IT Audit
Audit
menurut Arens, et al. (2003) yang diterjemahkan oleh kanto Santoso Setiawan dan
Tumbur Pasaribu adalah proses pengumpulan dan pengevaluasian bukti-bukti
tentang informasi ekonomi untuk menentukan tingkat kesesuaian informasi
tersebut dengan criteria-kriteria yang telah ditetapkan, dan melaporkan hasil
pemeriksaan tersebut. IT Audit adalah suatu proses kontrol pengujian terhadap
infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial
dan audit internal.IT audit lebih dikenal dengan istilah EDP Auditing
(Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis
aktifitas yang berkaitan dengan komputer. IT Audit merupakan gabungan dari
berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi,
Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. IT Audit
bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan
(availability), kerahasiaan (confidentiality), dan kebutuhan (integrity) dari
sistem informasi organisasi.
Tahapan/Prosedur IT Audit
Tahapan
Perencanaan. Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal
benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang
didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
Mengidentifikasikan
resiko dan kendali. Tahap ini untuk memastikan bahwa qualified resource sudah
dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi
praktik-praktik terbaik.
Mengevaluasi
kendali dan mengumpulkan bukti-bukti melalui berbagai teknik termasuk survei,
interview, observasi, dan review dokumentasi.
Mendokumentasikan
dan mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit.
Menyusun
laporan.Hal ini mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan
yang dilakukan.
contoh prosedur IT Audit
Kontrol
lingkungan:
1.Apakah
kebijakan keamanan (security policy) memadai dan efektif ?
2.Jika
data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg
terikini dari external auditor
3.
Jika sistem dibeli dari vendor, periksa kestabilan financial
4.
Memeriksa persetujuan lisen (license agreement)
Kontrol
keamanan fisik
1.Periksa
apakah keamanan fisik perangkat keras dan penyimpanan data memadai
2.Periksa
apakah backup administrator keamanan sudah memadai (trained,tested)
3.Periksa
apakah rencana kelanjutan bisnis memadai dan efektif
4.Periksa
apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
Kontrol
keamanan logical
1.Periksa
apakah password memadai dan perubahannya dilakukan regular
2.Apakah
administrator keamanan memprint akses kontrol setiap user
Lembar Kerja IT AUDIT
•Stakeholders:
Internal IT Deparment, External IT Consultant, Board of Commision, Management,
Internal IT Auditor, External IT Auditor
•Kualifikasi
Auditor: Certified Information Systems Auditor (CISA), Certified Internal
Auditor (CIA), Certified Information Systems Security Professional (CISSP),
dll.
•Output
Internal IT: Solusi teknologi meningkat, menyeluruh & mendalam, Fokus kepada global, menuju ke
standard-standard yang diakui.
•Output
External IT: Rekrutmen staff, teknologi baru dan kompleksitasnya, Outsourcing yang tepat, Benchmark /
Best-Practices.
•Output
Internal Audit & Business: Menjamin keseluruhan audit, Budget & Alokasi
sumber daya, Reporting.
Contoh Lembar Kerja IT Audit:
Gambar
berikut ini merupakan contoh lembar kerja pemeriksaan IT Audit. Gambar A untuk
contoh yang masih ‘arround the computer‘, sedangkan B contoh ‘through the
computer‘.
Contoh
Metodologi IT Audit:
BSI
(Bundesamt for Sicherheit in der Informationstechnik):
●
IT Baseline Protection Manual (IT- Grundschutzhandbuch )
●
Dikembangkan oleh GISA: German Information Security Agency
●
Digunakan: evaluasi konsep keamanan & manual
●
Metodologi evaluasi tidak dijelaskan
●
Mudah digunakan dan sangat detail sekali
Analisa
Kasus:
Dari
rangkuman berita diatas, dapat ditarik beberapa kesimpulan, antara lain:
Pembobolan
dana rekening tersebut kemungkinan besar dilakukan oleh orang dalam perusahaan
atau orang dalam perbankan dan dilakukan lebih dari satu orang.
Karena
tidak semua pemilik rekening memiliki hubungan dengan perusahaan tersebut, ada
kemungkinan pembocoran informasi itu tidak dilakukan oleh satu perusahaan saja,
mengingat jumlah dana yang dibobol sangat besar.
Modusnya
mungkin penipuan berkedok program yang menawarkan keanggotaan. Korban, yang
tergoda mendaftar menjadi anggota, secara tidak sadar mungkin telah
mencantumkan informasi-informasi yang seharusnya bersifat rahasia.
Pelaku
kemungkinan memanfaatkan kelemahan sistem keamanan kartu ATM yang hanya
dilindungi oleh PIN.
Pelaku
juga kemungkinan besar menguasai pengetahuan tentang sistem jaringan perbankan.
Hal ini ditunjukkan dengan penggunaan teknik yang masih belum diketahui dan
hampir bisa dapat dipastikan belum pernah digunakan sebelumnya.
Dari
rangkuman berita diatas, disebutkan bahwa para pemilik yang uangnya hilang
telah melakukan keluhan sebelumnya terhadap pihak bank. Hal ini dapat diartikan
bahwa lamanya bank dalam merespon keluhan-keluhan tersebut juga dapat menjadi
salah satu sebab mengapa kasus ini menjadi begitu besar.
Dari
segi sistem keamanan kartu ATM itu sendiri, terdapat 2 kelemahan, yaitu:
1.
Kelemahan pada mekanisme pengamanan fisik kartu ATM.
Kartu ATM yang banyak digunakan selama
ini adalah model kartu ATM berbasis pita magnet. Kelemahan utama kartu jenis
ini terdapat pada pita magnetnya. Kartu jenis ini sangat mudah terbaca pada
perangkat pembaca pita magnet (skimmer).
2.
Kelemahan pada mekanisme pengamanan data di dalam sistem.
Sistem pengamanan pada kartu ATM yang
banyak digunakan saat ini adalah dengan penggunaan PIN (Personal Identification
Number) dan telah dilengkapi dengan prosedur yang membatasi kesalahan dalam
memasukkan PIN sebanyak 3 kali yang dimaksudkan untuk menghindari brute force.
Meskipun dapat dikatakan cukup aman dari brute force, mekanisme pengaman ini
akan tidak berfungsi jika pelaku telah mengetahui PIN korbannya.
Kesimpulan
Melakukan
perbaikan atau perubahan sistem keamanan untuk kartu ATM. Dengan penggunaan
kartu ATM berbasis chip misalnya, yang dirasa lebih aman dari skimming. Atau
dengan penggunaan sistem keamanan lainnya yang tidak bersifat PIN, seperti
pengamanan dengan sidik jari, scan retina, atau dengan penerapan tanda tangan
digital misalnya.
Karena
pembobolan ini sebagiannya juga disebabkan oleh kelengahan pemilik rekening,
ada baiknya jika setiap bank yang mengeluarkan kartu ATM memberikan edukasi
kepada para nasabahnya tentang tata cara penggunaan kartu ATM dan bagaimana
cara untuk menjaga keamanannya.
Sumber :
