TUGAS AUDIT SI KELOMPOK

Ahmad Ilham Nursofyan - 107093003043 Bewadin Kartawan Bima - 107093002773 Djoko Febrianto - 107093002917 Mochammad Noor Hudha - 1070930032816 Muchammad Anas - 107093002993 Muh Ali Arafat R - 107093003125 Tejo Suulaksono – 107093002918

1. IS STANDAR AUDIT

S1. PIAGAM AUDIT

Tujuan, tanggung jawab, wewenang dan akuntabilitas dari fungsi audit sistem informasi atau sistem informasi penugasan audit harus didokumentasikan dalam piagam audit atau surat pertunangan.

Piagam audit atau surat penunjukan harus disepakati dan disetujui pada tingkat yang sesuai dalam organisasi (s).

S2. KEMERDEKAAN

Profesional Kemerdekaan:

Dalam semua hal yang berkaitan dengan audit, auditor harus independen dari auditee dalam sikap dan penampilan.

Organisasi Kemerdekaan:

IS fungsi audit harus independen dari daerah atau kegiatan yang dikaji untuk memungkinkan penyelesaian Tujuan dari penugasan audit.

S3. PROFESIONAL ETIKA DAN STANDAR

IS auditor harus mematuhi Kode Etik Profesional ISACA. IS auditor harus berhati perawatan profesional karena, termasuk kepatuhan

terhadap standar audit profesional yang berlaku.

S4. KOMPETENSI PROFESIONAL

IS auditor harus profesional yang kompeten, memiliki keterampilan dan pengetahuan untuk melakukan penugasan audit.

IS auditor harus menjaga kompetensi profesional melalui pendidikan profesi berkelanjutan dan pelatihan yang sesuai.

S5. PERENCANAAN

1

IS auditor harus merencanakan sistem informasi cakupan audit ke alamat tujuan audit dan sesuai dengan hukum yang berlaku dan standar audit profesional.

IS auditor harus mengembangkan dan dokumen berdasarkan audit pendekatan-risiko.

IS auditor harus mengembangkan dan mendokumentasikan rencana audit merinci sifat dan tujuan, waktu, dan lingkup, dan sumber daya yang diperlukan.

IS auditor harus mengembangkan program audit dan prosedur.

S6. KINERJA KERJA AUDIT

Pengawasan-IS staf audit harus diawasi untuk memberikan keyakinan memadai bahwa tujuan audit dicapai dan berlaku standar auditing yang profesional terpenuhi.

Bukti-Selama audit, auditor harus memperoleh, dapat diandalkan dan relevan bukti yang cukup untuk mencapai tujuan audit. temuan audit dan kesimpulan harus didukung oleh analisa yang tepat dan interpretasi dari bukti ini.

Dokumentasi-Proses audit harus didokumentasikan, menggambarkan pekerjaan audit dan bukti audit yang mendukung temuan IS auditor dan kesimpulan.

S7. PELAPORAN

IS auditor harus memberikan laporan, dalam bentuk yang tepat, setelah selesai audit. Laporan tersebut harus mengidentifikasi organisasi, penerima dan setiap pembatasan sirkulasi.

Laporan audit harus menyatakan ruang lingkup, tujuan, periode pertanggungan dan sifat, waktu dan luasnya pekerjaan audit yang dilaksanakan.

Laporan tersebut harus menyatakan temuan, kesimpulan dan rekomendasi dan setiap pemesanan, kualifikasi atau pembatasan dalam lingkup bahwa auditor telah berkaitan dengan audit.

IS auditor harus memiliki bukti audit yang sesuai dan cukup untuk mendukung hasil yang dilaporkan.

Ketika dikeluarkan, IS laporan auditor harus ditandatangani, tanggal dan didistribusikan sesuai dengan ketentuan piagam audit atau surat pertunangan.

S8. TINDAK LANJUT KEGIATAN

Setelah pelaporan temuan dan rekomendasi, IS auditor harus meminta dan mengevaluasi informasi yang relevan untuk menyimpulkan apakah tindakan yang tepat telah diambil oleh manajemen pada waktu yang tepat.

S9. PENYIMPANGAN DAN TINDAK ILEGAL

Dalam merencanakan dan melaksanakan audit untuk mengurangi risiko audit ke tingkat yang rendah, auditor harus mempertimbangkan risiko penyimpangan dan tindakan ilegal.

IS auditor harus menjaga sikap skeptisme profesional selama audit, mengakui kemungkinan bahwa salah saji material akibat penyimpangan dan tindakan

2

ilegal bisa ada, terlepas dari / nya evaluasi nya risiko penyimpangan dan tindakan ilegal.

IS auditor harus memperoleh pemahaman tentang organisasi dan lingkungannya, termasuk pengawasan internal.

IS Auditor harus memperoleh bukti audit yang sesuai dan cukup untuk menentukan apakah manajemen atau orang lain dalam organisasi memiliki pengetahuan tentang apapun, yang diduga atau dugaan penyimpangan dan tindakan ilegal yang sebenarnya.

Ketika melakukan prosedur audit untuk memperoleh pemahaman tentang organisasi dan lingkungannya, IS auditor harus mempertimbangkan atau tak terduga hubungan tidak biasa yang dapat menunjukkan risiko dari salah saji material akibat penyimpangan dan tindakan-tindakan ilegal.

IS auditor harus merancang dan melakukan prosedur untuk menguji kesesuaian pengendalian internal dan manajemen risiko menimpa kontrol.

Ketika auditor mengidentifikasi salah saji, maka auditor harus menilai apakah seperti salah saji mungkin merupakan indikasi dari suatu penyimpangan atau tindakan ilegal. Jika ada indikasi tersebut, IS auditor harus mempertimbangkan implikasi dalam hubungannya dengan aspek lain dari audit dan khususnya representasi dari manajemen.

IS auditor harus memperoleh representasi tertulis dari manajemen minimal setiap tahun atau lebih sering tergantung pada jasa audit. Hal ini harus:

o Bertanggung jawab untuk desain dan implementasi pengendalian internal untuk mencegah dan mendeteksi penyimpangan atau tindakan ilegal

o Mengungkapkan kepada IS auditor hasil penilaian risiko bahwa mungkin ada salah saji material sebagai akibat dari suatu penyimpangan atau tindakan ilegal

o Mengungkapkan kepada auditor IS pengetahuannya tentang penyimpangan atau tindakan ilegal yang mempengaruhi organisasi dalam hubungannya dengan:

Manajemen Karyawan yang memiliki peran penting dalam pengendalian

internal o Mengungkapkan kepada auditor IS pengetahuan terhadap setiap

dugaan penyimpangan atau tindakan ilegal, atau penyimpangan dicurigai atau tindakan ilegal yang mempengaruhi organisasi seperti yang disampaikan oleh karyawan, mantan karyawan, regulator dan lain-lain

Jika auditor telah mengidentifikasi ketidakteraturan material atau tindakan ilegal, atau informasi mendapatkan bahwa ketidakteraturan material atau tindakan ilegal mungkin ada, IS auditor harus mengkomunikasikan hal ini ke tingkat manajemen yang sesuai secara tepat waktu.

Jika auditor telah mengidentifikasi ketidakteraturan material atau tindakan ilegal yang melibatkan manajemen atau karyawan yang memiliki peran penting dalam pengendalian internal, auditor harus mengkomunikasikan hal ini pada waktu yang tepat untuk mereka yang dituduh dengan pemerintahan.

IS auditor harus menasihati tingkat manajemen yang sesuai dan mereka yang dituduh dengan pemerintahan kelemahan material dalam desain dan pelaksanaan pengendalian internal untuk mencegah dan mendeteksi

3

penyimpangan dan tindakan ilegal yang mungkin datang ke auditorís perhatian IS selama audit.

Jika auditor menemukan keadaan yang luar biasa yang mempengaruhi kemampuan IS auditorís untuk terus melakukan audit karena salah saji material atau tindakan ilegal, IS auditor harus mempertimbangkan dan profesional tanggung jawab hukum yang berlaku di keadaan, termasuk apakah ada persyaratan untuk auditor untuk melaporkan kepada mereka yang masuk ke dalam pertunangan atau dalam beberapa kasus, mereka yang dituduh dengan atau peraturan otoritas pemerintahan atau mempertimbangkan menarik diri dari pertunangan.

IS Auditor harus mendokumentasikan semua komunikasi, perencanaan, hasil, evaluasi dan kesimpulan yang berkaitan dengan penyimpangan material dan tindakan ilegal yang telah dilaporkan kepada manajemen, mereka yang dituduh dengan pemerintahan, regulator dan lain-lain.

S10. PEMERINTAHAN IT

IS auditor harus meninjau dan menilai apakah fungsi IS sejajar dengan misi organisationís, visi, nilai-nilai, tujuan dan strategi.

IS auditor harus meninjau apakah fungsi IS memiliki pernyataan yang jelas tentang kinerja yang diharapkan oleh bisnis (efektivitas dan efisiensi) dan menilai pencapaiannya.

IS auditor harus meninjau dan menilai efektivitas IS dan kinerja proses manajemen sumber daya.

IS auditor harus meninjau dan menilai kepatuhan terhadap, lingkungan dan informasi, kualitas dan fidusia dan keamanan persyaratan hukum.

Sebuah pendekatan berbasis risiko harus digunakan oleh auditor untuk mengevaluasi fungsi IS.

IS auditor harus meninjau dan menilai lingkungan pengendalian organisasi. IS auditor harus meninjau dan menilai risiko yang buruk dapat mempengaruhi

IS lingkungan.

S11. PENGGUNAAN PENILAIAN RISIKO DI AUDIT PERENCANAAN

IS auditor harus menggunakan teknik penilaian yang sesuai risiko atau pendekatan dalam mengembangkan keseluruhan rencana audit IS dan dalam menentukan prioritas alokasi sumber daya efektif dari IS audit.

Ketika merencanakan review individu, IS auditor harus mengidentifikasi dan menilai risiko yang relevan dengan daerah yang sedang diperiksa.

S12. AUDIT Materialitas

IS auditor harus mempertimbangkan materialitas audit dan hubungannya dengan audit risiko sementara menentukan sifat, waktu, dan luasnya prosedur audit.

Sedangkan perencanaan audit, auditor harus mempertimbangkan potensi kelemahan atau tidak adanya kontrol dan apakah kelemahan atau tidak adanya kontrol bisa mengakibatkan menjadi kekurangan yang signifikan atau kelemahan yang material dalam sistem informasi.

4

IS auditor harus mempertimbangkan efek kumulatif dari kekurangan kontrol minor atau kelemahan dan tidak adanya kontrol untuk menerjemahkan ke dalam kekurangan yang signifikan atau kelemahan yang material dalam sistem informasi.

Laporan auditor harus mengungkapkan kontrol efektif atau tidak adanya kontrol dan pentingnya kekurangan kontrol dan kemungkinan kelemahan ini mengakibatkan kekurangan signifikan atau kelemahan yang material.

S13. MENGGUNAKAN KERJA AHLI LAINNYA

IS auditor harus, dimana tepat, pertimbangkan untuk menggunakan karya para ahli lain untuk audit.

IS auditor harus menilai dan puas dengan kualifikasi profesional, kompetensi, pengalaman yang relevan, sumber daya, kemandirian dan proses kontrol kualitas ahli lain, sebelum pertunangan.

IS auditor harus menilai, meninjau dan mengevaluasi kerja para ahli lainnya sebagai bagian dari audit dan menyimpulkan tingkat penggunaan dan ketergantungan pada itu kerja ahli.

IS auditor harus menentukan dan menyimpulkan apakah kerja para ahli lain adalah cukup dan lengkap untuk memungkinkan auditor untuk menyimpulkan pada tujuan audit saat ini harus seperti itu. Kesimpulan secara jelas didokumentasikan.

IS auditor harus menerapkan prosedur tes tambahan untuk memperoleh bukti audit yang sesuai dan memadai dalam keadaan di mana pekerjaan ahli lainnya tidak memberikan bukti audit yang sesuai dan memadai.

IS auditor harus memberikan opini audit yang sesuai dan termasuk batasan ruang lingkup di mana bukti-bukti yang diperlukan tidak diperoleh melalui prosedur pengujian tambahan.

S14. BUKTI AUDIT

IS Auditor harus memperoleh bukti audit yang sesuai dan cukup untuk menarik kesimpulan yang wajar yang menjadi dasar hasil audit.

IS auditor harus mengevaluasi kecukupan bukti audit yang diperoleh selama audit.

S15. IT KONTROL

IS auditor harus mengevaluasi dan mengawasi kontrol yang merupakan bagian integral dari lingkungan pengendalian internal organisasi.

IS auditor harus membantu manajemen dengan memberikan saran mengenai, desain, operasi dan peningkatan implementasi TI kontrol.

2.1 IS AUDITING GUIDELINE

G1. USING THE WORK OF OTHER EXPERTS Saling ketergantungan pelanggan dan pemasok 'pengolahan dan outsourcing

kegiatan non-inti berarti bahwa auditor (internal atau eksternal) akan sering menemukan bahwa bagian-bagian lingkungan yang diaudit dikendalikan dan

5

diaudit oleh fungsi independen lain atau organisasi. Pedoman ini menetapkan bagaimana auditor harus memenuhi standar di atas dalam keadaan ini. Kepatuhan terhadap pedoman ini tidak wajib, tetapi auditor harus siap untuk membenarkan penyimpangan dari itu.

IS auditor harus mempertimbangkan untuk menggunakan karya ahli lainnya dalam audit ketika ada kendala yang bisa mengganggu pekerjaan audit yang harus dilakukan atau potensi keuntungan dalam kualitas audit. Contoh ini adalah pengetahuan yang diperlukan oleh sifat teknis dari tugas-tugas yang akan dilakukan, sumber daya audit langka dan pengetahuan terbatas bidang tertentu audit. Seorang 'pakar' bisa menjadi auditor dari kantor akuntan publik, seorang konsultan manajemen, seorang ahli IT atau ahli di bidang audit yang telah ditunjuk oleh manajemen puncak atau oleh tim audit IS. Seorang ahli bisa internal atau eksternal bagi suatu organisasi selama independensi dan obyektivitas dipertahankan.

G2. AUDIT EVIDENCE REQUIREMENT Tujuan dari pedoman ini adalah untuk memandu auditor untuk memperoleh

bukti audit yang cukup dan tepat dan menarik kesimpulan yang wajar yang menjadi dasar hasil audit.

Pedoman ini memberikan panduan dalam menerapkan standar auditing IS. IS auditor harus mempertimbangkan itu dalam menentukan bagaimana mencapai penerapan standar tersebut di atas, gunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

G3. USE OF COMPUTER-ASSISTED AUDIT TECHNIQUES (CAATs) Sebagai entitas meningkatkan penggunaan sistem informasi untuk merekam,

bertransaksi dan mengolah data, kebutuhan IS IS auditor untuk menggunakan alat untuk cukup menilai risiko menjadi bagian integral dari cakupan audit. Penggunaan teknik audit dengan bantuan komputer (CAATs) berfungsi sebagai alat penting bagi auditor untuk mengevaluasi lingkungan pengendalian secara efisien dan efektif. Penggunaan CAATs dapat mengakibatkan peningkatan cakupan audit, analisis yang lebih menyeluruh dan konsisten data, dan pengurangan risiko.

CAATs meliputi berbagai jenis alat dan teknik, seperti perangkat lunak audit umum, query disesuaikan atau script, software utilitas, perangkat lunak pelacakan dan pemetaan, dan sistem audit ahli.

CAATs dapat digunakan dalam melakukan berbagai prosedur audit termasuk:o Pengujian rincian transaksi dan saldoo Analytical review proseduro Kepatuhan tes IS pengendalian umumo Kepatuhan tes IS pengendalian aplikasio Penetrasi pengujian

CAATs dapat menghasilkan sebagian besar bukti audit yang dikembangkan pada IS audit dan, sebagai hasilnya, IS auditor harus hati-hati merencanakan dan pameran perawatan profesional karena dalam penggunaan CAATs.

Pedoman ini memberikan panduan dalam menerapkan standar auditing IS. IS auditor harus mempertimbangkan itu dalam menentukan bagaimana mencapai

6

penerapan standar tersebut, menggunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

Pedoman ini harus diterapkan dalam menggunakan CAATs terlepas dari apakah yang bersangkutan adalah auditor auditor.

G4. OUTSOURCING OF IS ACTIVITIES TO OTHER ORGANISATIONS Sebuah organisasi (pengguna layanan) dapat sebagian atau seluruhnya

mendelegasikan sebagian atau seluruh kegiatan yang IS ke penyedia layanan seperti eksternal (operator selular).Penyedia layanan bisa berupa penukaran menggunakan sistem pengguna jasa atau luar kantor menggunakan sistem sendiri. IS kegiatan yang bisa outsourcing meliputi IS fungsi seperti operasi data center, keamanan, dan pengembangan aplikasi sistem dan pemeliharaan.

Tanggung jawab untuk menetapkan sesuai dengan kontrak, perjanjian dan peraturan tetap dengan pengguna jasa.

Hak untuk melakukan audit seringkali tidak jelas. Tanggung jawab untuk pemenuhan audit juga sering tidak jelas. Tujuan dari pedoman ini adalah untuk menetapkan bagaimana auditor harus memenuhi standar S1, S5 dan S6 dalam situasi ini.

Pedoman ini memberikan panduan dalam menerapkan IS Audit Standar. IS auditor harus mempertimbangkan itu dalam menentukan bagaimana

mencapai penerapan standar tersebut, menggunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

G5. AUDIT CHARTER Tujuan dari pedoman ini adalah untuk membantu auditor untuk menyiapkan

piagam audit untuk menentukan tanggung jawab, wewenang dan akuntabilitas IS fungsi audit. Pedoman ini ditujukan terutama pada fungsi audit internal IS, namun aspek yang dapat dipertimbangkan untuk keadaan lain.

Pedoman ini memberikan panduan dalam menerapkan standar auditing IS. IS auditor harus mempertimbangkan itu dalam menentukan bagaimana mencapai penerapan standar tersebut di atas, gunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

G6. MATERIALITY CONCEPTS FOR AUDITING INFORMATION SYSTEMS

IS vs Audit Keuangano Tidak seperti auditor keuangan, IS auditor memerlukan patokan yang

berbeda untuk mengukur materialitas. auditor keuangan biasanya mengukur materialitas dalam hal moneter, karena apa yang mereka audit juga diukur dan dilaporkan dalam istilah moneter. IS auditor biasanya melakukan audit item non-keuangan, misalnya Akses kontrol fisik, kontrol akses logis, kontrol program perubahan, dan sistem untuk manajemen personalia, manufaktur kontrol, desain, kontrol kualitas, generasi password, produksi kartu kredit dan perawatan pasien. Oleh karena itu, IS auditor mungkin membutuhkan bimbingan tentang bagaimana materialitas harus dinilai untuk merencanakan audit secara efektif, bagaimana memfokuskan upaya mereka pada daerah berisiko

7

tinggi dan bagaimana menilai keparahan dari setiap kesalahan atau kelemahan yang ditemukan.

o Pedoman ini memberikan panduan dalam menerapkan standar auditing IS pada materialitas audit. IS auditor harus mempertimbangkan itu dalam menentukan bagaimana mencapai penerapan standar tersebut di atas, gunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

G7. DUE PROFESSIONAL CARE Tujuan dari pedoman ini adalah untuk memperjelas 'perawatan karena

profesional' istilah yang berlaku untuk kinerja audit sesuai dengan standar S3 Standar Auditing IS. Anggota dan pemegang sertifikasi ISACA diharapkan untuk mematuhi Kode Etik Profesional ISACA; kegagalan dapat menyebabkan penyelidikan anggota melakukan / pemegang sertifikasi dan akhirnya tindakan disiplin, jika perlu pedoman tersebut memberikan pedoman dalam menerapkan IS Audit Standar dan mematuhi Kode Etik Profesional ISACA pelaksanaan tugas dengan due diligence dan perawatan profesional.

IS auditor harus mempertimbangkan itu dalam menentukan bagaimana mencapai penerapan standar tersebut, menggunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

G8. AUDIT DOCUMENTATION Tujuan dari pedoman ini adalah untuk menggambarkan dokumentasi bahwa

auditor harus mempersiapkan dan mempertahankan untuk mendukung audit. Pedoman ini memberikan panduan dalam menerapkan standar auditing IS. IS

auditor harus mempertimbangkan itu dalam menentukan bagaimana mencapai penerapan standar tersebut, menggunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

G9. AUDIT PERTIMBANGAN UNTUK PENYIMPANGAN DAN TINDAKAN ILEGAL

Tujuan dari pedoman ini adalah untuk memberikan panduan kepada IS auditor untuk menangani kegiatan yang tidak teratur atau ilegal mereka mungkin menemukan selama kinerja penugasan audit.

Standar S9 Penyimpangan dan Ilegal Kisah menguraikan mengenai persyaratan dan pertimbangan oleh IS auditor untuk penyimpangan dan tindakan-tindakan ilegal. Pedoman ini memberikan panduan dalam menerapkan standar auditing IS. IS auditor harus mempertimbangkan itu dalam menentukan bagaimana mencapai penerapan standar sebelumnya diidentifikasi, menggunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

G10. AUDIT SAMPLING Tujuan dari pedoman ini adalah untuk memberikan pedoman kepada auditor

untuk merancang dan memilih sampel audit dan mengevaluasi hasil sampel. Sampling yang sesuai dan evaluasi akan memenuhi persyaratan dari 'bukti

8

yang cukup, handal, relevan dan berguna' dan 'didukung oleh analisa yang tepat.

IS auditor harus mempertimbangkan teknik seleksi yang menghasilkan sampel yang representatif statistik berbasis kepatuhan melakukan atau pengujian substantif. Contoh pengujian kepatuhan kontrol, dimana sampling bisa dipertimbangkan, termasuk hak akses pengguna, prosedur perubahan program pengendalian, dokumentasi prosedur, dokumentasi program, tindak lanjut terhadap pengecualian, penelaahan atas log dan perangkat lunak audit lisensi.

Contoh tes substantif, dimana sampling bisa dipertimbangkan, termasuk reperformance dari perhitungan yang rumit (misalnya, bunga) pada sampel rekening, sampel dari transaksi untuk menjamin untuk dokumentasi pendukung, dll.

Pedoman ini memberikan panduan dalam menerapkan IS Audit Standar. IS auditor harus mempertimbangkan itu dalam menentukan bagaimana untuk mencapai pelaksanaan S6 standar, gunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

Referensi lain yang berguna pada sampling audit meliputi Standar Internasional tentang Audit # 530 Sampling Audit dan Prosedur Pengujian Selektif Lainnya, yang dikeluarkan oleh Federasi Akuntan Internasional (IFAC).

G11. PENGARUH Pervasive ADALAH KONTROL Pengelolaan dan pemantauan dari setiap departemen, organisasi atau fungsi

memiliki mempengaruhi cara di mana organisasi, departemen atau fungsi berperilaku, termasuk cara yang berlaku kontrol. Prinsip ini berlaku sebanyak dengan penggunaan IS seperti halnya untuk sebuah organisasi manufaktur, departemen hutang atau fungsi perbendaharaan.

Efektivitas rinci IS kontrol dioperasikan dalam sebuah organisasi dibatasi oleh efektivitas pengelolaan dan pemantauan penggunaan sistem informasi dalam organisasi secara keseluruhan. Hal ini sering diakui dalam pedoman audit keuangan, dimana pengaruh dari 'umum' kontrol di lingkungan IS pengendalian 'aplikasi' dalam sistem keuangan diakui.

IT Governance Institute's COBIT framework dapat membantu auditor dalam membedakan antara:

o Rincian IS kontrol yang secara langsung relevan dengan lingkup IS

audito Fitur dari IS pengelolaan dan pemantauan yang berkontribusi

terhadap jaminan dan dapat diperoleh oleh auditor dalam hubungannya dengan yang rinci IS control

Jenderal / aplikasi split kontrol dirancang khusus untuk diterapkan pada audit yang bertujuan untuk membentuk opini tentang pengolahan data integritas, sistem ketersediaan untuk pengguna bisnis dan kerahasiaan informasi bisnis.

Ketika auditor internal dan konsultan independen melakukan IS audit, tujuan audit dan cakupan yang biasanya berbeda dari yang untuk bisnis proses

9

termasuk audit keuangan. Sistem yang digunakan adalah kombinasi proses manual dan komputer, dan tujuan kontrol harus untuk seluruh proses, yang mungkin baik yang lebih luas atau sempit daripada proses bisnis termasuk catatan informasi akuntansi. Oleh karena itu, kerangka kontrol yang digunakan untuk audit proses bisnis mungkin tidak sesuai untuk beberapa IS audit.

Untuk membentuk pendapat atas efektivitas pengendalian rinci sedang diaudit, IS auditor harus mempertimbangkan kebutuhan untuk menilai efektivitas manajemen dan pemantauan sistem informasi, bahkan di mana hal-hal tersebut berada di luar lingkup disepakati untuk audit. Hasil dari pertimbangan-pertimbangan tersebut dapat berkisar dari perpanjangan lingkup setuju untuk laporan yang memenuhi syarat.

Jumlah total penduduk pengendalian pengelolaan dan pemantauan yang luas, dan beberapa kontrol ini mungkin tidak relevan dengan tujuan audit spesifik. Untuk menilai risiko audit dan menentukan pendekatan audit yang sesuai, IS auditor diperlukan suatu metode terstruktur untuk menentukan:

o Mereka kontrol manajemen dan monitoring yang relevan dengan

ruang lingkup dan tujuan audito Mereka kontrol manajemen dan monitoring yang harus diuji

o Dampak dari manajemen yang relevan dan kontrol pemantauan

terhadap opini auditHal ini dapat dicapai dengan menggunakan kerangka kontrol khusus untuk penggunaan IS dan teknologi yang terkait, yang dapat membantu auditor untuk fokus pada kontrol kunci yang mempengaruhi sistem informasi dan operasi yang diaudit.

IS auditor harus mempertimbangkan itu dalam menentukan bagaimana mencapai penerapan standar tersebut di atas, gunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

G12. ORGANISASI HUBUNGAN DAN KEMERDEKAAN Tujuan dari pedoman ini adalah untuk memperluas arti 'kemerdekaan'

sebagaimana digunakan dalam standar dan S2 untuk mengatasi IS auditor sikap dan kemandirian dalam IS audit.

Pedoman ini memberikan panduan dalam menerapkan standar auditing IS. IS auditor harus mempertimbangkan itu dalam menentukan bagaimana mencapai penerapan standar tersebut, menggunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

G13. PENGGUNAAN PENILAIAN RISIKO DI AUDIT PERENCANAAN Tingkat pekerjaan audit yang diperlukan untuk memenuhi tujuan audit spesifik

adalah keputusan subyektif yang dibuat oleh auditor.Risiko mencapai suatu kesimpulan yang salah berdasarkan temuan audit (risiko audit) merupakan salah satu aspek dari keputusan ini.Yang lainnya adalah risiko dari kesalahan yang terjadi di area yang diaudit (risiko kesalahan). praktek Disarankan untuk penilaian risiko dalam melaksanakan audit keuangan dengan baik didokumentasikan dalam standar audit untuk auditor keuangan, namun

10

panduan diperlukan pada bagaimana menerapkan teknik tersebut untuk IS audit.

manajemen juga dasar keputusan mereka tentang bagaimana kontrol banyak yang tepat pada saat penilaian tingkat eksposur risiko yang mereka siap untuk menerima.Anggota  Sebagai contoh, ketidakmampuan untuk proses aplikasi komputer untuk jangka waktu adalah sebuah pemaparan yang dapat hasil dari kejadian tak terduga dan tidak diinginkan (misalnya, data kebakaran tengah). Eksposur dapat dikurangi dengan implementasi pengendalian yang dirancang tepat. Pengendalian tersebut biasanya didasarkan pada estimasi probabilistik terjadinya efek samping dan dimaksudkan untuk mengurangi probabilitas tersebut. Misalnya, alarm kebakaran tidak mencegah kebakaran, tetapi dimaksudkan untuk mengurangi tingkat kerusakan kebakaran.

Pedoman ini memberikan panduan dalam menerapkan IS Audit Standar. IS auditor harus mempertimbangkan itu dalam menentukan bagaimana untuk mencapai penerapan standar S5 dan S6, menggunakan penilaian profesional dalam penerapannya, dan bersiaplah untuk membenarkan keberangkatan apapun.

G14. SISTEM APLIKASI ULASAN Tujuan dari pedoman ini adalah untuk menggambarkan praktek-praktek yang

direkomendasikan dalam melakukan tinjauan sistem aplikasi. Tujuan dari meninjau aplikasi sistem ini adalah untuk mengidentifikasi,

dokumen, pengujian dan mengevaluasi pengendalian atas suatu aplikasi yang dilaksanakan oleh organisasi untuk mencapai tujuan pengendalian yang relevan. Sasaran pengendalian dapat dikategorikan ke dalam tujuan kontrol atas sistem dan data yang terkait.

G16. PENGARUH PIHAK KETIGA PADA AN ENTERPRISE'S IT CONTROLS

Pedoman ini mengatur bagaimana auditor harus sesuai dengan Standar ISACA IS Auditing dan COBIT ketika mengkaji efek pihak ketiga telah di perusahaan IS kontrol dan tujuan pengendalian yang terkait.

Pedoman ini tidak dimaksudkan untuk memberikan panduan tentang bagaimana auditor IS laporan tentang kontrol penyedia pihak ketiga sesuai dengan entitas standar-setelan lainnya.

G18. TATA TI The COBIT ® Ringkasan Eksekutif menyatakan: "Organisasi harus memenuhi

persyaratan kualitas, fidusia dan keamanan informasi mereka, seperti untuk seluruh aset. Manajemen juga harus mengoptimalkan penggunaan sumber daya yang tersedia termasuk data, sistem aplikasi, teknologi, fasilitas dan orang. Untuk melaksanakan tanggung jawab ini, serta untuk mencapai tujuannya, manajemen harus menetapkan sistem pengendalian internal yang memadai. "

11

Penggunaan teknologi dalam semua aspek dari usaha-usaha ekonomi dan sosial telah menciptakan ketergantungan yang kritis pada teknologi informasi untuk memulai, merekam, bergerak, dan mengelola semua aspek transaksi ekonomi, informasi dan pengetahuan, menciptakan tempat penting bagi pengelolaan TI dalam pemerintahan perusahaan.

profil Tinggi (misalnya: kegagalan sistem yang dihasilkan dari serangan virus, kehilangan kepercayaan atau ketersediaan sistem karena hacking situs web) yang dialami oleh berbagai organisasi sektor publik dan swasta telah memfokuskan perhatian pada isu tata kelola perusahaan.masalah  Cara formal dimana pelepasan tanggung jawab manajemen untuk membangun suatu sistem pengendalian internal yang efektif terhadap kegiatan organisasi operasional dan keuangan dapat tunduk pada pengawasan publik dan seringkali merupakan bagian dari ruang lingkup audit baik internal maupun eksternal auditor IS.

Tujuan dari pedoman ini adalah untuk memberikan informasi tentang bagaimana sebuah IS auditor harus pendekatan audit atas pengelolaan TI, meliputi posisi organisasi yang tepat dari auditor yang bersangkutan, masalah untuk dipertimbangkan dalam perencanaan audit, dan bukti untuk meninjau saat melakukan audit.Pedoman ini juga memberikan panduan tentang pelaporan garis dan isi dan pekerjaan tindak lanjut yang harus dipertimbangkan.

G22. ULASAN E-COMMERCE BISNIS KE-KONSUMEN Pedoman ini menjelaskan praktek-praktek yang disarankan dalam

melaksanakan kajian inisiatif B2C e-commerce dan aplikasi, sehingga relevan IS Audit Standar dipenuhi selama pemeriksaan.

G23. ULASAN SYSTEM DEVELOPMENT LIFE CYCLE (SDLC) Untuk mendukung operasi bisnis, organisasi menerapkan sistem

aplikasi. Proses mendefinisikan, mendapatkan dan menerapkan sistem aplikasi melibatkan berbagai tahapan dari mengidentifikasi persyaratan untuk benar-benar menerapkan sistem aplikasi dan umumnya disebut sebagai siklus hidup pengembangan sistem (SDLC). Pedoman ini dimaksudkan untuk memberikan bimbingan yang diperlukan untuk IS auditor dalam melaksanakan review dari SDLC sistem aplikasi.

G24. INTERNET BANKING Tujuan dari pedoman ini adalah untuk menggambarkan praktek-praktek yang

disarankan untuk melakukan penelaahan atas inisiatif internet banking, aplikasi dan implementasi, serta untuk membantu mengidentifikasi dan mengendalikan risiko yang terkait dengan kegiatan ini, sehingga relevan IS Audit Standar dipenuhi dengan selama pemeriksaan.

G25 .TINJAUAN JARINGAN VIRTUAL PRIVATE Tujuan dari pedoman ini adalah untuk menggambarkan praktek-praktek yang

disarankan dalam melaksanakan penelaahan virtual private network (VPN)

12

implementasi sehingga relevan IS Audit Standar dipenuhi selama pemeriksaan.

G26. REKAYASA ULANG PROSES BISNIS (BPR) PROYEK ULASAN Manufaktur dan organisasi pelayanan sedang mengambil meningkatkan minat

rekayasa ulang proses bisnis (BPR) untuk mendukung evolusi mereka dalam dinamis dan cepat perubahan lingkungan bisnis. BPR menawarkan kesempatan yang sangat berharga untuk mencapai terobosan nyata dalam kinerja bisnis, tetapi juga memperkenalkan risiko, misalnya, dalam kasus rekayasa ulang pilihan yang salah atau tidak memadai pelaksanaan perubahan dibuat.

Reengineering melibatkan perubahan yang komprehensif yang tidak hanya untuk proses bisnis tetapi untuk struktur manajemen dan dukungan, orang dan sistem organisasi, teknologi dan informasi, dan kebijakan dan peraturan. Itu berarti bahwa proyek BPR memiliki efek yang kuat pada sistem pengendalian organisasi yang telah menerapkan BPR. Secara khusus, ada peningkatan risiko yang mengendalikan esensial direkayasa ulang keluar dari proses untuk mempercepat transaksi bisnis. Oleh karena itu, auditor harus menyadari dan mendukung untuk manajemen yang kontrol, meskipun mereka muncul di alam untuk memperlambat proses ke bawah, adalah keharusan untuk menghindari risiko yang tidak dapat dengan mudah dikelola atau diukur baik kemungkinan atau efek.

Tujuan dari pedoman ini adalah untuk memberikan IS auditor dengan isu-isu rekayasa ulang dasar sebagai kerangka kerja untuk menilai tugas-tugas kunci dan risiko yang terkait dengan proyek BPR dengan perhatian khusus pada aspek IS.

G27. MOBILE COMPUTING Mobile dan komputasi nirkabel merupakan fenomena yang sudah mulai

menarik perhatian yang signifikan dalam operasi bisnis di seluruh dunia. Komputasi mobile dan nirkabel mengacu pada penggunaan teknologi komunikasi nirkabel untuk mengakses aplikasi berbasis jaringan dan informasi dari berbagai perangkat mobile. Meningkatnya penggunaan teknologi ini dan proliferasi perangkat portable baru dengan kemampuan browsing internet memperluas batas-batas fisik organisasi dan membutuhkan auditor untuk memahami teknologi ini untuk mengidentifikasi risiko yang terkait.

Pedoman ini memberikan panduan dalam menerapkan standar auditing S1 IS, S4 dan S5 ketika keamanan komputasi selular akan ditinjau sebagai bagian dari penugasan audit atau sebagai suatu tinjauan independen. IS auditor harus mempertimbangkan pedoman ini dalam menentukan bagaimana mencapai penerapan standar tersebut, menggunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

G28. forensik computer

13

IS auditor sering diminta untuk memberi nasehat tentang penipuan atau kejanggalan yang dibuat menggunakan sistem komputer atau telekomunikasi (kejahatan komputer) dan untuk memeriksa kepatuhan organisasi dengan undang-undang yang berkaitan dengan komputer atau peraturan. Sebuah pemahaman dasar forensik komputer diperlukan untuk membantu organisasi mendeteksi atau mencegah penyimpangan tersebut. Dokumen ini dimaksudkan untuk membantu auditor dalam mencapai tujuan ini.

Tujuan utama dari komputer forensik adalah untuk menetapkan kebenaran di balik situasi tertentu dengan segera menangkap data untuk mengidentifikasi penyerang dan menetapkan bukti untuk proses pidana untuk membantu penegakan hukum. Hal ini juga membantu organisasi dalam melindungi aset informasi dari serangan di masa depan dan dalam mendapatkan pemahaman tentang penyerang dan serangan. Karakteristik utama adalah:

o Menekankan kebutuhan untuk segera menanggapi atau bukti akan hilang / dirusak.

o Tangkap dan melestarikan data dekat dengan pelanggaran mungkin.o bukti forensik melestarikan potensi untuk masuk di pengadilan.o Data Minimal invasif menangkap proses tanpa gangguan terhadap

operasi bisniso Mengidentifikasi penyerang dan menetapkan bukti.

Selama melakukan penyelidikan komputer, adalah penting bahwa kerahasiaan dipertahankan dan integritas didirikan untuk data dan informasi yang dikumpulkan dan dibuat tersedia untuk pihak yang berwenang saja. IS auditor akan memainkan peran penting dalam kasus tersebut dan dapat membantu organisasi dengan menunjukkan apakah nasihat hukum dianjurkan dan yang aspek-aspek teknis dari IS lingkungan membutuhkan pemeriksaan yang sesuai. Mungkin ada contoh adalah auditor dapat diberikan informasi tentang ketidakteraturan yang dicurigai atau tindakan ilegal dan mungkin akan diminta untuk menggunakan kemampuan analisis data untuk mengumpulkan informasi lebih lanjut.

Komputer forensik telah diterapkan di sejumlah bidang termasuk, namun tidak terbatas pada, penipuan, spionase, pembunuhan menyalahgunakan komputer, pemerasan,, teknologi pelecehan, fitnah, mail berbahaya, kebocoran informasi, pencurian kekayaan intelektual, pornografi, spamming, hacking dan ilegal transfer dana.Komputer forensik melibatkan analisis rinci tentang kejadian di dunia maya dan pengumpulan bukti. Pedoman ini menjelaskan secara singkat unsur-unsur forensik komputer dengan tujuan untuk membantu auditor dalam mempertimbangkan aspek-aspek seperti dijamin oleh situasi selama pelaksanaan tugas. IS Auditor juga harus mengkomunikasikan kebutuhan forensik komputer untuk penyelidikan internal, yang membuat sebuah persentase besar dari penyelidikan forensik (vs serangan eksternal):

o Whistle-blower pengaduano HR investigasio Penipuan investigasi

14

o Kepatuhan investigasi-menegakkan kepatuhan terhadap mandat hukum dan pedoman industri (misalnya, Sarbanes-Oxley, NIST, FISMA)

Pedoman ini memberikan panduan dalam menerapkan standar auditing S3 IS Etika Profesi dan Standar, Kompetensi Profesional S4, S5 Perencanaan, S6 Kinerja Kerja Audit, ketika melakukan review komputer forensik. IS auditor harus mempertimbangkan itu dalam menentukan bagaimana mencapai penerapan standar tersebut, menggunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

Pedoman Aplikasi o Ketika menerapkan pedoman ini, IS auditor harus mempertimbangkan

bimbingan sehubungan dengan pedoman ISACA lain yang relevan. IS auditor harus berkonsultasi dan menerapkan pedoman yurisdiksi investigasi hukum, jika berlaku, selama keterlibatan komputer forensik.

G29. PASCA-PELAKSANAAN REVIEW Tujuan dari pedoman ini adalah untuk menggambarkan praktek-praktek yang

disarankan dalam melaksanakan kajian pasca-penerapan solusi teknologi informasi, sehingga standar yang relevan untuk audit sistem informasi dipenuhi selama pemeriksaan.

Organisasi mengimplementasikan berbagai solusi IT untuk memenuhi kebutuhan bisnis mereka. Setelah solusinya diimplementasikan, pasca-pelaksanaan review umumnya dilakukan oleh IS auditor untuk menilai efektivitas dan efisiensi dari solusi TI dan pelaksanaannya, melakukan tindakan untuk meningkatkan solusi (jika diperlukan) dan dijadikan sebagai alat belajar untuk masa depan .

praktek-praktek tertentu yang direkomendasikan dalam pedoman ini juga mungkin tidak sesuai untuk tinjauan proyek di mana implementasi tidak berhasil atau dihentikan sebelum pelaksanaan.

Pedoman ini memberikan panduan dalam menerapkan Standar S6 IS Audit Kinerja Audit S8 Kerja dan Tindak Lanjut Kegiatan ketika melakukan review post-implementasi. IS auditor harus mempertimbangkan itu dalam menentukan cara untuk mencapai penerapan standar, gunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

Pedoman Aplikasi Ketika menerapkan pedoman ini, IS auditor harus mempertimbangkan

bimbingan sehubungan dengan pedoman lain yang relevan ISACA.

G30. KOMPETENSITujuan Pedoman ini

IS auditor diharapkan sangat kompeten. Untuk mencapai tujuan tersebut, IS auditor harus memperoleh keterampilan yang diperlukan dan pengetahuan yang dibutuhkan untuk melaksanakan tugas. Tantangan tambahan adalah untuk mempertahankan kompetensi dengan terus meningkatkan pengetahuan dan keterampilan.

15

Dengan menyetujui untuk memberikan layanan profesional, IS auditor menyiratkan ketersediaan tingkat kompetensi yang diinginkan dibutuhkan untuk melakukan jasa profesional dan bahwa pengetahuan dan keterampilan IS auditor akan diterapkan dengan ketelitian dan ketekunan.

Mengingat harapan kompetensi tinggi, IS auditor harus menahan diri dari melakukan setiap layanan yang mereka tidak kompeten untuk melakukan kecuali nasihat dan bantuan yang diperoleh untuk memberikan keyakinan memadai bahwa jasa tersebut dilakukan dengan memuaskan.

IS auditor harus melaksanakan jasa profesional secara hati-hati, kompetensi dan ketekunan dan memiliki tugas terus mempertahankan pengetahuan profesional dan keterampilan pada tingkat yang diperlukan untuk memberikan keyakinan memadai bahwa persyaratan standar audit profesional terpenuhi dan organisasi diaudit menerima keuntungan jasa profesional yang kompeten berdasarkan perkembangan up-to-date dalam praktek, legislasi dan teknik.

ISACA adalah untuk menjadi pemimpin global diakui di TI pemerintahan, pengendalian dan jaminan.visi lain  Dalam kata pengantar visi, itu jelas diperkuat bahwa keberhasilan masa depan dalam profesi dilayani oleh ISACA akan membutuhkan keterampilan dan kompetensi yang saling melengkapi dengan yang diukur dengan penunjukan CISA. ISACA adalah di garis depan mengidentifikasi keterampilan dan kompetensi dan merencanakan cara untuk mengukur dan menilai mereka. Dalam konteks ini bahwa ada kebutuhan untuk pedoman untuk memberikan panduan kepada IS auditor untuk memperoleh keterampilan dan pengetahuan yang dibutuhkan dan memelihara kompetensi selagi melakukan tugas audit.

Pedoman ini memberikan panduan dalam menerapkan standar audit S4 IS Kompetensi Profesional. IS auditor harus mempertimbangkan pedoman ini dalam menentukan bagaimana mencapai penerapan standar tersebut, menggunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

Pedoman Aplikasi Ketika menerapkan pedoman ini, IS auditor harus mempertimbangkan bimbingan dalam kaitannya dengan standar lainnya ISACA relevan dan pedoman.

G31. PRIVASI Tujuan dari pedoman ini adalah untuk membantu auditor untuk menghargai

privasi dan tepat mengatasi masalah privasi dalam melaksanakan fungsi audit IS. Pedoman ini ditujukan terutama pada IS fungsi audit, namun aspek yang dapat dipertimbangkan untuk keadaan lain.

Pedoman ini memberikan panduan dalam menerapkan IS Audit Standar. IS auditor harus mempertimbangkan itu dalam menentukan bagaimana mencapai penerapan standar tersebut di atas, gunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

Pedoman Aplikasi

16

Ketika menerapkan pedoman ini, IS auditor harus mempertimbangkan bimbingan dalam kaitannya dengan standar lainnya ISACA relevan dan pedoman.

G32. KONTINUITAS RENCANA USAHA (BCP) TINJAUAN DARI PERSPEKTIF TI

Dalam perekonomian saat ini saling berhubungan, organisasi lebih rentan daripada sebelumnya untuk kemungkinan kesulitan teknis mengganggu bisnis. Setiap bencana, dari banjir atau api untuk virus dan cyberterrorism, dapat mempengaruhi ketersediaan, integritas dan kerahasiaan informasi yang penting untuk bisnis.

Tujuan utama dari BCP adalah untuk mengelola risiko bagi suatu organisasi dalam hal seluruh atau sebagian dari usaha dan / atau sistem informasi jasa telah diberikan tidak dapat digunakan dan bantuan organisasi untuk pulih dari dampak peristiwa tersebut.

Tujuan dari pedoman ini adalah untuk menggambarkan praktek-praktek yang direkomendasikan dalam melakukan rencana bisnis kontinuitas (BCP) meninjau dari perspektif TI.

Tujuan dari panduan ini adalah untuk mengidentifikasi, dokumen, pengujian dan mengevaluasi pengendalian dan risiko yang terkait berkaitan dengan proses BCP, dari perspektif TI, seperti yang diterapkan dalam suatu organisasi untuk mencapai tujuan pengendalian yang relevan, baik primer dan sekunder.

Pedoman ini memberikan panduan dalam menerapkan Standar S6 IS Audit Kinerja Kerja Audit untuk memperoleh bukti audit yang cukup, handal, relevan dan berguna selama penelaahan rencana kesinambungan bisnis dari perspektif TI. IS auditor harus mempertimbangkan itu dalam menentukan bagaimana mencapai penerapan standar tersebut di atas, gunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

Pedoman Aplikasio Pedoman ini diterapkan ketika melakukan penelaahan atas BCP

dari perspektif TI dalam sebuah organisasi.o Ketika menerapkan pedoman ini, IS auditor harus

mempertimbangkan bimbingan dalam kaitannya dengan standar lainnya ISACA relevan dan pedoman.

G33. PERTIMBANGAN UMUM TENTANG PENGGUNAAN INTERNET IS auditor memainkan peran penting dalam merespon teknologi informasi

yang berubah dengan cepat, kerentanan terkait serta potensi eksposur. Tujuan dari pedoman ini adalah untuk menggambarkan praktek-praktek yang direkomendasikan dalam melakukan kajian dari penggunaan Internet, akses ke dan / atau koneksi. Seorang auditor harus mampu mengidentifikasi, dokumen, pengujian dan mengevaluasi pengendalian dan risiko yang terkait untuk mencapai tujuan pengendalian yang relevan untuk melindungi aset organisasi

17

Pedoman ini memberikan panduan dalam menerapkan Standar S6 IS Audit Kinerja Kerja Audit untuk memperoleh bukti yang cukup, handal, relevan dan berguna selama review koneksi internet. IS auditor harus mempertimbangkan itu dalam menentukan bagaimana mencapai penerapan standar tersebut di atas, gunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

Internet menjadi lebih dan lebih merupakan bagian dari infrastruktur di perusahaan dan sering digunakan untuk beberapa tujuan. Secara umum, penggunaan internet bisa dibagi menjadi empat bagian. Internet dapat digunakan sebagai:

o Sebuah sumber untuk mengumpulkan dan berbagi informasio Sebuah saluran komunikasio Sebuah jendela untuk presentasi perusahaan, organisasi atau orango Sebagai pasar elektronik untuk perdagangano Pedoman ini terutama mencakup penggunaan internet sebagai saluran

komunikasi dan sebagai sumber informasi bagi perusahaan dan organisasi. Pedoman juga, untuk tingkat tertentu, berhubungan dengan internet sebagai presentasi dan jalur perdagangan.

Sebuah perusahaan menghadapi berbagai ancaman dengan menghubungkan ke Internet. Untuk menghadapi ancaman, penting untuk menjalankan analisis risiko dan mengambil tindakan pencegahan keamanan yang diperlukan. Hal ini juga penting untuk menyadari bahwa Internet tidak statis. Sering berubah dan demikian juga ancaman dan perlunya langkah-langkah keamanan.

Untuk setiap layanan, contoh-contoh yang berbeda tentang ancaman yang disebutkan. Dalam suatu dokumen secara keseluruhan dan singkat, gambar risiko tidak tercakup sepenuhnya.tools hacker baru muncul dan kelemahan keamanan baru dalam sistem TI terus-menerus diungkapkan. Oleh karena itu, penting untuk memperoleh informasi terkini tentang ancaman dan tindakan keamanan sebelum terhubung ke Internet.

Tidak ada kontrol terpusat keseluruhan atau internasional berhubungan dengan penggunaan Internet. Ini adalah masalah untuk setiap perusahaan tunggal untuk mengambil tindakan pencegahan keamanan yang diperlukan.

Pedoman AplikasiKetika menerapkan pedoman ini, IS auditor harus mempertimbangkan bimbingan sehubungan dengan standar-standar yang relevan ISACA, pedoman dan prosedur. Pedoman ini tidak harus lengkap atau up to date dari waktu ke waktu.

G34. TANGGUNG JAWAB, WEWENANG DAN AKUNTABILITAS Dengan peningkatan terus menerus dalam kompleksitas sistem dan

cyberthreats Sejalan cerdas, organisasi semakin mencari profesional yang memiliki keterampilan terbukti, keahlian dan pengetahuan untuk mengidentifikasi, mengevaluasi dan merekomendasikan solusi untuk mengurangi risiko sistem dan kerentanan. IS auditor memainkan peran penting dalam merespon teknologi informasi yang berubah dengan cepat, kerentanan

18

terkait serta eksposur potensi untuk melindungi aset-aset organisasi dan membantu dalam risiko, evaluasi identifikasi dan mitigasi. IS IT auditor memberikan teknis keterampilan dan keahlian untuk audit fungsi-apakah eksternal atau internal-dan ada kebutuhan yang terus meningkat untuk mempertahankan tingkat yang memadai keterampilan dan pengetahuan dalam bidang TI sebagai kecanggihan teknologi dalam meningkatkan lingkungan keuangan dan operasional. Dalam era sekarang, dimana teknologi adalah pendorong bisnis utama atau enabler kunci untuk mendukung proses bisnis, organisasi dan para pemangku kepentingan mereka mengandalkan IS auditor untuk menentukan apakah manajemen berkomitmen untuk memastikan perlindungan aset, data integritas, efektivitas dan efisiensi , kepatuhan terhadap kebijakan perusahaan, dan kepatuhan terhadap kewajiban hukum, peraturan dan perundang-undangan.

ISACA IS audit standar dan COBIT jelas menekankan bahwa audit charter akurat harus menetapkan IS auditor tanggung jawab, wewenang dan tanggung jawab untuk melakukan audit.

Dalam konteks ini bahwa ada kebutuhan untuk pedoman untuk memberikan panduan kepada IS auditor pada, wewenang tanggung jawab dan akuntabilitas pada menerima penugasan untuk melakukan audit.

Pedoman ini memberikan panduan dalam menerapkan Standar S1 IS Audit Audit Charter dan S3 Profesional Etika dan Standar. IS auditor harus mempertimbangkan pedoman ini dalam menentukan bagaimana mencapai penerapan standar tersebut, menggunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

Pedoman AplikasiKetika menerapkan pedoman ini, IS auditor harus mempertimbangkan bimbingan dalam kaitannya dengan standar lainnya ISACA relevan dan pedoman.

G35. FOLLOW-UP ACTIVITIESPurpose of the Guideline

Tujuan dari pedoman ini adalah untuk memberikan arahan ke IS auditor terlibat dalam menindaklanjuti rekomendasi dan komentar yang dibuat dalam laporan audit. Pedoman ini memberikan panduan dalam menerapkan IS Audit Standar S8 Tindak Lanjut Kegiatan.

Guideline Application Ketika menerapkan pedoman ini, IS auditor harus mempertimbangkan

bimbingan dalam kaitannya dengan standar lainnya ISACA relevan dan pedoman.

G36. BIOMETRIC CONTROLSPurpose of the Guideline

Cara tradisional-identifikasi dan otentikasi Keystone untuk mengakses kontrol didasarkan pada 'sesuatu yang Anda tahu', seperti nomor identifikasi pribadi

19

(PIN) atau password dan 'sesuatu yang harus Anda', seperti kartu pintar atau automated teller machine (ATM) kartu. Selain kebutuhan untuk bergantung pada memori yang baik untuk menghafal password atau untuk membawa kartu, kedua pendekatan tidak membedakan orang secara unik.Sandi dan sistem berbasis-token memiliki kelemahan mereka dan sering menyebabkan kemacetan, khususnya selama krisis. Dengan kemajuan teknologi, ada pergeseran paradigma ke arah yang lebih handal sarana kontrol akses ke 'sesuatu yang Anda', yaitu kontrol akses berbasis biometrik.

Akurasi adalah karakteristik penting dari suatu sistem kontrol akses biometrik. Biasanya identifikasi adalah pencarian 'satu-ke-banyak' karakteristik individu dari database gambar yang tersimpan, sementara otentikasi 'satu-ke-satu' pencarian untuk memverifikasi klaim untuk sebuah identitas yang dibuat oleh individu. Sebuah biometrik biasanya diterapkan untuk identifikasi dalam kontrol akses fisik dan untuk otentikasi dalam kontrol akses logis. Sistem gagal jika tidak dapat memisahkan seseorang yang otentik dari penipu. Adalah penting bahwa kejadian baik penolakan palsu (negatif palsu) atau penerimaan palsu (false positive) yang rendah dan pada tingkat yang dianggap dapat diterima oleh organisasi sebagai hasil dari penilaian / biaya risiko.

Dengan peningkatan penyebaran arsitektur keamanan menggabungkan teknologi biometrik, hal itu sudah menjadi keharusan bahwa auditor sadar akan risiko dan penanggulangan yang terkait dengan teknologi tersebut. IS auditor meninjau sistem kontrol biometrik harus memiliki wawasan yang baik dalam teknologi, proses bisnis dan Tujuan kontrol untuk memastikan bahwa tujuan bisnis tercapai.

Hal ini dalam konteks bahwa ada kebutuhan untuk pedoman untuk memberikan panduan kepada IS auditor yang memeriksa kontrol biometrik saat melaksanakan tugas audit.

Guideline Application Pedoman ini memberikan panduan dalam menerapkan Standar S6 IS Audit

Kinerja Kerja Audit IT Governance dan S10. IS auditor harus mempertimbangkan pedoman ini dalam menentukan

bagaimana mencapai penerapan standar yang telah disebutkan sebelumnya, gunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

Ketika menerapkan pedoman ini, IS auditor harus mempertimbangkan bimbingan dalam kaitannya dengan standar lainnya ISACA relevan dan pedoman.

G37. CONFIGURATION MANAGEMENT PROCESSPurpose of the Guideline

Mengelola konfigurasi berarti memberikan keyakinan memadai bahwa integritas konfigurasi hardware dan software yang memerlukan pembentukan dan pemeliharaan dari konfigurasi yang akurat dan lengkap rofession. Proses

20

ini termasuk mengumpulkan informasi konfigurasi awal, mendirikan baseline, memverifikasi dan informasi audit konfigurasi, dan memperbarui konfigurasi rofession yang diperlukan. Manajemen konfigurasi efektif memfasilitasi ketersediaan sistem yang lebih besar, meminimalkan masalah produksi dan menyelesaikan masalah lebih cepat.

modern bisnis diatur sebagai serangkaian proses inti. Hampir setiap organisasi di dunia dihadapkan dengan meningkatnya tekanan untuk efektifitas dan efisiensi (yaitu, persyaratan lebih tinggi kualitas produk dan jasa, peningkatan pendapatan, pengurangan biaya, pengembangan produk baru), tekanan untuk sistem enterprisewide yang lebih baik, lebih cepat dan lebih murah dan jaringan perubahan pengendalian proses yang menyediakan software yang berkualitas tinggi bagi pemilik usaha. Namun, mengubah berbagai komponen, seperti perangkat lunak desktop, jaringan, middleware, perangkat lunak sistem untuk sistem operasi dan database, yang memperkenalkan risiko yang signifikan harus dikelola.

Pedoman ini dimaksudkan untuk membantu auditor dalam melakukan penelaahan terhadap proses manajemen konfigurasi.Terutama ditujukan untuk IS auditor-internal maupun eksternal auditor-dokumen ini dapat digunakan oleh lain IS rofessional dengan tanggung jawab untuk ketersediaan sistem informasi, data integritas dan kerahasiaan informasi.

Pedoman ini menjelaskan manajemen konfigurasi dari perspektif:o alir proseso Peran dan tanggung jawabo Aset pelacakan dan alat-alato Kontrol dan penebangan perubahano Komunikasi Persyaratan termasuk manajemen riliso Metrik harus dilaporkan

G38. ACCESS CONTROLSPurpose of the Guideline

Dalam dunia yang sebenarnya saling berhubungan, organisasi harus melindungi aset mereka dari penggunaan yang tidak sah, tidak hanya untuk melindungi investasi namun juga untuk melindungi aset informasi dari risiko yang ditimbulkan oleh penyalahgunaan sumber daya, sengaja atau tidak sengaja. implementasi teknologi aktual beragam dan kompleks (misalnya, platform, aplikasi, utilitas, sistem operasi, database, utilitas e-mail, alat-alat keamanan dan audit, internet, fax) dan mereka semua harus dilindungi dari penggunaan yang tidak sah. Aset fisik, seperti bangunan, peralatan, telekomunikasi, mesin fotokopi, kamera, file kabinet, informasi pencetakan umum dan dokumentasi pelanggan juga harus dilindungi. Karena keragaman ini, sangat penting untuk memiliki satu proses standar untuk kontrol akses. Standar ini akan beroperasi sebagai dasar, disesuaikan untuk memenuhi kebutuhan tertentu organisasi.

Pedoman ini memberikan panduan dalam menerapkan standar auditing IS S1 dan S3. IS auditor harus mempertimbangkan pedoman ini dalam menentukan

21

bagaimana mencapai penerapan standar tersebut, menggunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

Guideline Application Ketika menerapkan pedoman ini, IS auditor harus mempertimbangkan

bimbingan dalam kaitannya dengan standar lainnya ISACA relevan dan pedoman.

G39. IT ORGANISATIONPurpose of the Guideline

Struktur dapat menjadi enabler yang berbeda atau penghambat efektivitas organisasi tetapi saja tidak akan menentukan keberhasilan organisasi. Tidak ada struktur yang tepat satu, karena tidak ada dua organisasi yang persis sama. Semua organisasi TI melayani tujuan yang sama dan memiliki akuntabilitas yang sama, tetapi profil mereka, manajemen sistem, proses, kendala, kekuatan dan kelemahan masing-masing membuat organisasi TI yang unik.Namun demikian, atribut tertentu untuk memverifikasi sebuah struktur organisasi TI dioptimalkan.

Pedoman ini memberikan panduan dalam menerapkan Standar S10 IS Audit IT Governance. IS auditor harus mempertimbangkan pedoman ini dalam menentukan bagaimana mencapai penerapan standar tersebut di atas, gunakan penilaian profesional dalam aplikasinya dan bersiaplah untuk membenarkan keberangkatan apapun.

Guideline Application Ketika menerapkan pedoman ini, IS auditor harus mempertimbangkan itu

dalam kaitannya dengan standar lainnya ISACA relevan dan pedoman.

G40. REVIEW OF SECURITY MANAGEMENT PRACTICESPurpose of the Guideline

Informasi adalah aset yang paling berharga dalam bisnis.Informasi semakin penting bagi keberhasilan kompetitif, dan penting untuk kelangsungan hidup ekonomi. Dalam dunia yang sebenarnya saling berhubungan, organisasi harus melindungi aset informasi mereka dari penggunaan yang tidak sah, tidak hanya untuk melindungi investasi namun juga untuk melindungi aset informasi dari risiko yang ditimbulkan oleh penyalahgunaan sumber daya, sengaja atau tidak sengaja. perlindungan aset informasi tersebut dapat dicapai hanya dengan menerapkan formal, keamanan informasi rinci dalam kerangka kerja manajemen perusahaan. Pedoman ini memberikan petunjuk rinci untuk menilai dan menyimpulkan terhadap efektivitas desain dan operasional dari praktek manajemen keamanan informasi dilaksanakan oleh manajemen.

Guideline Application

22

Ketika menerapkan pedoman ini, IS auditor harus mempertimbangkan bimbingan dalam kaitannya dengan standar lainnya ISACA relevan dan pedoman.

G42. CONTINUOUS ASSURANCE Secara tradisional, pengujian kontrol telah dilakukan secara retrospektif dan

siklis, sering berbulan-bulan setelah kegiatan bisnis telah terjadi. Prosedur pengujian sering didasarkan pada pendekatan sampling dan mencakup kegiatan seperti kajian terhadap kebijakan, prosedur, persetujuan dan rekonsiliasi. jaminan kontinu adalah satu metode yang digunakan untuk melakukan penilaian dan pengendalian risiko secara otomatis pada basis yang lebih sering. Manfaat utama dari pendekatan ini adalah pengujian terus menerus cerdas dan efisien pengendalian dan risiko yang menghasilkan pemberitahuan tepat waktu kesenjangan dan kelemahan untuk memungkinkan segera tindak lanjut dan perbaikan.

Sedangkan penjaminan kontinu sebagai sebuah konsep tidak hanya terbatas pada IT audit, IT audit dan jaminan profesional sering dipanggil untuk mengembangkan, menerapkan dan memelihara proses penjaminan kontinu dan sistem untuk klien mereka atau dalam usaha mereka. IT audit dan jaminan profesional dapat menambah nilai dengan memanfaatkan kombinasi unik dari bisnis dan keahlian teknis dan pengalaman yang diperlukan untuk sukses menerapkan proses penjaminan kontinu dan sistem dan melibatkan berbagai bisnis dan TI pemangku kepentingan yang terlibat.

Pedoman ini memberikan panduan untuk profesional TI audit dan jaminan dalam penerapan standar audit TI relevan dan jaminan selama perencanaan, pelaksanaan dan pemeliharaan proses penjaminan kontinu dan sistem dalam perusahaan.

2.2 IT AUDIT AND ASSURANCE GUIDELINE

G15. AUDIT PLANNING Tujuan dari pedoman ini adalah untuk menentukan komponen-komponen dari

proses perencanaan sebagaimana tercantum dalam standar S5 ITAF kali: Sebuah Kerangka untuk Praktek Profesional IT Assurance.

Pedoman ini juga mengatur perencanaan dalam proses audit untuk memenuhi tujuan yang ditetapkan oleh COBIT.

G17. EFFECT OF NON-AUDIT ROLE ON THE IT AUDIT AND ASSURANCE PROFESSIONAL’S INDEPENDENCENeed for Guideline

Di banyak perusahaan, harapan manajemen, staf TI dan internal audit adalah bahwa audit TI dan jaminan profesional mungkin terlibat dalam kegiatan non-audit seperti:

Mendefinisikan sistem informasi (IS) strategi yang berkaitan dengan bidang-bidang seperti teknologi, aplikasidan sumber daya

23

Evaluasi, seleksi dan implementasi teknologio Evaluasi, seleksi, kustomisasi dan implementasi pihak ketiga IS

aplikasi dansolusi

o Desain, pengembangan dan implementasi custom built IS aplikasi dan solusi

o Menetapkan baik praktik, kebijakan dan prosedur yang berhubungan dengan berbagai fungsi TI

o Desain, pengembangan, pengujian dan implementasi keamanan dan control

o Mengelola proyek-proyek TI Peran non-audit, pada umumnya, melibatkan partisipasi dalam inisiatif TI dan

tim proyek TI dalam bekerja dan / atau kapasitas penasehat / konsultasi pada waktu-penuh atau paruh-waktu. IT audit dan jaminan profesional dapat memenuhi peran non-audit yang terlibat dalam kegiatan seperti:

o Penugasan sementara full-time atau pinjaman dari IT audit dan staf jaminan kepada tim proyek IS

o Penugasan paruh waktu dari IT audit dan jaminan anggota staf sebagai anggota struktur berbagai proyek, seperti kelompok pengarah proyek, kelompok kerja proyek, tim evaluasi, negosiasi dan tim kontraktor, tim pelaksana, tim jaminan kualitas, dan trouble shooting tim

o Bertindak sebagai penasihat independen atau resensi atas dasar ad hoc seperti non-audit peran merupakan bagian penting dari audit TI dan kontribusi jaminan profesional untuk pendidikan dan pelatihan anggota lain dari perusahaan. Mereka memungkinkan profesional TI audit dan jaminan untuk menggunakan keahlian mereka dan pengetahuan mereka tentang perusahaan untuk memberikan kontribusi yang unik dan berharga terhadap efisiensi dan efektivitas perusahaan investasi TI. Mereka juga memberikan kesempatan untuk mengangkat profil dari fungsi audit dan jaminan TI dan memberikan audit TI dan staf jaminan pengalaman praktis yang berharga.

Dimana jaminan profesional IT audit dan telah terlibat dalam peran non-audit dalam IS inisiatif dan audit inisiatif yang terkait atau fungsi IS kemudian / bersamaan dilakukan, rekomendasi dan kesimpulan yang timbul dari audit tersebut dapat dirasakan oleh penerima tidak objektif. Dalam situasi ini, mungkin persepsi bahwa baik independensi dan objektivitas audit TI dan profesional jaminan dirugikan oleh keterlibatan non-audit

Para profesional IT audit dan jaminan yang terlibat dalam peran non-audit harus mengevaluasi apakah peran ini menghasilkan penurunan kemerdekaan baik dalam fakta atau penampilan. IT audit dan profesional jaminan harus menasihati dan meningkatkan kesadaran TI pengambil keputusan tentang apa yang harus dipertimbangkan ketika mengevaluasi apakah kontrol memadai.Profesional IT audit dan jaminan melakukan peran non-audit tidak boleh sign off pada apakah kontrol dirancang efektif.

Tujuan dari pedoman ini adalah untuk memberikan kerangka untuk mengaktifkan IT audit dan jaminan profesional untuk:

24

o Menetapkan ketika kemerdekaan diperlukan mungkin, atau mungkin tampak, gangguan

o Pertimbangkan pendekatan alternatif potensial untuk proses audit saat kemerdekaan diperlukanadalah, atau mungkin tampak, gangguan

o Mengurangi atau menghilangkan dampak IT audit dan jaminan profesional pada peran non-audit,fungsi dan layanan

o Menentukan persyaratan pengungkapan

G20. ReportingNeed for Guideline

Pedoman ini menetapkan bagaimana IT audit dan profesional jaminan harus sesuai dengan ISACA IT Audit dan Assurance Standar dan COBIT ketika melaporkan tentang pengendalian sistem informasi suatu perusahaan dan tujuan pengendalian yang terkait.

G21. Enterprise Resource Planning Systems ReviewNeed for Guideline

sistem ERP, yang berevolusi dari sistem perencanaan sumber daya manufaktur untuk industri manufaktur, menggunakan data dari berbagai area bisnis untuk menyediakan manajemen lintas departemen dan memproses informasi. Istilah 'ERP' tidak lagi tentang hanya perencanaan, tetapi lebih mengacu pada proses bisnis yang penting inti dari suatu perusahaan. Meskipun kegunaan utama dari konsep, implementasi sistem ERP dapat gagal untuk memberikan hasil yang diharapkan jika tidak cukup dikelola dan dikendalikan. Selanjutnya, ada muncul trend dan perubahan teknologi yang mendukung diperluas menggunakan sistem ERP (misalnya, web-enabled antarmuka pelanggan), yang akan meningkatkan pentingnya pertimbangan keamanan dan kontrol untuk ERP.

Audit sistem ERP membutuhkan IT audit dan jaminan profesional untuk memiliki pengetahuan khusus dan pemahaman tentang fitur yang kompleks dan proses terintegrasi dibangun menjadi dan dibutuhkan untuk penggunaan, keberhasilan pelaksanaan dan pengawasan produk vendor tertentu.

Application of Guideline Ketika menerapkan pedoman ini, audit TI dan profesional jaminan harus

mempertimbangkan bimbingan dalam kaitannya dengan standar ISACA lain dan pedoman yang relevan. Pedoman ini ditulis sebagai generik, bukan bimbingan, khusus produk. IT audit dan jaminan profesional akan perlu mempertimbangkan dan mengadaptasi panduan tergantung pada sistem ERP dan produk lainnya / prosedur yang digunakan.

pedoman ini mengatur informasi dan menunjukkan bagaimana audit TI dan profesional jaminan harus sesuai dengan Standar ISACA dan COBIT ketika terlibat dalam audit atau peninjauan terhadap suatu sistem ERP atau proyek implementasi sistem ERP.

G41. RETURN ON SECURITY INVESTMENT (ROSI)Purpose of the Guideline

25

Usaha semakin menemukan itu menantang untuk membuat kasus untuk berinvestasi di bidang TI keamanan. Jelas mendefinisikan Rosi sangat penting bagi perusahaan untuk mencapai tujuan bisnis. Untuk memperoleh estimasi yang cukup akurat Rosi, perusahaan perlu menentukan persyaratan keamanan dan ukuran yang paling tepat Rosi, dan menetapkan metrik untuk mengumpulkan informasi untuk mengukur Rosi. operasi Bisnis hari ini mengakui pentingnya langkah-langkah keamanan serta risiko dan konsekuensi yang terlibat dalam mengabaikan dampak dari keamanan untuk operasi bisnis. Para pengambil keputusan diperlukan untuk mengukur, meninjau dan mengubah metrik keamanan secara berkala untuk memastikan efektivitas ukuran keamanan. Selain itu, internal, kepatuhan eksternal dan peraturan memerlukan perbaikan terus-menerus mempertahankan tujuan keamanan.

Usaha tidak mampu untuk mengabaikan proposisi nilai dari metrik keamanan untuk secara efektif mencapai Rosi yang sesuai.Hal ini penting untuk menentukan langkah-langkah keamanan strategis dalam kebutuhan pengguna kuantitatif, mengembangkan sebuah peta jalan yang menggabungkan pendekatan berbasis konsensus untuk menentukan langkah yang efektif dan memberikan penilaian secara berkala untuk menetapkan perbaikan terus menerus dalam Rosi.

IT audit dan profesional jaminan harus memiliki pemahaman yang jelas tentang proposisi nilai bagi Rosi. Ini adalah dalam konteks bahwa ada kebutuhan untuk pedoman untuk memberikan bimbingan untuk profesional TI audit dan jaminan untuk meninjau hasil investasi keamanan saat melakukan tugas audit.

Guideline Application Pedoman ini memberikan panduan dalam menerapkan Standar S10 IT

Governance.

3. IS PROSEDUR AUDIT

P1. IS RISIKO PENGUKURAN PENILAIAN

Risiko adalah kemungkinan suatu tindakan atau peristiwa yang terjadi yang akan memiliki efek buruk pada organisasi dan informasi yang sistem. Risiko adalah kemungkinan suatu tindakan atau Peristiwa Yang terjadi Yang akan memiliki Efek ekuitas Buruk pada Organisasi dan Informasi sistem yang. Risiko juga dapat potensi yang ancaman tertentu akan mengeksploitasi kerentanan aset atau kelompok aset menyebabkan kehilangan, atau kerusakan, aset. Risiko Juga dapat Potensi ancaman Aset Yang tertentu akan mengeksploitasi kerentanan atau Kelompok Aset menyebabkan kehilangan, kerusakan atau, Aset. Hal ini biasanya diukur oleh kombinasi pengaruh dan kemungkinan terjadinya. Suami hal biasanya diukur Dibuat Kombinasi pengaruh dan kemungkinan terjadinya.

26

IS audit pengukuran risiko penilaian adalah sebuah metodologi untuk menghasilkan model risiko untuk mengoptimalkan penugasan IS audit sumberdaya melalui pemahaman yang komprehensif dari organisasi IS lingkungan dan risiko yang terkait dengan masing-masing auditable unit. IS audit pengukuran risiko adalah penilaian sebuah metodologi untuk menghasilkan model risiko untuk mengoptimalkan penugasan IS audit Sumberdaya pemahaman komprehensif Canada Yang Dari Organisasi IS risiko dan Lingkungan Yang Berlangganan Artikel Baru masing-masing unit auditable. Lihat Bagian 9 untuk rincian unit auditable. Lihat Name of 9 untuk USAHA unit auditable.

Tujuan dari model risiko adalah untuk mengoptimalkan penugasan IS sumber daya audit melalui pemahaman yang komprehensif IS semesta audit dan risiko yang terkait dengan setiap item alam semesta. Composition Komposisi mengoptimalkan Dari model risiko untuk penugasan adalah pemahaman IS audit sumber daya Yang Canada komprehensif IS semesta risiko audit dan Yang Berlangganan Artikel Baru item semesta alam terkait masih berlangsung.

P2. TANDA TANGAN DIGITAL DAN MANAJEMEN KUNCI

Teknik otentikasi spesifik, istilah tanda tangan elektronik dan tanda tangan digital yang sering digunakan bergantian. Teknik otentikasi spesifik, tanda Istilah Tangan elektronik dan tanda digital Tangan Yang Sering bergantian perlengkapan. Hal ini menimbulkan kebingungan internasional yang signifikan atas penggunaan kedua istilah. Suami hal menimbulkan kebingungan signifikan Internasional Yang tetap Permanent penggunaan Istilah kedua. tanda tangan digital adalah fungsional subset dari tanda tangan yang lebih inklusif jangka elektronik. tanda Tangan Dari digital fungsional adalah himpunan bagian tanda Tangan Yang lebih inklusif Jangka elektronik. Terminologi yang digunakan dalam dokumen ini mengacu pada definisi dengan tingkat tertentu penerimaan internasional dicapai melalui forum internasional yang diakui. Terminologi Yang perlengkapan KESAWAN Suami mengacu Dokumen PADA definisi Artikel Baru tingkat tertentu menarik dana Internasional dicapai Canada Yang diakui forum internasional.

Istilah tanda tangan elektronik telah ditentukan oleh banyak penulis sebagai tanda tangan dalam bentuk elektronik, atau melekat pada atau logis terkait dengan, pesan data, dan digunakan oleh atau atas nama orang dengan maksud untuk mengidentifikasi orang itu dan untuk menunjukkan orang itu persetujuan isi dari pesan data. Istilah tanda Tangan elektronik telah ditentukan Dibuat BANYAK Penulis sebagai tanda Tangan KESAWAN Bentuk elektronik, logistik PADA melekat atau atau Berlangganan Artikel Baru, Pesan data, dan perlengkapan Dibuat Artikel Baru atau tetap Permanent Nama Orang maksud untuk mengidentifikasi dan menunjukkan untuk Orang Orang ITU ITU persetujuan isi data Dari Pesan .

Memeriksa persyaratan keamanan untuk teknologi keamanan publik-key, melibatkan pihak ketiga yang terpercaya yang dikenal sebagai sertifikasi otoritas (CA). Memeriksa persyaratan keamanan untuk Teknologi keamanan Publik-key, SIBOR melibatkan pihak terpercaya Yang Yang dikenal sebagai otoritas sertifikasi (CA). CA mendistribusikan kunci elektronik yang digunakan untuk mengenkripsi dan mendekripsi informasi pengguna dan

27

server dan sertifikat elektronik digunakan untuk autentikasi pengguna dan server. CA mendistribusikan perlengkapan elektronik kunci untuk mengenkripsi dan Yang mendekripsi Informasi pengguna dan server Sertifikat dan perlengkapan elektronik untuk autentikasi pengguna dan server.

P3. DETEKSI GANGGUAN SYSTEM (IDS) REVIEW

Deteksi Intrusion adalah proses untuk mendeteksi penggunaan yang tidak sah sistem dan jaringan melalui penggunaan perangkat lunak khusus dan / atau hardware. Tujuan utama dari IDS adalah untuk menyediakan kemampuan untuk melihat jaringan dan aktivitas sistem secara real time dan mengidentifikasi aktivitas yang tidak sah. DetEksi Intrusion adalah proses untuk mendeteksi penggunaan sistem regular tidak Yang Sah dan Jaringan Canada penggunaan perangkat lunak Khusus dan / atau hardware.. Composition Komposisi Utama Dari IDS adalah untuk menyediakan kemampuan untuk Melihat Jaringan dan aktivitas sistem real time Secara mengidentifikasi dan aktivitas regular tidak Yang Sah Selain itu, dapat memberikan respon otomatis hampir real-time. Selain ITU, memberikan respon MAMPUS dapat hampir real-time. produk IDS juga memberikan kemampuan untuk menganalisis aktivitas hari ini dalam kaitannya dengan kegiatan masa lalu untuk mengidentifikasi kecenderungan yang lebih besar dan masalah Produk IDS Juga memberikan kemampuan untuk menganalisis aktivitas hari Suami KESAWAN kaitannya Artikel Baru Masa Lalu kegiatan untuk mengidentifikasi kecenderungan Masalah Yang Besar dan lebih

Tujuan utama dari deteksi intrusi performing untuk membantu mencegah konsekuensi yang disebabkan oleh intrusi terdeteksi. Composition Komposisi Utama Dari DetEksi intrusi melakukan konsekuensi untuk membantu mencegah intrusi disebabkan Yang Dibuat terdeteksi. Melaksanakan program kontrol keamanan yang efektif merupakan titik awal yang efektif untuk membangun keamanan mendukung infrastruktur. Melaksanakan program terangkan keamanan tersebut berlaku Yang merupakan Titik akhir tersebut berlaku untuk membangun keamanan Yang Infrastruktur mendukung. kontrol yang efektif tumbuh dari kebijakan keamanan informasi yang efektif, standar dan praktek dan penggunaan teknologi yang tepat. terangkan Yang Tumbuh Dari kebijakan tersebut berlaku keamanan Informasi Yang tersebut berlaku, standar dan praktek penggunaan Teknologi dan tepat yang. Teknologi tepat didefinisikan sebagai teknologi yang mendukung dan melaksanakan kebijakan organisasi efektif. Teknologi tepat didefinisikan sebagai Teknologi Yang mendukung dan melaksanakan kebijakan Organisasi tersebut berlaku. Mampu mendeteksi upaya intrusi secara real time merupakan aspek penting dari deteksi intrusi. Mampu mendeteksi intrusi Upaya Aspek Secara real time merupakan parts Dari DetEksi intrusi. Mengetahui bila serangan sedang berlangsung dan mampu mengambil tindakan segera secara signifikan meningkatkan kemungkinan berhasil mengakhiri intrusi dan pelacakan upaya penyusupan ke sumbernya. Real-time deteksi tergantung pada memiliki sistem pengawas yang duduk di latar belakang dan memantau semua kegiatan yang melibatkan perangkat yang tersambung. Bila Mengetahui Serangan Mampu sedang berlangsung dan mengambil tindakan Segera Secara signifikan meningkatkan kemungkinan BERHASIL mengakhiri intrusi dan pelacakan Upaya penyusupan ke sumbernya. Real-time. DetEksi PADA memiliki sistem

28

tergantung pengawas Yang Duduk di latar belakang * Semua memantau kegiatan dan melibatkan Yang Yang perangkat tersambung Sistem monitoring harus mampu menafsirkan berbagai insiden dan serangan yang sebenarnya mendiagnosa. Sistem pemantauan Harus Mampu menafsirkan berbagai Serangan dan Insiden Yang mendiagnosa sebenarnya.

IDS tradisional Kebanyakan mengambil baik jaringan atau pendekatan berbasis host pada identifikasi dan melindungi terhadap serangan. Kebanyakan IDS tradisional mengambil Baik Jaringan atau pendekatan host PADA SISTEM REKOMENDASI INDEKS identifikasi dan melindungi Serangan terhadap. Dalam kedua kasus, IDS mencari tanda tangan menyerang, pola tertentu yang biasanya menunjukkan niat jahat atau aktivitas yang mencurigakan. KESAWAN kedua KASUS, IDS Mencari tanda Tangan menyerang, POLA tertentu Yang Jahat biasanya menunjukkan aktivitas atau niat Yang mencurigakan. Seorang yang benar-benar IDS yang efektif akan menggunakan kedua metode. Seorang Yang Benar-Benar IDS Yang tersebut berlaku akan menggunakan metode kedua.

P4. VIRUS DAN LOGIKA BERBAHAYA LAINNYA

Manajemen analisis Review dan penilaian sumber daya kritis dan jenis proteksi untuk melaksanakan. Antivirus kebijakan organisasi harus didasarkan pada penilaian risiko dan kerentanan yang terbaik untuk melindungi's sistem informasi organisasi.

Mengidentifikasi risiko mengingat potensi kelemahan semua lapisan perangkat lunak diinstal pada setiap platform, seperti, sistem operasi, jasa (seperti TCP / IP stack, checker mail), email, web browser dan aplikasi perangkat lunak lainnya. Banyak jenis kode dapat dijalankan dan memicu virus (seperti, ketika layanan dimulai atau diaktifkan)

Tinjauan prosedur yang ada dirancang untuk menghentikan wabah virus dan untuk memperbaiki sumber daya yang terinfeksi dalam kasus virus IS tidak terdeteksi dan dibasmi oleh perangkat lunak antivirus (yakni, mungkin perlu untuk mematikan server dan / atau lepaskan fisik koneksi ke jaringan). Prosedur ini harus menjadi pemicu setiap kali infeksi virus diduga. kebijakan harus menjelaskan secara rinci langkah-langkah yang diambil untuk menghentikan wabah. Tergantung pada jenis virus, beberapa aplikasi mungkin harus dihentikan sementara, seperti, sebuah aplikasi mail atau file server. Bagian dari organisasi jaringan juga dapat terisolasi, jika diperlukan. Virus ini juga mungkin telah memasuki sistem karena dilewati jalur deteksi atau karena yang definisi tidak terdaftar belum di database perangkat lunak antivirus. Oleh karena itu, kebijakan harus menetapkan pelaksanaan pemeriksaan ondemand setelah memperbarui definisi virus. Dalam kasus virus tidak dapat ditemukan, para vendor antivirus dapat dikirim file yang dicurigai untuk diperiksa.

P5. PENGENDALIAN DIRI PENILAIAN RISIKO (CRSA)

CRSA merupakan metode yang memberdayakan / proses di mana manajemen dan staf dari semua tingkatan kolektif mengidentifikasi dan mengevaluasi risiko yang berhubungan dengan IS dan kontrol di bawah bimbingan dari fasilitator yang bisa menjadi auditor. IS auditor dapat menggunakan CRSA untuk mengumpulkan informasi yang relevan tentang risiko dan kontrol dan

29

untuk menjalin kerjasama yang lebih besar dengan manajemen dan staf. Istilah pengendalian risiko self-assessment dan risiko dan kontrol diri-asesmen dapat digunakan sebagai pengganti CRSA. CRSA menyediakan kerangka kerja dan alat untuk manajemen dan karyawan untuk:

o Menilai dan mengelola daerah berisiko tinggi proses bisnis o Cukup menilai kecukupan kontrol o Mengembangkan rencana tindakan perlakuan risiko o Pastikan bahwa identifikasi, pengakuan dan evaluasi tujuan bisnis dan

risiko yang konsisten di semua tingkat organisasi

CRSA adalah teknik yang memberikan nilai tambah dengan meningkatkan operasi's unit keterlibatan yang dalam merancang dan memelihara kontrol dan sistem risiko serta eksposur risiko mengidentifikasi dan menentukan tindakan korektif. Proses CRSA mendukung berikut IS Standar Auditing: Audit Perencanaan, Kinerja Kerja Audit dan Pelaporan.

CRSA bukanlah teknik untuk menemukan penipuan dan mungkin tidak sesuai untuk audit peraturan yang memerlukan pengujian atribut dan dokumentasi atribut diuji.

CRSA bekerja dengan baik di lingkungan organisasi manajemen didelegasikan dan pemberdayaan. Ini tidak bekerja dengan baik dalam suatu organisasi yang tidak inovasi nilai dan kolaborasi.

P6. FIREWALL

Firewall layer Network umumnya membuat keputusan mereka berdasarkan sumber, pada alamat tujuan dan dalam paket IP individu. Sebuah router sederhana adalah "tradisional" firewall lapisan jaringan, karena tidak mampu membuat keputusan yang canggih terutama mengenai paket sebenarnya berbicara dengan atau dari mana itu benar-benar datang. firewall lapisan jaringan modern telah menjadi semakin canggih dan sekarang menjaga informasi internal tentang keadaan koneksi melewati mereka, isi dari beberapa data stream, dan sebagainya. Sebuah perbedaan penting tentang firewall network layer banyak adalah bahwa mereka jalur lalu lintas secara langsung melalui mereka, jadi untuk menggunakan satu Anda juga perlu memiliki alamat blok IP yang ditetapkan secara sah atau untuk menggunakan "Internet pribadi" blok alamat. firewall lapisan jaringan cenderung sangat cepat dan cenderung sangat transparan bagi pengguna.

Sebuah DMZ sangat meningkatkan keamanan jaringan, melindungi setiap komputer yang harus tersedia dari jaringan eksternal di belakang satu firewall dan menambahkan lapisan perlindungan antara mesin bersama dan jaringan internal. Jika dikonfigurasi dengan benar, ada dua lapisan perlindungan untuk penyerang untuk kompromi untuk mendapatkan sesuatu yang berharga.

Server proxy adalah digunakan dalam lingkungan yang memerlukan metode otentikasi kuat dan fungsi logging yang baik, karena setiap agen proxy mampu membutuhkan otentikasi dari setiap pengguna jaringan individu. Di sisi lain, kemampuan ini meningkatkan keamanan memerlukan lebih banyak daya proses, dan dengan demikian membuat mereka tidak cocok untuk lingkungan dengan persyaratan-bandwidth tinggi. Seorang agen khusus untuk lalu lintas dari setiap aplikasi yang diperlukan pada firewall.

30

P7. PENYIMPANGAN DAN TINDAK ILEGAL

Penyimpangan adalah pelanggaran disengaja kebijakan pengelolaan yang ditetapkan atau persyaratan peraturan, atau kelalaian yang disengaja salah saji informasi mengenai daerah di bawah audit atau organisasi sebagai kotor, seluruh kelalaian atau tindakan ilegal tidak disengaja.

Manajemen bertanggung jawab untuk merancang, menerapkan dan memelihara sistem pengendalian internal termasuk pencegahan dan pendeteksian penyimpangan. IS auditor harus memahami bahwa mekanisme kontrol tidak menghilangkan kemungkinan penyimpangan, dan mereka harus cukup mahir dengan subjek penyimpangan untuk mengidentifikasi faktor-faktor nyata yang dapat berkontribusi terhadap kejadian tersebut

Risiko adalah kemungkinan bahwa sistem pengendalian internal yang ditetapkan tidak mungkin mencegah atau mendeteksi terjadinya suatu tindakan atau peristiwa yang akan memiliki efek buruk pada organisasi dan sistem informasi perusahaan. Risiko juga dapat menjadi potensi adanya risiko tertentu akan mengeksploitasi kerentanan aset atau kelompok aktiva yang menyebabkan hilangnya, atau kerusakan, asset. Hal ini biasanya diukur oleh kombinasi pengaruh dan kemungkinan terjadinya. Risiko inheren mengacu pada risiko yang terkait dengan suatu peristiwa dengan tidak adanya kontrol tertentu. sisa risiko mengacu pada risiko yang terkait dengan suatu peristiwa saat kontrol di tempat untuk mengurangi efek atau kemungkinan bahwa acara diperhitungkan. pengukuran Penilaian risiko adalah proses yang digunakan untuk mengidentifikasi dan mengevaluasi risiko dan dampak potensial mereka.

P8. KEAMANAN-PENETRASI PENGUJIAN PENILAIAN DAN ANALISIS KERENTANAN

Ruang lingkup pengujian penetrasi menentukan apakah tugas individu harus dilakukan secara bertahap atau di urutan tunggal. IS's review auditor harus dimulai dengan penilaian ancaman formal untuk memastikan kemungkinan ancaman kepada organisasi yang dihasilkan dari, antara lain, hardware dan / atau kegagalan perangkat lunak, kompromi pegawai internal atau pencurian data, atau serangan luar.

Risiko yang terkait dengan akses yang tidak sah bervariasi dari kerugian finansial; rilis yang tidak tepat, komersial atau politis sensitif informasi pribadi, dan reputasi hilang; terhadap total hilangnya kontrol sistem. Risiko sistem spesifik informasi dari akses tidak sah ke sumber informasi termasuk hilangnya ketersediaan sistem, pengolahan data dan integritas, dan kerahasiaan informasi.

Perbedaan yang signifikan dalam tindakan yang diambil oleh IS auditor melakukan pengujian penetrasi (di luar yang mempunyai wewenang manajemen) dan hacker adalah bahwa mantan sedang mencari (melalui pengujian) sebagai kerentanan banyak potensi seperti naskah pengujian / mandat program, sementara hacker biasanya akan mencari kerentanan tertentu (ies) untuk mengeksploitasi untuk memenuhi tujuan mereka (biasanya) kontrol memperoleh, atau mengganggu operasi atau ketersediaan sistem. hacker ini

31

kemungkinan akan terus berusaha untuk menemukan kerentanan tambahan satu kali ditemukan untuk mendapatkan hak istimewa sistem meningkat dan untuk melindungi terhadap peningkatan risiko deteksi. Oleh karena itu, sedangkan IS melakukan tes penetrasi auditor memiliki cakupan keseluruhan yang lebih besar untuk menemukan kerentanan umum, hacker kemungkinan untuk mencoba untuk memanfaatkan kerentanan mengidentifikasi lebih luas.

P9. EVALUASI PENGELOLAAN PENGAWASAN ATASMETODOLOGI ENKRIPSI

Enkripsi adalah cara untuk mengubah data dari bentuk dibaca (dikenal sebagai plaintext atau teks-jelas) untuk satu yang dimengerti (disebut sebagai ciphertext). Definisi ini berbeda dari encoding, yang merupakan substitusi dari simbol atau set sebuah simbol untuk plaintext pesan (seperti, "satu jika dengan tanah, dua jika melalui laut")

Sebuah algoritma matematika yang mengenkripsi data disebut sebagai sebuah cipher. Kebanyakan teks-jelas mengenkripsi data dengan kunci, atau sepotong informasi rahasia yang hanya diketahui oleh pihak yang berwenang. Pada abad ke-17, kriptografer mengerti bahwa menjaga kerahasiaan data dienkripsi diandalkan menjaga rahasia kunci, bukan kerja dalam algoritma atau cipher ..

Teknologi Enkripsi memberikan perlindungan terhadap mengakses informasi terbaca tetapi tidak membatasi akses ke paket data tidak dapat dipahami. Orang bisa menggunakan alat kriptografi untuk menyediakan integritas data, tetapi proses enkripsi pesan plaintext menjadi ciphertext tidak, dalam dan dari dirinya sendiri, memberikan apa pun selain kerahasiaan data.

P10. USAHA APLIKASI KONTROL GANTI

Tujuan dari audit SDLC adalah menilai sejauh mana atau mengembangkan sistem yang diakuisisi (s) sepenuhnya memenuhi kiriman diidentifikasi dalam permintaan proyek disetujui oleh manajemen, menilai sejauh mana sebenarnya biaya atau mengembangkan sistem yang diakuisisi (s) sejalan dengan anggaran, dan melaporkan kepada manajemen eksekutif dan / atau komite audit dewan direksi apakah proyek tersebut menyelesaikan point-point diidentifikasi dan dalam biaya.

Terencana dan mengubah subproses darurat bersama mengontrol cara dan metode untuk pengecualian proses pengendalian perubahan standar. Para subproses perubahan yang tidak direncanakan kontrol perubahan disebabkan oleh lead time tidak terjawab dan / atau tidak terjawab Page 6 Aplikasi Bisnis Change Control tujuan kalender Prosedur. Para subproses mengubah darurat menetapkan kontrol sekitar sarana dan metode yang digunakan dalam remediasi sistem padam secara langsung mempengaruhi tingkat layanan pelanggan. Oleh karena itu, perubahan darurat adalah sebuah program aplikasi modifikasi dalam waktu 24 jam untuk mencegah atau menghindari terjadinya kembali setiap outage signifikan.

P11. ELECTRONIC TRANSFER DANA (EFT)

32

Transfer dana elektronik (TDE) adalah metode yang digunakan secara luas untuk mengirimkan instruksi transfer elektronik di seluruh dunia. Pengalihan ini bisa pembayaran petunjuk untuk lembaga keuangan (untuk karyawan, perusahaan atau entitas) atau instruksi gerakan untuk mengubah tahanan institusi uang pelanggan. 'Pelanggan', dalam konteks ini, bisa menjadi konsumen individu atau pelanggan perusahaan.

EFT adalah proses yang kompleks dimana transfer dana dapat terjadi dalam berbagai metode dan di berbagai mata uang. EFT memerlukan kontrol yang sangat efisien dibangun ke dalam sistem, dan prosesnya dikendalikan baik pada sisi pengirim dan penerima. Kontrol perlu ada pada tahap mana pun perantara informasi berlalu, disimpan atau diproses.

Secara global, transaksi pada sistem EFT memiliki risiko tinggi dan paparan kegiatan penipuan. Keuntungan finansial adalah salah satu motivasi kunci di belakang penipuan, selain keinginan untuk menguasai proses EFT, getaran intelektual, tantangan akta dan balas dendam karyawan. Kesederhanaan memodifikasi file teks dasar untuk memperoleh pembayaran yang besar adalah bujukan untuk melakukan penipuan. Dengan perubahan penipuan EFT, seseorang bisa mencuri uang dalam jumlah besar. Menurut statistik, perusahaan publik kehilangan sejumlah besar setiap tahun karena instruksi pembayaran TDE penipuan.

33