RISIKO DAN PENGENDALIAN TEKNOLOGI INFORMASI

 

RISIKO DAN PENGENDALIAN TEKNOLOGI INFORMASI 

10 Risiko Terbaik Teknologi Navigasi Badan Pengetahuan Umum Audit Internal Global

  1. Keamanan siber
  2. Keamanan Informasi
  3. Proyek Pengembangan Sistem TI
  4. Tata Kelola TI
  5. Layanan TI yang Dialihdayakan
  6. Penggunaan Media Sosial
  7. Komputasi Seluler
  8. Keterampilan TI di antara Auditor Internal
  9. Teknologi yang Muncul
  10. Kesadaran Teknologi Dewan dan Komite Audit

Seperti disebutkan dalam “GTAG: Menilai Risiko Keamanan Siber: Peran Tiga Garis Pertahanan” (bagian dari seri Panduan Audit Teknologi Global [GTAG] IIA), ketiga garis pertahanan memainkan peran penting dalam memantau organisasi dan melindunginya dari potensi risiko keamanan siber. Sebagai garis pertahanan pertama, manajemen memiliki dan mengelola data, proses, risiko, dan kontrol. Untuk keamanan siber, fungsi ini sering berada pada administrator sistem dan pihak lain yang bertanggung jawab untuk menjaga aset organisasi. Lini pertahanan kedua terdiri dari fungsi pengawasan risiko, kontrol, dan kepatuhan yang bertanggung jawab untuk memastikan bahwa proses dan kontrol lini pertama ada dan beroperasi secara efektif. Fungsi-fungsi ini dapat mencakup kelompok yang bertanggung jawab untuk memastikan manajemen risiko yang efektif dan memantau risiko dan ancaman di ruang keamanan siber. Sebagai garis pertahanan ketiga, fungsi audit internal memberikan kepada manajemen senior dan dewan dengan jaminan independen dan objektif tentang tata kelola, manajemen risiko, dan kontrol. Ini termasuk menilai efektivitas keseluruhan dari kegiatan yang dilakukan oleh lini pertahanan pertama dan kedua untuk mengelola dan mengurangi risiko dan ancaman keamanan siber. Contoh spesifik yang terkait dengan tiga garis pertahanan selain pendekatan audit internal termasuk dalam GTAG ini.

Keterampilan TI teratas yang harus dimiliki semua auditor internal meliputi:

  • Analisis data-cara menganalisis data dan menggunakan perangkat lunak audit.
  • Komponen kunci keamanan siber dari keamanan informasi, termasuk terminologi dan risiko utama.
  • Kesinambungan bisnis dan pemulihan bencana-memahami area bisnis yang paling signifikan dan praktik untuk pemulihan.
  • Perubahan manajemen-pengetahuan manajemen proyek dan proses perubahan dan dampak yang sesuai untuk organisasi.
  • Teknologi baru-melek teknologi dengan masalah terkini tentang teknologi yang muncul dan potensi dampaknya terhadap bisnis.

Auditor internal yang bekerja secara ekstensif di bidang sistem informasi terkomputerisasi harus memiliki risiko TI yang mendalam, pengendalian, dan keahlian audit. Auditor semacam itu biasanya disebut sebagai auditor TI atau auditor sistem informasi (SI). Meskipun semua auditor internal tidak perlu memiliki keahlian spesialis audit TI, setidaknya setiap auditor internal harus memiliki pemahaman yang baik tentang konsep dasar TI tertentu.

KOMPONEN UTAMA MODERN SISTEM INFORMASI

Sistem informasi modern bervariasi secara signifikan di antara organisasi dan di luar cakupan buku teks ini untuk mencakup berbagai macam konfigurasi sistem yang ada di dunia bisnis saat ini. Namun, ada komponen kunci umum dari sistem informasi yang perlu dipahami oleh auditor internal. Komponen ini meliputi perangkat keras komputer, jaringan, perangkat lunak komputer, database, informasi, dan orang. Tampilan 7-3 mengilustrasikan konfigurasi sistem informasi sederhana yang akan berfungsi sebagai konteks untuk memberikan contoh komponen kunci seperti :

Perangkat keras komputer. Perangkat keras komputer terdiri dari komponen fisik dari sistem informasi. Perangkat keras meliputi, misalnya, unit pemrosesan pusat (CPU), server, stasiun kerja dan terminal, chip komputer, perangkat input/output seperti pemindai dan printer, printer 3-D, perangkat penyimpanan seperti disk drive, dan perangkat komunikasi seperti modem. , perangkat seluler, dan perute nirkabel.

Contoh: Perangkat keras komputer yang digambarkan dalam pameran 7-3 meliputi telepon pintar, komputer desktop, dua komputer laptop, printer, komputer mainframe, empat server, dan dua firewall. Perangkat tambahan yang tidak diketahui organisasi juga dapat mengakses data dan memperbarui basis data di belakang firewall. Inilah sebabnya mengapa aturan keamanan informasi sangat penting bagi organisasi. Bergantung pada kontrol yang ada dan kekuatan firewall, keamanan siber menjadi lebih signifikan.

Jaringan. Jaringan komputer menghubungkan dua atau lebih komputer atau perangkat sehingga mereka dapat berbagi informasi dan/atau beban kerja. Ada banyak jenis jaringan:

  • Jaringan client-server menghubungkan satu atau lebih komputer klien dengan server, dan pemrosesan informasi dibagi antara klien dan server dalam cara yang mengoptimalkan efisiensi pemrosesan.
  • Jaringan area lokal (LAN) mencakup area yang relatif kecil seperti bangunan atau sekelompok bangunan yang berdekatan.
  • Jaringan area luas (WAN) terdiri dari sistem LAN yang terhubung bersama untuk menjangkau wilayah regional, nasional, atau global.
  • Intranet adalah jaringan pribadi organisasi yang hanya dapat diakses oleh personel organisasi tersebut.
  • Extranet dapat diakses oleh pihak ketiga tertentu seperti pemasok dan/atau pelanggan resmi.
  • Jaringan nilai tambah (VAN) adalah jaringan pihak ketiga yang menghubungkan organisasi dengan mitra dagangnya.
  • Internet (jaringan interkoneksi) adalah publik yang sangat besar dan kompleks sistem jaringan komputer yang memungkinkan pengguna untuk berkomunikasi secara global.
  • Dua perangkat dapat berbagi informasi hanya di antara mereka sendiri tanpa terhubung ke jaringan lain melalui berbagai konvensi elektronik, termasuk jaringan pribadi virtual yang aman, komunikasi jarak dekat (NFC), dan teknologi mashup.

 

Perangkat lunak komputer. Perangkat lunak komputer meliputi perangkat lunak sistem operasi, perangkat lunak utilitas, perangkat lunak sistem manajemen basis data (DBMS), aplikasi perangkat lunak, dan perangkat lunak firewall. Sistem operasi mengontrol input dasar, pemrosesan, dan keluaran komputer dan mengelola interkonektivitas perangkat keras sistem. Perangkat lunak utilitas menambah sistem operasi dengan fungsionalitas seperti enkripsi, pengoptimalan ruang disk, dan perlindungan terhadap virus.

Contoh: Setiap komputer desktop, laptop, perangkat pintar, mainframe, dan server yang digambarkan dalam pameran 7-3 berisi perangkat lunak pengoperasian dan utilitas yang diperlukan agar komputer berfungsi dengan baik dan untuk pertukaran informasi antara komputer dan printer.

Database. Basis data adalah gudang besar data yang biasanya terkandung dalam banyak file yang ditautkan dan disimpan dengan cara yang memungkinkan data mudah diakses, diambil, dan dimanipulasi. Basis data operasi mendukung pemrosesan transaksi sehari-hari dan terus diperbarui saat transaksi diproses. Gudang data adalah kumpulan besar data yang disimpan dari waktu ke waktu untuk mendukung data online analisis dan pengambilan keputusan.

Setiap desktop, komputer laptop, dan perangkat pintar dapat menampung database yang digunakan untuk menyimpan data dalam jumlah yang relatif kecil yang berguna bagi pengguna komputer tersebut. Server database menampung database yang lebih besar yang dirancang untuk menampung volume data yang lebih besar.

Informasi. “Informasi adalah sumber daya utama untuk semua perusahaan, dan sejak informasi dibuat hingga dihancurkan, teknologi memainkan peran penting.” Sistem informasi mengumpulkan dan menyimpan data, mengubah data menjadi informasi yang berguna, dan memberikan informasi tersebut kepada pengambil keputusan internal dan eksternal. Agar informasi bermanfaat, informasi tersebut harus relevan, andal, lengkap, akurat, dan tepat waktu.

Contoh: Setiap desktop, laptop, perangkat pintar, server, dan komputer berisi informasi dalam berbagai jenis file yang berguna bagi pengguna atau pengguna komputer tersebut. Informasi mengalir ke berbagai arah di antara berbagai komputer, dan ke dan dari pihak-pihak di dalam dan di luar organisasi.

Rakyat. Peran sistem informasi tertentu sangat bervariasi dari satu organisasi ke yang lain. Biasanya, peran ini termasuk sebagai chief information officer (CIO), chief information security officer (CISO), administrator database, sistem pengembang sistem, personel pemrosesan informasi, dan pengguna akhir.

Contoh:Orang-orang yang terlibat dalam sistem informasi termasuk pengguna desktop, laptop, dan perangkat pintar, administrator database yang bertanggung jawab untuk mengelola database, individu yang bertanggung jawab untuk mengelola dan mengoperasikan berbagai server dan firewall, serta aplikasi pemrogram yang membangun dan menguji perangkat lunak aplikasi. NS perangkat lunak aplikasi mungkin telah dibuat sendiri atau dibeli dari vendor perangkat lunak.

PELUANG DAN RISIKO TI

Peluang dan risiko yang muncul dalam suatu organisasi karena TI mewakili sebagian besar peluang dan risiko yang perlu dipahami dan dikelola oleh organisasi secara efektif.

Peluang yang Diaktifkan oleh TI : Sistem ERP. Sistem ERP adalah sistem perangkat lunak modular yang memungkinkan organisasi untuk mengintegrasikan proses bisnis mereka menggunakan database operasi tunggal. EDI. EDI melibatkan pertukaran dokumen bisnis antar komputer dalam bentuk elektronik antara organisasi dan mitra dagangnya.

Risiko TI :

  • Perangkat keras komputer rentan terhadap pemadaman listrik yang mengganggu pemrosesan transaksi. Risiko lain yang lebih maju dan sulit dideteksi termasuk membeli perangkat keras yang sudah terinfeksi malware.
  • Jaringan mengirimkan informasi yang mungkin disadap dan dicuri atau disalahgunakan.
  • Perangkat lunak komputer yang diprogram secara tidak akurat dapat menghasilkan informasi yang tidak valid, tidak lengkap, dan/atau tidak akurat. Perangkat lunak yang dirancang dengan buruk meningkatkan risiko yang tidak efisien, kinerja, atau kapasitas.
  • Basis data dapat disusupi untuk tujuan menyalahgunakan atau menyalahgunakan informasi. Terlalu banyak database atau kurangnya kontrol versi database yang kuat dapat meningkatkan risiko duplikasi data dan meningkatkan biaya pemrosesan.
  • Informasi yang tidak valid, tidak lengkap, dan/atau tidak akurat dapat mengakibatkan keputusan yang buruk. (Risiko bahwa informasi yang buruk akan menghasilkan keputusan yang buruk secara umum disebut sebagai risiko informasi.)
  • Seseorang dapat melakukan tugas TI yang tidak sesuai dan dengan demikian berada dalam posisi untuk melakukan dan menyembunyikan kesalahan atau penipuan 

namun, ada beberapa jenis risiko TI yang cenderung umum di seluruh organisasi dan industri:

Risiko seleksi. Pemilihan solusi TI yang tidak selaras dengan tujuan strategis dapat menghalangi pelaksanaan strategi yang bergantung pada TI. , pemilihan solusi TI yang tidak cukup fleksibel dan/atau terukur dapat mengakibatkan ketidaksesuaian antara solusi TI dan sistem organisasi yang ada dan/atau menghambat perubahan dan pertumbuhan organisasi di masa depan.

Risiko pengembangan/akuisisi dan penerapan. Masalah yang dihadapi saat solusi TI sedang dikembangkan/diperoleh dan disebarkan dapat menyebabkan penundaan yang tidak terduga, pembengkakan biaya, atau bahkan pengabaian proyek.

Risiko ketersediaan.Tidak tersedianya sistem saat dibutuhkan dapat menyebabkan keterlambatan dalam pengambilan keputusan, gangguan bisnis, kehilangan pendapatan, dan ketidakpuasan pelanggan.

Risiko perangkat keras/perangkat lunak. Kegagalan perangkat keras/perangkat lunak untuk bekerja dengan benar dapat menyebabkan gangguan bisnis, kerusakan sementara atau permanen pada atau penghancuran data, dan biaya perbaikan atau penggantian perangkat keras/lunak.

Risiko akses. Akses fisik atau logis yang tidak sah ke sistem dapat mengakibatkan pencurian atau penyalahgunaan perangkat keras, modifikasi perangkat lunak berbahaya, dan pencurian, penyalahgunaan, atau perusakan data.

Keandalan sistem dan risiko integritas informasi. Kesalahan sistematis atau inkonsistensi dalam pemrosesan dapat menghasilkan informasi yang tidak relevan, tidak lengkap, tidak akurat, dan/atau tidak tepat waktu

Risiko kerahasiaan dan privasi. Pengungkapan yang tidak sah atas informasi hak milik mitra bisnis atau informasi pribadi individu dapat mengakibatkan hilangnya bisnis, tuntutan hukum, pers negatif, dan penurunan reputasi.

Risiko penipuan dan tindakan jahat. Pencurian sumber daya TI, penyalahgunaan sumber daya TI yang disengaja, atau distorsi atau perusakan informasi yang disengaja dapat mengakibatkan kerugian finansial dan/atau salah saji informasi yang diandalkan oleh pembuat keputusan. Penyebab risiko penipuan dan tindakan jahat termasuk, misalnya, karyawan yang tidak puas dan peretas yang bermaksud merugikan organisasi untuk keuntungan pribadi.

MANAJEMEN RISIKO TI

Manajemen risiko didefinisikan sebagai proses yang dilakukan oleh manajemen untuk memahami dan menangani ketidakpastian (risiko dan peluang) yang dapat mempengaruhi kemampuan organisasi untuk mencapai tujuannya.

KONTROL TI

klasifikasikan sebagai pengendalian umum atau aplikasi:

  • Kontrol umum (cetak miring ditambahkan) berlaku untuk semua komponen sistem, proses, dan data untuk organisasi atau lingkungan sistem tertentu.”
  • Kontrol aplikasi (cetak miring ditambahkan) berkaitan dengan ruang lingkup proses bisnis individu atau sistem aplikasi dan termasuk kontrol dalam aplikasi di sekitar input, pemrosesan, dan output. 

KONTROL TATA KELOLA TI

kontrol TI di tingkat tata kelola adalah bagian penting dari sistem kontrol internal organisasi secara keseluruhan. Kontrol TI di tingkat tata kelola berada di bawah yurisdiksi dewan dan manajemen senior. Tanggung jawab dewan, bagaimanapun, adalah untuk mengawasi sistem pengendalian internal organisasi, bukan untuk melaksanakan pengendalian. Adalah tugas manajemen senior untuk melakukan proses pengendalian sehari-hari.

KONTROL MANAJEMEN TI

Standar TI mendukung kebijakan TI dengan mendefinisikan secara lebih spesifik apa yang diperlukan untukmencapai tujuan organisasi. Standar ini harus mencakup, misalnya:

  • Proses pengembangan sistem. Ketika organisasi mengembangkan aplikasi mereka sendiri, standar berlaku untuk proses untuk merancang, mengembangkan, menguji, menerapkan, dan memelihara sistem dan program informasi.
  • Konfigurasi perangkat lunak sistem. Karena perangkat lunak sistem menyediakan banyak elemen kontrol di lingkungan TI, standar yang terkait dengan sistem yang aman konfigurasi mulai mendapatkan penerimaan luas oleh organisasi terkemuka dan penyedia teknologi.
  • Kontrol aplikasi. Semua aplikasi yang mendukung aktivitas bisnis perlu dikendalikan.
  • Struktur data. Memiliki definisi data yang konsisten di seluruh rangkaian aplikasi memastikan bahwa sistem yang berbeda dapat mengakses data dengan mulus dan kontrol keamanan untuk data pribadi dan data sensitif lainnya dapat diterapkan secara seragam.
  • Dokumentasi. Standar harus menentukan tingkat minimum dokumentasi yang diperlukan untuk setiap sistem aplikasi atau instalasi TI, serta untuk kelas aplikasi, proses, dan pusat pemrosesan yang berbeda.

Tiga aspek penting dari kontrol ini adalah pemisahan tugas, kontrol keuangan, dan kontrol manajemen perubahan:

  • Pemisahan tugas adalah elemen penting dari banyak kontrol. Sebuah organisasi struktur seharusnya tidak memungkinkan tanggung jawab untuk semua aspek pemrosesan data untuk istirahat dengan satu individu.
  • Karena organisasi melakukan investasi yang cukup besar dalam TI, anggaran dan kontrol keuangan lainnya diperlukan untuk memastikan teknologi menghasilkan laba atas investasi yang diproyeksikan atau penghematan yang diusulkan.
  • Proses manajemen perubahan memastikan bahwa perubahan pada lingkungan TI, perangkat lunak sistem, sistem aplikasi, dan data diterapkan dengan cara yang memberlakukan pemisahan tugas yang sesuai; memastikan bahwa perubahan bekerja dan diimplementasikan sesuai kebutuhan; dan mencegah perubahan dieksploitasi untuk tujuan penipuan.

KONTROL TEKNIS TI

Kontrol perangkat lunak sistem membatasi akses logis ke sistem dan aplikasi organisasi, memantau penggunaan sistem, dan menghasilkan jejak audit. Kontrol perangkat lunak sistem mencakup, misalnya

  • Hak akses dialokasikan dan dikendalikan sesuai dengan kebijakan yang dinyatakan organisasi.
  • Pembagian tugas ditegakkan melalui perangkat lunak sistem dan kontrol konfigurasi lainnya.
  • Penilaian intrusi dan kerentanan, pencegahan, dan deteksi di tempat dan dipantau terus menerus.
  • Pengujian intrusi dilakukan secara berkala.
  • Layanan enkripsi diterapkan di mana kerahasiaan adalah persyaratan yang dinyatakan.
  • Proses manajemen perubahan-termasuk manajemen tambalan-di tempat untuk memastikan proses yang dikontrol ketat untuk menerapkan semua perubahan dan tambalan ke perangkat lunak, sistem, komponen jaringan, dan data.

Kontrol berbasis aplikasi mencakup, misalnya:

  • Kontrol masukan. Kontrol ini digunakan terutama untuk memeriksa integritas data yang dimasukkan ke dalam aplikasi bisnis, apakah sumbernya dimasukkan secara langsung oleh staf, dari jarak jauh oleh mitra bisnis, atau melalui aplikasi yang mendukung Web.
  • Kontrol pemrosesan. Kontrol ini menyediakan sarana otomatis untuk memastikan processing lengkap, akurat, dan resmi.
  • Kontrol keluaran. Kontrol ini membahas apa yang dilakukan dengan data. Mereka harus membandingkan hasil dengan hasil yang diinginkan dan membandingkannya dengan masukan.
  • Kontrol integritas. Kontrol ini dapat memantau data dalam proses dan/atau usia penyimpanan untuk memastikan bahwa data tetap konsisten dan benar.
  • Jejak manajemen. Kontrol riwayat pemrosesan, sering disebut sebagai jejak audit, memungkinkan manajemen melacak transaksi dari sumber hingga hasil akhir dan menelusuri mundur dari hasil untuk mengidentifikasi transaksi dan peristiwa yang mereka rekam. 

IMPLIKASINYA BAGI AUDITOR INTERNAL

TI telah mengubah cara organisasi merumuskan strategi, melakukan operasi sehari-hari, dan membuat keputusan. Perubahan ini telah menghasilkan yang baru risiko dan memaksa organisasi untuk mengubah tata kelola, manajemen risiko, danproses kontrol. Dampak luas TI pada organisasi pada gilirannya mempengaruhimendorong auditor internal untuk meningkatkan pengetahuan dan keterampilan TI mereka dan menyesuaikan caranyamereka melakukan pekerjaan mereka.

fungsi audit internal harus:

  • Sertakan sistem informasi organisasi dalam perencanaan audit tahunannya proses.
  • Mengidentifikasi dan menilai risiko TI organisasi.
  • Pastikan bahwa ia memiliki keahlian audit TI yang memadai.
  • Menilai tata kelola TI, manajemen, dan kontrol teknis.
  • Tetapkan auditor dengan tingkat keahlian TI yang sesuai untuk setiap jaminan keterikatan.
  • Gunakan teknik audit berbasis teknologi yang sesuai

Komentar

Posting Komentar

Postingan populer dari blog ini

Analisis Data dan Pengambilan Sampel Audit

Gambar
Sampling audit, menurut definisi, penerapan prosedur audit kurang dari 100 persen item dalam populasi kepentingan audit untuk tujuan menarik kesimpulan tentang seluruh populasi. Ini paling sering digunakan oleh auditor internal untuk menguji efektivitas operasi pengendalian. Namun, auditor internal semakin dapat menerapkan analisis pada populasi data yang besar untuk mengidentifikasi anomali yang dapat menunjukkan perlunya perbaikan. Pengambilan sampel audit (baik statistik maupun nonstatistik) dan analitik data akan dibahas saat diterapkan oleh auditor internal dalam pengujian pengendalian. Sering kali, pengujian diperlukan dalam kasus kontrol manual atau ketika informasi terdokumentasi tidak disimpan secara elektronik. ANALISIS DATA Analisis data adalah proses mengumpulkan dan menganalisis data dan kemudian menggunakan hasilnya untuk membuat keputusan yang lebih baik. Survei kepala eksekutif audit (CAE) mengungkapkan arti yang paling populer untuk istilah “analisis data” sebagai beri...
Baca selengkapnya

RESUME AUDIT INTERNAL P5-ALFINA AGISTIANI

MENGELOLA FUNGSI AUDIT INTERNAL 1. POSISI FUNGSI AUDIT INTERN  DALAM ORGANISASI Salah satu pendapat mengatakan, fungsi audit internal ditempatkan pada tingkat manajemen senior, memberikan fungsi visibilitas, wewenang, dan tanggung jawab untuk mengevaluasi penilaian manajemen terhadap sistem pengendalian internal organisasi, dan menilai organisasi  kemampuan untuk mencapai tujuan bisnis dan mengelola, memantau, dan mengurangi risiko yang terkait dengan pencapaian tujuan tersebut.  Selain jasa assurance, fungsi audit internal ini biasanya diminta oleh manajemen untuk memberikan jasa konsultasi dalam bentuk inisiatif atau proyek yang memungkinkan manajemen untuk menggunakan keahlian profesional yang dimiliki oleh fungsi audit internal. Organisasi yang menyadari pentingnya menempatkan fungsi audit internal pada posisi yang memaksimalkan efektivitas dan kemampuannya untuk mengevaluasi keefektifan proses manajemen risiko, pengendalian, dan tata kelola yang ada sering melak...
Baca selengkapnya