Audit Planning

1.1 Phase Audit Sistem Informasi

Dalam melakukan audit terhadap Sistem Informasi, seorang auditor harusmempertimbangkan pengawasan terhadap hal-hal yang berhubungan dengan komputer pada saat melakukan penilaian terhadap integritas, kerahasiaan, dan ketersediaan data komputer. Untuk mendukung kemudahan dalam melakukan audit tersebut, maka ada beberapa phase yang sebaiknya dilakukan :

1.1.1 Phase Perencanaan

Selama phase ini, auditor berusaha mengerti keterhubungan antar operasionalkomputer dan kontrolnya serta resiko yang terkait. Dari sudut pandang resiko yang ada, auditor secara sementara memutuskan kontrol mana yang kelihatannya lebih efektif. Jika kontrol tersebut dirasa efektif dan relevan dengan tujuan audit maka auditor harus menentukan cakupan kerja audit yang dibutuhkan untuk mengkonfirmasi kesimpulan sementara yang dibuatnya.

1.1.2 Phase internal kontrol

Dalam phase ini, auditor memeriksa informasi mengenai kebijakan pengawasan, prosedur dan tujuan serta performa uji dari aktivitas kontrol secara detail. Tujuan dari pemeriksaan ini adalah untuk menentukan apakah kontrol operasional yang ada sudah efektif. Jika kontrol dirasa cukup efektif maka auditor melakukan uji dan evaluasi terhadap kefektifan kontrol terhadap aplikasi tersebut. Sebaliknya jika kontrol dirasa belum efektif maka kontrol pada level aplikasi tidak diuji. Jika tujuan audit mengidentifikasi kelemahan kontrol pada sebuah aplikasi dimana pegawai memiliki kemungkinan potensial untuk melakukan kecurangan, maka penilaian terhadap kontrol aplikasi perlu dilakukan seperti berikut :

- Apakah data dipersiapkan secara lengkap, valid dan bisa dipercaya;

- Apakah data dikonversi secara otomatis dari form dan dimasukkan ke dalam aplikasi seacra akurat, lengkap dan tepat waktu;

- Apakah data diproses oleh aplikasi secara lengkap dan tepat waktu, sesuaikebutuhan, dan

- Apakah output dilindungi dari penyalahgunaan modifikasi atau kerusakan dan distribusi sesuai dengan kebijakan yang ada.

Auditor mengevaluasi dan menguji keefektifan dari kontrol aplikasi melalui observasi terhadap kontrol dari operasional, pengujian dokumentasi terkait,diskusi dengan personil terkait, dan penilaian kembali terhadap kontrol yang telah diuji.

1.1.3 Phase Pengujian

Pada phase ini, pengujian yang dilakukan melibatkan dokumen-dokumen sumber yang mendukung transaksi dalam menentukan apakah dokumen-dokumen tersebut di catat, diproses, dan dilaporkan secara sesuai dan lengkap. Seorang auditor sistem informasi seharusnya didampingi oleh auditor keuangan dalam mengidentifikasi dan menyeleksi transaksi yang diproses oleh komputer untuk diuji.

1.1.4 Phase Pelaporan

Pada phase ini, auditor menghasilkan opini pada akhir periode tentang apakah kontrol internal sudah cukup dalam mengantisipasi pencegahan atau deteksi kerugian, noncompliance atau missstatement yang cukup material berhubungan dengan laporan keuangan.

1.2 Steps to perform audit planning pada ATM

Langkah audit yang dilakukan antara lain:

-Memperoleh pemahaman tentang misi bisnis,tujuan dan proses, yang meliputi informasidan persyaratan pengolahan, seperti ketersediaan, integritas, keamanan dan teknologi bisnis.Pada langkah ini kita harus mempelajari tujuan dan fungsi dari dibangunnya sistem ATM,dimana kita mempelajari proses dari aplikasi system dan data yang menjadi sumber proses ATM tersebut untuk menghasilkan informasi.

Pemahaman ini dimulai dari: Ketersediaan yaitu apakah sistem tersebut mempunyai data yang adadan dapat digunakan untuk melakukan audit.Integritas dilihat bahwa data tersebut saling terkait untuk mendukung proses audit.

Keamanan yaitu data tersebut haruslah aman.

Teknologi bisnis yaitu dapat mempelajari jalannya proses ATM secara umum.

-Mengidentifikasi isi dari informasi bisnis terkait ATM.

Identifikasi tersebut antara lain:

Kebijakan yaitu mempelajari dan memahami prosedur sistem ATM pada pelanggan.

Standar yaitu memahami proses kegiatan pemakain sistem ATM oleh pelanggan. Pedoman yaitu memakai pedoman sistem ATM yang biasa digunakan untuk

melihat kesalahan2 sistem ATM yang tidak sesuai dengan pedoman yang ada. Prosedur yaitu memakai prosedur audit sistem yang terkait dengan kegiatan

sistem informasi bisnis yang berlaku pada perusahaan. Struktur organisasi yaitu mengetahui struktur pihak intern perusahaan yang

terlibat dalam pengolahaan sistem tersebut.

- Evaluasi penilaian risiko dan analisis dampak privasi apapun yang dilakukan oleh manajemen.

Pada tahap ini akan dilakukan kegiatan pemeriksaan sistem manajemen resiko pada ATM apakah sudah berjalan dengan baik untuk melindungi sistem ini dari ancaman,dan mempelajari kembali kegiatan evaluasi yang dilakukan oleh manajemen apakah kegiatan yang dilakukan oleh manajemen menimbulkan resiko pada ATM atau manajemen telah melakukan penyimpamgan dan penyalahgunaan sistem terkait.

Strategi Pelaksanaan Pengujian kontrol

1. Penilaian risiko kontrol berdasar kontrol pengguna

2. Perencanaan risiko kontrol rendah berdasar kontrol aplikasi

3. Perencanaan risiko kontrol tinggi berdasar kontrol umum dan tindak lanjut manual

- Melakukan Analisis resiko.

Untuk menentukan kecenderungan dari dampak negatif, maka ancaman pada sistem IT harus

dianalisa bersamaan dengan potensi kelemahan dan kontrol yang ada pada sistem IT. Rating

kecenderungan dan kelemahan dapat dianalisa dengan melakukan langkah – langkah berikut:

Langkah 1: Informasi Karakteristik Sistem

Karakteristik sistem diperlukan untuk memperoleh informasi sehubungan dengan batasan analisa

risiko yang akan dilakukan serta untuk mendapatkan informasi (seperti hardware, software,

konektivitas, dsb) yang diperlukan dalam menetapkan risiko.

Dalam mengidentifikasi risiko, maka perlu dilakukan pengumpulan informasi yang berhubungan

dengan sistem informasi, yang biasanya dikelompokkan sebagai berikut:

Hardware

Software

Interface sistem (konektivitas internal dan eksternal)

Data dan informasi

Personil yang menjadi support dan pengguna IT

Misi sistem (misalkan proses yang dilakukan sistem IT)

Tingkat kritis sistem dan data

Sensitivitas data dan sistem

Langkah 2: Identifikasi Ancaman

Sebuah ancaman adalah potensi dimana sebuah sumber kejadian berhasil memanfaatkan

kelemahan yang ada. Sebuah sumber ancaman tidak akan menimbulkan risiko jika tidak ada

kelemahan yang dapat dimanfaatkan. Dalam menentukan kecederungan sebuah ancaman, maka

harus dipertimbangkan sumber ancaman, potensi kelemahan dan kontrol yang ada.

Langkah 3: Identifikasi Kelemahan

Kelemahan (vulnerability) adalah celah/cacat pada prosedur keamanan, implementasi, atau

internal control (disengaja maupun tidak) dan mengakibatkan kerugian pada operasional.

Analisa terhadap ancaman dalam sistem IT harus mencakup analisis terhadap kelemahan dalam

lingkungan sistem. Contoh dari kelemahan adalah karyawan yang sudah dikeluarkan masih

tercatat dalam sistem payroll. Tujuan dari tahapan ini adalah untuk mendapatkan list kelemahan

pada sistem yang dapat diungkapkan oleh sumber ancaman.

Langkah 4: Analisa Kontrol

Tujuan dari tahap ini adalah untuk menganalisa kontrol yang sudah diimplementasikan atau

direncanakan untuk diimplementasikan oleh organisasi untuk meminimalisasi atau

menghilangkan kecenderungan (kemungkinan) sebuah ancaman memanfaatkan kelemahan

sistem.

Untuk memperoleh rating kecenderungan yang mengindikasikan kemungkinan sebuah

kelemahan dapat dimanfaatkan dalam lingkungan yang penuh ancaman, implementasi dari

kontrol yang ada dan akan dibangung harus dipertimbangkan. Sebagai contoh, sebuah kelemahan

tidak akan dimanfaatkan atau kecenderungannya rendah jika sumber ancaman rendah atau jika

terdapat kontrol yang efektif.

Langkah 5: Penetapan Kecenderungan

Untuk mendapatkan rating kecenderungan yang mengindikasikan kemungkinan kalau kelemahan

dapat dimanfaatkan oleh ancaman, maka faktor berikut perlu dipertimbangkan:

a. Sumber ancaman

b. Kelemahan yang ada

c. Keberadaan dan efektivitas kontrol yang ada

Langkah 6: Analisa Dampak

Langkah berikutnya dalam melakukan pengukuran level risiko adalah menetapkan dampak

negatif akibat keberhasilan sebuah ancaman memanfaatkan kelemahan yang ada. Sebelum

memulai analisa dampak, pertama kali perlu didapatkan informasi berikut:

a. Misi sistem

b. Tingkat kritis sistem dan data

c. Sensitivitas sistem dan data

Data diatas dapat dipergunakan sebagai dasar dalam menentukan indikator risiko yang dapat

berdampak negatif pada sistem serta menentukan besaran kualitatif dari dampak yang ada.

Langkah 7: Penetapan Risiko

Tujuan dari tahap ini adalah untuk menilai level risiko pada sistem IT. Penetapan risiko untuk

ancaman/kelemahan tertentu dapat digambarkan sebagai ekspresi:

a. Kecenderungan sebuah sumber ancaman mengungkapkan sebuah kelemahan

b. Besaran dampak dimana sebuah sumber ancaman berhasil mengungkapkan sebuah kelemahan

c. Kecukupan control yang ada maupun yang akan diterapkan untuk mengurangi atau

menghilangkan risiko.

Langkah 8: Rekomendasi Kontrol

Selama tahapan proses analisa risiko, kontrol yang dapat memitigasi atau menghilangkan risiko

yang ada harus ditetapkan. Tujuan dari kontrol yang direkomendasikan adalah untuk mengurangi

level risiko pada sistem IT dan datanya sampai pada level yang dapat diterima. Faktor berikut

harus dipertimbangkan dalam merekomendasikan kontrol dan solusi alternatif untuk

meminimalisasi atau mengeliminasi risiko yang ada adalah:

Efektivitas dari opsi yang ditawarkan

Legislasi dan regulasi

Kebijakan organisasi

Dampak operasional

Keamanan dan reliabilitas

-Melakukan pemeriksaan pengendalian internal

Pada tahap ini kegiatan pengendalian intern dapat mencegah kerugian atau pemborosan

pengolahan sumber daya system ATM yang dipakai.Pengendalian intern dapat

menyediakan informasi tentang bagaimana menilai kinerja system ATM dan manajemen

system serta menyediakan informasi yang akan digunakan sebagai pedoman dalam

perencanaan.

Tujuan pengendalian intern adalah menjamin manajemen perusahaan agar:

-Tujuan perusahaan yang ditetapkan akan dapat dicapai.

-Laporan keuangan yang dihasilkan perusahaan dapat dipercaya.

-Kegiatan perusahaan sejalan dengan hukum dan peraturan yang berlaku.

-Mengatur ruang lingkup audit dan tujuan audit

1. Manajemen Proyek

Melakukan review atas manajemen proyek untuk memastikan bahwa semua outcome yang

diharapkan tertuang dalam rencana proyek. Pada tahapan ini, auditor TI melakukan review atas

project charter, sumber daya yang akan digunakan, alokasi penugasan dan analisa tahapan

pekerjaan proyek.

2. Desain Proses dan Pengendalian Kontrol Aplikasi

Review mengenai desain pengendalian dalam modul-modul Perbankan tersebut, yaitu pinjaman

dan tabungan. Untuk itu dilakukan review atas desain proses dimana auditor mengevaluasi

proses, risiko dan pengendalian mulai dari tahapan input, proses maupun output.

3. Desain Infrastruktur

Review ini mencakup analisa efektivitas dan efisiensi desain infrastruktur pendukung (server,

workstation, sistem operasi, database dan komunikasi data).

Hasil follow up dijadikan dasar oleh manajemen untuk memulai implementasi sistem Perbankan

yang terintegrasi tersebut.

Berdasarkan nilai tambah yang diberikan melalui rekomendasi pada fase pertama, perusahaan

menunjuk kembali auditor untuk melakukan review fase kedua secara paralel pada saat

implementasi dilakukan, yaitu review terhadap:

-Migrasi data, pada saat “roll-out” ke cabang-cabang, termasuk kapasitas pemrosesan dan

penyimpanannya.

-Aspek lainnya termasuk persiapan help-desk , contingency dan security .

-Kesiapan pemakai dalam menggunakan sistem ini, kualitas pelatihan yang diberikan dan

dokumentasi pengguna ( user manual )

-Prosedur-prosedur manajemen perubahan ( change management ) dan testing

- Mengembangkan pendekatan audit atau audit strategy

Pada tahap ini pendekatan audit sistem informasi yang dapat dikategorikan ke dalam tiga

kelompok, yaitu : (a) auditing around the computer (b) auditing with the computer dan (c)

auditing throught the computer.

(a) Auditing around the computer, adalah mentrasir balik (trace -back) hasil olahan komputer

antara lain output ke bukti dasarnya antara lain input tanpa melihat prosesnya. Auditing with the

computer, pendekatan ini menitikberatkan pada penggunaan komputer sebagai alat bantu audit .

Alat bantu audit ini berupa komputer dilengkapi dengan software umum audit( enerale audit

software, biasa disingkat GAS)

(b) Auditing with computer yaitu kegiatan audit yang berkenaan dengan sistematika informasi

yang menggunakan perangkat computer sebagai bahan media kegiatan informasi.

(c) Auditing throught the computer, auditor harus memperlakukan komputer sebagai target audit

dan melakukan audit throught atau memasuki area program. Oleh sebab itu pendekatan

Auditing throught the computer termasuk juga dalam CAATs (Computer Assisted

AuditTechnique ) yaitu teknik audit berbantuan komputer (TABK). Beberapa auditor

memutuskan menggunakan pendekatan Auditing throught ini karena alasan berikut :

a. Ketidakmampuan untuk melokalisir source document atau print-out karena memang

rancangan sistem pengarsipan yang digunakan menghendaki demikian.

b. Kekhawatiran bahwa jumlah yang ditunjukkan pada print-out komputer tidak sama dengan

saldo yang ada (ter-record) di file komputer.

- Tetapkan keterlibatan sumber daya personel untuk mengaudit

Suatu daftar periksa untuk menilai seluruh aspek dari manajemen sumber daya manusia dalam

suatu perusahaan.

Langkah langkah dalam proses audit antra lain:

-Memperkenalkan gagasan audit dan menekankan manfaat yang diperoleh

-Memilih personel dengan ketrampilan yang luas dan memberikan pelatihan

-Mengumpulkan data dari tahun yang berbeda dalam organisasi

-Menyiapkan laporan audit untuk manager lini dan evaluasi departemen SDM

-Mendiskusikan laporan dengan manager operasi

-Menyatukan tindakan korektif

1.3 Teknik Pengawasan dan Prosedur Audit pada ATM

Sebelum teknik pengawasan dan prosedur audit dilakukan,identifikasi

sistem merupakan hal utama yang harus dilakukan terlebih dahulu.

Tahapan ini bertujuan untuk mengetahui secara detail mengenai sistem yang

akan diaudit. Beberapa hal yang perlu diperhatikan pada saat identifikasi

adalah :

-diagram keseluruhan sistem Informasi

-organisasi dan staff pada sistem Informasi

-operasional

-kelangsungan operasional

Setelah Identifikasi sistem diketahui, maka teknik pengawasan dan prosedur audit

dapat dilakukan. Berikut adalah tahapan evaluasi dan uji pada sistem informasi yang

harus dilakukan :

1. Akses kontrol (AC)

Pembatasan dan pendeteksian akses ke komputer sumber (data, program, peralatan, dan

fasilitas), dalam rangka melindungi sumber-sumber tersebut dari modifikasi sewenang-

wenang, kehilangan, dan keterbukaan.

Aktivitas kontrol Teknik kontrol Prosedur audit

AC-1. Klasifikasi sumber informasi berdasarkan tingkat kekritisannya dan sensitivitasnya.

Klasifikasi dan kriteria telah dibuat dan dikomunikasikan kepada pemilik sumber. Sumber-sumber diklasifikasikan berdasarkan penilaian resiko. Klasifikasi didokumentasikan dan disetujui oleh senior official yang berwenang dan direview secara periodik.

Review kebijakan dan prosedur tertulis Interview pemilik sumber Review dokumentasi klasifikasi sumber dan bandingkan dengan penilaian resiko. Diskusikan setiap perbedaan yang ada dengan personil terkait.

AC-2. Pemeliharaan daftar otorisasi pemakai dan hak aksesnya.

Apakah hak akses telah: - Didokumentasikan dalam form standar dan diarsipkan dalam file. - Disetujui oleh manajer senior Pemilik secara periodik mereview daftar otorisasi akses dan menentukan apakah masih cocok untuk diterapkan. Setiap perubahan dari profil keamanan oleh manajer secara otomatis di catat dan direview secara periodik oleh independen manajemen dari fungsi keamanan. Aktivitas yang tidak biasa terjadi di investigasi. Apakah otorisasi akses darurat dan sementara:

- didokumentasikan pada format standar dan dipelihara dalam file - disetujui oleh menajer terkait

Review kebijakan dan prosedur tertulis yang terkait Untuk pemilihan user, review dokumentasi otorisasi akses Interview pemilik dan review dokumentasi pendukung Review otorisasi dan penyesuaian Interview security manajer dan review dokumentasi yang mereka hasilkan. Review perubahan profil dan catatan kegiatan. Review kebijakan dan prosedur terkait Bandingkan hak otorisasi tersebut dengan daftar user berwenang pada sistem yang sudah berjalan

- dikomunikasikan secara aman kepada fungsi keamanan - secara otomatis diterminasi setelah periode tertentu

AC-3. Membangun kontrol fisik dan logik untuk mencegah atau mendeteksi hak akses yang tidak berwenang

Identifikasi fasilitas yang sensitif dan kritis Semua ancaman yang serius terhadap sumber fisik telah diidentifkasi dan telah ditentukan keterhubungan resikonya Akses terbatas pada individual yang secara rutin membutuhkan akses melalui tanda pengenal atau entry device (kunci kartu) Manajemen secara reguler mereview daftar orang yang memiliki akses ke fasilitas sensitif dan kritis Kunci atau akses lainnya dibutuhkan untuk masuk kedalam ruang komputer dan penyimpanan tape / media. Password : - unik untuk setiap individu - dikontrol oleh user yang ditugasi dan subjek tidak untuk dibuka - dirubah secara periodik setiap 30 – 90 hari - tidak ditampilkan saat diinput - minimal panjang 6 karakter alphanumerik

File password di enkripsi Software keamanan digunakan untuk akses terbatas Terminal komputer secara otomatis logged off dalam

Review diagram fisik dari layout komputer, telekomunikasi dan fasilitas sistem pendinginan Datangi fasilitas Review analisis resiko Review daftar akses individu Observasi masuk dan keluar dari fasilitas selama dan setelah jam bisnis normal Observasi utilitas akses path Interview manajemen Interview pegawai Review kebijkan dan prosedur terkait Interview user Review parameter password software keamanan Observasi user dalam memakai password Coba log on tanpa password yang benar Lihat contoh dari file password Interview security asministratiors dan sistem user Observasi penggunaan terminal Review parameter software keamanan Review daftar ID yang tidak aktif, dan tentukan kenapa akses dari user tersebut belum diterminasi. Interview database administrator Review parameter DBMS

periode tertentu jika tidak ada aktivitas Account user yang tidak aktif dimonitor dan dihapus jika tidak dibutuhkan Database Management System (DBMS) dan Data Dictionary (DD) kontrol telah diimplementasikan : - akses terbatas pada file data pada logical data view, field, or field level value

- akses kontrol ke DD menggunakan profil security dan password - memelihara jejak audit untuk memonitoring perubahan DD

Penggunaan DBMS dibatasi Peralatan Kriptograpi telah diimplementasikan untuk melindungi integritas dan kerahasiaan data sensitif dan kritis serta program software

dan DD security Uji kontrol dengan mencoba akses pada file-file terbatas Review parameter sistem keamanan Untuk mengevaluasi kriptograpi tools, auditor harus didampingi dengan

AC-4. Pengawasan akses, investigasi pelanggaran, penanganannya

dengan akses ke dan modifikasi dari file sensitif dan kritis di catat Kerusakan keamanan dan aktivitas dilaporkan ke manajemen dan diinvestigasi Kerusakan dibuat ringkasannya dan dilaporkan ke senior manajemen

Review setting software keamanan untuk mengidentifikasi jenis dari catatan kegiatan Review laporan kerusakan pada keamanan Interview senior manajemen dan personil yang bertanggung jawab atas ringkasan kerusakan Review dokumentasi pendukung

2. Software aplikasi

Melindungi program atau modifikasi yang belum diotorisasi untuk

diimplementasikan.


CC-1. Otorisasi fitur-fitur proses dan modifikasi program.

Permintaan perubahan software harus dibuat dalam forms dan didokumentasikan Perubahan software harus disetujui oleh system users dan staff data proses

Identifkasi modifikasi sofware yang ada dan tentukan apakah forms perubahan digunakan Interview staff pengembangan software

CC-2. Tes dan perbaikan software baru dan lama.

Standar rencana uji telah dibuat Detail spesifikasi sistem telah dipersiapkan oleh programer dan direview oleh supervisor programming Perubahan software didokumentasikan dan disetujui Live data tidak digunakan dalam uji perubahan program, kecuali untuk membangun file data uji Uji komprehensif terhadap transaksi dan data dibuat untuk mewakili kondisi dan aktifitas yang berbeda-beda Hasil uji direview dan didokumentasikan Program baru dipindahkan ke mesin produksi hanya jika dokumentasi telah disetujui oleh user dan manajemen pengembangan sistem Prosedur standard untuk mendistribusikan software baru untuk implementasi

Review standar rencana uji Review spesikikasi Trace perubahan dari code ke spesifikasi desain Review rencana uji Bandingkan dokumentasi uji dengan rencana uji yang terkait Analisa kegagalan uji untuk menentukan apakah ini mengindikasikan uji software yang tidak efektif Review uji transaksi dan data Review hasil uji Verifikasi tanggapan user Review update dokumentasi Uji prosedur untuk distribusi sofware baru

CC-3. Perpustakaan kontrol software.

Manajemen perpustakaan software digunakan untuk : - produksi jejak audit dari

terkait Interview personil yang bertanggung jawab terhadap

perubahan program - pemeliharaan jumlah versi program - mencatat dan melaporkan perubahan program - pemliharaan salinan jumlah versi sebelumnya

Source code disimpan dan dipelihara Akses ke seluruh program termasuk production code, source code, dan salinan program tambahan diproteksi dengan sofware akses kontrol dan fitur sistem operasi

pengawasan perpustakaan Lakukan uji coba dengan memilih program yang telah dipelihara dan nilai apakah sesuai dengan prosedur Verifikasi bahwa source code itu ada Tentukan apakah aturan akses kontrol software telah didefinisikan secara jelas Uji akses ke program perpustakaan dengan melihat parameter sistem keamanan

3. Software Sistem(SS)

Mengontrol batasan akses dan memonitor akses ke seluruh program dan file-file sensitif

yang mengontrol hardware komputer dan aplikasi keamanan yang didukung oleh sistem.


SS-1. Batasan akses ke sistem software.

Kebijakan dan prosedur batasan akses ke sistem software ada dan up-to-date Akses ke sistem software dibatasi jumlah personilnya berdasarkan tanggung jawab pekerjaannya. Programer aplikasi secara khusus dilarang untuk mengakses sistem software Dkokumentasi yang menunjukkan penilaian dan persetujuan manajemen untuk mengakses ke sistem software Kapabilitas akses dari sistem programer secara periodik diriview

Review kebijakan dan prosedur terkait Interview personil manajemen dan sistem mengenai batasan Akses Observasi akses personil ke sistem software Uji coba akses ke sistem operasi dan sistem software lainnya. Pilih beberapa sistem programer dan tentukan apakah dokumentasi persetujuan manajemen mendukung hak akses mereka ke sistem sofware Tentukan terakhir kali kapabilitas akses dari sistem

Sistem operasi dikonfigurasikan untuk mencegah penyalahgunaaan keamanan software dan aplikasi kontrol

programmer diriview Uji parameter sistem operasi untuk memverifikasi bahwa konfigurasinya dibuat untuk menjaga integritas dari software keamanan dan aplikasi kontrol

SS-2. Pengawasan akses ke dan pemakaian sistem software.

Kebijakan dan prosedur penggunaan dan monitoring dari utilitas sistem software ada dan up-to-date Tanggung jawab penggunaan utilitas sistem yang sensitif telah didefinisikan dengan jelas dan dimengerti oleh sistem programer Penggunaan utilitas dari sistem sensitif dicatat menggunakan akses kontrol laporan software Penggunaan utilitas dan sistem sofware secara khusus diriview oleh teknikal manajemen Aktivitas sistem programer dimonitor dan direview

Review kebijakan dan prosedur terkait Interview personil manajemen dan system berkaitan dengan tanggung jawabnya Tentukan apakah ada catatan penggunaan dan informasi apa saja yang dicatat Interview teknikal manajemen berkaitan dengan review mereka terhadap penggunaan utilitas dan sistem software secara khusus Review dokumentasi pendukung review mereka Interview supervisor sistem programer untuk menentukan aktivitas mereka sehubungan dengan pengawasan dan monitoring staff mereka Review dokumentasi pendukung

SS-3. Pengawasan perubahan sistem software.

Prosedur identifikasi dan dokumentasi masalah software sistem meliputi : - Otorisasi dan dokumentasi - laporan perubahan untuk reviview manajemen - review oleh supervisor sistem informasi independen

Instalasi software sistem

Review prosedur dan identifikasi dokumentasi masalah software sistem Review penyebab dan frekwensi terjadinya masalah. Review prosedur untuk kontrol dannpersetujuan perubahan darurat Pilih beberapa perubahan darurat pada software

baru dijadwal dan dicatat untuk meminimalkan dampak pada data proses

sistem dan uji apakah prosedur benar-benar dipakai Interview manajemen pusat data mengenai peranan mereka dalam mereview instalasi software sistem

Untuk proses audit pada Automated Teller Machine, tahapan yang dilakukan sama

dengan proses diatas, hanya saja teknik kontrol dan prosedur audit disesuaikan dengan

kondisi yang terdapat pada ATM. Pada modul ini kegiatan audit difokuskan pada aplikasi

Host / ATM center. Adapun beberapa hal yang harus diperhatikan pada audit Host adalah

1. Audit keamanan fisik Host

- Site security and controls (Mis. Siapa saja yang dapat masuk ke ruangan Host ?

- Kesesuaian suhu ruang dengan persyaratan minimum peralatan

2. Audit keamanan sistem

- Cash control (kesesuaian dengan jurnal ATM)

-Transaction processing control

-Penyalahgunaan account management (customer management)

-Penyalahgunaan system management (username, password, database)

-Audit keamanan encryption key

-Penyimpanan key yang dipusatkan pada satu orang

-Penyimpanan key secara sembarangan

Audit Planning

Documents

Transcript of Audit Planning