan lingkungan komputasi yang berkualitas memiliki
banyak kesamaan dengan pusat data konvensional, Pendekatan ini meningkatkan
pemanfaatan kapasitas dan di dalamnya layanan model berbasis cloud seperti
komputasi cloud, memungkinkan organisasi untuk menggunakan sumber daya
teknologi ini lebih efisien dengan naik atau turun sebagai surat perintah
kebutuhan bisnis. Audit lingkungan komputasi berkualitas menggunakan banyak
prosedur dan kriteria yang sama yang digunakan untuk audit pusat data, dengan penekanan
tambahan pada server penyedia, deprovisioning, manajemen, pemeliharaan berbagai
server virtual yang berbagi komputasi, jaringan, dan sumber daya infrastruktur.
Penggunaan
komputasi cloud dan penyedia layanan pihak ketiga menjadi cukup umum sehingga
para audits mungkin menanggapi layanan demikian yang berbeda dengan komponen
audit lainnya. Perbedaan yang ditekankan oleh para penyedia layanan cloud
antara lain penyedia layanan termasuk akses jaringan, akses sumber daya, sumber
daya pooling, kemampuan dan jasa yang fleksibel, dan penggunaan yang bermebel
serta model pembayaran dan pembayaran yang terkait. Pertumbuhan yang diharapkan
dalam komputasi cloud adalah salah satu faktor yang mendorong kerangka kerja
kontrol yang spesifik di awan, Kerangka kerja yang tersedia termasuk matriks
kontrol awan yang dikembangkan oleh aliansi keamanan cloud dan risiko Federal
dan Program manajemen wewenang yang dikelola oleh administrasi layanan umum
untuk digunakan oleh penyedia layanan awan yang melayani instansi pemerintah
as.
Antarmuka
interface
adalah titik integrasi atau koneksi antara dua komponen atau lebih, yang
memungkinkan transmisi informasi antara sistem atau mengekspos layanan atau
kemampuan fungsional dari satu sistem atau aplikasi pada orang lain. Auditor
sering kali menekankan langkah-langkah keamanan yang diimplementasikan untuk
melindungi informasi dalam perjalanan melintasi antarmuka dan untuk
mengendalikan akses ke antarmuka yang terpapar oleh setiap sistem. Audit
antarmuka mengandalkan pada kedua dokumentasi seperti spesifikasi antarmuka
formal dan tes yang menunjukkan fungsi yang benar dari tiap antarmuka,
mempertimbangkan tujuan yang dimaksudkan, aliran informasi, mekanisme akses
teknis, dan proses oketifikasi dan otorisasi tingkat mesin.
Kontrol
atau proses prosedural audit
Ruang lingkup audit teknologi informasi sangat
luas dan beragam seperti yang dimiliki oleh organisasi sendiri, yang meliputi
berbagai macam teknologi, kemampuan teknis, dan kontrol serta kebijakan,
proses, dan prosedur yang berkaitan dengan fungsi operasional dan tata kelola.
Bergantung pada jenis dan lingkup audit yang direncanakan oleh suatu
organisasi, auditor bisa saja memeriksa basis proses atau kontrol prosedural
yang berkaitan dengan asetnya dan komponen IT yang mendukung mereka, atau
secara terpisah dengan audit yang spesifik dalam proses. Penekanan relatif yang
menempatkan suatu organisasi pada audit proses-proses itu dipengaruhi hingga
batas tertentu oleh tata kelola, risiko, kepatuhan, dan kerangka manajemen yang
dipilih untuk dijalankan. Banyak jenis audit eksternal termasuk yang
dimaksudkan untuk memperoleh sertifikasi atau menunjukkan keterlibatan
peraturan yang mengharuskan auditor untuk mempertimbangkan pengawasan
administratif, teknis, dan fisik dalam lingkup audit yang sama. Organisasi
biasanya memiliki lebih banyak kebijaksanaan untuk merencanakan, mendefinisikan
ruang lingkup, dan melakukan audit internal dengan cara yang memisahkan audit
proses dan kontrol prosedural dari audit aset, sistem, dan teknologi IT. Ada
banyak alasan untuk mengejar pendekatan seperti itu, termasuk kemampuan untuk
meningkatkan keterampilan dan kompetensi para auditor terhadap masalah audit
yang mereka lakukan.
Operasi IT
Operasional IT audits berfokus pada proses dan
prosedur yang dilaksanakan oleh suatu organisasi dan penyelarasan
kegiatan-kegiatan tersebut dengan sumber sistem, infrastruktur, dan teknologi
informasi lainnya. Untuk berhasil melakukan jenis audit ini, organisasi perlu
mengembangkan inventarisasi dari proses dan kontrol prosedural yang
digunakannyan (atau mengidentifikasi informasi ini dalam dokumentasi yang ada
di dalam sistem audit di ruang lingkup audit) dan menyiapkan strategi audit
serta rencana audit yang sesuai dengan rencana audit yang digunakan pada jenis
audit lain. Proses pemeriksaan yang relevan mencakup mereka dalam bidang bisnis
yang lebih spesifik maupun umum, termasuk :
· Perencanaan
strategis dan taktis
· Manajemen
Resiko
· Manajemen
kualitas
· Pengelolaan
keuangan
· Pengelolaan
sumber daya manusia
· Akuisisi
atau pengadaan
· Pengelolaan
rantai pasokan
· Program dan
manajemen proyek
· Manajemen
perubaham
· Manajemen pelayanan
· Dukungan
pelanggan dan teknis
· Manajemen keamanan
· Manajemen fasilitas
· Manajemen vendor
Proses operasional dan kontrol prosedural juga
digunakan pada prioritas sehingga sumber audit dapat dialokasikan dengan
efektif. Prioritas dalam konteks ini mempertimbangkan kriteria seperti tingkat
sumber daya yang terlibat, kompleksitas, hubungan ketergantungan dengan proses
lain, dan kritik setiap proses terhadap organisasi secara keseluruhan atau pada
fungsi misi atau bisnis yang didukung.
Program dan manajemen proyek
Program atau proyek sering digunakan secara
bergantian, standar dan bimbingan untuk mengelola kegiatan-kegiatan yang
berbeda, durasi, dan hasilnya, di mana program terdiri dari satu proyek atau
lebih, memiliki jangka waktu yang kurang jelas, dan dimaksudkan untuk mencapai
satu atau lebih hasil jangka panjang, proyek lebih terfokus secara sempit,
usaha sementara dengan poin awal dan akhir yang jelas dimaksudkan untuk
menghasilkan produk atau jasa tertentu. Program dan proyek dapat dikenakan pada
audit operasional; Audit yang dikaitkan dengan sertifikasi, kepatuhan, atau
jaminan kualitas; Audit yang spesifik berfokus pada teknologi, sistem,
infrastruktur, atau proses yang mendukung program atau pelaksanaan proyek yang
efektif. Para auditor melakukan audit jenis ini biasanya karena kriteria audit
dasar setidaknya sebagian dari apa yang ditetapkan dalam metodologi atau
standar siklus yang didefinisikan atau diterapkan oleh organisasi. Audit proyek
dan Program, sebaliknya, berpusat pada proses, kontrol, dan artefak yang
dihasilkan dalam pelaksanaan Program atau kegiatan proyek serta penyelarasan
kegiatan tersebut dengan kebijakan, standar, dan persyaratan organisasi.
Auditor yang memfokuskan pada audit jenis ini cenderung mengandalkan
pemeriksaan bukti dokumenter, pengamatan langsung, dan wawancara dengan staf
program atau proyek, karena metode pengujian kurang bisa diterapkan pada
kegiatan manajemen. Beberapa pemeriksaan terhadap program dan kemampuan
manajemen proyek sering kali disertakan dalam audit operasional atau kepatuhan,
atau dalam audit sertifikasi menangani standar-standar untuk kualitas,
manajemen pelayanan, atau proses kedewasaan.
Siklus kehidupan pengembangan system
Proyek-proyek ini dilakukan di banyak
organisasi yang digunakan pada serangkaian proses dan kegiatan yang dikenal
sebagai suatu sistem (atau perangkat lunak) siklus kehidupan pembangunan
(SDLC). Saat proyek ini berjalan melalui fase berbeda dari SDG, tim proyek ini
menjalankan berbagai kegiatan, menghasilkan keluaran yang berbeda, dan memenuhi
persyaratan atau kriteria yang diperlukan untuk menyelesaikan satu fase dan
beralih ke fase berikutnya. metodologi SDLC tidak mempunyai kesamaan untuk
berbagai organisasi degan variasi luas sae siklus hidup dan durasi fase yang di
harapkan standar SDLC, Dari prespektif holistik model SDLC memiliki kegiatan
dan tujuan yang sama. Organisasi hanya menggunakan 4 fase atau 10 SDLC, pada
dasarnya SDLC mencakup kegiatan yang berhubungan dengan inisiasi proyek,
desain, operasi dan penghentian proyek. Organisasi hanya menerapkan satu SDLC
standar. Audit proyek ini dapat dilaksanakan di setiap titik dalam kehidupan
siklus atau potensi rentang siklus hidup beberapa fase siklus kehidupan untuk
proyek besar atau kompleks atau mereka yang menggunakan metodologis-artinya
auditor harus menyesuaikan kriteria pemeriksaan mereka untuk mencerminkan
kegiatan, hasil, dan pencapaian yang berbeda dalam setiap fase. Bagian-bagian
berikut mengikuti nama fase kehidupan sistem siklus kehidupan yang diperinci.
Konsep
Setiap proyek IT dimulai dengan ide, saran,
persyaratan, atau kebutuhan organisasi lain yang diakui. Konsep proyek atau
tahap inisiasi dimulai ketika suatu organisasi mengidentifikasi kebutuhan akan
kemampuan baru atau yang ditingkatkan dan mulai menentukan bagaimana konsep dapat
memenuhi kebutuhan itu. Selama fase konsep, organisasi dapat mengidentifikasi
dan mengevaluasi beberapa alternatif, mempertimbangkan karakteristik teknis dan
nonteknis seperti biaya, kompleksitas, strategi akuisisi, dan kelayakan. Audit
proyek IT dalam fase konsep biasanya memeriksa proses manajemen proyek,
standar, dan metodologi untuk memastikan mereka sesuai dengan kebijakan dan
standar organisasi dan memverifikasi kelengkapan dan persetujuan (jika
diperlukan) dokumentasi proyek yang diperlukan seperti rencana proyek proyek
manajemen piagam, kasus bisnis, analisis alternatif, dan jadwal proyek. Fase
konsep juga dapat menghasilkan spesifikasi persyaratan fungsional dan teknis,
desain solusi tingkat tinggi, pemilihan kontrol awal, dan rancangan artefak
proyek yang harus diselesaikan pada fase selanjutnya seperti rencana keamanan,
rencana manajemen risiko, rencana darurat, atau jaminan kualitas. rencana.
Organisasi mungkin memerlukan audit pada fase konsep sebagai prasyarat untuk
menyetujui transisi proyek ke fase pengembangan.
Pengembangan
Fase pengembangan mencakup berbagai kegiatan
yang dimaksudkan untuk memenuhi set lengkap persyaratan yang ditentukan untuk
sistem, aplikasi perangkat lunak, atau solusi lainnya. Banyak metodologi SLDC
membagi fase pengembangan tunggal yang didefinisikan dalam ISO / IEC 15288
menjadi beberapa fase yang lebih kecil untuk analisis persyaratan dan desain
selain pengembangan. Fase pengembangan meliputi spesifikasi persyaratan
fungsional dan nonfungsional yang lengkap, dokumentasi desain terperinci yang
membahas semua komponen dalam ruang lingkup proyek, rencana pengujian, dan
pengiriman kode perangkat lunak, teknologi yang diperoleh, atau elemen solusi
lain yang siap untuk diintegrasikan, pengujian, dan evaluasi kontrol. Selama
pengembangan, tim proyek juga mengidentifikasi kebutuhan operasional yang
diharapkan dalam hal infrastruktur, perangkat keras dan kapasitas jaringan,
platform komputasi, dan operasi, pemeliharaan, dan kebutuhan dukungan. Audit
proyek IT dalam fase pengembangan fokus pada keakuratan dan kelengkapan
dokumentasi dan artefak utama, memastikan bahwa desain yang disetujui memenuhi
semua persyaratan, termasuk kontrol internal yang memadai, dan mematuhi standar
dan kriteria internal dan eksternal yang berlaku. Untuk melakukan proyek yang
melibatkan pengembangan perangkat lunak khusus, ruang lingkup audit proyek IT
dapat mencakup tinjauan atau proses kontrol kualitas perangkat lunak lainnya.
Terlepas dari sumber atau jenis teknologi yang digunakan dalam proyek, pada
akhir fase pengembangan, semua dokumentasi desain, antarmuka integrasi, dan
spesifikasi teknis harus lengkap dan komponen sistem atau aplikasi perangkat
lunak harus siap untuk evaluasi dan persetujuan sebelum penyebaran penuh.
Produksi
Istilah produksi seperti yang digunakan dalam
ISO / IEC 15288 berhubungan dengan serangkaian kegiatan yang dimaksudkan untuk
menguji solusi teknis atau mengkonfirmasi kemampuan organisasi untuk
mengirimkan produk atau layanan yang dihasilkan dari proyek. Untuk proyek yang
menggunakan sistem atau aplikasi perangkat lunak, ruang lingkup fase produksi
terdiri dari unit kerja, integrasi, dan pengujian penerimaan untuk
mengonfirmasi bahwa teknologi memenuhi persyaratan fungsional; memverifikasi
implementasi dan konfigurasi kontrol internal yang tepat; dan menilai
langkah-langkah perlindungan keamanan dan privasi yang diperlukan untuk
menerima persetujuan untuk sistem atau perangkat lunak agar dapat beroperasi
penuh. Audit proyek TI selama fase produksi memeriksa rencana pengujian dan
prosedur untuk memastikan bahwa kegiatan pengujian cukup untuk menentukan
kepuasan persyaratan. Karena produksi adalah fase terakhir sebelum sistem atau
aplikasi perangkat lunak digunakan untuk digunakan, auditor juga memeriksa
bahwa proyek telah menerima semua persetujuan yang diperlukan, berpotensi
termasuk hasil uji fungsional, penerimaan pengguna, integrasi sistem, kesiapan
lingkungan, penerimaan risiko, dan otorisasi untuk beroperasi.
Pemanfaatan
Dalam fase pemanfaatan, sistem atau layanan
yang ingin disampaikan oleh proyek yang siap untuk di gunakan, di mana fokus
proyek berpindah dari mempersiapkan penempatan untuk secara aktif
mengoperasikan dan memelihara sistem dengan cara yang terus-menerus memenuhi
kebutuhan pengguna. Suatu sistem dalam tahap pemanfaatan biasanya digunakan
pada audit operasional rutin untuk mengevaluasi efisiensi dan efektivitas
sistem yang sedang berlangsung dan proses bisnis yang didukungnya. Organisasi
juga dapat melakukan berbagai audit khusus IT yang membahas sistem secara
keseluruhan atau komponen-komponennya. Sebaliknya, audit proyek IT dalam fase
pemanfaatan fokus pada memverifikasi bahwa sistem ketika digunakan akan
memberikan fungsionalitas yang dimaksud dan memenuhi persyaratan teknis dan
standar yang berlaku, mengandalkan bukti yang didokumentasikan seperti hasil
pengujian, penilaian kontrol, dan persetujuan dari personel yang berwenang.
dalam organisasi. Audit proyek pada fase ini juga berusaha untuk memastikan
bahwa sumber daya yang ditentukan dan disediakan untuk sistem operasional sudah
benar dan memadai.
Bantuan
Untuk sistem operasional, dukungan terdiri atas
pemantauan, administrasi teknis, pemecahan masalah dan penyelesaian masalah,
dan kegiatan pemeliharaan rutin seperti backup, konfigurasi control, patch
management, dan upgrade dan pelepasan manajemen untuk perangkat lunak atau
komponen teknis lainnya. Bergantung pada kebijakan, prosedur, dan standar
organisasi, dukungan dapat juga mencakup kegiatan manajemen keamanan informasi
seperti analisis kerentanan, verifikasi otomatis atau manual terhadap
pengaturan konfigurasi, serta informasi keamanan dan manajemen peristiwa. Fase
dukungan dari proyek IT biasanya berjalan sejajar dengan pemanfaatan; Fase-fase
serupa dengan dukungan dalam berbagai metodologi SDLC disebut pemeliharaan,
dengan kombinasi pemanfaatan dan dukungan yang dikenal secara kolektif sebagai
operasi dan pemeliharaan. Kemampuan dukungan teknis suatu organisasi memiliki
dampak langsung pada efektivitas operasional sistemnya, jadi meskipun kegiatan
fase dukungan-dukungan dapat diaudit dalam isolasi, cakupan audit pada fase
pemanfaatan sering kali mencakup fungsi dukungan.
Pensiun
Proyek menurut definisi memiliki titik akhir
yang terdefinisi dengan baik, biasanya bertepatan dengan keputusan organisasi
untuk menonaktifkan atau mengganti sistem atau layanan. Fase pensiun dari
siklus hidup proyek melibatkan kegiatan yang diperlukan untuk menghilangkan
kemampuan operasional dan untuk memastikan disposisi peralatan, perangkat keras
dan perangkat lunak, data, dan sumber daya lainnya yang sebelumnya dialokasikan
untuk mengoperasikan dan mendukung system proyek baru. Prioritas utama untuk
fase pensiun selaras langsung dengan bidang-bidang yang ditekankan untuk audit
proyek-proyek IT yang mencapai fase akhir ini: membuang atau menggunakan
kembali aset teknologi, melepaskan sumber daya yang berkomitmen pada sistem
sehingga dapat diterapkan di tempat lain dalam organisasi yang baru dan
membersihkan media penyimpanan yang tetap dan dapat dilepas untuk memastikan
bahwa tidak ada data yang tersisa pada komponen yang dinonaktifkan. Auditor IT
yang memeriksa proyek dalam fase pensiun mencari dokumentasi menyeluruh yang
merinci disposisi sumber daya proyek dan aset IT dan untuk persetujuan resmi
atas dokumentasi tersebut yang biasanya merupakan prasyaratan untuk secara
resmi menutup proyek.
NAMA
: AGENG BAGUS PRATOMO
NPM :
10116294
KELAS :
4KA34