IT Audit

IT Audit adalah suatu penilaian atau pengujian control dalam system informasi atau infrastruktur teknologi informasi.

Beberapa jenis IT Audit :

1. Fasilitas Pemrosesan Informasi

Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk.

  

2. Sistem dan Aplikasi

Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi, berdaya guna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan sistem.

3. Arsitektur Perusahaan dan Manajemen TI

Audit yang berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna untuk pemrosesan informasi.

  

4. Pengembangan Sistem

Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi.

5. Client/Server, Telekomunikasi, Intranet dan Internet

Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client, server, dan jaringan yang menghubungkan client dan server.

Proses yang harus dilakukan pada IT Audit diantaranya :

Mengumpulkan dan mengevaluasi bukti-bukti bagaimana sistem informasi dikembangkan, dioperasikan, diorganisasikan, serta bagaimana praktek dilaksanakan :

   - Apakah IS melindungi aset institusi : asset protection, availability?

   - Apakah integritas data dan sistem diproteksi secara cukup (security, confidentiality)?

   - Apakah operasi sistem efektif dan efisien dalam mencapai tujuan organisasi?

Metodologi Audit IT

Tahapan-tahapan yang dilakukan dalam audit IT tidak berbeda dengan audit pada umumnya, sebagai berikut :

1. Tahapan Perencanaan

Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.

2. Mengidentifikasikan resiko dan kendali

Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktek-praktek terbaik.

3. Mengevaluasi kendali dan mengumpulkan bukti-bukti

Melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi.

4. Mendokumentasikan

Mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit.

5. Menyusun laporan

Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.

Framework Besar / Kerangka Kerja :

   1. IT Audit

   2. Analisis Resiko berdasarkan hasil audit

 3. Memeriksa "kesehatan" sistem dan security benchmarking terhadap sistem yang lain/standard

   4. Hasil dari ketiganya melahirkan konsep keamanan sistem informasi

   5. Hasil dari konsep keamanan : panduan keamanan sistem (handbook of system security)

19 Langkah Umum Audit TSI :

    - Kontrol Lingkungan

         1. Apakah kebijakan keamanan (security policy) memadai dan efektif?

      2. Jika data dipegang oleh vendor, periksa laporan tentang kebijakan dan prosedural yang terkini dari external auditor

         3. Jika sistem dibeli dari vendor, periksa kestabilan finansial

         4. Memeriksa persetujuan lisensi (license agreement)

    - Kontrol Keamanan Fisik

         1. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai

         2. Periksa apakah backup administrator keamanan sudah memadai (trained, tested)

         3. Periksa apakah rencana kelanjutan bisnis memadai dan efektif

         4. Periksa apakah asuransi perangkat keras, OS, aplikasi, dan data memadai

    - Kontrol Keamanan Logikal

         1. Periksa apakah password memadai dan perubahannya dilakukan reguler

         2. Apakah administrator keamanan mem-print akses kontrol setiap user

         3. Memeriksa dan mendokumentasikan parameter keamanan default

         4. Menguji fungsionalitas sistem keamanan (password, suspend userID, etc)

        5. Memeriksa apakah password file/database disimpan dalam bentuk tersandi dan tidak dapat dibuka oleh pengguna umum

         6. Memeriksa apakah data sensitif tersandi dalam setiap phase dalam prosesnnya

         7. Memeriksa apakah prosedur memeriksa dan menganalisa log memadai

    8. Memeriksa apakah akses kontrol remote (dari tempat lain) memadai : (VPN, CryptoCard, SecureID, etc)

    - Menguji Kontrol Operasi

      1. Memeriksa apakah tugas dan job description memadai dalam semua tugas dalam operasi tersebut

         2. Memeriksa apakah ada problem yang signifikan

    3. Memeriksa apakah kontrol yang menjamin fungsionalitas sistem informasi telah memadai

sumber :

http://blog.unila.ac.id/havs/files/2009/06/tugas-sim-havs-salih-guntur-ibrahim-0711011079.pdf

http://wsilfi.staff.gunadarma.ac.id/Downloads/files/13308/ITAuditForensic.pdf