Standar dan Panduan untuk Audit Sistem Informasi (ISACA, IIA COSO dan ISO1799)

-


      ISACA


ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.

 

ISACA didirkan oleh individu yang mengenali kebutuhan untuk sumber informasi terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer. Hari ini, ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jarringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.

 

Panduan ISACA: IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals.

 

ISACA berperan untuk memberikan informasi untuk mendukung kebutuhan pengetahuan. Dalam framework ISACA terkait, audit SI terdapat Standards, Guidelines dan Procedure. 

  • Standards yang ditetapkan oleh ISACA harus diikuti oleh auditor.
  • Guidelines memberikan bantuan tentang bagaimana auditor dapat menerapkan standar dalam berbagai penugasan audit.
  • Procedure memberikan contoh langkah-langkah auditor dapat mengikuti penugasan audit tertentu sehingga dapat menerapkan standar.

Standar audit SI menurut ISACA, antara lain:

S1 Audit Charter

  • Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungsi audit SI atau penilaian audit SI harus didokumentasikan dengan pantas dalam sebuah audit charter atau perjanjian tertulis.
  • Audit charter atau perjanjian tertulis harus mendapat persetujuan dan pengabsahan pada tingkatan yang tepat dalam organisasi.

 

S2 Independence

  • Professional Independence
    • Dalam semua permasalahn yang berhubungan dengan audit, auditor SI harus independen terhadap auditee baik dalam sikap maupun penampilan.
  • Organisational Independence
    • Fungsi audit SI harus independen terhadap area atau aktivitas yang sedang diperiksa agar tujuan penilaian audit terselesaikan

 

S3 Professional Ethics and Standards

  • Auditor SI harus tunduk pada kode etika profesi dari ISACA dalam melakukan tugas audit.
  • Auditor SI harus patuh pada penyelenggarakan profesi, termasuk observasi terhadap standar audit profesional yang dipakan dalam melakukan tugas audit.

 

S4 Professional Competence

  • Auditor SI harus seorang profesional yang kompeten, memiliki keterampilan dan pengetahuan untuk melakukan tugas audit.
  • Auditor SI harus mempertahankan kompetensi profesionalnya secara terus menerus dengan melanjutkan edukasi dan training.

 

S5 Planning

  • Auditor sistem informasi harus merencanakan peliputan audit sistem informasi sampai pada tujuan audit dan tunduk pada standar audit profesional dan hukum yang berlaku.
  • Audit sistem informasi harus membangun dan mendokumentasikan resiko yang didasarkan pada pendekatan audit.

 

S6 Performance of Audit Work

  • Pengawasan-staff audit sistem informasi harus diawasi untuk memberikan keyakinan yang masuk akal bahwa tujuan audit telah sesuai dan standar audit profesional yang ada.
  • Bukti-Selama berjalannya audit, auditor sistem informasi harus mendapatkan bukti yang cukup, layak dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan didukung oleh analisis yang tepat dan interprestasi terhadap bukti-bukti yang ada.
  • Dokumentasi-Proses audit harus didokumentasikan, mencakup pelaksanaan kerja audit dan bukti audit untuk mendukung temuan dan kesimpulan auditor sistem informasi. 

 

S7 Reporting

  • Auditor sistem informasi harus menyajikan laporan, dalam pola yang tepat, atas penyelesaian audit.
  • Laporan audit harus berisikan ruang lingkup, tujuan, periode peliputan, waktu dan tingkatan kerja audit yang dilaksanakan.
  • Laporan audit harus berisikan temuan, kesimpulan dan rekomendasikan serta berbagai pesan, kualifikasi atau batasan dalam ruang lingkup bahwa auditor sistem informasi bertanggung jawab terhadap audit.
  • Auditor sistem informasi harus memiliki bukti yang cukup dan tepat untuk mendukung hasil pelaporan.

 

      IIA COSO


The Committee of Sponsoring Organizations of the Treadway Commission’s (COSO) dibentuk pada tahun 1985 sebagai aliansi dari 5 organisasi professional. Organisasi tersebut terdiri dari American Accounting Association (AAA), American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), Institute of Management Accountants (IMA) dan The Institute of Internal Auditors (IIA). Organisasi ini didirikan untuk menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung kecurangan (fraud).

 

Secara garis besar, COSO menghadirkan suatu kerangka kerja yang integral terkait dengan pengendalian intern, komponen-komponennya dan kriteria pengendalian intern yang dapat dievaluasi. Pengendalian internal terdiri dari 5 komponen yang saling berhubungan. Komponen-komponen tersebut memberikan kerangka kerja yang efektif untuk menjelaskan dan menganalisa sistem pengendalian internal yang diimplementasikan dalam suatu organisasi. Komponen-komponen tersebut, adalah sebagai berikut:

  • Lingkungan pengendalian
  • Penilaian resiko
  • Aktifitas pengendalian
  • Informasi dan komunikasi
  • Pemantauan

 

      ISO 1799

ISO / IEC 17799 merupakan standar lama yang digunakan untuk keamanan informasi yang diadopsi oleh International Organization for Standardization (ISO) pada tahun 2000. Standar ini bersumber dari British Standard yang dikenal sebagai BS7799 yang berisi praktik terbaik tentang kerahasiaan, integritas, dan ketersediaan informasi dalam sebuah organisasi.  menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan memperbaiki manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang diuraikan memberikan panduan umum mengenai tujuan umum manajemen keamanan informasi yang diterima secara umum.


Isi ISO 1799 :

  • 10 control clause ( 10 Pasal Pengamantan )
  • 36 control objective ( 36 objek / sasaran pengamanan )
  • 127 control security ( 127 pengawasan keamanan )

 10    control clause tersebut, antara lain :

  • Kebijakan Pengamanan (Security Policy)
  • Pengendalian Akses Sistem (System Access Control)
  • Pengelolaan Komunikasi dan Kegiatan (Communication and Operations Management).
  • Pengembangan dan Pemeliharaan Sistem (System Development and Maintenance)
  • Pengamanan Fisik dan Lingkungan (Physical and Environmental Security)
  • Penyesuaian (Compliance)
  • Keamanan personel/sumber daya manusia (Personnel Security)
  • Organisasi Keamanan (Security Organization)
  • Klasifikasi dan pengendalian aset (Asset Classification and Control)
  • Pengelolaan Kelangsungan Usaha (Business Continuity Management)

Komentar

Posting Komentar