Tahapan/Prosedur
IT Audit
Tahapan Perencanaan sebagai suatu pendahuluan mutlak perlu
dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga
menghasilkan suatu program audit yang didesain sedemikian rupa agar
pelaksanaannya akan berjalan efektif dan efisien.
Mengidentifikasikan
resiko dan kendali. Tahap ini untuk memastikan bahwa qualified resource sudah
dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi
praktik-praktik terbaik.
Mengevaluasi
kendali dan mengumpulkan bukti-bukti melalui berbagai teknik termasuk survei,
interview, observasi, dan review dokumentasi.
Mendokumentasikan
dan mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit.
Menyusun
laporan.Hal ini mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan
yang dilakukan.
Contoh
Prosedur IT Audit
Kontrol
lingkungan:
1.Apakah
kebijakan keamanan (security policy) memadai dan efektif ?
2.Jika data dipegang
oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dari
external auditor
3.
Jika sistem dibeli dari vendor, periksa kestabilan financial
4.
Memeriksa persetujuan lisen (license agreement)
Kontrol
keamanan fisik
1.Periksa
apakah keamanan fisik perangkat keras dan penyimpanan data memadai
2.Periksa
apakah backup administrator keamanan sudah memadai (trained,tested)
3.Periksa
apakah rencana kelanjutan bisnis memadai dan efektif
4.Periksa
apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
Kontrol
keamanan logical
1.Periksa
apakah password memadai dan perubahannya dilakukan regular
2.Apakah
administrator keamanan memprint akses kontrol setiap user
CONTOH
– CONTOH
-Internal
IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam
dan Fokus kepada global, menuju ke standard2 yang diakui.
-External
IT Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya
Outsourcing yang tepat dan Benchmark / Best-Practices
Contoh
Metodologi IT Audit:
BSI
(Bundesamt for Sicherheit in der Informationstechnik):
1.
IT Baseline Protection Manual (IT-
Grundschutzhandbuch )
2.
Dikembangkan oleh GISA: German Information
Security Agency
3.
Digunakan: evaluasi konsep keamanan &
manual
4.
Metodologi evaluasi tidak dijelaskan
5.
Mudah digunakan dan sangat detail sekali
Lembar Kerja IT AUDIT
Ø Stakeholders: Internal IT Deparment,
External IT Consultant, Board of Commision, Management, Internal IT Auditor,
External IT Auditor
Ø Kualifikasi Auditor: Certified
Information Systems Auditor (CISA), Certified Internal Auditor (CIA), Certified
Information Systems Security Professional (CISSP), dll.
Ø Output Internal IT: Solusi teknologi
meningkat, menyeluruh & mendalam, Fokus kepada global, menuju ke
standard-standard yang diakui.
Ø Output External IT: Rekrutmen staff,
teknologi baru dan kompleksitasnya, Outsourcing yang tepat, Benchmark /
Best-Practices.
Ø Output Internal Audit &
Business: Menjamin keseluruhan audit, Budget & Alokasi sumber daya,
Reporting.
Sumber :
http://rifqybawazier.blogspot.com/2015/04/prosedur-dan-lembar-kerja-it-audit.html