Management Control Framework (5-7) CDG4I3 / Audit Sistem Informasi Angelina Prima K | Gede Ary W. KK SIDE - 2014

Management Control Framework 1. Top management controls 2. System development management controls 3. Programming management controls 4. Data resources management controls 5. Security management controls 6. Operations management controls 7. Quality assurance management controls

5. Security management controls

Introduction IS security administrator bertanggung jawab dalam memastikan bahwa aset IS aman. Kategorisasi aset SI: Assets Physical Personnel Hardware Mainframes, minis, micros Peripherals: online/ offline Storage media Facilities Documentation Supplies Logical Data/ information Software System Application

Conducting a Security Program Program keamanan adalah sekumpulan review berkelanjutan, reguler, dan periodik untuk pengamanan aset SI. Langkah-langkah dalam pengadaan program keamanan: 1. Prepare a project plan 2. Identify assets 3. Value assets 4. Identify threats 5. Assess likelihood of threats 6. Analyze exposures 7. Adjust controls 8. Prepare security report

Major Security Threads (#1) Fire Merupakan ancaman serius untuk aset fisik SI Cth. Kebakaran di Pentagon menimbulkan kerugian $6.7 juta, di First Data Corp merugikan $2 juta Administrator keamanan harus mengecek sistem perlindungan kebakaran secara rutin dan menjamin service berkala, memastikan staf mampu mengoperasikan sistem dan terlatih Water Bisa disebabkan oleh banjir, tornado, hujan deras, atau air pemadam api yang mengenai perangkat keras Pastikan drainase baik, letakkan alarm di lokasi hardware penting, letakkan perangkat di atas level air, tutup perangkat dengan penutup tahan air saat tidak digunakan, dll.

Major Security Threads (#2) Energy variations Bisa berupa tegangan listrik rendah, korsleting, atau mati listrik Gunakan voltage regulator, circuit breakers, dan UPS Structural damage Berupa gempa bumi, angin, lumpur, salju, tanah longsor, atau kecelakaan Administrator keamanan harus mencegah dan memiliki prosedur penanganannya. Pollution Dapat berupa debu, cairan, atau elemen lain yang mengganggu perangkat beserta data yang terkandung di dalamnya Kebersihan harus dijaga secara rutin, termasuk pula prosedur untuk menjaga kebersihan di lingkungan perangkat, mis. dilarang makan

Major Security Threads (#3) Unauthorized intrusion Dapat berupa intrusi fisik maupun nonfisik (penyadap) Ditangani dengan membangun pembatas (fisik) dan prosedur pengaman, mis. Dilarang membawa kamera, gorden di tiap jendela Viruses and worms Virus dan worms dapat menyerang SI dengan tingkat perusakan yang beragam. Dapat ditangani dengan mencegah munculnya virus dan worms, mendeteksi timbulnya virus dan worms, sertadan memperbaiki sistem yang rusak karena virus/ worms.

Disaster Recovery Plan (DRP) Disaster recovery adalah proses, kebijakan, dan prosedur untuk mengembalikan kinerja infrastruktur teknologi setelah terjadi bencana DRP terdiri atas 4 bagian: Emergency plan: aksi yang harus dilakukan segera jika terjadi bencana Backup plan Tipe, frekuensi, prosedur, lokasi, dan pelaksana backup Recovery plan Prosedur untuk mengembalikan kemampuan SI Test plan Untuk mengidentifikasi defisiensi rencana emergency, backup dan recovery DRP Emergency plan Backup plan Recovery plan Test plan

6. Operations Management Controls

Introduction Manajemen operasi bertanggung jawab pada operasional harian fasilitas hardware dan software agar staf pengembang dapat merancang, implementasi dan memelihara sistem aplikasi Kontrol yang diperlukan, meliputi: a. Computer operations b. Network operations c. Data preparation and entry d. Production control e. File library f. Documentation and program library g. Helpdesk/ technical support h. Capacity planning and performance monitoring i. Outsourced operations

6a. Computer Operations Berupa aktivitas untuk mendukung eksekusi harian sistem pengujian atau produksi. Tiga tipe kontrol yang harus ada: Fungsi yang harus dilakukan operator manusia maupun otomatis Fungsi penjadwalan kerja pada hardware maupun software Fungsi pemeliharaan hardware Auditor mengevaluasi: Apakah operasi otomatis sudah akurat, lengkap dan otentik Apakah ada penjadwalan produksi yang diacu Apakah pemeliharaan sudah efektif dan efisien Auditor dapat mewawancara manajer operasi, tekniksi dan operator, serta mengevaluasi dokumentasi yang dihasilkan.

6b. Network Operations Berkaitan dengan pengelolaan WAN dan LAN Kontrol yang penting adalah dalam penggunaan network control terminal (pada WAN) dan file servers (pada LAN) Audit dapat mengevaluasi reliabilitas kontrol operasi network control terminal dan file servers melalui wawancara, observasi, dan review dokumentasi.

6c. Data Preparation and Entry Fasilitas persiapan dan entri data harus dirancang untuk meningkatkan kecepatan dan akurasi operator. Operator harus terlatih, dan ada mekanisme backup yang sesuai. Auditor mengevaluasi: Apakah ada standar yang diterapkan untuk persiapan dan entri data Dokumen yang menunjukkan kesesuaian pelaksanaan persiapan dan entri data dengan standar yang diacu

6d. Production Controls Fungsi utama: Auditor mengevaluasi: Mengelola input dan output Penjadwalan kerja Manajemen SLA (service-level agreements) dengan pengguna Transfer pricing/ chargeout Akuisisi hasil komputer Auditor mengevaluasi: Apakah file telah disiapkan dan terdokumentasi sesuai standar Dengan wawancara pengguna dan staf operasi tentang SLA Catatan komplain dan aksi penyelesaiannya Akurasi, kelengkapan, kebaruan dan keamanan dari dokumentasi fungsi transfer-pricing

6e. File Library Bertanggung jawab untuk mengelola media penyimpan berbasis mesin yang digunakan dalam organisasi. Fungsi utama: Media penyimpan harus tersimpan dengan aman Media hanya dapat digunakan untuk tujuan yang sah Media harus terpelihara secara teratur Lokasi penyimpanan harus sesuai, pemindahan media harus terkendali Auditor dapat melakukan wawancara, observasi dan review dokumen untuk memastikan bahwa media telah disimpan, digunakan, dipelihara dan dimusnahkan dengan baik

6f. Documentation and Program Library Bertanggung jawab dalam pemeliharaan dokumentasi yang diperlukan untuk mendukung operasi komputer dan mengelola inventaris software yang terkait. Meliputi dokumen rencana strategis dan operasional, dokumentasi sistem aplikasi, program aplikasi, system-software dan utility, basis data, manual operasi, manual pengguna, dan manual standar. Aktivitas ini sulit, karena tanggung jawab dokumentasi biasanya tersebar di seluruh bagian organisasi dan bentuk serta lokasinya sangat beragam. Auditor dapat melakukan wawancara, observasi dan review dokumentasi untuk mengevaluasi apakah dokumentasi telah dilakukan dan dikelola dengan aman, dan hanya dapat diakses oleh pihak yang berwenang.

6g. Help Desk/ Technical Support Tanggung jawab utama: Mendampingi pengguna akhir dalam menggunakan hardware dan software Memberikan dukungan teknis untuk sistem produksi berupa resolusi masalah Auditor dapat mengevaluasi kinerja help desk/ technical support melalui wawancara, observasi dan review dokumentasi. Mencari tahu kepuasan pengguna akhir Observasi bagaimana staf merespon permintaan pengguna akhir Melihat log/ laporan akurasi, kelengkapan dan waktu respon staf

6h. Capacity Planning and Performance Monitoring Dalam memanfaatkan SI untuk mencapai tujuan dengan biaya seminimal mungkin, manajer operasi harus memutuskan: Apakah laporan performansi menunjukkan penyalahgunaan fasilitas Apakah performansi sistem dapat diterima dan sesuai dengan kebutuhan pengguna Apakah perlu penambahan hardware dan software Auditor mengevaluasi: Apakah manajer operasi telah mengawasi performansi dengan baik Apakah keputusan yang diambil terkait perencanaan kapasitas sudah sesuai dengan statistik performansi

6i. Outsourced Operations Organisasi biasanya melakukan outsource sebagaian fungsi SI agar bisa lebih fokus pada bisnis utamanya dan fungsi SI dapat berjalan dengan baik karena dipegang oleh pihak yang kompeten Tipe-tipe kontrol yang penting: Evaluasi terus-menerus tentang kelayakan keuangan pihak penyedia outsource Memastikan kesesuaian dengan syarat dan ketentuan kontrak outsourcing Memastikan keandalan berkelanjutan dari kontrol dalam operasi penyedia outsource Mengelola prosedur disaster recovery dengan penyedia outsource

7. Quality Assurance Management Controls

Introduction Manajemen Quality Assurance (QA) berperan memastikan bahwa: SI yang dihasilkan oleh fungsi-fungsi SI mencapai tujuan kualitas, dan pengembangan, implementasi, operasi dan pemeliharaan SI sesuai dengan sekumpulan standar kualitas. Alasan pentingnya peran QA dalam organisasi: Makin banyak organisasi yang menggunakan SI sebagai aset utama Tuntutan pengguna akan SI yang berkualitas makin meningkat Ambisi organisasi akan kualitas software makin meningkat Organisasi makin bertanggung jawab untuk menghindari produk (software) cacat Kontrol kualitas yang buruk beresiko dan berbiaya tinggi Meningkatkan kualitas SI menjadi tren yang men-dunia

QA Functions a. Developing quality goals b. Developing, promulgating, and maintaining standards for the IS function c. Monitoring compliance with QA standards d. Identifying areas for improvement e. Reporting to management f. Training in QA standards and procedures

7a. Developing quality goals Aktivitas ini sulit karena: Definisi kualitas berbeda-beda sesuai perspektif yang diacu Tujuan kualitas perlu dibedakan dalam berbagai level SI Tujuan kualitas dapat bertentangan satu sama lain Auditor mengevaluasi: Apakah sudah ada charter dan definisi sasaran untuk fungsi- fungsi SI Apakah tujuan dan ukuran kualitas telah ditentukan untuk setiap SI spesifik yang digunakan dalam organisasi Level awareness staf QA dan SI tentang tujuan kualitas Opini stakeholders (termasuk manajemen) tentang tujuan kualitas yang ditentukan oleh staf QA

7b. Developing, promulgating, and maintaining standards for the IS function Keuntungan memberikan tanggung jawab ini kepada staf QA: Staf QA dituntut memiliki pengetahuan terbaru tentang penerapan standar SI sehingga menentukan standar organisasi lebih mudah Dalam organisasi, keputusan tentang standar sering menjadi isu politis sehingga staf QA cocok karena independen Posisi QA memungkinkan pandangan yang luas untuk menilai dan menentukan standar yang paling sesuai untuk organisasi. Staf QA memang dinilai kinerjanya menurut kualitas yang dicapai organisasi, termasuk fungsi SI di dalamnya Auditor dapat mewawancarai staf QA maupun stakeholders lain tentang tentang aktivitas ini. Auditor juga dapat melakukan observasi pada rapat QA dan me-review dokumentasi standards.

7c. Monitoring compliance with QA standards Staf QA mengawasi kesesuaian dengan standar berupa rencana QA untuk sistem spesifik di organisasi, maupun standar umum. Contoh: fish bone diagram untuk menganalisis penyebab UI buruk

7d. Identifying areas for improvement Sebagai pihak yang independen, QA diharapkan dapat memberikan rekomendasi perbaikan sistem yang sesuai. Beberapa hal yang dihadapi: Kemungkinan peningkatan efektivitas biaya Ketepatan perubahan standar SI Dampak perubahan terhadap stakeholders Kemungkinan resistansi perilaku pada perubahan standar Dukungan manajemen bila standar atau proses harus berubah

7e. Reporting to management QA harus memberikan laporan rutin kepada manajemen tentang penerapan standar SI. Kekurangan yang teridentifikasi harus dapat disampaikan kepada manajemen dengan tepat Auditor dapat melakukan : Wawancara staf QA untuk mengetahui pendekatan yang digunakan untuk menghasilkan temuan Wawancara stakeholders untuk mengetahui tingkat kepuasan Observasi rapat yang membahas laporan dan temuan Review contoh laporan QA

7f. Training in QA standards and procedures Staf yang terampil dan memiliki motivasi tinggi adalah ujung tombak kualitas. [Deutsch and Willis] Terdapat 2 tipe training yang diperlukan: Training tentang pengetahuan umum QA Standar dan prosedur yang spesifik tentang sistem aplikasi

Relationship between QA and Auditing Perang QA berkaitan erat dengan kepentingan audit. Jika QA ada dan berfungsi baik, auditor dapat mengurangi substantive testing yang perlu dilakukan Staf QA mestinya dapat melakukan pengecekan kontrol SI yang lebih komprehensif, sehingga hasilnya dapat diandalkan oleh auditor Auditor dapat berfokus pada evaluasi fungsi dan peran QA tanpa perlu terlalu dalam menguji kontrol SI