Presentasi sedang didownload. Silahkan tunggu

Presentasi sedang didownload. Silahkan tunggu

Management Control Framework (5-7)

Diterbitkan olehSuryadi Muljana Telah diubah "7 tahun yang lalu

Presentasi serupa

Presentasi berjudul: "Management Control Framework (5-7)"— Transcript presentasi:

1 Management Control Framework (5-7)
CDG4I3 / Audit Sistem Informasi Angelina Prima K | Gede Ary W. KK SIDE

2 Management Control Framework
1. Top management controls 2. System development management controls 3. Programming management controls 4. Data resources management controls 5. Security management controls 6. Operations management controls 7. Quality assurance management controls

3 5. Security management controls

4 Introduction IS security administrator bertanggung jawab dalam memastikan bahwa aset IS aman. Kategorisasi aset SI: Assets Physical Personnel Hardware Mainframes, minis, micros Peripherals: online/ offline Storage media Facilities Documentation Supplies Logical Data/ information Software System Application

5 Conducting a Security Program
Program keamanan adalah sekumpulan review berkelanjutan, reguler, dan periodik untuk pengamanan aset SI. Langkah-langkah dalam pengadaan program keamanan: 1. Prepare a project plan 2. Identify assets 3. Value assets 4. Identify threats 5. Assess likelihood of threats 6. Analyze exposures 7. Adjust controls 8. Prepare security report

6 Major Security Threads (#1)
Fire Merupakan ancaman serius untuk aset fisik SI Cth. Kebakaran di Pentagon menimbulkan kerugian $6.7 juta, di First Data Corp merugikan $2 juta Administrator keamanan harus mengecek sistem perlindungan kebakaran secara rutin dan menjamin service berkala, memastikan staf mampu mengoperasikan sistem dan terlatih Water Bisa disebabkan oleh banjir, tornado, hujan deras, atau air pemadam api yang mengenai perangkat keras Pastikan drainase baik, letakkan alarm di lokasi hardware penting, letakkan perangkat di atas level air, tutup perangkat dengan penutup tahan air saat tidak digunakan, dll.

7 Major Security Threads (#2)
Energy variations Bisa berupa tegangan listrik rendah, korsleting, atau mati listrik Gunakan voltage regulator, circuit breakers, dan UPS Structural damage Berupa gempa bumi, angin, lumpur, salju, tanah longsor, atau kecelakaan Administrator keamanan harus mencegah dan memiliki prosedur penanganannya. Pollution Dapat berupa debu, cairan, atau elemen lain yang mengganggu perangkat beserta data yang terkandung di dalamnya Kebersihan harus dijaga secara rutin, termasuk pula prosedur untuk menjaga kebersihan di lingkungan perangkat, mis. dilarang makan

8 Major Security Threads (#3)
Unauthorized intrusion Dapat berupa intrusi fisik maupun nonfisik (penyadap) Ditangani dengan membangun pembatas (fisik) dan prosedur pengaman, mis. Dilarang membawa kamera, gorden di tiap jendela Viruses and worms Virus dan worms dapat menyerang SI dengan tingkat perusakan yang beragam. Dapat ditangani dengan mencegah munculnya virus dan worms, mendeteksi timbulnya virus dan worms, sertadan memperbaiki sistem yang rusak karena virus/ worms.

9 Disaster Recovery Plan (DRP)
Disaster recovery adalah proses, kebijakan, dan prosedur untuk mengembalikan kinerja infrastruktur teknologi setelah terjadi bencana DRP terdiri atas 4 bagian: Emergency plan: aksi yang harus dilakukan segera jika terjadi bencana Backup plan Tipe, frekuensi, prosedur, lokasi, dan pelaksana backup Recovery plan Prosedur untuk mengembalikan kemampuan SI Test plan Untuk mengidentifikasi defisiensi rencana emergency, backup dan recovery DRP Emergency plan Backup plan Recovery plan Test plan

10 6. Operations Management Controls

11 Introduction Manajemen operasi bertanggung jawab pada operasional harian fasilitas hardware dan software agar staf pengembang dapat merancang, implementasi dan memelihara sistem aplikasi Kontrol yang diperlukan, meliputi: a. Computer operations b. Network operations c. Data preparation and entry d. Production control e. File library f. Documentation and program library g. Helpdesk/ technical support h. Capacity planning and performance monitoring i. Outsourced operations

12 6a. Computer Operations Berupa aktivitas untuk mendukung eksekusi harian sistem pengujian atau produksi. Tiga tipe kontrol yang harus ada: Fungsi yang harus dilakukan operator manusia maupun otomatis Fungsi penjadwalan kerja pada hardware maupun software Fungsi pemeliharaan hardware Auditor mengevaluasi: Apakah operasi otomatis sudah akurat, lengkap dan otentik Apakah ada penjadwalan produksi yang diacu Apakah pemeliharaan sudah efektif dan efisien Auditor dapat mewawancara manajer operasi, tekniksi dan operator, serta mengevaluasi dokumentasi yang dihasilkan.

13 6b. Network Operations Berkaitan dengan pengelolaan WAN dan LAN
Kontrol yang penting adalah dalam penggunaan network control terminal (pada WAN) dan file servers (pada LAN) Audit dapat mengevaluasi reliabilitas kontrol operasi network control terminal dan file servers melalui wawancara, observasi, dan review dokumentasi.

14 6c. Data Preparation and Entry
Fasilitas persiapan dan entri data harus dirancang untuk meningkatkan kecepatan dan akurasi operator. Operator harus terlatih, dan ada mekanisme backup yang sesuai. Auditor mengevaluasi: Apakah ada standar yang diterapkan untuk persiapan dan entri data Dokumen yang menunjukkan kesesuaian pelaksanaan persiapan dan entri data dengan standar yang diacu

15 6d. Production Controls Fungsi utama: Auditor mengevaluasi:
Mengelola input dan output Penjadwalan kerja Manajemen SLA (service-level agreements) dengan pengguna Transfer pricing/ chargeout Akuisisi hasil komputer Auditor mengevaluasi: Apakah file telah disiapkan dan terdokumentasi sesuai standar Dengan wawancara pengguna dan staf operasi tentang SLA Catatan komplain dan aksi penyelesaiannya Akurasi, kelengkapan, kebaruan dan keamanan dari dokumentasi fungsi transfer-pricing

16 6e. File Library Bertanggung jawab untuk mengelola media penyimpan berbasis mesin yang digunakan dalam organisasi. Fungsi utama: Media penyimpan harus tersimpan dengan aman Media hanya dapat digunakan untuk tujuan yang sah Media harus terpelihara secara teratur Lokasi penyimpanan harus sesuai, pemindahan media harus terkendali Auditor dapat melakukan wawancara, observasi dan review dokumen untuk memastikan bahwa media telah disimpan, digunakan, dipelihara dan dimusnahkan dengan baik

17 6f. Documentation and Program Library
Bertanggung jawab dalam pemeliharaan dokumentasi yang diperlukan untuk mendukung operasi komputer dan mengelola inventaris software yang terkait. Meliputi dokumen rencana strategis dan operasional, dokumentasi sistem aplikasi, program aplikasi, system-software dan utility, basis data, manual operasi, manual pengguna, dan manual standar. Aktivitas ini sulit, karena tanggung jawab dokumentasi biasanya tersebar di seluruh bagian organisasi dan bentuk serta lokasinya sangat beragam. Auditor dapat melakukan wawancara, observasi dan review dokumentasi untuk mengevaluasi apakah dokumentasi telah dilakukan dan dikelola dengan aman, dan hanya dapat diakses oleh pihak yang berwenang.

18 6g. Help Desk/ Technical Support
Tanggung jawab utama: Mendampingi pengguna akhir dalam menggunakan hardware dan software Memberikan dukungan teknis untuk sistem produksi berupa resolusi masalah Auditor dapat mengevaluasi kinerja help desk/ technical support melalui wawancara, observasi dan review dokumentasi. Mencari tahu kepuasan pengguna akhir Observasi bagaimana staf merespon permintaan pengguna akhir Melihat log/ laporan akurasi, kelengkapan dan waktu respon staf

19 6h. Capacity Planning and Performance Monitoring
Dalam memanfaatkan SI untuk mencapai tujuan dengan biaya seminimal mungkin, manajer operasi harus memutuskan: Apakah laporan performansi menunjukkan penyalahgunaan fasilitas Apakah performansi sistem dapat diterima dan sesuai dengan kebutuhan pengguna Apakah perlu penambahan hardware dan software Auditor mengevaluasi: Apakah manajer operasi telah mengawasi performansi dengan baik Apakah keputusan yang diambil terkait perencanaan kapasitas sudah sesuai dengan statistik performansi

20 6i. Outsourced Operations
Organisasi biasanya melakukan outsource sebagaian fungsi SI agar bisa lebih fokus pada bisnis utamanya dan fungsi SI dapat berjalan dengan baik karena dipegang oleh pihak yang kompeten Tipe-tipe kontrol yang penting: Evaluasi terus-menerus tentang kelayakan keuangan pihak penyedia outsource Memastikan kesesuaian dengan syarat dan ketentuan kontrak outsourcing Memastikan keandalan berkelanjutan dari kontrol dalam operasi penyedia outsource Mengelola prosedur disaster recovery dengan penyedia outsource

21 7. Quality Assurance Management Controls

22 Introduction Manajemen Quality Assurance (QA) berperan memastikan bahwa: SI yang dihasilkan oleh fungsi-fungsi SI mencapai tujuan kualitas, dan pengembangan, implementasi, operasi dan pemeliharaan SI sesuai dengan sekumpulan standar kualitas. Alasan pentingnya peran QA dalam organisasi: Makin banyak organisasi yang menggunakan SI sebagai aset utama Tuntutan pengguna akan SI yang berkualitas makin meningkat Ambisi organisasi akan kualitas software makin meningkat Organisasi makin bertanggung jawab untuk menghindari produk (software) cacat Kontrol kualitas yang buruk beresiko dan berbiaya tinggi Meningkatkan kualitas SI menjadi tren yang men-dunia

23 QA Functions a. Developing quality goals
b. Developing, promulgating, and maintaining standards for the IS function c. Monitoring compliance with QA standards d. Identifying areas for improvement e. Reporting to management f. Training in QA standards and procedures

24 7a. Developing quality goals
Aktivitas ini sulit karena: Definisi kualitas berbeda-beda sesuai perspektif yang diacu Tujuan kualitas perlu dibedakan dalam berbagai level SI Tujuan kualitas dapat bertentangan satu sama lain Auditor mengevaluasi: Apakah sudah ada charter dan definisi sasaran untuk fungsi- fungsi SI Apakah tujuan dan ukuran kualitas telah ditentukan untuk setiap SI spesifik yang digunakan dalam organisasi Level awareness staf QA dan SI tentang tujuan kualitas Opini stakeholders (termasuk manajemen) tentang tujuan kualitas yang ditentukan oleh staf QA

25 7b. Developing, promulgating, and maintaining standards for the IS function
Keuntungan memberikan tanggung jawab ini kepada staf QA: Staf QA dituntut memiliki pengetahuan terbaru tentang penerapan standar SI sehingga menentukan standar organisasi lebih mudah Dalam organisasi, keputusan tentang standar sering menjadi isu politis sehingga staf QA cocok karena independen Posisi QA memungkinkan pandangan yang luas untuk menilai dan menentukan standar yang paling sesuai untuk organisasi. Staf QA memang dinilai kinerjanya menurut kualitas yang dicapai organisasi, termasuk fungsi SI di dalamnya Auditor dapat mewawancarai staf QA maupun stakeholders lain tentang tentang aktivitas ini. Auditor juga dapat melakukan observasi pada rapat QA dan me-review dokumentasi standards.

26 7c. Monitoring compliance with QA standards
Staf QA mengawasi kesesuaian dengan standar berupa rencana QA untuk sistem spesifik di organisasi, maupun standar umum. Contoh: fish bone diagram untuk menganalisis penyebab UI buruk

27 7d. Identifying areas for improvement
Sebagai pihak yang independen, QA diharapkan dapat memberikan rekomendasi perbaikan sistem yang sesuai. Beberapa hal yang dihadapi: Kemungkinan peningkatan efektivitas biaya Ketepatan perubahan standar SI Dampak perubahan terhadap stakeholders Kemungkinan resistansi perilaku pada perubahan standar Dukungan manajemen bila standar atau proses harus berubah

28 7e. Reporting to management
QA harus memberikan laporan rutin kepada manajemen tentang penerapan standar SI. Kekurangan yang teridentifikasi harus dapat disampaikan kepada manajemen dengan tepat Auditor dapat melakukan : Wawancara staf QA untuk mengetahui pendekatan yang digunakan untuk menghasilkan temuan Wawancara stakeholders untuk mengetahui tingkat kepuasan Observasi rapat yang membahas laporan dan temuan Review contoh laporan QA

29 7f. Training in QA standards and procedures
Staf yang terampil dan memiliki motivasi tinggi adalah ujung tombak kualitas. [Deutsch and Willis] Terdapat 2 tipe training yang diperlukan: Training tentang pengetahuan umum QA Standar dan prosedur yang spesifik tentang sistem aplikasi

30 Relationship between QA and Auditing
Perang QA berkaitan erat dengan kepentingan audit. Jika QA ada dan berfungsi baik, auditor dapat mengurangi substantive testing yang perlu dilakukan Staf QA mestinya dapat melakukan pengecekan kontrol SI yang lebih komprehensif, sehingga hasilnya dapat diandalkan oleh auditor Auditor dapat berfokus pada evaluasi fungsi dan peran QA tanpa perlu terlalu dalam menguji kontrol SI

31

Download ppt "Management Control Framework (5-7)"

Presentasi serupa

Jaminan Kualitas Perangkat Lunak Software Quality Assurance [SQA]

Jaminan Kualitas Perangkat Lunak Software Quality Assurance [SQA]
Audit Sistem Informasi

Audit Sistem Informasi
SISTEM INFORMASI SUMBER DAYA INFORMASI

SISTEM INFORMASI SUMBER DAYA INFORMASI
Pengendalian umum, dan pengendalian aplikasi

Pengendalian umum, dan pengendalian aplikasi
BUSINESS CONTINUITY PLAN AND DISASTER RECOVERY

BUSINESS CONTINUITY PLAN AND DISASTER RECOVERY
Mengaudit Sistem/ Teknologi Informasi

Mengaudit Sistem/ Teknologi Informasi
Auditing Computer-Based Information Systems

Auditing Computer-Based Information Systems
CopyRIght 2005 Bab 8 Hal 1 Sistem Informasi Manajemen Bab 10 Keamanan dan Kontrol.

CopyRIght 2005 Bab 8 Hal 1 Sistem Informasi Manajemen Bab 10 Keamanan dan Kontrol.
TUJUAN AUDIT SI/TI Pertemuan 2.

TUJUAN AUDIT SI/TI Pertemuan 2.
AUDIT SISTEM KEPASTIAN MUTU

AUDIT SISTEM KEPASTIAN MUTU
Panduan Audit Sistem Informasi

Panduan Audit Sistem Informasi
Mengaudit Sistem/Teknologi Informasi

Mengaudit Sistem/Teknologi Informasi
SEJARAH DAN PEMAHAMAN AUDIT SISTEM/TEKNOLOGI INFORMASI

SEJARAH DAN PEMAHAMAN AUDIT SISTEM/TEKNOLOGI INFORMASI
Pengendalian dan Sistem Informasi Akuntansi

Pengendalian dan Sistem Informasi Akuntansi
AUDIT SISTEM INFORMASI

AUDIT SISTEM INFORMASI
Software Quality Assurance

Software Quality Assurance
PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER
BAGIAN 12 PENGARUH TI TERHADAP AUDIT

BAGIAN 12 PENGARUH TI TERHADAP AUDIT
SOP dan Audit Keamanan Keamanan Jaringan Pertemuan 12

SOP dan Audit Keamanan Keamanan Jaringan Pertemuan 12
Mengamankan Sistem Informasi

Mengamankan Sistem Informasi

Presentasi serupa

Iklan oleh Google