Tata kelola TI bertujuan untuk mengurangi risiko dan memastikan investasi TI menambah nilai perusahaan. Dokumen ini membahas kontrol tata kelola TI seperti struktur fungsi TI, operasi pusat data, dan perencanaan pemulihan bencana serta prosedur auditnya.

1. AUDITING IT GOVERNANCE
CONTROLS

2. Information Technology Governance
Tujuan utama dari tata kelola TI adalah untuk :
•mengurangi risiko
•memastikan bahwa investasi dalam sumber daya
TI menambah nilai bagi perusahaan.
Sebelum SOX Act, praktek umum mengenai
investasi pada TI adalah menyerahkan semua
keputusan kepada profesional TI. Sekarang
semua elemen organisasi dituntut aktif
berpartisipasi dalam perencanaan s.d
pengembangan TI.

3. IT Governance Controls
Based on SOX dan COSO ada 3 isu tata
kelola IT:
•Organizational structure of the IT function
•Computer center operations
•Disaster recovery planning

4. Structure of the Information Technology
Berdasarkan model pengolahan data
terpusat, semua pemrosesan data dilakukan
oleh satu atau lebih komputer yang lebih
besar bertempat di situs pusat yang
melayani pengguna di seluruh organisasi.

5. • DBA: Central Location, Shared. DBA n teamnya
responsible pada keamanan dan integritas database.
• Pemrosesan Data mengelola SDIT terdiri dari:
– Konversi Data: HardCopy to SoftCopy (inputable to
computer)
– Operasi Komputer: memproses hasil konversi melalui
suatu aplikasi
– Data Library: Storage offline data-> Real Time data
Procesing dan direct acces mengurangi peran DL
• Sys Dev and Maintenis: Analisis kebutuhan, partisipasi
dalam desain sistem baru (Profesional, End Users dan
Stakeholder). Menjaga sistem beroperasi sesuai
kebutuhan, 80-90% cost dalam IT biasanya ada pada
maintanance (tidak hanya soal merawat/membersihkan
HW namun lebih kepada tambal sulam SI.

6. Segregation of Incompatible IT Functions

7. Pemisahan antara suatu fungsi tertentu demi menjaga IC
yang baik:
•System Development Manager pisahkan dengan
Operasional
•DataBase Administrator pisahkan dari unit lain
•System Development pisahkan dengan Maintanance
(merupakan superior structure) karena adanya resiko:
– Inadequate Documentation: Programmer lebih suka
mengembangkan sistem baru daripada
mendokumentasikan kinerja sistem lama, juga soal
job security perlu diperhatikan karena dpat menyusun
program yang tidak sempurna biar ada kerjaan terus.
– Program Fraud: unauthorized change karena
programer faham seluk beluk operasi normal.

8. The Distrubuted Model
Small, powerful, and inexpensive systems.
DisDataProc (DDP) melibatkan reorganisasi fungsi IT pusat
ke IT unit kecil yang ditempatkan di bawah kendali
pengguna akhir (End Users). Unit IT dapat didistribusikan
menurut fungsi bisnis, lokasi geografis, atau keduanya.
•Resikonya mnggunakan model DDP: tidak efisiennya
penggunaan sumber daya, perusakan jejak audit,
pemisahan tugas kurang memadai, meningkatkan potensi
kesalahan pemrograman dan kegagalan sistem serta
kurangnya standarisasi.
•Keuntungannya termasuk pengurangan biaya,
peningkatan kontrol biaya, meningkatkan kepuasan
pengguna, dan adanya fleksibilitas dalam backup sistem.

9. Controlling the DDP Environment
• Central Testing of Commercial Software and Hardware
diuji dipusat
• User Services: ada Chat room, FAQ, Intranet support
• Standard-Setting Body: untuk improve keseragaman
prog and doc
• Personnel Review: ada assesment.
• Audit Objective: Tujuan auditor adalah untuk
memastikan bahwa struktur fungsi TI adalah sedemikian
rupa sehingga individu di daerah yang tidak kompatibel
dipisahkan sesuai dengan tingkat potensi risiko dan
dengan suatu cara yang mempromosikan lingkungan
kerja yang kondusif.

10. Audit Procedures:
Centralized
•Tinjau dokumentasi yang relevan, untuk menentukan
apakah individu atau kelompok yang melakukan fungsi-
fungsi yang tidak kompatibel.
•Review catatan pemeliharaan,verifikasi bahwa
programmer pemeliharaan tertentu tidakmerangkap
programer desain.
•Pastikan bahwa operator komputer tidak memiliki akses ke
logic sistem dokumentasi, seperti sistem diagram alur,
logika diagram alur, dan daftar kode program.
•Review akses programer untuk alasan selain kegagalan
sistem

11. Distributed
•Tinjau bagan organisasi saat ini , pernyataan misi
, dan uraian tugas  incompatible duties .
•Pastikan bahwa desain sistem
,dokumentasi,hardware dan perangkat lunak hasil
akuisisi diterbitkan dan diberikan to unit TI.
•Pastikan kontrol kompensasi  supervisi
monitoring
•Dokumentasi sistem aplikasi , prosedur , dan
databasesare dirancang dan berfungsi sesuai
dengan standar perusahaan .

12. The Computer Center
• Physical Location : Antisipasi bencana alam maupun manusia
cari lokasi yang aman.
• Construction : kontruksi fasilitas IT-> tunggal, acces terbatas
dan filtrasi bagus.
• Access : LIMITED
• Air Conditioning : Adequate untuk menjaga database
• Fire Suppression : Automatic Alarm, Pemadam Api, Exit Door
• Fault Tolerance : Toleransi kesalahan adalah kemampuan
sistem untuk melanjutkan operasi ketika bagian dari sistem
gagal (masih bisa running kalau ada sesuatu gangguan)
karena kegagalan hardware, error program aplikasi, atau
kesalahan operator.
– Redundant arrays of independent disks (RAID)->data
– UPS->Listrik

13. Audit Objectives :
Tujuan auditor adalah untuk mengevaluasi
kontrol yang mengatur keamanan pusat
komputer .Secara khusus , auditor harus
memastikan bahwa: kontrol keamanan fisik yang
memadai untuk cukup melindungi organisasi dari
eksposur fisik DAN cakupan asuransi pada
peralatan memadai untuk mengkompensasi
kerusakan pusat komputernya

14. Audit Procedures
•Tests of Physical Construction. Fisik bangunan
server, lokasi dan keamanan terhadap HAZARD
EVENT.
•Tests of the Fire Detection System.
•Tests of Access Control.
•Tests of Raid, BU HD
•Tests of the Uninterruptible Power Supply.
•Tests for Insurance Coverage.

15. Disaster Recovery Planning
• Operating System Objectives
– Menterjemahkan bahasa tingkat tinggi COBOL C++
dll, menggunakan translatornya -> yakni Compiler
dan Interpreters –Ch 5 lbh lengkapnya
– Mengalokasikan SD kepada user, grup maupun
aplikasi
– Mengelola pekerjaan dan banyak program seperti
User/Jobs mengakses komputer melalui 3 cara:
Directly, Job Ques dan Links

16. • Operating System Security
Kebijakan, prosedur dan pengendalian yang
menentukan siapa yang dapat mengakses OS
dan SD IT dan apa saja yang bisa
dilakukannya.
–Prosedur Log-ON pertahanan pertama, salah
brp x blokir misalnya.
–Token Akses -> mengandung KeyInfo:user ID,
pass,previledge
–Acces Control List (daftar kesaktian user)
–Discretionary Acces Previledge->Super Admin
(Highly Supervised)

17. • Threats to Operating System Integrity
– Previldeged personel menyalahgunakan
otoritasnya
– Individual di dalam dan di luar entitas yang
mencari celah sistem
– Individual sengaja atau tidak memasukan
virus/bentuk program lain yg merusak

18. • Operating System Controls and Audit
Tests
Area-area yang perlu diperiksa adalah acces personil yang mendapat
previledge, kontrol password (password sekali pakai dan
berulangkali), kontrol virus dan aplikasi berbahaya dan kontrol pada
jejak audit. System audit trails (sekumpulan log yang merekam
aktivitas sistem, aplikasi, user)-> Detailed Individual Logs dan Event
oriented Logs
– Audit prosedurnya:
– Pastikan fitur audit trails diaktifkan,
– Cari akses tanpa otorisasi, periode non aktif user, aktifitas user,
waktu log in dan out
– Log on yang gagal (indikasi salah acces/coba2)
– Pantau Acces ke file tertentu yang penting
– Monitoring dan reporting pelanggaran keamanan IT

19. Auditing Networks
• Intranet Risks
• Internet Risks
• Controlling Networks
– Controlling Risks from Subversive Threats
– Audit Objective
– Controlling Risks from Equipment Ealiru

20. Auditing Electronic Data Interchange
(EDI)
• EDI standards -> ANSI, EDIFACT, dll
• Benefits of EDI
• Financial EDI
• EDI Controls (Validasi dan otorisasi)
• Access Control

21. Auditing PC-Based Accounting Systems
• PC Systems Risks and Controls
• Ada resiko unik terkait Accounting software:
• Kelemahan Sistem Operasi dibanding Mainframe Model, PC
keamanannya minimal untuk data dan program, memang
bawaan PC yang dituntut portabel
• Akses Kontrol Lemah program tertentu bisa run tanpa akses
HD (boot from CD)
• Pemisahan fungsi kurang, satu orang bisa memiliki banyak
akses
• Multivel password control kasih user pass beda2
• Resiko Kemalingan small, handheld easy to theft.
• Prosedur Backup Lemah
• Resiko terpapar virus lebih besar

22. TERIMA KASIH