A.
Perbedaan
Audit around the computer dan through the computer
Tugas softskill pertama
di semester ini. Mengenai audit around the computer dan audit through the
computer.
Pertama-tama apa audit itu.
1. Pengertian
Audit
Audit atau pemeriksaan dalam arti luas bermakna evaluasi
terhadap suatu organisasi, sistem, proses, atau produk. Audit dilaksanakan oleh
pihak yang kompeten, objektif, dan tidak memihak, yang disebut auditor. Tujuannya adalah untuk melakukan verifikasi bahwa subjek dari audit
telah diselesaikan atau berjalan sesuai dengan standar, regulasi, dan praktik
yang telah disetujui dan diterima.
2. Auditing-through the
computer
Yaitu audit terhadap suatu penyelenggaraan sistem informasi berbasis
komputer dengan menggunakan fasilitas komputer yang sama dengan yang digunakan
dalam pemrosesan data. pendekatan audit ini berorientasi computer yang secara
langsung berfokus pada operasi pemrosesan dalam system computer dengan asumsi
bila terdapat pengendalian yang memadai dalam pemrosesan, maka kesalahan dan
penyalahgunaan dapat dideteksi. Pendekatan ini dapat menggunakan perangkat
lunak dalam bentuk specialized audit software (SAS) dan generalized audit
software (GAS).
Pendekatan Audit ini digunakan bila pendekatan Auditing Around the Computer
tidak cocok atau tidak mencukupi. Pendekatan ini dapat diterapkan bersama-sama
dengan pendekatan Auditing Around the Computer untuk memberikan kepastian yang
lebih besar.
3.
Definisi Audit Through the
computer
Audit ini berbasis komputer, dimana dalam pendekatan ini auditor melakukan
pemeriksaan langsung terhadap program-program dan file-file komputer pada audit
sistem informasi berbasis komputer. Auditor menggunakan komputer (software
bantu) atau dengan cek logika atau listing program untuk menguji logika program
dalam rangka pengujian pengendalian yang ada dalam komputer.
Bagaimana caranya untuk pendekatan Audit Through the computer ?
Dipenjelasan ini akan dijelaskan mengenai caranya atau tahapanya yaitu
dilakukan dalam kondisi :
1. Sistem aplikasi komputer memproses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperuas audit untuk meneliti keabsahannya. Maksudnya adalah dari suatu sistem aplikasi komputernya dapat memproses suatu hasil input & outputan yang besar sehingga dapat meneliti seteliti mungkin.
2. Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan. Maksudnya adalah suatu bagian yang sangat penting dari suatu struktur pengendalianya adalah dari pihak dalam perusahaan yang terdapat suatu komputer di dalamnya.
1. Sistem aplikasi komputer memproses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperuas audit untuk meneliti keabsahannya. Maksudnya adalah dari suatu sistem aplikasi komputernya dapat memproses suatu hasil input & outputan yang besar sehingga dapat meneliti seteliti mungkin.
2. Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan. Maksudnya adalah suatu bagian yang sangat penting dari suatu struktur pengendalianya adalah dari pihak dalam perusahaan yang terdapat suatu komputer di dalamnya.
4.
5.
Dari kedua istilah diatas bisa disimpulkan bahwa,
kedua audit jelas berbeda jika dilihat dari cara pengerjaannya. Dimana jika
menggunakan cara Around The Computer sang auditor tidak hanya mengerjakannya
melalui komputer saja, dan sebaliknya jika menggunakan cara Through The
Computer sang auditor mengerjakan auditnya menggunakan komputer.
B. Contoh
prosedur kerja IT Audit dan forensik
Dengan semakin berkembanganya dunia IT semakin banyak
pula oknum-oknum yang tidak bertanggungjawab menyalahgunakan IT untuk
kepentingan diri sendiri dan merugikan banyak pihak.
IT Forensic adalah bagian kepolisian yang menelusuri kejahatan-kejahatan
dalam dunia computer/internet. Komputer forensik yang juga dikenal dengan nama
digital forensik, adalah salah satu cabang ilmu foreksik yang berkaitan dengan
bukti legal yang ditemui pada komputer dan media penyimpanan digital.Tujuan
dari komputer forensik adalah untuk menjabarkan keadaan kini dari suatu artefak
digital. Istilah artefak digital bisa mencakup sebuah sistem komputer, media
penyimpanan (seperti flash disk, hard disk, atau CD-ROM), sebuah dokumen
elektronik (misalnya sebuah pesan email atau gambar JPEG), atau bahkan
sederetan paket yang berpindah dalam jaringan komputer.
IT forensic Bertujuan untuk mendapatkan fakta-fakta
obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi.
Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence)
yang akan digunakan dalam proses hukum.
1.
Contoh Prosedur dan
Lembar Kerja Audit
PROSEDUR IT AUDIT:
●Kontrol lingkungan:
1. Apakah kebijakan keamanan (security policy) memadai
dan efektif ?
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4. Memeriksa persetujuan lisen (license agreement)
●Kontrol keamanan fisik
5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
6. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
●Kontrol keamanan logikal
9. Periksa apakah password memadai dan perubahannya dilakukan reguler
10.Apakah administrator keamanan memprint akses kontrol setiap user
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4. Memeriksa persetujuan lisen (license agreement)
●Kontrol keamanan fisik
5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
6. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
●Kontrol keamanan logikal
9. Periksa apakah password memadai dan perubahannya dilakukan reguler
10.Apakah administrator keamanan memprint akses kontrol setiap user
CONTOH – CONTOH
– Internal IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan Fokus kepada global, menuju ke standard2 yang diakui.
– Internal IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan Fokus kepada global, menuju ke standard2 yang diakui.
– External IT Consultant Outputnya Rekrutmen staff, teknologi baru dan
kompleksitasnya Outsourcing yang tepat dan Benchmark / Best-Practices
CONTOH METODOLOGI AUDIT IT
BSI (Bundesamt für Sicherheit in
der Informationstechnik)
● IT Baseline Protection Manual
(IT- Grundschutzhandbuch )
● Dikembangkan oleh GISA: German Information Security Agency
● Digunakan: evaluasi konsep keamanan & manual
● Metodologi evaluasi tidak dijelaskan
● Mudah digunakan dan sangat detail sekali
● Tidak cocok untuk analisis resiko
● Representasi tdk dalam grafik yg mudah dibaca
● Dikembangkan oleh GISA: German Information Security Agency
● Digunakan: evaluasi konsep keamanan & manual
● Metodologi evaluasi tidak dijelaskan
● Mudah digunakan dan sangat detail sekali
● Tidak cocok untuk analisis resiko
● Representasi tdk dalam grafik yg mudah dibaca
Tools yang digunakan untuk Audit
IT dan Audit Forensik
● Hardware:
– Harddisk IDE & SCSI. kapasitas sangat besar, CD-R,DVR drives
– Memori yang besar (1-2GB RAM)
– Hub, Switch, keperluan LAN
– Legacy hardware (8088s, Amiga, …)
– Laptop forensic workstations
– Harddisk IDE & SCSI. kapasitas sangat besar, CD-R,DVR drives
– Memori yang besar (1-2GB RAM)
– Hub, Switch, keperluan LAN
– Legacy hardware (8088s, Amiga, …)
– Laptop forensic workstations
● Software
– Viewers (QVP http://www.avantstar.com dan http://www.thumbsplus.de
– Erase/Unerase tools: Diskscrub/Norton utilities)
– Hash utility (MD5, SHA1)
– Text search utilities (search di http://www.dtsearch.com/)
– Drive imaging utilities (Ghost, Snapback, Safeback,…)
– Forensic toolkits. Unix/Linux: TCT The Coroners Toolkit/ForensiX dan Windows: Forensic Toolkit
– Viewers (QVP http://www.avantstar.com dan http://www.thumbsplus.de
– Erase/Unerase tools: Diskscrub/Norton utilities)
– Hash utility (MD5, SHA1)
– Text search utilities (search di http://www.dtsearch.com/)
– Drive imaging utilities (Ghost, Snapback, Safeback,…)
– Forensic toolkits. Unix/Linux: TCT The Coroners Toolkit/ForensiX dan Windows: Forensic Toolkit
Disk editors (Winhex,…)
– Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
– Write-blocking tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi bukti bukti.
– Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
– Write-blocking tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi bukti bukti.
http://indraasetiawan.wordpress.com/2013/03/18/contoh-prosedur-dan-lembar-kerja-auditing-around-the-computer-dan-auditing-through-the-computer/
0 Ocehan:
Post a Comment
Silahkan Berkomentar disini.
berkomentar lah yang baik dan sopan. Terimakasih. ^_^