PELATIHAN AUDIT TEKNOLOGI INFORMASI

PELATI H AN AUD I T TEKN OLOGI I N FORM ASI

Kerjasama : Universitas Gunadarma & Bank Indonesia

1 6 – 2 0 Ja nua ri 2 0 0 6

Pe n ila ia n r e sik o da n Pr ose s Pe m e r ik sa a n TSI

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6 Konsep Resiko

Konsep Resiko Ancaman Kelemahan Dampak

Konsep Resiko Dampak Kelemahan Ancaman Kompleksitas TSI Keamanan dan Pengendalian Perlindungan Aset

Tipe Resiko

Model

Proses

Proses Kuantitatif Kualitatif

T SI

Risk Assessment Prioritas Pemeriksaan

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6

Konsep Resiko

Konsep Resiko Konsep Resiko

Ancaman

Ancaman Kelemahan Dampak Tipe Resiko

Tipe Resiko

Tindakan atau kejadian yang mungkin merugikan

Model

keamanan sistem komputer

Kuantitatif Kualitatif Proses

Proses

Rangkaian keadaan atau kejadian yang membiarkan

T SI

T SI orang atau alat lain untuk menimbulkan kesulitan yang berkaitan dengan informasi, melalui eksploitasi kelemahan-kelemahan dari produk teknologi informasi

Suatu keadaan atau kejadian yang potensial • menimbulkan kerugian sistem dalam bentuk pengrusakan, pembukaan, modifikasi data atau penghalangan pelayanan

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6

Konsep Resiko

Konsep Resiko Konsep Resiko

Kelemahan

Ancaman Kelemahan Dampak

Tipe Resiko

Kelemahan keamanan pada target evaluasi Tipe Resiko

Model (misalnya penyebab kegagalan analisis, rancangan,

Model

implementasi, atau operasi)

Kuantitatif Kualitatif Proses

Proses Kelemahan pada komponen atau sistem informasi •

T SI

T SI (misalnya prosedur pengamanan sistem, rancangan perangkat keras, atau pengendalian internal) yang bisa dieksploitasi sehingga menimbulkan kerugian yang berhubungan dengan informasi Kelemahan di dalam prosedur keamanan sistem,

rancangan sistem, implementasi, pengendalian internal, dan sebagainya, yang bisa dieksploitasi untuk melanggar kebijakan keamanan sistem

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6

Konsep Resiko

Konsep Resiko Konsep Resiko

Dampak

Ancaman Kelemahan Dampak

Konsekuensi (negatif) organisasi, baik jangka pendek

Tipe Resiko

Tipe Resiko maupun jangka panjang, yang disebabkan oleh

Model

Model ancaman yang bisa telah mengeksploitas kelemahan

Kuantitatif

sistem

Kualitatif Proses

Proses

T SI

T SI 11 239 000,- FINANCIAL FRAUD 17 256 000,- TELECOMM. FRAUD

33 545 000,-

50 565 000,- UNAUTHORIZED. ACCESS Jumlah Kerugian (US$)

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6 Konsep Resiko

Konsep Resiko Ancaman Kelemahan Dampak

Tipe Resiko

Tipe Resiko

Model

Proses

Proses Kuantitatif Kualitatif

T SI

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6

Konsep Resiko

Konsep Resiko Tipe Resiko

Pengembangan

Ancaman Kelemahan

Dampak

Penundaan atau ketertinggalan dalam implementasi

Tipe Resiko

Tipe Resiko sistem

Model

Kuantitatif

Keterlambatan pengembangan

Kualitatif Proses

Proses

Peningkatan biaya

T SI

T SI Kegagalan proyek komputer • Pengoperasian yang tidak memadai dari sistem yang • sudah diimplementasikan Pengamanan dan pengendalian tidak • dipertimbangkan dari awal

SKAI atau bagian terkait tidak memberikan kontribusi sejak dini dalam proses perancangan

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6

Konsep Resiko

Konsep Resiko Tipe Resiko

Kesalahan

Ancaman Kelemahan Dampak

Kesalahan selama pemasukan data oleh operator

Tipe Resiko

Model

Model Kesalahan selama pengembangan dan perubahan •

Kuantitatif Kualitatif

program

Proses

T SI

Kesalahan yang paling signifikan terjadi selama T SI

proses perancangan sistem

Kesalahan dalam prosedur pemeliharaan sistem • secara berkala Kompleksitas komputer memberi kontibusi penting • pada terjadinya kesalahan

Kesalahan pada modifikasi perangkat lunak paket

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6

Konsep Resiko

Konsep Resiko Tipe Resiko

Terhentinya Bisnis

Ancaman Kelemahan Dampak Tipe Resiko

Sistem tidak berjalan jika mengalami

Tipe Resiko

Model

Model kerusakan atau kegagalan fungsi

Kuantitatif Kualitatif Proses • Data centre menjadi salah satu titik lemah

Proses

T SI

T SI jika tidak berfungsi, kecelakaan, atau kerusakaan akibat kejahatan

Pengaruh kerusakan terhadap pelayanan, menghentikan sebagai atau seluruh pelayanan bank
Diperlukan rencana darurat yang baik (DRP)

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6

Konsep Resiko

Konsep Resiko Tipe Resiko

Pengungkapan Informasi

Ancaman Kelemahan Dampak Tipe Resiko

Tipe Resiko Jika informasi tersebut jatuh ke orang yang tidak berhak

Model

Model maka bisa mengganggu hubungan nasabah, reputasi

Kuantitatif Kualitatif bank, dan tuntutan

Proses

T SI

T SI Informasi rahasia bisa diakses dan dibaca dengan berbagai cara:

– Fasilitas-fasilitas eksplorasi melalui terminal komputer
– Menggunakan program-program (perangkat lunak khusus) untuk membaca file data
– Pemindahan file komputer atau cetakan
– Penyadapan saluran telekomunikasi

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6

Konsep Resiko

Konsep Resiko Tipe Resiko

Penggelapan

Ancaman Kelemahan Dampak

Tipe Resiko

Perubahan instruksi pembayaran yang tidak syah sebelum Tipe Resiko

Model

diinput Model

Kuantitatif

Kualitatif

Transaksi yang tidak diotorisasi dimasukkan langsung

Proses

Proses melalui terminal komputer

T SI

T SI Perubahan program yang bisa membuat transaksi gelap • secara otomatis Program khusus untuk mem-by pass pengendalian dan

fasilitas jejak audit
File komputer dapat dipindahkan, dirubah dan

dikembalikan untuk diproses lebh lanjut Transaksi dapat diketahui atau dicegat dan dirubah pada • saat transmisi

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6 Konsep Resiko

Konsep Resiko Ancaman Kelemahan Dampak

Tipe Resiko

Model

Proses

Proses Kuantitatif Kualitatif

T SI

Model Penilaian Pengukuran Resiko Pengukuran Resiko Tipe dan Jenis Resiko Peluang / frekuensi kejadian Fasilitas keamanan dan pengendalian Estimasi dampak jika resiko terjadi

Kerjasama : Universitas Gunadarma & Bank Indonesia

1 6 - 2 0 Ja nua ri 2 0 0 6

Konsep Resiko

Statistik/Kuantitatif Model Penilaian

Ancaman Kelemahan Dampak

Annual Loss Expectancy

Tipe Resiko

Model

Model Resiko A : Kebakaran Gedung

Kuantitatif Kualitatif Proses

Proses Peluang : 1 kali dalam 10 tahun

T SI

T SI Total kerugian : Rp 1 Milyar ALE : Rp 1 milyar x 1/10

= Rp 100 juta Resiko B : Kesalahan data entry Peluang : 1000 per tahun Total kerugian : Rp 250 000 per kesalahan

(rata-rata) ALE : Rp 250 000 x 1000 = Rp 250 juta

Kerjasama : Universitas Gunadarma & Bank Indonesia

1 6 - 2 0 Ja nua ri 2 0 0 6

Konsep Resiko

Konsep Resiko Ancaman Kelemahan Dampak

Model Penilaian

Statistik/Kuantitatif Resiko = f(Ancaman, kelemahan sistem,dampak) Bentuk Hubungan

Tipe Resiko

Model

Proses

Proses Kuantitatif Kualitatif

T SI

1. Resiko = Ancaman + kelemahan sistem + dampak

2. Resiko = Ancaman x kelemahan sistem x dampak

3. Klasifikasi Silang : Tinggi Cukup Rendah Kelemahan Sistem Tinggi Cukup Rendah Resiko Tinggi Ancaman

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6 Konsep Resiko

Konsep Resiko Ancaman Kelemahan Dampak

Model Penilaian

Tipe Resiko

Model

Proses

Proses Kuantitatif Kualitatif

T SI

? 0% 25% 50% 75% 100% Tidak Beresiko Beresiko Tinggi 3.

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6

Konsep Resiko

Konsep Resiko Model Penilaian Statistik/Kuantitatif

Ancaman Kelemahan Dampak

Contoh indikator penilaian ancaman kesalahan

Tipe Resiko

Tipe Resiko input data pada sistem aplikasi tabungan

Model

Kuantitatif Kualitatif

Kesalahan input sangat sering terjadi karena bank relatif baru

Proses

3 membeli dan mengimplementasikan sistem aplikasi dengan

T SI

T SI sumber daya pengguna komputer yang belum ahli semuanya Kesalahan input data cukup sering terjadi karena sebagian besar

2 pengguna komputer belum trampil Kesalahan jarang terjadi karena sebagian besar pengguna sudah

1 trampil dan terbiasa menggunakan sistem yang sudah lama dipakai di bank Kesalahan input data tidasak pernah terjadi (Catratan: Situasi hipotesis yang relatif tidak pernah terjadi)

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6

Konsep Resiko

Konsep Resiko Model Penilaian

Statistik/Kuantitatif

Ancaman Kelemahan Dampak

Contoh indikator penilaian kelemahan sistem yang

Tipe Resiko

Tipe Resiko relevan dengan ancaman pada tabel 1

Model

Kuantitatif

Sistem sangat lemah karena tidak menerapkan semua

teknik pengendalian aplikasi

Proses

T SI

T SI Sistem cukup lemah karena sebagian besar teknik

2 pengendalian aplikasi tidak diterapkan Sistem sedikit memiliki kelemahan karena ada teknik

1 pengendalian aplikasi yang belum diterapkan Sistem tidak memiliki kelemahan karena sudah menerapkan semua teknik pengendalian aplikasi yang bisa menjamin ketepatan dan keakuratan input data

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6 Konsep Resiko

Konsep Resiko Ancaman Kelemahan Dampak

Tipe Resiko

Model

Proses

Proses Kuantitatif Kualitatif

T SI

Model Penilaian Kualitatif Tinggi PENGENDALIAN Kesalahan data entry PENGENDALIAN Kesalahan data entry DIABAIKAN Otorisasi transaksi kecil DIABAIKAN Otorisasi transaksi kecil PENCEGAHAN PENCEGAHAN ASURANSI Kebakaran (Gedung) ASURANSI Kebakaran (Gedung) PELUANG D A M P A K Tinggi Rendah Rendah

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6

Konsep Resiko

Konsep Resiko Model Penilaian

Kualitatif

Ancaman Kelemahan Dampak

Pencegahan (prevent) • jika peluang dan dampak dinilai tinggi.

Tipe Resiko

Tipe Resiko Contohnya adalah menghindari penempatan barang-barang

Model

Model mudah terbakar di ruang data centre

Kuantitatif Kualitatif Proses

Proses Pengendalian (control) • jika peluang tinggi tetapi dampaknya

T SI

T SI rendah. Contohnya pengendalian dalam bentuk programmed edit check untuk mengurangi kesalahan input data Asuransi • jika peluang rendah tetapi dampaknya tinggi.

Contohnya adalah mengasurnasikan gedung beserta isinya terhadap bahaya kebakaran atau kerusuhan • Diabaikan jika peluamg dan dampaknya dinilai rendah. Contohnya adalah tidak perlu melakukan proses otorisasi bertingkat terhadap transaksi penarikan tabungan yang tergolong kecil, misalnya dibawah Rp 50 000

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6 Konsep Resiko

Konsep Resiko Ancaman Kelemahan Dampak

Tipe Resiko

Model

Proses

Proses Kuantitatif Kualitatif

T SI

Proses Penilaian Resiko Identikasi objek (asset) yang akan dilindungi Identikasi objek (asset) yang akan dilindungi Penentuan ancaman yang dihadapi Penentuan ancaman yang dihadapi Menetapkan peluang kejadian Menetapkan peluang kejadian Menghitung besarnya dampak dan kelemahan sistem Menghitung besarnya dampak dan kelemahan sistem Menilai alat-alat pengamanan yang ada Menilai alat-alat pengamanan yang ada Rekomendasi dan implementasi Rekomendasi dan implementasi

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6

Konsep Resiko

Ancaman Kelemahan

Penetapan tipe resiko Informasi Penetapan tipe resiko

Dampak

dari luar

Tipe Resiko

Untuk setiap tipe resiko, ancaman, kelemahan Untuk setiap tipe resiko, ancaman, kelemahan

Model

sistem, dampak diberi skor/skala tinggi, cukup, Informasi Model sistem, dampak diberi skor/skala tinggi, cukup, rendah, atau tidak ada dari organisasi

Kuantitatif

rendah, atau tidak ada

Kualitatif Proses

Proses

Hitung skor resiko: Hitung skor resiko:

T SI

Resiko = ancaman x kelemahan x dampak T SI

asis

Urutkan resiko berdasarkan skor

b auditor asi hubungan dengan ul ahuan Kaji ulang dan penyesuaian jika diperlukan

Kaji ulang dan penyesuaian jika diperlukan manajemen

Akum penget Rencana audit Buat rencana audit dengan prioritas resiko Buat rencana audit dengan prioritas resiko prioritas hubungan dengan Kaji ulang rencana dan penyesuaiannya Kaji ulang rencana dan penyesuaiannya manajemen Laksanakan Audit Laksanakan Audit

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6 Konsep Resiko

Konsep Resiko Ancaman Kelemahan Dampak

Proses Identifikasi Spesifikasi System Identifikasi Spesifikasi System Penilaian Kompleksitas TSI Penilaian Kompleksitas TSI

Pemeriksaan Penilaian Resiko pra Pemeriksaan Penilaian Resiko pra Pemeriksaan Kapasitas Bank Pemeriksaan arround the computer Pemeriksaan arround the computer Pemeriksaan through the computer Pemeriksaan through the computer Pemeriksaan Keuangan Pemeriksaan Keuangan Kelemahan dan kesalahan Sistem

Tipe Resiko

Model

Proses

Proses Kuantitatif Kualitatif

T SI

URSIT FISCAM UFIRS

Acuan (USA)

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6

Konsep Resiko

Konsep Resiko Lembar Isian TSI

Ancaman Kelemahan Dampak

I. Informasi Umum

Tipe Resiko

Tipe Resiko II

1. Informasi aplikasi sudah operasional

Model

2. Informasi aplikasi dalam pengembangan

Kuantitatif III

1. Informasi struktur organisasi

Kualitatif Proses

2. Informasi personalia TSI Proses

T SI

3. Informasi audit TSI T SI

4. Informasi rencana IV.

1. Informasi Perangkat keras

2. Informasi perangkat lunak

3. Informasi perangkat lainnya

V. Informasi Komunikasi Data

VI. Informasi DRP

VII. Informasi ATM/Cardcentre

VIII. Informasi penyelenggaraan TSI oleh pihak lain

IX. Informasi penyalahgunaan/kejahatan TSI

Kerjasama : Universitas Gunadarma & Bank Indonesia

1 6 - 2 0 Ja nua ri 2 0 0 6

Konsep Resiko

Konsep Resiko Lembar Isian TSI Informasi Perangkat Keras

Ancaman Kelemahan

Network

Merek dan Tanggal Operating Security Database

Telecomm.

Pembiayaan

Dampak

Model Mesin Install System Software Software

Software Sewa Beli Lain2

Tipe Resiko

1. Mainframe

Model

Model (1) ………… ……….. ………….. ………….. …………. ………….

Kuantitatif (2) ………… ……….. ………….. ………….. …………. ………….. Kualitatif (3) ………… ……….. ………….. ………….. …………. ………….. Proses

Proses

2. Mini (1) ………… ……….. ………….. ………….. …………. …………..

T SI

T SI (2) ………… ……….. ………….. ………….. …………. ………….. (3) ………… ……….. ………….. ………….. …………. …………

3. Micro (PC/Stand Alone) (1) ………… ……….. ………….. ………….. …………. ………….. (2) ………… ……….. ………….. ………….. …………. ………….. (3) ………… ……….. ………….. ………….. …………. …………..

4. Micro (PC/LAN) JARINGAN MERK&MODEL TGL INSTALL - Jaringan 1 ………… Server ……….. ………….. ………….. ………….. ………… Terminal ……….. ………….. ………….. ..……….. . - Jaringan 2 ………… Server ……….. ………….. ………….. ………….. ………… Terminal ……….. ………….. ………….. ..……….. .

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6

Konsep Resiko

Konsep Resiko Model Kompleksitas TSI

Ancaman Kelemahan Dampak

Full Integrated

Tipe Resiko

FIS + Deposit Application Tipe Resiko

Deposit Application

Model

Model satu aplikasi

Kuantitatif Kualitatif

Integrasi Sistem

Proses

T SI

T SI On Line/Centralized

VSAT On Line/Combination Leased Line On Line/Distributed Kompleksitas TSI Dial Up Off Line Tidak ada

Hubungan Media Komdat Platform Hardware Mainframe Minicomputer PC LAN PC Stand Alone

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6 Konsep Resiko

Konsep Resiko Ancaman Kelemahan Dampak

Lembar Kerja Pemeriksaan Arround The Computer

Tipe Resiko

Pengendalian Umum TSI (34)

Model

Audit Intern TSI

Proses

Proses Kuantitatif Kualitatif

Disaster and Recovery Plan (13)

T SI

(20)

Model

Pengembangan Sistem

(35)

Pengamanan Pelayanan Jasa Perbankan

Elektronis (22)

Pengamanan Jaringan Komunikasi Data (23)
Penggunaan Microcomputer oleh

end users (19)

Evaluasi Pembelian Perangkat Lunak (21)
Kontrak TSI dengan Pihak Lain (6)

Kerjasama : Universitas Gunadarma & Bank Indonesia

1 6 - 2 0 Ja nua ri 2 0 0 6

Konsep Resiko

Konsep Resiko Ancaman Kelemahan Dampak

Lembar Kerja Pemeriksaan Arround The Computer Contoh:

Tipe Resiko

Model

Apakah kebijaksanaan pengamanan penggunaan aplikasi telah memperhatikan prinsip-prinsip umum kontrol aplikasi yang meliputi :
Pemisahaan tugas …….antara … pengguna,
operasi, dan pengembangan Y/T
Penggunaan … hanya …. yang berwenang Y/T
Menjamin …. data … telah divalidasi Y/T
Menjamin … data yang ditransfer benar dan
lengkap

Proses

Proses Kuantitatif Kualitatif

T SI

Y/T

Tersedianya jejak audit yang memadai serta
penelaahan oleh pihak yang berwenang Y/T
Tersedianya prosedur restart dan recovery Y/T

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6 Konsep Resiko

Konsep Resiko Ancaman Kelemahan Dampak

Tipe Resiko

Model

Proses

Proses Kuantitatif Kualitatif

T SI

Lembar Kerja Pemeriksaan Through The Computer Application Program Operating System Hardware Communication Control Program Database Management System Infrastructure (power, teleccomunication, etc) User Profile Target Pemeriksaan

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6

Konsep Resiko

Through The Computer Lembar Kerja Pemeriksaan

Ancaman Kelemahan Dampak

Transaction Worksheet

Tipe Resiko

Model

System : Model

Kuantitatif

Sub System :

Kualitatif

Transaction :

Proses

T SI

A. Input Control ?

B. Processing Control ?

C. Error Correction ?

D. Output Control ?

E. End Documentation ?

F. Authorization ?

G. Security ?

H. Separation of Duties ?

Kerjasama : Universitas Gunadarma & Bank Indonesia 1 6 - 2 0 Ja nua ri 2 0 0 6 Konsep Resiko

Konsep Resiko Ancaman Kelemahan Dampak

Klasifikasi Resiko Kompleksitas Tinggi Cukup Rendah Aset/Volume Transaksi Tinggi Cukup Rendah

Tipe Resiko

Model

Proses

Proses Kuantitatif Kualitatif

T SI

Tinggi

Rendah Pemeriksaan TSI

Pemeriksaan TSI Kelemahan TSI Tinggi Cukup Rendah Tinggi Cukup Rendah

Cukup

Komponen Kritis:

Component Rating:

T SI

Critically deficient operating performance and are in need of immediate remedial action

4. Support&Delivery

3. Development&Acquisition

2. Management

1. Audit

Uniform Rating System for Information Technology (URSIT)

T SI

Proses Kuantitatif Kualitatif

Proses

Model

Tipe Resiko

Konsep Resiko Ancaman Kelemahan Dampak

Konsep Resiko

Kerjasama : Universitas Gunadarma & Bank Indonesia

1 6 - 2 0 Ja nua ri 2 0 0 6

Composite Ratings:

Composite 1
Composite 2
Composite 3
Composite 4

Strong Performance in every respect and generally have components rated 1 or 2

Composite 5