Untuk menghindari terjadinya sesuatu yang tidak diinginkan atas tujuan dan kegiatan organisasi
Hakikat Pengendalian
Hakikat Pengendalian
Empower Your Auditor
Hakikat Pengendalian
Pengendalian (Controls) Untuk menghindari terjadinya sesuatu yang tidak diinginkan:
o Preventive o Detective o Corrective o Compensating
Pengendalian Intern (Internal Controls) Untuk menghindari terjadinya sesuatu yang tidak diinginkan atas tujuan dan kegiatan organisasi
Hakikat Pengendalian
Definition of Internal Control Internal control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories: o Effectiveness and efficiency of operations o Reliability of financial reporting o Compliance with applicable laws and regulations
Key Concepts o Internal control is a process. It is a means to an end, not an end in itself. o Internal control is effected by people. It’s not merely policy manuals and forms, but people at every level of an organization. o Internal control can be expected to provide only reasonable assurance, not absolute assurance, to an entity’s management and board. o Internal control is geared to the achievement of objectives in one or more separate but overlapping categories.
Hakikat Pengendalian
Pengendalian TI
Untuk menghindari terjadinya sesuatu yang tidak diinginkan atas
teknologi informasi sehubungan dengan tujuan & kegiatan organisasio Basic
¾ Management/General ¾ Application
o COBIT (Control Objectives for Information and Related Technology)
¾ Planning & Organization ¾ Acquistion & Implementation ¾ Delivery & Support ¾ Monitoring
Hakikat Pengendalian Management Controls Onion Management Controls Onion Top Management
IS Management System Development Management Programming Management Data Management Quality Assurance Management Security Management Operation Management Application System Control
Top Management &
Top Management &
IS Management
IS Management
Empower Your Auditor
Top Management & IS Management Auditor dapat mengevaluasi Top Manajemen dengan memeriksa sebagaimana baik mereka melaksanakan keempat fungsi utamanya :
Fungsi Perencanaan – menentukan tujuan fungsi SI dan maksud mencapai
tujuan tsb
Fungsi Pengorganisasian & Staffing – mendapatkan, mengalokasikan
dan mengkoordinasikan sumberdaya yang dibutuhkan untuk mencapai tujuan
Fungsi Kepemimpinan – memotivasi, memandu dan
mengkomunikasikannya dengan personel
Fungsi Pengendalian – membandingkan kinerja aktual dengan kinerja
yang telah ditetapkan dalam perencanaan sebagai dasar untuk pengambilan tindakan koreksi yang dibutuhkan
Top Management & IS Management
Fungsi Perencanaan o Aktivitas
¾ Kenali peluang dan permasalahan TI ¾ Identifikasi sumber daya yang dibutuhkan ¾ Susun strategi untuk memperoleh sumber daya yang dibutuhkan o Jenis-jenis Rencana
¾ Rencana Stratejik ¾ Rencana Operasional Peran Auditor
o Mengevaluasi apakah Top Manajemen telah memformulasikan
perencanaan SI yang berkualitas dan yang sesuai dengan kebutuhan perusahaanTop Management & IS Management
Fungsi Perencanaan o Model Perencanaan
¾ Mc Farlan’s Strategic Grid Model ¾ Sullivan’s Infusion-Diffusion Model o Komite TI
¾ IT Strategic Committee ¾ IT Security Committee ¾ IT Steering Committee
Top Management & IS Management McFarlan’s Strategic Grid Model
Future System Low High Current System
Support Turnaround Low Organization Organization
(Small) (Moderate – Large) Factory Strategic High Organization Organization
(Moderate) (Large)
Top Management & IS Management Sullivan’s Infusion-Diffusion Model
Systems Infusion Low High Systems Diffusion
Traditional Backbone Low Organization Organization
(Small) (Moderate – Large) Federation Complex High Organization Organization
(Moderate) (Large)
Top Management & IS Management
Fungsi Pengorganisasian o Resourcing
¾ Hardware ¾ Software ¾ Personil ¾ Infrastruktur
o Staffing
¾ Rekruitment ¾ Pengembangan personil ¾ Pemberhentian personil
o Sentralisasi vs Desentralisasi
Peran Auditor o Menanyakan apakah Top Manajer memiliki pemahamaan yang bagus atas peran fungsi SI yang harus dijalankan dalam perusahaan o Mengevaluasi sebagaimana bagusnya setiap aktivitas proses staffing dilakukan
Decentralized Intermediate Centralized Function Location Control Dimension Option King’s Centralization & Decentralization Options Top Management & IS Management
Top Management & IS Management
Fungsi
Pengorganisasian
o Fungsi Utama TI ¾ Development
Peran Auditor o Mengevaluasi apakah tanggung jawab setiap posisi pekerjaan yang terdapat dalam fungsi TI telah dirumuskan dan dipahami secara jelas oleh personel SI o Mengevaluasi pemisahan tugas (seperation of duties) atas pekerjaan fungsi SI yang terdapat conflict of interest
- System Analyst • Application Programmer • Systems Programmer • Quality Assurance
¾ Administrator
- Data Administrator • Database Administrator • Security Administrator • Network Administrator
¾ Operator
- Librarian • Data Entry
Top Management & IS Management
Fungsi Kepemimpinan o Memotivasi personil
¾ There is no one best way of motivating people, the best way depends on individuals and their environmet o Menyesuaikan style kepemimpinan dengan personel dan pekerjaan sistem informasi o Komunikasi yang efektif
Peran Auditor o Mengevaluasi sebagaimana baikanya Top Manajemen menjalankan fungsi kepemimpinan
Top Management & IS Management
Fungsi Pengendalian o Pengendalian atas biaya dan manfaat o Pengendalian atas aktivitas TI
¾ Standar metode ¾ Standar kinerja ¾ Standar dokumentasi ¾ Project control standards - GANTT Chart, PERT Chart ¾ Post audit standards o Pengendalian atas pengguna
¾ Transfer pricing Peran Auditor o Mengevaluasi apakah fungsi SI efektif o Mengevaluasi sebagaimana baiknya Top Manajemen memonitor fungsi
SI-nya o Mengevaluasi standar yang telah ditetapkan untuk pengendalian aktivitas sistem informasi o Mengevaluasi pilihan top manajemen atas pengendalian terhadap pengguna jasa
System Development Management
System Development Management
Empower Your Auditor
System Development Management
System Development Life
Cycle (SDLC)
o Perencanaan ¾ Feasibility study (studi Kelayakan) o Analisa
¾ Requirement definition (definisi kebutuhan) o Perancangan
¾ Merancang sistem (system design) o Pengembangan
¾ Pemrograman (programming) ¾ Pembuatan dokumen ¾ Uji penerimaan (acceptance testing) o Implementasi
¾ Konversi ¾ Operasi dan pemeliharaan Auditor o Auditor memerlukan model normatif o Membandingkan praktik aktual dengan model untuk mengidentifikasi ketidaksesuaian dan untuk menunjukkan pengendalian mana yang secara efektif atau tidak dalam pelaksanaan pengembangan
System Development Management
Bagaimana audit atas pengembangan sistem o Concurrent Audit o Post Implementation Review o General Audit
System Development Management Studi
Perencanaan Kelayakan Definisi Analisa Kebutuhan Perancangan
Perancangan Sistem Pemrograman Pembuatan Pengembangan Dokumen Uji Penerimaan Konversi Pengimplementasian Operasi & Pemeliharaan
o Kelayakan dilihat dari aspek: ¾ Technical ¾ Operational ¾ Economic ¾ Behavioral o Peran Auditor
¾ Concurrent
- Memastikan bahwa pilihan solusi yang ditetapkan oleh stakeholder
bermanfaat
- Memastikan pendekatan yang memdai telah dipilih dan digunakan untuk
analisis kelayakan ¾ Ex Post
- Mengevaluasi proses dan pendekatan yang digunakan oleh tim pengembang
dalam penilaian kelayakan
- Mengevaluasi sebagaimana bagusnya penilaian kelayakan dilakukan
- Mengevaluasi dampak dari keputusan yang telah dibuat terhadap kualitas
sistem yang dikembangkan Definisi kebutuhan o Auditor harus memeriksa dan mengevaluasi
¾ prosedur yang digunakan oleh stakeholder dalam mencapai kesepakatan atas kebutuhan stratejik ¾ Prosedur yang digunakan untuk membantu mengklarifikasi kebutuhan stratejik Operasional Ekonomi Perilaku Proses Pengembangan Sistem Teknologi Berhenti Mulai Operasional Ekonomi Perilaku Proses Pengembangan Sistem Teknologi Berhenti Mulai
System Development Management
Studi kelayakan
System Development Management
Perancangan sistem
o Pengumpulan detil kebutuhan – auditor harus mengevaluasi pendekatan yang digunakan untuk mendiskripsikan kebutuhan dan kualitas dokumentasi yang dibuat atas diskripsi kebutuhan o Desain alur data dan informasi – auditor harus secara hati-hati mengevaluasi aktivitas yang dilakukan dalam tahap ini untuk menetukan apakah rancangan yang dihasilkan memenuhi kebutuhan yang ditetapkan untuk sistem tsb o Desain database – auditor harus mengevaluasi keputusan yang diambil dalam menetapkan scope dan struktur database dan auditor harus berusaha menemukan bukti bahwa suatu tool telah digunakan untuk memfasilitasi proses perancangan dan dokumentasi atas hasil proses rancangan o Desain interface – auditor mengevaluasi bahwa perancang telah mengikuti standar perancangan interface yang memadai, dan auditor harus menginvestigasi apakah perancang telah mem-prototype-kan penggunaan interface o Desain phisikal – auditor harus berusaha mencari bukti bahwa perancang mengikuti suatu pendekatan terstruktur dalam melakukan perancangan phisikal o Desain platform – auditor harus memastikan bahwa desain platform atas hardware/system software mendukung sistem aplikasi dikembangkan
Pemrograman o Coding, compiling etc o Akuisisi atau mengembangkan o Peran auditor
¾ Akuisisi Æ kecukupan spesifikasi kebutuhan yang disediakan untuk vendor; kualitas prosedur yang digunakan untuk mengevaluasi software yang ditenderkan atas fungsionalitasnya, akurasinya dan kelengkapatnya; kualitas dokumentasi; kestabilan vendor dan dukungan vendor
¾ Mengembangkan Æ mengevaluasi prosedur yang dilakukan/diterapkan selama tahap perancangan, coding, compiling, pengujian dan dokumentasi
Pembuatan dokumen
o System documentation, user manual o Peran auditor ¾ Auditor harus menilai kualitas rancangan prosedur ¾ Audtor harus mengevaluasi apakah spesifikasi atas minimum prosedur telah dicakup ¾ Memeriksa tim perancang prosedur apakah terdiri atas perwakilan semua grup stakeholder ¾ Mengevaluasi pendekatan yang digunakan untuk menguji prosedur ¾ Mengevaluasi kualitas dokumentasi prosedur
System Development Management
System Development Management
Uji penerimaan
o Unit testing ; System testing; & User testing o Peran auditor : ¾ Mengevaluasi pekerjaan yang dilakukan selama tahap pengujian penerimaan dengan menanyakan :
- Bagaimana proses pengujian direncanakan
- Bagaimana data uji dirancang dan dibuat
- Data uji apa yang digunakan
- Hasil uji apa yang diperoleh
- Tindakan apa yang diambil atas error/kelemahan yang teridentifikasi
- Modifikasi apa yang dibuat atas data uji berdasarkan pengalaman uji sebelumnya
- Bagaimana pengendalian diuji atas data uji dan proses pengujian penerimaan
System Development Management
Konversi
o Konversi ke sistem baru dapat dilakukan dengan 3 cara
¾ Abrupt Changeover ,Phased Changeover, & Parallel Changeover
o Perpindahan ke sistem baru dapat melibatkan 4 aktivitas
¾ Pelatihan pengguna ¾ Instalasi hardware & software ¾ Konversi file dan program ¾ Pengoperasian
o Auditor : ¾ gangguan yanng dapat terjadi dan berisiko pada pengemanan aset, integritas data, efektivitas dan efisien sistem ¾ Indikasi permasalah dengan penerimaan user ¾ Seringkali trade-off dibuat antara integritas data pada sistem baru dan kebutuhan untuk segera menjalankan sistem ¾ Perencanaan yang hati-hati atas aktivitas yang dilakukan selama tahap konversi.
Pengendalian untuk mematikan pengamanan aset, integritas data, efektivitas dan efisiensi sistem harus dirancang dan diimplementasikan
Operasi dan pemeliharaan
o Tiga tipe perubahan yang dapat terjadi : ¾ Perbaikan (repair maintenance) – kekeliruan logik ¾ Penyesuaian (adaptive maintenance) – perubahan dalam lingkungan sistem dan pengguna ¾ Penyempurnaan (perfective maintenance) – meningkatkan efisiensi pemrosesan o Auditor harus mengevaluasi keberadaan proses perubahan yang formal Æ untuk mengidentifikasi, & mencatat perubahan; dan otorisasi dan pengendalian implementasi
Programming Management
Programming Management
Empower Your Auditor
Programming Management
o Karakteristik utama program yang berkualitas
PLANNING
tinggi
¾ Berfungsi dengan benar dan lengkap ¾ Mempunyai interface pengguna yang
CONT DESIGN
berkualitas tinggi ¾ Bekerja secara efektif ¾ Didesain dan didokumentasikan dengan baik
ROLS CODING
¾ Mudah dipelihara ¾ Tahan terhadap kondisi yang tidak normal TESTING OPERATION & MAINTENANCE HIGH-QUALITY PROGRAMS
Programming Management
Planning
Peran Auditor Teknik estimasi biaya
- Algorithmic Models Auditor harus mengevaluasi apakah
- Expert Judgment sifat dan sejauh mana/seluas apa
- Analogy
perencanaan dilakukan pada
- Top-down Estimation software yang dikembangkan atau
- Bottom-up Estimation diakuisisi.
Auditor harus mengevaluasi Aspek yang harus sebagaimana bagusnya pekerjaan
diperhatikan perencanaan dilakukakan.
- Design Approach • Implementation Approach • Integration & Testing Approach • Project Team Organization
Programming Management
Design
Pendekatan desain berdasarkan bahasa pemrograman
- Programer berusaha untuk menspesifikasikan struktur dan operasi program yang akan memenuhi kebutuhan yang telah diidentifikasi selama tahap perancangan sistem pemrosesan informasi pada pengembangan sistem
Peran Auditor Akan mencari tahu apakah programer telah menggunakan suatu tipe pendekatan yang sistematik untuk perancangan Auditor bisa mendapatkan bukti atas praktik-praktik perancangan yang digunakan dengan melakukan
Interviu – menentukan apakah programer telah memahami perlunya suatu pendekatan perancangan yang sistematik Observasi
- – menetukan apakah programer menggunakan pendekatan sistematik untuk merancang program
reviu atas dokumen – menentukan apakah dokumen tersebut berisi item spserti bagan struktur program sebgai bukti bahwa programer menggunakan pendekatan sistematik untuk perancangan
Programming Management
Coding dilakukan saat software yang dikembangkan/diakuisisi dimodifikasi.
Programer menulis dan mendokumentasikan source code kedalam bahasa pemrograman untuk mengimplementasikan rancangan program Implementasi modul dan strategi integrasi
- Auditor harus berusaha mencari bukti pada tingkat perhatian apa yang dilakukan oleh manajemen pemrograman dalam memilih strategi implementasi dan integrasi modul
- Auditor dapat melakukan interviu dan memeriksa dokumentasi program Strategi coding
mekanisme “GO TO” - 3 struktur pengendalian dasar dalam coding
- Simple sequence SEQUENCE
- Selection based on a test
IF-THEN-ELSE
- Conditional Repetition DO-WHILE
- Peran auditor>Harus berusaha menemukan bukti untuk menentukan apakah manajemen pemrograman memastikan bahwa konvensi pemrograman yang terstruktur diikuti oleh programer
- Interviu manajer dan programer, observasi pekerjaan programer, & periksa dokumentasi program
Programming Management
Testing Æ dievaluasi untuk o Program yang dikembangkan/diakuisisi menentukan apakah program memenuhi kebutuhan yang telah dispesifikasikan
o Untuk mengidentifikasi adanya erro r pada rancangan atau coding
program
o Langkah pengujian
¾Memilih batasan pengujian ¾Menentukan tujuan pengujian ¾Memilih pendekatan pengujian ¾Mengembangkan pengujian ¾Melakukan dan menilai pengujian ¾Mendokumentasikan pengujian
Programming Management
Peran Auditor Unit Testing
o Analysis Test
o Unit testing Æ Auditor dapat melakukan interviu, observasi,
¾ Desk Checking
dan pemeriksaan dokumen
¾ Structured Walk-Through
untuk mengevaluasi
¾ Design & Code Inspections
sebagaimana bagusnya
o Dynamic Analytic Test
pengujian dilakukan
¾ Black Box Testing
o Integration testing Æ
¾ White Box Testing
umumnya dilakukan hanya ketika program yang besar dan Integration Testing kompleks dikembangkan
System Testing secara in house/vis kontraktor.
o Function Test
Auditor mengevaluasi kualitas
o Performance Test
pekerjaan pengujian integrasi
o Acceptance Test
dilakukan oleh personel SI
o Installation Test
Programming Management
Operation & Maintenance
o Program menjadi bagian operasional saat program direlease untuk penggunaan operasi keseharian o Tipe pemeliharaan yang perlu dilakukan agar program tetap beroperasi :
¾ Perbaikan ¾ Penyesuaian ¾ Penyempurnaan o Peran auditor ¾ Penggunaan operasional atas programÆ apakah kinerja dimonitor secara memadai ¾ Mengevaluasi prosedur yang digunakan untuk melakukan pemeliharaan atas program ¾ Memastikan efektivitas dan ketepatan waktu pelaporan kebutuhan pemeliharaan dan memastikan pemeliharaan dilakukan dengan pengendalian yang memadai
¾ Berusaha menemukan bukti bahwa manajemen telah mengimplementasikan suatu sistem reviu dan memberikan/melimpahkan tanggungjawab untuk memonitor status program di operasional
¾ Auditor dapat melakukan interviu, observasi dab reviu dokumen
Programming Management
Pengendalian pemrograman PLANNING
o Monitoring kemajuan dibandingkan dengan rencana untuk menjamin efisiensi dan ketepatan waktu, misalnya Work Breakdown Structure, Gantt Charts, Program Evaluation & Review Techniques (PERT)
DESIGN CONT
o Pengendalian akses untuk menjamin autentikasi, akurasi dan kelengkapan, misalnya Program Library
ROLS Software CODING
Peran Auditor
o Mengevaluasi apakah sifat dari dan sejauh mana
TESTING
aktivitas pengendalian dilakukan secara memadai terhadap beberbagai tipe software yang dikembangkan dan di akuisisi
OPERATION
o Mengumpulkan bukti atas apakah prosedur
&
pengendalian yang dijalankan dapat diandalkan
MAINTENANCE
Programming Management
Sejumlah aspek pengendalian o Pekerjakan hanya staf programer yang berkualitas tinggi o Lakukan pemisahan fungsi seoptimal mungkin o Buat standar metode dan kinerja o Batasi kewenangan programer o Pelihara log manual dan machine log atas aktivitas programer o Mintakan jasa konsultan independen untuk menilai pekerjaan pemrograman
o Lakukan uji silang atas pekerjaan antar programer secara
berkala
Data Management
Data Management
Empower Your Auditor
Data Management
Tujuan Data Management
Sharing
o Sharability
Sumber daya
¾ Setiap pengguna berhak mengakses dan menggunakan data yang sama
o Availability
¾ Setiap pengguna dapat mengakses dan
Konflik antar
menggunakan data pada setiap saat, dimanapun dan dalam form yang mereka
Pengguna
inginkan
o Evolvalibity
¾ Data dan definisi data dapat dimodifikasi untuk Perlu merespon kebutuhan stakeholder
Dilakukan
o Integrity
Mediasi ¾ Data harus otentik, akurat dan lengkap
Kompromi
Data Administrator (DA) & Database Administrator (DBA)
- oriented) definition Strategic data planning; determining user needs; specifying conceptual & external schema (user-oriented) definition Defining Data
Determining programmer requirement for database tools; determining database optimization tools; testing & evaluating programmer & database optimization tools. Determining end-user requirement for database tools, testing & evaluating end-user database tools Making Database
Available to Users Implementing retirement schema Specifying retirement policies Retiring Data Specifying new internal schema definition; altering database to conform with new schema Specifying new conceptual & external schema definition; advising user to conform with new definition
Redefining / Restructuring Data Preparing programs to create data; assistance in populating database
Specifying data collection procedures and validation & editing criteria Creating Data
Specifying internal schema (computer
Tanggung Jawab DBA Tanggung Jawab DA Fungsi Data Management Monitoring programmer patterns of database use; collecting performance statistic; tuning the database
Monitoring end-user patterns of database use Monitoring Operations
Implementing database controls; assisting programmers to design & implement application controls Developing and promulgating organization-wide standards; assisting end-user to formulate application controls Maintaining
Database Integrity Answering programmer queries; educating programmers; establishing & promulgating low- level policy information; providing internal schema information Answering end-user queries; educating end-user; establishing & promulgating high-level policy information; providing conceptual & external schema information
Informing & Servicing User Tanggung Jawab DBA Tanggung Jawab DA Fungsi Data Administrator (DA) & Database Administrator (DBA) Data Management
Data Management Database Definition – Schemas & Mapping Individual user view External External External of the database Schema 1 Schema 2 Schema 3 Total logical view
Conceptual of the database Schema Total storage structure
Internal of the database Schema Instances of the
Stored database definition Database
Data Management External Schema Person belongs Dept. Person paid has
has Salary (empno) to (depno) (empno) to Conceptual Schema
Person
Dept. belongs paid has has Salary (empno) to (depno) to Internal Schema Person Dept. Salary (empno) (depno)
10 character 6 character 12 numeric
Data Management Pengendalian atas integritas database:
o Pengendalian definisi o Pengendalian eksistensi o Pengendalian akses o Pengendalian update o Pengendalian concurrency o Pengendalian kualitas
Quality Assurance Management
Quality Assurance Management
Empower Your Auditor
Quality Assurance Management
Mengapa Perlu Quality Assurance ?
o Semakin banyak organisasi yang menghasilkan safety-critical systems o Pengguna semakin menuntut perangkat lunak yang berkualitas tinggi untuk mendukung pekerjaannya o Organisasi menjalankan proyek sistem informasi yang ambisius sehingga dituntut jaminan kualitas yang semakin kuat o Organisasi semakin memperhatikan kelangsungan hidupnya apabila mereka menghasilkan dan menjual perangkat lunak yang tidak sempurna o Pengendalian yang tidak memadai atas produksi, implementasi, operasi dan pemeliharaan perangkat lunak dapat mengakibatkan biaya tinggi o Peningkatan kualitas perangkat lunak merupakan bagian dari tren yang diterima luas di dunia untuk meningkatkan kualitas jasa dan produk yang mereka jual
Quality Assurance Management
Fungsi Quality Assurance
o Mengembangkan sasaran kualitas bagi keseluruhan fungsi
sistem informasi dan membantu pengembangan sasaran kualitas bagi sistem informasi tertentuo Mengembangkan, menyebarluaskan, dan memelihara standar
sistem informasi o Memonitor ketaatan terhadap standar o Mengidentifikasi area yang memerlukan peningkatan o Memberikan laporan kepada manajemen o Memberikan pelatihan kepada personil sistem informasi yang lain mengenai standar dan prosedur kualitasQuality Assurance Management Karakteristik Kualitas Perangkat Lunak – ISO 9126 Karakteristik
Uraian
Functionality Tingkatan yang harus dipenuhi oleh suatu software dalam mengakomodasi kebutuhan dari user software tersebut harus jelas Tingkatan performa minimum dari suatu software
Reliability
selama kurun waktu tertentu Usability Tingkat kemampuan dari software untuk dapat digunakan oleh user
Efficiency Tingkat sumber daya yang digunakan oleh software dalam melakukan tugasnya
Maintainability Tingkatan usaha yang diperlukan untuk memodifikasi software
Portability Kemampuan dari suatu software untuk bisa bekerja dalam berbagai hardware dan software yang tersedia
Security Management
Security Management
Empower Your Auditor
Security Management
A A set dinyatakan set dinyatakan secure secure apabila kerugian yang diperkirakan akan apabila kerugian yang diperkirakan akan terjadi akibat kemungkinan ancaman dalam batas waktu tertentu terjadi akibat kemungkinan ancaman dalam batas waktu tertentu masih dalam tingkat yang dapat diterima masih dalam tingkat yang dapat diterima
Aset Physical Logical Data/Information Software System Application Personnel Hardware Facilities Documentation Supplies Mainframes, minis, micros Peripherals online/offline Storage media
Security Management Implementing security program Prepare
Prepare Identify Value Identify Probability Asses Adjust Project Security Assets Assets Threats of threats Exposure Controls Plan
Report Objectives Personnel Who Values Source Statistical Identify current Is exposure History controls level is still Scope Hardware Internal How Lost acceptable Estimation : Tasks Facilities External Loss Period
Asses the Managements Team Document Asset Age Nature Identify new reliability of Users controls controls Budget Supplies Accidental
IT Functions Schedule Data and Deliberate Controls Information
Evaluate the Adjustment probability that Applications a threat will Software successful Systems Software
Assess the resulting loss
Security Management Jenis-jenis Ancaman Fire Hacking Damage Water Damage
Virus & Worms Energy Variations Misuse of Software Data & Services Structural Damage
Unauthorized Pollution Intrusion
Security Management
Disaster Recovery Plan o Emergency Plan o Backup Plan
¾ Cold Site Æ Hanya fasilitas, tanpa hardware & software ¾ Hot Site Æ Semua hardware & software, data, perlengkapan ¾ Warm Site ÆFasilitas dan sejumlah hardware utama ¾ Reciprocal ÆPertukaran antara dua atau kebih organisasi o Recovery Plan
¾ Test Plan Asuransi
Operation Management
Operation Management
Empower Your Auditor
Operation Management
Computer Operation Controls Network Operation Controls Data Preparation and Entry Production Controls File Library Documentation and Program Library Help Desk / Technical Support Capacity Planning and Performance Monitoring Management of Outsourced Operations
Operation Management – Computer Operation Controls
Operation Controls
o Menentukan fungsi yang harus dilakukan oleh operator dan
fasilitas operasi otomasi Scheduling Controls
o Menentukan bagaimana pekerjaan dijadualkan dalam platform
hardware atau software Maintenance Controls
o Menentukan bagaimana hardware dipelihara dengan urutan
operasi yang baik
Operation Management – Computer Operation Controls
Maintenance Controls Graph Total Cost of Maintenance Cost of Preventive Maintenance CostCost of Remedial Maintenance Frequency of Maintenance Trade-off between preventive & remedial maintenance
Operation Management – Network Operation Controls LAN Controls File Server Physical Barrier Workstation
WAN Controls N.C.T Network Control Terminal
Operation Management – Network Operation Controls
Operation Management – Data Preparation & Entry
Desain dokumen sumber Penyimpanan dokumen sumber Desain screen input Desain area entri data
o Pencahayaan pada area keyboard – memadai dan tidak menyilaukan o Akustik pada lingkungan kerja – tidak terlalu sunyi atau gaduh o Layout lingkungan kerja – tidak semrawut o Desain ergonomik perlengkapan kantor – menekan luka
Operation Management – Production Controls
Penerimaan dan pengiriman input dan output o Kertas & bentuk elektronik
Penjadualan kerja o Manual atau otomatis
Manajemen kesepakatan tingkat layanan dengan pengguna o Service level o Cost o Pinalti
Harga transfer o Billing & collection
Akuisisi perlengkapan komputer o Kertas printer, diskette, tape magnetik, toner cartridges dll
Operation Management – File Library
Empat fungsi yang terkait:
o Media penyimpan harus ditempatkan dalam fasilitas yang aman o Hanya digunakan dengan tujuan yang terotorisasi o Dipelihara dengan urutan yang baik o Ditempatkan pada lokasi yang memadai dan pemindahan dari dan ke fasilitas harus dikendalikan
Penyimpanan media penyimpan Penggunaan media penyimpan Pemeliharaan dan penghancuran media penyimpan Lokasi media penyimpan
Operation Management – Documentation & Program Library
Pustakawan dokumen
o Mengelola dokumentasi yang mendukung fungsi sistem informasi o Mengelola persediaan perangkat lunak
Beberapa permasalahan:
o Tanggung jawab atas dokumentasi biasanya tersebar di lingkungan organisasi o Dokumentasi dalam bentuk dan lokasi yang beragam o Kesulitan untuk memastikan bahwa dokumentasi tetap up-to-date dan hanya dapat diakses oleh pengguna yang terotorisasi o Kesulitan untuk memastikan backup dokumentasi yang memadai
Operation Management – Helpdesk/Technical Support
Syarat yang kritikal o Personil yang kompeten dan dapat dipercaya o Sistem manajemen permasalahan yang menyediakan inventory, logging, dan reporting
Operation Management – Capacity Planning & Performance Monitoring
Menilai apakah profil kinerja mengindikasikan aktivitas yang tidak terotorisasi Menentukan apakah kinerja sistem pada tingkatan yang dapat diterima dibandingkan dengan yang diinginkan pengguna Menentukan kebutuhan pengguna akan perangkat keras dan perangkat lunak baru
Operation Management – Management of Outsourced Operations
Empat aspek pengendalian yang harus menjadi fokus manajemen: o Evaluasi terus menerus atas kemampuan finansial vendor o Memastikan ketaatan kepada kontrak o Memastikan secara terus menerus pegendalian yang memadai atas operasi vendor o Memelihara prosedur disaster recovery dengan vendor