konsep manajemen risiko ti - …openstorage.gunadarma.ac.id/handouts/s1_akuntansi/audit lanjut...©...
TRANSCRIPT
Konsep Manajemen Risiko TI
© 2010 – CHANDRA YULISTIA, CISA 2
Definisi Risiko
Risk is anything that may affect the ability of organisation to achieve
its objectives.
Covering
Down-side risk
Risk of loss - Bad things are happening
Risk of uncertainty - Things are not occurring as expected
Up-side Risk
Risk of lost of opportunity - Good things are not happening
Inherent Risk
Residual Risk
Acceptable Risk
© 2010 – CHANDRA YULISTIA, CISA 3
Manajemen Risiko
© 2010 – CHANDRA YULISTIA, CISA 4
Manajemen Risiko
The Committee of Sponsoring Organizations
of the Treadway Commissions (COSO) –
Enterprise Risk Management
Klasifikasi Risiko:
Strategis
Operasional ie. IT Risk
Pelaporan
Kepatuhan
© 2010 – CHANDRA YULISTIA, CISA 5
Manajemen Risiko TI
Tahap 2: Mengidentifikasi Risiko
Sumber Risiko
Risiko
Risiko
Risiko
Risiko
Risiko
© 2010 – CHANDRA YULISTIA, CISA 6
Manajemen Risiko TI
Tahap 3: Pengukuran/Penilaian Risiko
Likelihood
Impact/Consequence
© 2010 – CHANDRA YULISTIA, CISA 7
Manajemen Risiko TI
Risk = Likelihood X Impact (Consequences)
© 2010 – CHANDRA YULISTIA, CISA 8
Manajemen Risiko TI
Metode Semi Kuantitatif:
Metode Kuantitatif:
Kemungkinan Terjadi X Potensi Kerugian
© 2010 – CHANDRA YULISTIA, CISA 9
Manajemen Risiko TI
Tahap 4: Menentukan Opsi Perlakuan Risiko
Terima (accept)
Monitor
Hindari (avoid)
Hilangkan (get out of situation)
Kurangi (mitigate)
Implementasikan pengendalian (controls)
Bagi/Alihkan
Bermitra dengan pihak lain (e.g.insurance)
© 2010 – CHANDRA YULISTIA, CISA 10
Manajemen Risiko TI
Tahap 5: Monitoring
Tujuan:
Memantau apakah tingkat risiko yang dapat diterima terpenuhi
Menentukan apakah diperlukan tindakan korektif lanjutan
Menentukan apakah mungkin dilakukan penghapusan risiko
Menentukan apakah terdapat risiko-risiko baru
Teknik-teknik Monitoring:
Proses manajemen risiko diterapkan secara terpadu
Kajian secara teratur oleh tim manajemen risiko
Audit oleh audit intern
Audit atas
Pengendalian Umum TI
© 2010 – CHANDRA YULISTIA, CISA 12
Pengendalian TI
Operation Management
Application System Control
IS Management
System Development Management
Programming Management
Data Management
Quality Assurance Management
Security Management
Top Management
© 2010 – CHANDRA YULISTIA, CISA 13
Audit atas Pengendalian Umum TI
Audit atas pengendalian umum TI pada dasarnya merupakan audit atas 3 (tiga) aspek,
yaitu:
Audit atas Perencanaan & Organisasi TI
Audit atas Manajemen Puncak
Audit atas Manajemen Sistem Informasi
Audit atas Pengembangan & Implementasi TI
Audit atas Manajemen Pengembangan Sistem
Audit atas Manajemen Pemrograman
Audit atas Manajemen Data
Audit atas Operasi & Layanan TI
Audit atas Manajemen Kualitas
Audit atas Manajemen Operasi
Audit atas Manajemen Keamanan
Audit atas
Perencanaan dan Organisasi TI
© 2010 – CHANDRA YULISTIA, CISA 15
Audit atas Perencanaan & Organisasi TI
Perencanaan
Aktivitas
Kenali peluang dan permasalahan TI
Identifikasi sumber daya yang dibutuhkan
Susun strategi untuk memperoleh sumber daya yang dibutuhkan
Jenis-jenis Rencana
Rencana Stratejik TI
Rencana Operasional TI
Komite TI
IT Strategic Committee
IT Steering Committee
IT Security Committee
© 2010 – CHANDRA YULISTIA, CISA 16
Audit atas Perencanaan & Organisasi TI
Pengorganisasian & Staffing
Struktur organisasi
Resourcing
Hardware
Software
Personil
Infrastruktur
Staffing
Rekruitment
Pengembangan
Pemberhentian
Sentralisasi vs Desentralisasi
Development
System Analyst
Application Programmer
Systems Programmer
Quality Assurance
Operator:
Computer Operator
Librarian
Data Entry
Administrator:
Data Administrator
Database Administrator
Security Administrator
Network Administrator
© 2010 – CHANDRA YULISTIA, CISA 17
Audit atas Perencanaan & Organisasi TI
Organisasi
Dewan Komisaris
Komisaris Utama
Komisaris Indenpenden
Dewan Direksi
Direktur yang membawahi SKMR
Direktur yang membawahi SKTSI
Direksi yang membawahi Pemilik/Pengguna TSI
Satuan Kerja Manajemen Risiko
Manajemen Risiko Operasional / TSI
Pejabat Keamanan Informasi (Information Security Officer)
Satuan Kerja Teknologi Sistem Informasi
Bidang Perencanaan & Organisasi TSI
Bidang Pengembangan & Implementasi TSI
Bidang Operasional Layanan & Dukungan TSI
Bidang Pengawasan & Evaluasi TSI
Satuan Kerja Lainnya
Satuan Kerja Pemilik Aplikasi TSI
Satuan Kerja Pengguna Aplikasi TSI
Komite Pengarah TSI
(Lintas Organisasi)
Komite Pengarah TSI terdiri dari :
Anggota Tetap
1. Direktur yang membawahi SKTSI;
2. Direktur yang membawahi SKMR;
3. Pimpinan Satuan Kerja TSI;
4. Pimpinan Satuan Kerja MR;
5. Perwakilan dari Satuan Kerja Pemilik Aplikasi TSI.
Anggota Tidak Tetap
Perwakilan dari Satuan Kerja Pengguna Aplikasi TSI.
Anggota Pengamat
Perwakilan dari Satuan Kerja Audit Intern.
Audit atas
Pengembangan dan Implementasi TI
© 2010 – CHANDRA YULISTIA, CISA 19
Studi
Kelayakan
Definisi
Kebutuhan
Perancangan
Sistem
Pemrograman
Pembuatan
Dokumen
Uji
Penerimaan
Konversi
Operasi &
Pemeliharaan
Perencanaan
Analisa
Perancangan
Pengembangan
Implementasi
Audit atas Manajemen Pengembangan Sistem
© 2010 – CHANDRA YULISTIA, CISA 20
Perencanaan
Studi kelayakan
Technical
Operational
Economic
Behavioral Operasional
Ekonomi
Perilaku
Proses Pengembangan Sistem
Teknologi
Berhenti Mulai
Operasional
Ekonomi
Perilaku
Proses Pengembangan Sistem
Teknologi
Berhenti Mulai
Audit atas Manajemen Pengembangan Sistem
© 2010 – CHANDRA YULISTIA, CISA 21
Audit atas Manajemen Pengembangan Sistem
Perencanaan
Development
In-house
Outsourcing
Acquisition
Off-the-shelf
Canned
Application Service Provider/ASP
Analisa
Definisi Kebutuhan Pengguna
© 2010 – CHANDRA YULISTIA, CISA 22
Perancangan
Desain sistem
Rancangan pemrosesan
Rancangan alur data dan informasi
Rancangan database
Rancangan tampilan antara muka
Rancangan logikal & phisikal
Rancangan platform
Desain Request for Proposal (RFP) dan metode penilaian
Undangan kepada vendor
Seleksi vendor
Audit atas Manajemen Pengembangan Sistem
© 2010 – CHANDRA YULISTIA, CISA 23
Pengembangan
Pemrograman
Coding & Compiling
Aktivitas
– Membagi modul kepada para programmer
– Mengkoordinasikan kegiatan pemrograman
– Mengatur jadwal pemrograman.
Pengendalian Area
– Area pengembangan (development area)
– Area pengujian (testing area)
– Area produksi (production area).
Audit atas Manajemen Pengembangan Sistem
© 2010 – CHANDRA YULISTIA, CISA 24
Pengembangan
Pemrograman
Coding
Compiling
Pembuatan dokumen
Dokumentasi sistem
– Memahami sistem dan memudahkan pemeliharaan sistem
Dokumentasi pengguna
– Membantu pengguna dalam mengoperasikan sistem
» Manual pengguna (user manual)
» Manual pelatihan (training manual)
» On-line help system
Audit atas Manajemen Pengembangan Sistem
© 2010 – CHANDRA YULISTIA, CISA 25
Audit atas Manajemen Pengembangan Sistem
Pengembangan
Pengujian Pengembangan (Development Testing)
Pengujian Unit (Unit Testing)
– Black Box Testing
– White Box Testing
Pengujian Integrasi (Integration Testing)/Link Testing
– Kesalahan interface antar program
– Ketidaksesuaian dengan spesifikasi
– Tidak ada fungsi yang tidak dispesifikasikan yang bekerja
© 2010 – CHANDRA YULISTIA, CISA 26
Audit atas Manajemen Pengembangan Sistem
Pengembangan
Pengujian Operasional (Operational Testing)
Pengujian Sistem (System Testing)
– Requirement testing
– Usability testing
– Security testing
Pengujian Kinerja (Performance Testing)
– Response time testing (average; minimum)
– Volume testing/reliability testing/stress testing
Pengujian Dokumentasi (Documentation Testing)
Pengujian Penerimaan (Acceptance Testing)
– Alpha; Beta
© 2010 – CHANDRA YULISTIA, CISA 27
Implementasi
Migrasi dan Konversi
Instalasi Hardware
Instalasi Software
Konversi Data
Operasi dan pemeliharaan
Corrective
– kekeliruan logik
Adaptive
– perubahan dalam lingkungan sistem dan pengguna
Perfective
– meningkatkan kinerja
Audit atas Manajemen Pengembangan Sistem
© 2010 – CHANDRA YULISTIA, CISA 28
Jenis Konversi Lokasi Konversi Modul Konversi
Karak
teristik Langsung Paralel Pilot Bertahap Simultan Seluruh Sistem
Modular
Resiko Tinggi Rendah Rendah Sedang Tinggi Tinggi Sedang
Biaya Rendah Tinggi Sedang Sedang Tinggi Sedang Tinggi
Waktu Pendek Panjang Sedang Panjang Pendek Pendek Panjang
Audit atas Manajemen Pengembangan Sistem
© 2010 – CHANDRA YULISTIA, CISA 29
Pendekatan Audit
Concurrent Audit
Post Implementation Review
General Audit
Audit atas Manajemen Pengembangan Sistem
© 2010 – CHANDRA YULISTIA, CISA 30
Audit atas Manajemen Pemrograman
Planning
Teknik estimasi biaya
Algorithmic Models
Expert Judgment
Analogy
Top-down Estimation
Bottom-up Estimation
Design
Pendekatan desain berdasarkan bahasa pemrograman
Coding
Tahapan Coding
Strategi Coding
Testing
Tahapan Pengujian
Jenis Pengujian
Static Analysis Test
– Desk Checking
– Structured Walk-Through
– Design & Code Inspections
Dynamic Analytic Test
– Black Box Testing
– White Box Testing
Operation & Maintenance
Pemantauan kinerja
Metode Pemeliharaan
PLANNING
DESIGN
CODING
TESTING
OPERATION
&
MAINTENANCE
CO
NT
RO
LS
HIGH-QUALITY PROGRAMS
© 2010 – CHANDRA YULISTIA, CISA 31
Audit atas Manajemen Pemrograman
Kriteria Program
Fungsionalitas
Interface pengguna
Efektif
Dokumentasi
Pemeliharaan
Reliabilitas
© 2010 – CHANDRA YULISTIA, CISA 32
Audit atas Manajemen Pemrograman
Pengendalian Pemrograman
Kapabilitas programer
Pemisahan fungsi
Standar metode, kinerja dan dokumentasi
Batasi kewenangan
Sediakan log manual dan machine log
Reviu independen oleh konsultan atau uji silang secara berkala
© 2010 – CHANDRA YULISTIA, CISA 33
Audit atas Manajemen Pemrograman
Alat Bantu Pengendalian
Progress report & time table
Gantt Charts
PERT
Pengendalian akses untuk menjamin autentikasi,
akurasi dan kelengkapan
Program Library Software
PLANNING
DESIGN
CODING
TESTING
OPERATION
&
MAINTENANCE
CO
NT
RO
LS
HIGH-QUALITY PROGRAMS
© 2010 – CHANDRA YULISTIA, CISA 34
Audit atas Manajemen Data
Pentingnya Manajemen Data
Sharability
Setiap pengguna berhak mengakses dan menggunakan data
yang sama
Availability
Setiap pengguna dapat mengakses dan menggunakan data
pada setiap saat, dimanapun dan dalam form yang mereka
inginkan
Evolvalibity
Data dan definisi data dapat dimodifikasi untuk merespon
kebutuhan stakeholder
Integrity
Data harus otentik, akurat dan lengkap
Sharing
Sumber daya
Konflik antar
Pengguna
Perlu
Dilakukan
Mediasi
Kompromi
© 2010 – CHANDRA YULISTIA, CISA 35
Data Administrator (DA) & Database Administrator (DBA)
Fungsi Tanggung Jawab DA Tanggung Jawab DBA
Defining Data Strategic data planning; determining
user needs; specifying conceptual &
external schema (user-oriented)
definition
Specifying internal schema (computer -
oriented) definition
Creating Data Specifying data collection procedures
and validation & editing criteria
Preparing programs to create data;
assistance in populating database
Redefining /
Restructuring Data
Specifying new conceptual & external
schema definition; advising user to
conform with new definition
Specifying new internal schema
definition; altering database to conform
with new schema
Retiring Data Specifying retirement policies Implementing retirement schema
Making Database
Available to Users
Determining end-user requirement for
database tools, testing & evaluating
end-user database tools
Determining programmer requirement
for database tools; determining database
optimization tools; testing & evaluating
programmer & database optimization
tools.
Audit atas Manajemen Data
© 2010 – CHANDRA YULISTIA, CISA 36
Fungsi Tanggung Jawab DA Tanggung Jawab DBA
Informing & Servicing
User
Answering end-user queries;
educating end-user; establishing &
promulgating high-level policy
information; providing conceptual &
external schema information
Answering programmer queries;
educating programmers; establishing
& promulgating low-level policy
information; providing internal
schema information
Maintaining Database
Integrity
Developing and promulgating
organization-wide standards;
assisting end-user to formulate
application controls
Implementing database controls;
assisting programmers to design &
implement application controls
Monitoring Operations Monitoring end-user patterns of
database use
Monitoring programmer patterns of
database use; collecting performance
statistic; tuning the database
Data Administrator (DA) & Database Administrator (DBA)
Audit atas Manajemen Data
© 2010 – CHANDRA YULISTIA, CISA 37
Database Definition – Schemas & Mapping
External
Schema 1
External
Schema 2
External
Schema 3
Conceptual
Schema
Internal
Schema
Stored
Database
Individual user view
of the database
Total logical view
of the database
Total storage structure
of the database
Instances of the
database definition
Audit atas Manajemen Data
© 2010 – CHANDRA YULISTIA, CISA 38
External Schema
Conceptual Schema
Internal Schema
Person
(empno) has
Dept.
(depno)
paid
to Salary
belongs
to has
Person
(empno)
10 character
Dept.
(depno)
6 character
Salary
12 numeric
Person
(empno)
has belongs
to
Dept.
(depno)
paid
to has
Person
(empno) Salary
Audit atas Manajemen Data
© 2010 – CHANDRA YULISTIA, CISA 39
Pengendalian atas integritas database:
o Pengendalian definisi
o Pengendalian eksistensi
o Pengendalian akses
o Pengendalian update
o Pengendalian concurrency
o Pengendalian kualitas
Audit atas Manajemen Data
Audit atas
Operasi dan Layanan TI
© 2010 – CHANDRA YULISTIA, CISA 41
Mengapa Perlu Quality Assurance ?
Safety-critical systems
Tuntutan untuk perangkat lunak yang berkualitas tinggi
Kelangsungan perusahaan yang bergerak di bidang pengembangan
perangkat lunak
Tingginya biaya akibat tidak memadainya kelemahan pengendalian atas
produksi, implementasi, operasi dan pemeliharaan perangkat lunak
Tren yang diterima luas di dunia dalam peningkatan kualitas jasa dan
produk yang dijual
Audit atas Manajemen Kualitas
© 2010 – CHANDRA YULISTIA, CISA 42
Fungsi Quality Assurance
Menetapkan sasaran kualitas bagi fungsi sistem informasi
Mengembangkan, menyebarluaskan, dan memelihara standar
kualitas sistem informasi
Memonitor pemenuhan terhadap standar kualitas sistem
informasi
Memberikan pelatihan kepada personil sistem informasi
Audit atas Manajemen Kualitas
© 2010 – CHANDRA YULISTIA, CISA 43
Karakteristik Kualitas Software – ISO 9126
Karakteristik Uraian
Functionality Extent to which the software contains the functions needed
to satisfy user needs
Reliability Extent to which the software sustains its level of
performance under stated conditions for some defined time
period
Usability Level of effort needed for user to exploit the functionality of
the software
Efficiency Level of resources consumed by the software to perform its
functions
Maintainability Level of effort needed to modify the software
Portability Extent to which software can be transferred from one
hardware/software platform to another
Audit atas Manajemen Kualitas
© 2010 – CHANDRA YULISTIA, CISA 44
Proses Pengembangan Standar
Best
Practices
National
Standards
International
Standards
Organization-wide
Information System
Standards
Project-based
Information System
Standards
Capability Maturity Model (CMM)
Level 1 - Initial
Level 2 - Repeatable
Level 3 - Defined
Level 4 - Managed
Level 5 - Optimized
• Unstable software
environment
• Reliance on key
personnel
• Basic project mgmt
controls
• Disciplined process
• Documented
processes
• Processes tailored to
specific project
• Quantitative quality
goals
• Quality and
productivity measured
• Continuous process
improvement
• Best practice pursued
Audit atas Manajemen Kualitas
© 2010 – CHANDRA YULISTIA, CISA 45
Computer Operation Controls
Operation Controls
Menentukan fungsi yang harus dilakukan oleh operator dan otomasi
Scheduling Controls
Menentukan urutan dan jadual pekerjaan dalam platform hardware atau software
Maintenance Controls
Menentukan bagaimana hardware dipelihara dalam urutan operasi
Network Operation Controls
LAN : Physical & Logical Barriers
WAN : Network Control Terminal (NCT)
Audit atas Manajemen Operasi
© 2010 – CHANDRA YULISTIA, CISA 46
LAN Controls
File Server
Physical
Barrier
Workstation
Audit atas Manajemen Operasi
© 2010 – CHANDRA YULISTIA, CISA 47
WAN Controls
N.C.T
Network Control Terminal
Audit atas Manajemen Operasi
© 2010 – CHANDRA YULISTIA, CISA 48
Audit atas Manajemen Operasi
Data Preparation and Entry
Desain dokumen sumber
Penyimpanan dokumen sumber
Desain screen input
Desain area entri data
Pencahayaan pada area keyboard
Akustik pada lingkungan kerja
Layout lingkungan kerja
Desain ergonomik perlengkapan kantor
Production Controls
Penerimaan dan pengiriman input dan output
Kertas & elektronik
Penjadualan kerja
Manual atau otomatis
Kesepakatan tingkat layanan dengan pengguna
Service level, Pinalti
Harga transfer
Billing & collection
Akuisisi perlengkapan komputer
Kertas printer, diskette, tape magnetik, toner cartridges dll
© 2010 – CHANDRA YULISTIA, CISA 49
Audit atas Manajemen Operasi
File Library
Penyimpanan media
Penggunaan media
Pemeliharaan dan penghancuran media
Lokasi media
Documentation and Program Library
Mengelola dokumentasi sistem
Mengelola persediaan perangkat lunak
Help Desk/Technical Support
Inventory, logging, dan reporting
© 2010 – CHANDRA YULISTIA, CISA 50
Audit atas Manajemen Operasi
Capacity Planning and Performance Monitoring
Apakah ada aktivitas yang tidak terotorisasi
Apakah kinerja sistem pada tingkatan yang dapat diterima
Kebutuhan perangkat keras dan perangkat lunak
Management of Outsourced Operations
Evaluasi terus menerus atas kemampuan finansial vendor
Memastikan ketaatan kepada kontrak
Memastikan secara terus menerus pengendalian yang memadai atas operasi
vendor
Memelihara prosedur disaster recovery dengan vendor
© 2010 – CHANDRA YULISTIA, CISA 51
Audit atas Keamanan TI
Aset dinyatakan secure apabila kerugian yang diperkirakan akan terjadi akibat
kemungkinan ancaman dalam batas waktu tertentu masih dalam tingkat yang
dapat diterima
Asset
Physical
Logical Data/Information
Software
System
Application
Personnel
Hardware
Facilities
Documentation
Supplies
Mainframes, minis, micros
Peripherals online/offline
Storage media
© 2010 – CHANDRA YULISTIA, CISA 52
Audit atas Keamanan TI
Implementasi Manajemen Keamanan TI
Prepare
Project
Plan
Identify
Assets
Value
Assets
Identify
Threats
Probability
of threats
Asses
Exposure
Adjust
Controls
Prepare
Security
Report
Objectives
Scope
Tasks
Team
Budget
Schedule
Personnel
Hardware
Facilities
Document
Supplies
Data and
Information
Applications
Software
Systems
Software
Who Values
How Lost
Loss Period
Asset Age
Source
Internal
External
Nature
Accidental
Deliberate
Statistical
History
Estimation :
Managements
Users
IT Functions
Identify current
controls
Asses the
reliability of
controls
Evaluate the
probability that
a threat will
successful
Assess the
resulting loss
Is exposure
level is still
acceptable
Identify new
controls
Controls
Adjustment
© 2010 – CHANDRA YULISTIA, CISA 53
Jenis-jenis Ancaman Keamanan TI
Energy
Variations
Structural
Damage
Water
Damage
Fire
Damage Hacking
Virus &
Worms
Misuse of
Software
Data &
Services
Unauthorized
Intrusion Pollution
Audit atas Keamanan TI
© 2010 – CHANDRA YULISTIA, CISA 54
Mekanisme Pengendalian Akses
User X
User X
User X
Access Control
Mechanism
Access Control
Mechanism
Access Control
Mechanism
Name &
Account
Number
Password ;
Card/Key ;
Biometrics
Resources
Action
Access Control Data
User X
Identification
Data
Authentication
Data
Authorization
Data
Identified
User
Valid / Invalid
User
Permitted /
Denied Actions
Identification Process
Authentication Process
Authorization Process
Audit atas Keamanan TI
© 2010 – CHANDRA YULISTIA, CISA 55
Audit atas Keamanan TI
Disaster Recovery Plan
Emergency Plan
Backup Plan
Cold Site Hanya fasilitas, tanpa hardware & software
Hot Site Semua hardware & software, data, perlengkapan
Warm Site Fasilitas dan sejumlah hardware utama
Reciprocal Pertukaran antara dua atau lebih organisasi
Recovery Plan
Test Plan
Asuransi
© 2010 – CHANDRA YULISTIA, CISA 56
Audit atas Keamanan TI
Komponen Disaster Recovery Plan
Disaster
Recovery
Plan
Emergency Plan
Recovery Plan
Back-up
Plan
Test
Plan