PELATIHAN AUDIT TEKNOLOGI INFORMASIKerjasama : Universitas Gunadarma & Bank Indonesia
16–20 Januari 2006
Penilaian resiko dan Proses Pemeriksaan TSI
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Konsep Resiko
Dampak
Kelemahan
Ancaman KompleksitasTSI
Keamanan danPengendalian
PerlindunganAset
Risk Assessment PrioritasPemeriksaan
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Konsep Resiko Ancaman
• Tindakan atau kejadian yang mungkin merugikankeamanan sistem komputer
• Rangkaian keadaan atau kejadian yang membiarkanorang atau alat lain untuk menimbulkan kesulitanyang berkaitan dengan informasi, melaluieksploitasi kelemahan-kelemahan dari produkteknologi informasi
• Suatu keadaan atau kejadian yang potensialmenimbulkan kerugian sistem dalam bentukpengrusakan, pembukaan, modifikasi data ataupenghalangan pelayanan
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Konsep Resiko Kelemahan
• Kelemahan keamanan pada target evaluasi(misalnya penyebab kegagalan analisis, rancangan, implementasi, atau operasi)
• Kelemahan pada komponen atau sistem informasi(misalnya prosedur pengamanan sistem, rancanganperangkat keras, atau pengendalian internal) yang bisa dieksploitasi sehingga menimbulkan kerugianyang berhubungan dengan informasi
• Kelemahan di dalam prosedur keamanan sistem, rancangan sistem, implementasi, pengendalianinternal, dan sebagainya, yang bisa dieksploitasiuntuk melanggar kebijakan keamanan sistem
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Konsep Resiko Dampak
Konsekuensi (negatif) organisasi, baik jangka pendekmaupun jangka panjang, yang disebabkan olehancaman yang bisa telah mengeksploitas kelemahansistem
50 565 000,-
33 545 000,-
17 256 000,-
11 239 000,-FINANCIALFRAUD
TELECOMM.FRAUD
INFORMATIONTHEFT
UNAUTHORIZED.ACCESS
Jumlah Kerugian (US$)
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Tipe Resiko
1. Resiko Pengembangan
2. Resiko Kesalahan
3. Resiko Terhentinya Bisnis
4. Resiko Pengungkapan Informasi
5. Resiko Penggelapan
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Tipe Resiko Pengembangan
• Penundaan atau ketertinggalan dalam implementasisistem
• Keterlambatan pengembangan
• Peningkatan biaya
• Kegagalan proyek komputer
• Pengoperasian yang tidak memadai dari sistem yang sudah diimplementasikan
• Pengamanan dan pengendalian tidakdipertimbangkan dari awal
• SKAI atau bagian terkait tidak memberikan kontribusisejak dini dalam proses perancangan
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Tipe Resiko Kesalahan
• Kesalahan selama pemasukan data oleh operator
• Kesalahan selama pengembangan dan perubahanprogram
• Kesalahan yang paling signifikan terjadi selamaproses perancangan sistem
• Kesalahan dalam prosedur pemeliharaan sistemsecara berkala
• Kompleksitas komputer memberi kontibusi pentingpada terjadinya kesalahan
• Kesalahan pada modifikasi perangkat lunak paket
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Tipe Resiko Terhentinya Bisnis
• Sistem tidak berjalan jika mengalamikerusakan atau kegagalan fungsi
• Data centre menjadi salah satu titik lemahjika tidak berfungsi, kecelakaan, ataukerusakaan akibat kejahatan
• Pengaruh kerusakan terhadap pelayanan, menghentikan sebagai atau seluruhpelayanan bank
• Diperlukan rencana darurat yang baik(DRP)
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Tipe Resiko Pengungkapan Informasi
Jika informasi tersebut jatuh ke orang yang tidak berhakmaka bisa mengganggu hubungan nasabah, reputasibank, dan tuntutan
Informasi rahasia bisa diakses dan dibaca denganberbagai cara:
– Fasilitas-fasilitas eksplorasi melalui terminal komputer– Menggunakan program-program (perangkat lunak khusus)
untuk membaca file data– Pemindahan file komputer atau cetakan– Penyadapan saluran telekomunikasi
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Tipe Resiko Penggelapan
• Perubahan instruksi pembayaran yang tidak syah sebelumdiinput
• Transaksi yang tidak diotorisasi dimasukkan langsungmelalui terminal komputer
• Perubahan program yang bisa membuat transaksi gelapsecara otomatis
• Program khusus untuk mem-by pass pengendalian danfasilitas jejak audit
• File komputer dapat dipindahkan, dirubah dandikembalikan untuk diproses lebh lanjut
• Transaksi dapat diketahui atau dicegat dan dirubah padasaat transmisi
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Model Penilaian
PengukuranResiko
PengukuranResiko
Tipe dan Jenis Resiko
Peluang / frekuensikejadian
Fasilitas keamanan danpengendalian
Estimasi dampak jikaresiko terjadi
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Statistik/KuantitatifModel Penilaian
Annual Loss Expectancy
Resiko A : Kebakaran Gedung
Peluang : 1 kali dalam 10 tahunTotal kerugian : Rp 1 MilyarALE : Rp 1 milyar x 1/10
= Rp 100 juta
Resiko B : Kesalahan data entry
Peluang : 1000 per tahunTotal kerugian : Rp 250 000 per kesalahan
(rata-rata) ALE : Rp 250 000 x 1000
= Rp 250 juta
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Model Penilaian Statistik/Kuantitatif
Resiko = f(Ancaman, kelemahan sistem,dampak)
Bentuk Hubungan1. Resiko = Ancaman + kelemahan sistem + dampak
2. Resiko = Ancaman x kelemahan sistem x dampak
3. Klasifikasi Silang :
Tinggi
Cukup
Rendah
Kelemahan SistemTinggi Cukup Rendah
ResikoTinggi
Anc
aman
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Model Penilaian Statistik/Kuantitatif
Skala Pengukuran Klasifikasi Indikator
2
1
3
0
Beresiko Tinggi
Cukup Beresiko
Kurang Beresiko
Tidak Beresiko
?
YaTidak
BeresikoTidak Beresiko
1.
2.
?
0% 25% 50% 75% 100%
Tidak Beresiko Beresiko Tinggi
3.
?
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Model Penilaian Statistik/Kuantitatif
Contoh indikator penilaian ancaman kesalahaninput data pada sistem aplikasi tabungan
Kesalahan input sangat sering terjadi karena bank relatif barumembeli dan mengimplementasikan sistem aplikasi dengansumber daya pengguna komputer yang belum ahli semuanya
3
Kesalahan input data cukup sering terjadi karena sebagian besarpengguna komputer belum trampil2
Kesalahan jarang terjadi karena sebagian besar pengguna sudahtrampil dan terbiasa menggunakan sistem yang sudah lama dipakai di bank
1
Kesalahan input data tidasak pernah terjadi(Catratan: Situasi hipotesis yang relatif tidak pernah terjadi)0
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Model Penilaian Statistik/Kuantitatif
Contoh indikator penilaian kelemahan sistem yang relevan dengan ancaman pada tabel 1
Sistem sangat lemah karena tidak menerapkan semuateknik pengendalian aplikasi
3
Sistem cukup lemah karena sebagian besar teknikpengendalian aplikasi tidak diterapkan
2
Sistem sedikit memiliki kelemahan karena ada teknikpengendalian aplikasi yang belum diterapkan
1
Sistem tidak memiliki kelemahan karena sudahmenerapkan semua teknik pengendalian aplikasi yang bisa menjamin ketepatan dan keakuratan input data
0
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Model Penilaian Kualitatif
Tinggi
PENGENDALIANKesalahandata entry
PENGENDALIANKesalahandata entry
DIABAIKANOtorisasi
transaksi kecil
DIABAIKANOtorisasi
transaksi kecil
PENCEGAHANPENCEGAHANASURANSIKebakaran(Gedung)
ASURANSIKebakaran(Gedung)
PELUANG
DA
MPA
K
Tinggi
Rendah
Rendah
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Model Penilaian Kualitatif
• Pencegahan (prevent) jika peluang dan dampak dinilai tinggi. Contohnya adalah menghindari penempatan barang-barangmudah terbakar di ruang data centre
• Pengendalian (control) jika peluang tinggi tetapi dampaknyarendah. Contohnya pengendalian dalam bentuk programmed edit check untuk mengurangi kesalahan input data
• Asuransi jika peluang rendah tetapi dampaknya tinggi. Contohnya adalah mengasurnasikan gedung beserta isinyaterhadap bahaya kebakaran atau kerusuhan
• Diabaikan jika peluamg dan dampaknya dinilai rendah. Contohnya adalah tidak perlu melakukan proses otorisasibertingkat terhadap transaksi penarikan tabungan yang tergolong kecil, misalnya dibawah Rp 50 000
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Proses Penilaian Resiko
Identikasi objek (asset)yang akan dilindungi
Identikasi objek (asset)yang akan dilindungi
Penentuan ancamanyang dihadapi
Penentuan ancamanyang dihadapi
Menetapkan peluang kejadianMenetapkan peluang kejadian
Menghitung besarnya dampakdan kelemahan sistem
Menghitung besarnya dampakdan kelemahan sistem
Menilai alat-alat pengamanan yang adaMenilai alat-alat pengamanan yang ada
Rekomendasi dan implementasiRekomendasi dan implementasi
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Penetapan tipe resikoPenetapan tipe resiko
Untuk setiap tipe resiko, ancaman, kelemahansistem, dampak diberi skor/skala tinggi, cukup,
rendah, atau tidak ada
Untuk setiap tipe resiko, ancaman, kelemahansistem, dampak diberi skor/skala tinggi, cukup,
rendah, atau tidak ada
Hitung skor resiko: Resiko = ancaman x kelemahan x dampakHitung skor resiko:
Resiko = ancaman x kelemahan x dampak
Urutkan resiko berdasarkan skorUrutkan resiko berdasarkan skor
Kaji ulang dan penyesuaian jika diperlukanKaji ulang dan penyesuaian jika diperlukan
Buat rencana audit dengan prioritas resikoBuat rencana audit dengan prioritas resiko
Kaji ulang rencana dan penyesuaiannyaKaji ulang rencana dan penyesuaiannya
Laksanakan AuditLaksanakan Audit
Peny
egar
anPe
riod
ik
Informasidari luar
Informasidari organisasi
resiko terurut
hubungan denganmanajemen
Rencana auditprioritas
hubungan denganmanajemen
Aku
mul
asib
asis
peng
etah
uan
audi
tor
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Proses
Identifikasi Spesifikasi SystemIdentifikasi Spesifikasi System
Penilaian Kompleksitas TSIPenilaian Kompleksitas TSI
FormulirIsian TSI
Model Pengukuran
Klasifikasi Bankberdasarkan resiko
Pemeriksaan
Penilaian Resiko pra PemeriksaanPenilaian Resiko pra Pemeriksaan
KapasitasBank
Pemeriksaan arround the computerPemeriksaan arround the computer
Pemeriksaan through the computerPemeriksaan through the computer
Pemeriksaan KeuanganPemeriksaan Keuangan
Kelemahan dankesalahan Sistem
Lembar Kerja
URSIT
FISCAM
UFIRS
Acuan (USA)
Lembar Kerja
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Lembar Isian TSI
I. Informasi UmumII. 1. Informasi aplikasi sudah operasional
2. Informasi aplikasi dalam pengembanganIII. 1. Informasi struktur organisasi
2. Informasi personalia TSI3. Informasi audit TSI4. Informasi rencana
IV. 1. Informasi Perangkat keras2. Informasi perangkat lunak3. Informasi perangkat lainnya
V. Informasi Komunikasi DataVI. Informasi DRPVII. Informasi ATM/CardcentreVIII. Informasi penyelenggaraan TSI oleh pihak lainIX. Informasi penyalahgunaan/kejahatan TSI
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Lembar Isian TSI Informasi Perangkat Keras
Merek danModel Mesin
TanggalInstall
OperatingSystem
SecuritySoftware
DatabaseSoftware
NetworkTelecomm.Software
PembiayaanSewa Beli Lain2
1. Mainframe(1) ………… ……….. ………….. ………….. …………. ………….. (2) ………… ……….. ………….. ………….. …………. ………….. (3) ………… ……….. ………….. ………….. …………. …………..
2. Mini(1) ………… ……….. ………….. ………….. …………. ………….. (2) ………… ……….. ………….. ………….. …………. ………….. (3) ………… ……….. ………….. ………….. …………. …………..
3. Micro (PC/Stand Alone)(1) ………… ……….. ………….. ………….. …………. ………….. (2) ………… ……….. ………….. ………….. …………. ………….. (3) ………… ……….. ………….. ………….. …………. …………..
4. Micro (PC/LAN)JARINGAN MERK&MODEL TGL INSTALL- Jaringan 1
………… Server ……….. ………….. ………….. ………….. ………… Terminal ……….. ………….. ………….. ..……….. .
- Jaringan 2………… Server ……….. ………….. ………….. ………….. ………… Terminal ……….. ………….. ………….. ..……….. .
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Model Kompleksitas TSI
Integrasi Sistem
Platform Hardware
Hub
unga
n
Med
ia K
omda
tOn Line/CentralizedOn Line/CombinationOn Line/DistributedOff Line
MainframeMinicomputerPC LANPC Stand Alone
VSATLeased Line
Dial UpTidak ada
Full IntegratedFIS + Deposit ApplicationDeposit Applicationsatu aplikasi
Kompleksitas TSI
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Lembar Kerja Pemeriksaan Arround The Computer
• Pengendalian Umum TSI (34)• Audit Intern TSI (20)• Pengembangan Sistem (35)• Disaster and Recovery Plan (13)• Pengamanan Sistem Informasi (16)• Pengamanan Pelayanan Jasa Perbankan
Elektronis (22)• Pengamanan Jaringan Komunikasi Data (23)• Penggunaan Microcomputer oleh
end users (19)• Evaluasi Pembelian Perangkat Lunak (21)• Kontrak TSI dengan Pihak Lain (6)
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Lembar Kerja Pemeriksaan Arround The Computer
Contoh:
• Apakah kebijaksanaan pengamanan penggunaanaplikasi telah memperhatikan prinsip-prinsip umumkontrol aplikasi yang meliputi :
• Pemisahaan tugas …….antara … pengguna, • operasi, dan pengembangan Y/T• Penggunaan … hanya …. yang berwenang Y/T• Menjamin …. data … telah divalidasi Y/T• Menjamin … data yang ditransfer benar dan• lengkap Y/T• Tersedianya jejak audit yang memadai serta• penelaahan oleh pihak yang berwenang Y/T• Tersedianya prosedur restart dan recovery Y/T
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Lembar Kerja Pemeriksaan Through The Computer
Application Program
Operating System
Hardware
CommunicationControl Program
DatabaseManagement
System
Infrastructure(power, teleccomunication, etc)
User Profile
Target Pemeriksaan
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Lembar Kerja Pemeriksaan Through The Computer
Transaction Worksheet
System :Sub System :Transaction :
A. Input Control ?B. Processing Control ?C. Error Correction ?D. Output Control ?E. End Documentation ?F. Authorization ?G. Security ?H. Separation of Duties ?I. File Maintenance ?
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Klasifikasi Resiko
Kom
plek
sita
s Tinggi
Cukup
Rendah
Aset/Volume TransaksiTinggi Cukup Rendah
Tinggi Cukup Rendah
Pemeriksaan TSIPemeriksaan TSI
Kelemahan TSITinggi Cukup Rendah
Tinggi
Cukup
Rendah
PELATIHAN AUDIT TEKNOLOGI INFORMASI
Kerjasama : Universitas Gunadarma & Bank Indonesia16-20 Januari 2006
Konsep ResikoKonsep Resiko
AncamanKelemahan
Dampak
Tipe ResikoTipe Resiko
Model Model
ProsesProses
KuantitatifKualitatif
TSITSI
Penilaian resiko dan Proses Pemeriksaan TSI
Uniform Rating System for Information Technology (URSIT)
Komponen Kritis:1. Audit2. Management3. Development&Acquisition4. Support&Delivery
Component Rating:• 1 • 2• 3• 4• 5
Composite Ratings:• Composite 1 • Composite 2• Composite 3• Composite 4• Composite 5
Strong Performance in every respect and generally have components rated 1 or 2
Critically deficient operating performance and are in need of immediate remedial action
Top Related