Transcript
Ahmad Yusuf benefit realisation other Framework
COBIT, VAL IT, Risk IT, BMIS, ITAF
result
new ISACA guidancematerial
risk optimisation resource optimisation
stakeholder driver
combine
5G cascade enterprise goal IT-related goal
principles,policies & framework
3. apply a single integrited framework
processes
enabler goal
1. meting stakeholder need
org structure culture,ethic,behav
stakeholder needs
def relevant tangible goal Benefit
filter the konowledge based on cobit ident & comm how enablers are important
enterprise enablers
diferrent firm diferrent goal
information
!!!
service,infrastruktur
4. enabling a holistic care
COBIT 5 FRAMEWORK
not distinguish size framework Gov enablers principle
people skill & competency
2. Covering enterprise end to end
enterprise Gov Scope
enablers dimention
entity role, activity & relationship
stakeholder goals life cycle good practise
5. separating governance & management Governance Management
Auditing and internal control Computer assisted Audit tools and techniques Auditing IT Governance Control Data structure CAATTs for data extraction Security Part 1: Auditing Operating systems and networks
Auditing the revenue cycle
IT AUDITING security II: Auditing Database System
System development and program change activities
Transaction processing and financial reporting systems overview
Auditing the expenditure cycle
Enterprise resource planning systems
Business ethics, fraud, and fraud detection
Bab 1. Audit dan Pengendalian Internal jasa atestasi opini
memastiakn keandalan & keakuratan informasi akuntansi
CPA independen dari KAP tujuan
Tinjauan auditing
preventif
aktivitas
meningkatkan efisiensi &efektifitasstandar audit operasional
Pengendalian internal
audit fraud
pekerjaan lapangan
sesuai PABU
pelaporan
investigasi anomali dan mencari bukti
id tidak diterapkan pabu id pengungkapan yg kurang opini
COSO
Auditing and Pengendalian internal
Fisik inf & komunikasi
komponen audit keuangan
proses sistematis keberadaan/keterjadian kelengkapan
monitoring sblm ada SOX aud eks tdk wjb menguji IC
pemahaman IC bukti cukup
membantu auditor eksternal
auditor eksternal vs internal
lingkungan
IT
advisory
audit internal
pengkuran
pengend aplikasi
jasa atestasi vs jasa advisory
PDC
korektif
pengend umum
rencana
atestasi
mengukur kepatuhan manj pd SOP/kebij
detektif
umum
mengikuti standar
meningkatkan efisiensi & operasi manaj
struktur org,nilai etika,integritas,budaya
7an: keyakinan memadai
audit eksternal
menjaga aset
asersi manajemen vs tujuan audit
dampak SOX thd audit
hak & kewajiban penilaian & alokasi penyajian & pengungkapan
review kebijakan, praktik &struktur reviu pengendalian umum dan aplikasi
mendapatkan bukti materialitas
perencanaan
mengkomunikasikan hasil
perencanaan Toc dan St komponen risiko audit
pelaksanaan TOC evaluasi hasil
TOC
struktur audit IT
Audit IT
risiko inheren
Risiko audit
menentukan tingk keandalan control
evaluasi peny lap audit
model audit risiko
perantara auditor internal dan eksternal
pelaksanaan ST
sebelum SOX-dipekerjalan manajemen stelah SOX-dipekerjakan komite audit
risiko deteksi
Peran komite audit
TOC vs SToT
Title/Company Date/Description
Company/Title
Bab II. Audit atas pengendalian tata kelola IT
struktur org fungsi IT vendor wan prestasi Tata kelola IT eksplitasi vendor biaya melebihi manfaat
pengelolaan tata kelola IT
computer center operation disaster recovery planning semua layanan IT(database, input, pengembangan sistem,dll) dipegang fungsi IT Pemrosesan pisahkan hak otorisasi dari yg melakukan proses data terpusat
Risiko bawaannya
keamanan berkurang Outsorcing fungsi IT no sinkron dgn sasaran strategi perusahaan
Pemisahan tugas IT yg tidak boleh disatukan
Aud internal harus mengetahuiefektifitas IC vendor dgn cara memperdpt lap audit atas vendor
pisahkan tugas pencatat jurnal, sub ledger dan general jurnal
dampak thd audit
terpusat
lokasi fisik-konstruksi-akses pegawai-AC-pencegah kebakaran alternatif
yg harus diperhatikan
UPS
terdistribusi
fault tolerance
Mencegah kehilangan data
pisahkan tugas pencatan dari tugas menjaga aset
fungsi IT seperti database sistem, pengembangan sistem dan pemrosesan masih terpusat tp users bisa menginput distribusi semua fungsi IT nya ke users
biaya rendah (data diinput sendiri oleh user) mengev pengelolaan keamanan computer center pengendalian keamanan fisik cukup memadai
meningkatkan pengendalian biaya(user menentukan sumberdaya IY yg dibutuhkan)
keuntungan
tujuan audit
meningkatkan kepuasaan users
Computer center cek apakah ada asuransi
mudah dilakukan backup uji konstruksi fisik uji sistem deteksi kebakaran uji pengendalian akses
prosedur audit
AUDIT ATAS PENGENDALIAN TATA KELOLA IT
Struktur Org fungsi IT
ketidakefisienan penggunaan sumberdaya
model terdistribusi
jejak audit risiko rusak risiko
pemisahan tugas yg kurang baik
uji RAID kurangnya kualitas SDM yg menggunakan uji UPS kurangnya standardisasi (user boleh mengembangkan sistem) kebakaran,banjir,tornado
natural
sabotase, error
manusia
power outage - drive failure - OS crash
membentuk fungsi IT yg membantu pelaksanaan IT bagi user (guidance) jenis
pengendalian lingkungan DDP
fungsi IT sbg pengujian terpusat atas software dan hardware yg akan digunakan
kegagalan sistem seleksi pegawai yg akan menjadi users oleh fungsi IT
ident aplikasi penting tujuan audit atas struktur fungsi IT pembentukan tim pemulihan bencana
memverifikasi bahwa telah dilakukan pemisahan tugas
must do reviu dokumen terkait( struktur org, jobdesk) Disaster Recovery planning
penyediaan lokasi back up
Prosedur audit ver disaster rec plan nya cukup memadai
reviu dokumen sistem dan catatan pemeliharaan
7an audit verifikasi bahwa operator tidak memiliki akses untuk mengubah sistem
eval lokasi back up periksa daftar aplikasi yg penting ver backup software eval backupdata evaluasi tim disaster rec
prosedur audit
Bab III: Keamanan bag 1 : Audit Atas OS dan Jaringan Tujuan audit OS
apakah OS terlindungi dari kerusakan yang ditimbulkan pengguna dan lingkungannnya Prosedur Log on Sistem akses dengan token
Penyalahgunaan hak akses database perusahaan diubah pegawai
Keamanan OS risiko Intranet
Daftar pengendalian akses Discrecionary acces privileges (pd DDP user dapat memberi hak tertantu bagi user lainnya
IP spoofing (ganti Ip lalu ngehack) Denial of service attack (mencgah web server u melayani pengguna resminya)
Penyalahgunaan hak akses Ancaman terhadap integritas Risiko internet
Virus
Audit atas OS
Network failure (kegagalan hardware/software/kabel)
Digital signature
Verivikasi bahwa akses diberikan sesuai kebijakan org
tujuan audit
Firewall Enkripsi data
Hacking
Audit atas jaringan Mengelola risiko dan ancaman subversif
Bab 3. Keamanan bag 1 Audit Atas OS dan Jaringan
Akses
Riview kebijakan org Prosedur audit
Reusaable password : pasw email Jenis audit one time password : token
Digital certificate Memverifikasi bahwa pengendalian atas jaringan memberikan keamanan dan integritas transaksi keuangan
riview daftar pengendalian akses
Tujuan audit Password
Verifikasi bahwa untuk mengakses butuh password
Pengujian audit atas OS
Reviu ketersediaan firewall Reviu prosedur kemanan melalui data enkripsi
memastikan bahwa org memiliki kebij efektif dan memadai terkait password untuk mengendalikan akses ke OS
7-an
Reviu prosedur pengendalian password bahwa password harus diganti berkala
prosedur Prosedur
Reviu message transaction logs
Reviu file passworduntuk mengecek kekuatan pasword (panjang, angka huruf) Reviu kebij lock out setelah gagal memasukkan password ber-x
7-an
Memverifikasi bahwa kebijakan dan prosedur manajemen sudah efektif u mencegah virus wawancara pegawai mengenai pemahaman merekan akan virus
Virus Prosedur
ver bahwa software baru sudah di tes di komp lain sebelm diinstal Ver bahwa software abtivirus memutakhirkan
Bab IV : Audit atas sistem DB Pendekatan manajemen Data
Flat file
Penyusnan data 2 dimensi dalam kolom2 dan baris2
Database
Kumpulan inf yg disimpan dalam komputer secara sistematik sehingga dapat diperiksa menggunakan suatu program komputer unt memperolh inf dari baris tersebut Definisi
Perangkat lunak yg digunakan untuk mengelola dan memanggil query basis data Pengembangan program
Fitur Database management system
Backup dan recovery pelaporan penggunaan database
datbase definition language Database manipulation language
Elemen kunci dari lingkungan database
bahasa pemrograman u mendefinisikan database u DBMS
bahasa pemrograman u mengambil, mengolah, dan menyimpan data
Bertanggungjawab menangani database Administrator database
DB Planning DB design Tugas
DB implementation, operation, maintenance DB growth and change
Kemanan Bag II: Audit atas sistem Database
database fisik
Operasi pemrosesan file
retrieve,insert, update,read, find,scan,delete
Tujuan audit
Memverifikasibahwa hak akses terhadap DB diberikan sesuai kebijakan
verify appropriate acces authority Pengendalian akses
evaluasi biometrik control Verivy inference control Prosedur
Audit atas Mangements system
verivy encription controls Sub Topic
verivy backup controls verivy offsite storage Tujuan Pengendalian backup
Memverifikasi bahwa pengendalian atas data cukup untuk menjaga integritas dan kemanan fisik atas Db periksa apakah backup dilakukan secara rutin
Prosedur
periksa pakah ada prosedur backup otomatis yg berjalan dengan baik dan hasilnya salinannya disimpan di lkasi lain untuk meningkatkan kemanan
