Upload presentasi
Presentasi sedang didownload. Silahkan tunggu
3
KPK adalah lembaga negara yang bertugas untuk menjalankan amanat undang-undang. "KPK bukan LSM (Iembaga swadaya masyarakat), Komisi Pemberantasan Korupsi (KPK) adalah lembaga negara yang bersifat independen dan berkaitan dengan kekuasaan kehakiman tetapi tidak berada di bawah kekuasaan kehakiman. Sumber: politics/constitutional-law/ analisis- status-dan-kedudukan-kpk/#ixzz1NM2FgEgP
4
TUGAS dan WEWENAng Komisi Pemberantasan Korupsi mempunyai tugas:
koordinasi dengan instansi yang berwenang melakukan pemberantasan tindak pidana korupsi; supervisi terhadap instansi yang berwenang melakukan pemberantasan tindak pidana korupsi; melakukan penyelidikan, penyidikan, dan penuntutan terhadap tindak pidana korupsi; melakukan tindakan-tindakan pencegahan tindak pidana korupsi; dan melakukan monitor terhadap penyelenggaraan pemerintahan negara. Dalam melaksanakan tugas koordinasi, Komisi Pemberantasan Korupsi berwenang : mengkoordinasikan penyelidikan, penyidikan, dan penuntutan tindak pidana korupsi; menetapkan sistem pelaporan dalam kegiatan pemberantasan tindak pidana korupsi; meminta informasi tentang kegiatan pemberantasan tindak pidana korupsi kepada instansi yang terkait; melaksanakan dengar pendapat atau pertemuan dengan instansi yang berwenang melakukan pemberantasan tindak pidana korupsi; dan meminta laporan instansi terkait mengenai pencegahan tindak pidana korupsi.
6
PERLUKAH DILAKUKAN EVALUASI DAN PENGAWASAN TERHADAP PENERAPAN SI/TI
PERLUKAH DILAKUKAN EVALUASI DAN PENGAWASAN TERHADAP PENERAPAN SI/TI! MENGAPA?????
7
Keamanan Komputer Audit TI
8
Perlukah (Pentingkah) Audit Teknologi Informasi?
Untuk menilai apakah perlu atau tidaknya dilakukan IT audit atau IS audit mungkin dapat dilihat pada sejarah adanya kegiatan tersebut. Sejak tahun 1977 beberapa aturan mengenai IT audit sudah disusun di Amerika Serikat yang meliputi beberapa aturan penting seperti the Gramm Leach Bliley Act, the Sarbanes-Oxley Act, the Health Insurance Portability and Accountability Act, the London Stock Exchange Combined Code, King II serta the Foreign Corrupt Practices Act. Dengan melihat keseriusan pemerintahan di negara- negara maju dalam pengembangan IT audit seperti tersebut di atas maka dapat dibayangkan betapa tidak seriusnya mengertinya Pemerintah Republik Indonesia atas kegiatan tersebut .
9
Perlukah (Pentingkah) Audit Teknologi Informasi?
Padahal sudah 30 tahun sejak negara-negara maju tersebut menetapkan aturan kewajiban IT audit di lembaga- lembaganya IT audit merupakan hal yang sangat penting dalam implementasi sebuah sistem informasi bagi organisasi yang mengembangkannya. Terlebih pada saat ini pemanfaatan teknologi/sistem informasi merupakan hal yang sangat penting bagi sebuah organisasi dalam pencapaian tujuan/visi/misi lembaganya. Namun di sisi lain kepentingan tersebut berimbas pada meningkatnya indeks kerawanan dari pengembangan/pembangunan sistem informasi. Untuk menekan titik-titik rawan tersebut diperlukan seperangkat batasan-batasan dan tolok-ukur (parameter) yang dapat dijadikan dasar dalam melakukan evaluasi terhadap kegiatan pembangunan/pengembangan sistem informasi
10
Perlukah (Pentingkah) Audit Teknologi Informasi?
Dengan dilakukannya IT audit yang dilakukan secara transparan dan dapat dipertanggungjawabkan hasilnya maka pelaksanaan penerapan teknologi informasi di dalam suatu institusi dapat memberikan hasil terbaiknya serta menyerap investasi yang tepat guna dan berdaya guna.
11
Alasan perusuhaan belum melakukan audit TI
perusahaan merasa bahwa TI yang diterapkan masih berperan sebatas support tools, belum menjadi strategic tools kebijakan dan tujuan-tujuan penerapan TI-nya tidak begitu jelas nilai investasi TI yang belum dianggap cukup berarti dibandingkan nilai keuangan perusahaan. banyaknya jargon teknis TI yang sulit dipahami oleh manajemen puncak.
12
Audit TI Audit TI, bertujuan untuk mengevaluasi dan memperbaiki efektivitas proses-proses manajemen risiko, kontrol dan good governance. Nilai penting dilakukannya audit TI sejalan dengan pentingnya mencapai tujuan perusahaan. Artinya, bagaimana perusahaan dapat mengelola berbagai risiko yang dihadapinya, terutama terkait dengan penerapan TI, dalam upayanya mencapai tujuan-tujuan bisnisnya. Dengan audit TI suatu perusahaan bisa didorong melakukan perencanaan dan pengembangan secara lebih terarah dan terfokus sesuai dengan tujuan-tujuan bisnisnya.
13
Alasan Penting Mengapa Audit TI perlu dilakukan
Kerugian akibat kehilangan data Kesalahan dalam pengambilan keputusan Resiko kebocoran data Penyalahgunaan komputer Kerugian akibat kesalahan proses perhitungan Tingginya nilai investasi perangkat keras dan perangkat komputer
14
Sedang subyek yang perlu diaudit
aspek keamanan, Masalah keamanan mencakup tidak hanya keamanan file servers dan penerapan metoda cadangan, melainkan juga penerapan standar tertentu, seperti C-ICT. keandalan, Keandalan meliputi penerapan RAID V disk subsystems untuk server dengan critical applications dan prosedur penyimpanan data di file server, bukan di drive lokal C. kinerja Kinerja mencakup persoalan standarisasi PC, penggunaan LAN serta cadangan yang sesuai dengan beban kerja. manageability. manageability menyangkut penerapan standar tertentu dan pendokumentasian secara teratur dan berkesinambungan
15
Enam komponen Audit TI Enam komponen Audit TI :
pendefinisian tujuan perusahaan; penentuan isu, tujuan dan perspektif bisnis antara penanggung jawab bagian dengan bagian TI; review terhadap pengorganisasian bagian TI yang meliputi perencanaan proyek, status dan prioritasnya, staffing levels, belanja TI dan IT change process management; assessment infrastruktur teknologi, assessment aplikasi bisnis; temuan-temuan, laporan rekomendasi.
16
Bidang Pekerjaan IT di perusahaan
System Analyst Programmer Administrator (Network, system, database) Support (workshop, maintenance, helpdesk, dll ) Security Officer Auditor
17
Audit teknologi informasi
Audit teknologi informasi Audit teknologi informasi (Inggris: information technology (IT) audit atau information systems (IS) audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama- sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.
18
Audit teknologi informasi atau IT (information technology) audit atau juga dikenal sebagai audit sistem informasi (information system audit) merupakan aktivitas pengujian terhadap pengendalian dari kelompok-kelompok unit infrastruktur dari sebuah sistem/teknologi informasi
19
Audit Systematic, independent and documented process for obtaining audit evidence and evaluating it objectively to determine the extent to which the audit criteria are fulfilled
20
IT Audit? Proses pengumpulan dan evaluasi fakta/bukti untuk menentukan apakah sistem (terkomputerisasi): Menjaga aset Memelihara integritas data Memampukan komunikasi & akses informasi Mencapai tujuan operasional secara efektif Mengkonsumsi sumber daya secara efisien
21
Keuntungan Audit Menilai keefektifan aktivitas aktifitas dokumentasi dalam organisasi Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undang-undang perusahaan Mengukur tingkat efektifitas dari sistem Mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan ketidaksesuaian di masa datang Menyediakan informasi untuk proses peningkatan Meningkatkan saling memahami antar departemen dan antar individu Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke Manajemen
22
IT Audit Area Planning Organization and Management
Policies and procedures Security Regulation and standard
23
Jenis Audit (umum) Compliance Kinerja Kecurangan Sertifikasi
24
Jenis Audit (IT) System Audit Compliance Audit Product / Service Audit
Audit terhadap sistem terdokumentasi untuk memastikan sudah memenuhi standar nasional atau internasional Compliance Audit Untuk menguji efektifitas implementasi dari kebijakan, prosedur, kontrol dan unsur hukum yang lain Product / Service Audit Untuk menguji suatu produk atau layanan telah sesuai seperti spesifikasi yang telah ditentukan dan cocok digunakan
25
Siapa yang Diaudit Management IT Manager
IT Specialist (network, database, system analyst, programmer, dll.) User
26
Yang Melakukan Audit Tergantung Tujuan Audit
Internal Audit (first party audit) Dilakukan oleh atau atas nama perusahaan sendiri Biasanya untuk management review atau tujuan internal perusahaan Lembaga independen di luar perusahaan Second party audit Dilakukan oleh pihak yang memiliki kepentingan thd perusahaan Third party audit Dilakukan oleh pihak independen dari luar perusahaan. Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).
27
Tugas Auditor IT Memastikan sisi-sisi penerapan IT memiliki kontrol yang diperlukan Memastikan kontrol tersebut diterapkan dengan baik sesuai yang diharapkan
28
Yang Dilakukan Persiapan Review Dokumen
Persiapan kegiatan on-site audit Melakukan kegiatan on-site audit Persiapan, persetujuan dan distribusi laporan audit Follow up audit
29
Output kegiatan Audit Hasil akhir adalah berupa laporan yang berisi:
Ruang Lingkup audit Metodologi Temuan-temuan Ketidaksesuaian (sifat ketidaksesuaian, bukti2 pendukung, syarat yg tdk dipenuhi, lokasi, tingkat ketidaksesuaian) Kesimpulan (tingkat kesesuaian dengan kriteria audit, efektifitas implementasi, pemeliharaan dan pengembangan sistem manajemen, rekomendasi)
30
Ketrampilan yang dibutuhkan
Audit skill : sampling, komunikasi, melakukan interview, mengajukan pertanyaan, mencatat Generic knowledge : pengetahuan mengenai prinsip2 audit, prosedur dan teknik, sistem manajemen dan dokumen2 referensi, organisasi, peraturan2 yang berlaku Specific knowledge : background IT/IS, bisnis, specialist technical skill, pengalaman audit sistem manajemen, perundangan
31
Prinsip-prinsip Audit
Ethical conduct Berdasar pada profesionalisme, kejujuran, integritas, kerahasiaan dan kebijaksanaan Fair Presentation Kewajiban melaporkan secara jujur dan akurat Due professional care Implementasi dari kesungguhan dan pertimbangan yang diberikan Independence Evidence-base approach
32
Peraturan dan Standar Yang Biasa Dipakai
ISO / IEC and BS7799 Control Objectives for Information and related Technology (CobiT) ISO TR 13335 IT Baseline Protection Manual ITSEC / Common Criteria Federal Information Processing Standard 140-1/2 (FIPS 140-1/2) The “Sicheres Internet” Task Force [Task Force Sicheres Internet] The quality seal and product audit scheme operated by the Schleswig-Holstein Independent State Centre for Data Privacy Protection (ULD) ISO 9000
33
Dunia Industri CobiT Control Objectives for Information and Related Technology BS7799
34
CobiT Control Objectives for Information and Related Technology
35
CobiT Dibuat oleh organisasi ISACA (Information Systems Audit and Control Association) dan dikembangkan oleh IT Governance Institute -> focus on audit, control and security issues
36
Badan (Indonesia) ISACA Indonesian Chapter (isaca.or.id)
ISSA (Information System Security Association) Indonesian Chapter
37
Sertifikasi CISA (Certified Information Systems Auditor)
CISM (Certified Information Security Manager) CISSP (Certified IS Security Professional) CIA (Certified Internal Auditor) Kualifikasi : Pengalaman dan pengetahuan untuk mengidentifikasi, mengevaluasi, dan memberikan rekomendasi berupa solusi untuk mengurangi kelemahan sistem IT => Mengeluarkan sertifikasi untuk personal auditor
38
Misi CobiT Melakukan penelitian, pengembangan, publikasi dan promosi terhadap control objective dari teknologi informasi yang secara umum diterima di lingkungan internasional untuk pemakaian sehari- hari oleh manager dan auditor
39
Lingkup CobiT -> 4 domains
Planning & Organization Acquisition & Implementation Delivery & Support Monitoring
40
CobiT -> Control Objectives
Defining controls that should be in place 34 processes 3-30 detailed IT Control Objectives
41
Pola Pikir
43
Control Domain Planning & Organisation
44
Control Domain Acquisition & Implementation
45
Control Domain Delivery & Support
46
Control Domain Monitoring
47
BS7799
48
What’s BS7799 Sebuah pendekatan berbasis ‘resiko’ dalam mendefinisikan kebijakan dan prosedur serta untuk memilih kontrol yang memadai untuk mengelola resiko ISO/IEC 17799 Information technology – code of practice for information security management BS 7799 Information security management systems – Specification with guidance for use
49
ISO/IEC 17799:2000 Information Technology – Code of Practice for Information Security Management
Contents identical to BS7799-1:1999 Contains a comprehensive listing of approved procedures and information security measures Recommendation of measures structured in 10 sections This code of practice serves a basis for the understanding of the requirements as contained in BS7799-2 Is not suited to serve as sole basis for certifications
50
BS7799-2:2002 Information Security Management Systems – Specification with guidance for use
Based on BS7799-1:1999, but ISMS is based on the selection of measures as contained in BS7799-2:2002 Is a suitable basis for ISMS system certification Contains requirements for ISMS (new:PDCA-Cycle and continuous Improvement) 127 controls structured in : 10 detailed control clauses containing 36 control objectives
51
Kebutuhan auditor IT Internal Audit -> setiap perusahaan memerlukan
Perusahaan penyedia layanan audit Perusahaan penyedia sertifikasi
52
Peluang Ketergantungan terhadap IT semakin besar sehingga muncul kebutuhan untuk melakukan audit IT Auditor IT yang sekarang banyak yang berasal bukan dari bidang IT Banyak permasalahan (bisnis) dalam pengelolaan IT
53
Terima kasih
Presentasi serupa
