Konsep Manajemen Risiko TI - ftp.gunadarma.ac.idftp.gunadarma.ac.id/handouts/S1_Akuntansi/Audit...Proses manajemen risiko diterapkan secara terpadu Kajian secara teratur oleh tim manajemen

Konsep Manajemen Risiko TI

© 2010 – CHANDRA YULISTIA, CISA 2

Definisi Risiko

Risk is anything that may affect the ability of organisation to achieve

its objectives.

Covering

Down-side risk

Risk of loss - Bad things are happening

Risk of uncertainty - Things are not occurring as expected

Up-side Risk

Risk of lost of opportunity - Good things are not happening

Inherent Risk

Residual Risk

Acceptable Risk


Manajemen Risiko


Manajemen Risiko

The Committee of Sponsoring Organizations

of the Treadway Commissions (COSO) –

Enterprise Risk Management

Klasifikasi Risiko:

Strategis

Operasional ie. IT Risk

Pelaporan

Kepatuhan


Manajemen Risiko TI

Tahap 2: Mengidentifikasi Risiko

Sumber Risiko

Risiko

Risiko

Risiko

Risiko

Risiko


Manajemen Risiko TI

Tahap 3: Pengukuran/Penilaian Risiko

Likelihood

Impact/Consequence


Manajemen Risiko TI

Risk = Likelihood X Impact (Consequences)


Manajemen Risiko TI

Metode Semi Kuantitatif:

Metode Kuantitatif:

Kemungkinan Terjadi X Potensi Kerugian


Manajemen Risiko TI

Tahap 4: Menentukan Opsi Perlakuan Risiko

Terima (accept)

Monitor

Hindari (avoid)

Hilangkan (get out of situation)

Kurangi (mitigate)

Implementasikan pengendalian (controls)

Bagi/Alihkan

Bermitra dengan pihak lain (e.g.insurance)


Manajemen Risiko TI

Tahap 5: Monitoring

Tujuan:

Memantau apakah tingkat risiko yang dapat diterima terpenuhi

Menentukan apakah diperlukan tindakan korektif lanjutan

Menentukan apakah mungkin dilakukan penghapusan risiko

Menentukan apakah terdapat risiko-risiko baru

Teknik-teknik Monitoring:

Proses manajemen risiko diterapkan secara terpadu

Kajian secara teratur oleh tim manajemen risiko

Audit oleh audit intern

Audit atas

Pengendalian Umum TI


Pengendalian TI

Operation Management

Application System Control

IS Management

System Development Management

Programming Management

Data Management

Quality Assurance Management

Security Management

Top Management


Audit atas Pengendalian Umum TI

Audit atas pengendalian umum TI pada dasarnya merupakan audit atas 3 (tiga) aspek,

yaitu:

Audit atas Perencanaan & Organisasi TI

Audit atas Manajemen Puncak

Audit atas Manajemen Sistem Informasi

Audit atas Pengembangan & Implementasi TI

Audit atas Manajemen Pengembangan Sistem

Audit atas Manajemen Pemrograman

Audit atas Manajemen Data

Audit atas Operasi & Layanan TI

Audit atas Manajemen Kualitas

Audit atas Manajemen Operasi

Audit atas Manajemen Keamanan

Audit atas

Perencanaan dan Organisasi TI



Perencanaan

Aktivitas

Kenali peluang dan permasalahan TI

Identifikasi sumber daya yang dibutuhkan

Susun strategi untuk memperoleh sumber daya yang dibutuhkan

Jenis-jenis Rencana

Rencana Stratejik TI

Rencana Operasional TI

Komite TI

IT Strategic Committee

IT Steering Committee

IT Security Committee



Pengorganisasian & Staffing

Struktur organisasi

Resourcing

Hardware

Software

Personil

Infrastruktur

Staffing

Rekruitment

Pengembangan

Pemberhentian

Sentralisasi vs Desentralisasi

Development

System Analyst

Application Programmer

Systems Programmer

Quality Assurance

Operator:

Computer Operator

Librarian

Data Entry

Administrator:

Data Administrator

Database Administrator

Security Administrator

Network Administrator



Organisasi

Dewan Komisaris

Komisaris Utama

Komisaris Indenpenden

Dewan Direksi

Direktur yang membawahi SKMR

Direktur yang membawahi SKTSI

Direksi yang membawahi Pemilik/Pengguna TSI

Satuan Kerja Manajemen Risiko

Manajemen Risiko Operasional / TSI

Pejabat Keamanan Informasi (Information Security Officer)

Satuan Kerja Teknologi Sistem Informasi

Bidang Perencanaan & Organisasi TSI

Bidang Pengembangan & Implementasi TSI

Bidang Operasional Layanan & Dukungan TSI

Bidang Pengawasan & Evaluasi TSI

Satuan Kerja Lainnya

Satuan Kerja Pemilik Aplikasi TSI

Satuan Kerja Pengguna Aplikasi TSI

Komite Pengarah TSI

(Lintas Organisasi)

Komite Pengarah TSI terdiri dari :

Anggota Tetap

1. Direktur yang membawahi SKTSI;

2. Direktur yang membawahi SKMR;

3. Pimpinan Satuan Kerja TSI;

4. Pimpinan Satuan Kerja MR;

5. Perwakilan dari Satuan Kerja Pemilik Aplikasi TSI.

Anggota Tidak Tetap

Perwakilan dari Satuan Kerja Pengguna Aplikasi TSI.

Anggota Pengamat

Perwakilan dari Satuan Kerja Audit Intern.

Audit atas

Pengembangan dan Implementasi TI


Studi

Kelayakan

Definisi

Kebutuhan

Perancangan

Sistem

Pemrograman

Pembuatan

Dokumen

Uji

Penerimaan

Konversi

Operasi &

Pemeliharaan

Perencanaan

Analisa

Perancangan

Pengembangan

Implementasi



Perencanaan

Studi kelayakan

Technical

Operational

Economic

Behavioral Operasional

Ekonomi

Perilaku

Proses Pengembangan Sistem

Teknologi

Berhenti Mulai

Operasional

Ekonomi

Perilaku

Proses Pengembangan Sistem

Teknologi

Berhenti Mulai




Perencanaan

Development

In-house

Outsourcing

Acquisition

Off-the-shelf

Canned

Application Service Provider/ASP

Analisa

Definisi Kebutuhan Pengguna


Perancangan

Desain sistem

Rancangan pemrosesan

Rancangan alur data dan informasi

Rancangan database

Rancangan tampilan antara muka

Rancangan logikal & phisikal

Rancangan platform

Desain Request for Proposal (RFP) dan metode penilaian

Undangan kepada vendor

Seleksi vendor



Pengembangan

Pemrograman

Coding & Compiling

Aktivitas

– Membagi modul kepada para programmer

– Mengkoordinasikan kegiatan pemrograman

– Mengatur jadwal pemrograman.

Pengendalian Area

– Area pengembangan (development area)

– Area pengujian (testing area)

– Area produksi (production area).



Pengembangan

Pemrograman

Coding

Compiling

Pembuatan dokumen

Dokumentasi sistem

– Memahami sistem dan memudahkan pemeliharaan sistem

Dokumentasi pengguna

– Membantu pengguna dalam mengoperasikan sistem

» Manual pengguna (user manual)

» Manual pelatihan (training manual)

» On-line help system




Pengembangan

Pengujian Pengembangan (Development Testing)

Pengujian Unit (Unit Testing)

– Black Box Testing

– White Box Testing

Pengujian Integrasi (Integration Testing)/Link Testing

– Kesalahan interface antar program

– Ketidaksesuaian dengan spesifikasi

– Tidak ada fungsi yang tidak dispesifikasikan yang bekerja



Pengembangan

Pengujian Operasional (Operational Testing)

Pengujian Sistem (System Testing)

– Requirement testing

– Usability testing

– Security testing

Pengujian Kinerja (Performance Testing)

– Response time testing (average; minimum)

– Volume testing/reliability testing/stress testing

Pengujian Dokumentasi (Documentation Testing)

Pengujian Penerimaan (Acceptance Testing)

– Alpha; Beta


Implementasi

Migrasi dan Konversi

Instalasi Hardware

Instalasi Software

Konversi Data

Operasi dan pemeliharaan

Corrective

– kekeliruan logik

Adaptive

– perubahan dalam lingkungan sistem dan pengguna

Perfective

– meningkatkan kinerja



Jenis Konversi Lokasi Konversi Modul Konversi

Karak

teristik Langsung Paralel Pilot Bertahap Simultan Seluruh Sistem

Modular

Resiko Tinggi Rendah Rendah Sedang Tinggi Tinggi Sedang

Biaya Rendah Tinggi Sedang Sedang Tinggi Sedang Tinggi

Waktu Pendek Panjang Sedang Panjang Pendek Pendek Panjang



Pendekatan Audit

Concurrent Audit

Post Implementation Review

General Audit




Planning

Teknik estimasi biaya

Algorithmic Models

Expert Judgment

Analogy

Top-down Estimation

Bottom-up Estimation

Design

Pendekatan desain berdasarkan bahasa pemrograman

Coding

Tahapan Coding

Strategi Coding

Testing

Tahapan Pengujian

Jenis Pengujian

Static Analysis Test

– Desk Checking

– Structured Walk-Through

– Design & Code Inspections

Dynamic Analytic Test

– Black Box Testing

– White Box Testing

Operation & Maintenance

Pemantauan kinerja

Metode Pemeliharaan

PLANNING

DESIGN

CODING

TESTING

OPERATION

&

MAINTENANCE

CO

NT

RO

LS

HIGH-QUALITY PROGRAMS



Kriteria Program

Fungsionalitas

Interface pengguna

Efektif

Dokumentasi

Pemeliharaan

Reliabilitas



Pengendalian Pemrograman

Kapabilitas programer

Pemisahan fungsi

Standar metode, kinerja dan dokumentasi

Batasi kewenangan

Sediakan log manual dan machine log

Reviu independen oleh konsultan atau uji silang secara berkala



Alat Bantu Pengendalian

Progress report & time table

Gantt Charts

PERT

Pengendalian akses untuk menjamin autentikasi,

akurasi dan kelengkapan

Program Library Software

PLANNING

DESIGN

CODING

TESTING

OPERATION

&

MAINTENANCE

CO

NT

RO

LS

HIGH-QUALITY PROGRAMS



Pentingnya Manajemen Data

Sharability

Setiap pengguna berhak mengakses dan menggunakan data

yang sama

Availability

Setiap pengguna dapat mengakses dan menggunakan data

pada setiap saat, dimanapun dan dalam form yang mereka

inginkan

Evolvalibity

Data dan definisi data dapat dimodifikasi untuk merespon

kebutuhan stakeholder

Integrity

Data harus otentik, akurat dan lengkap

Sharing

Sumber daya

Konflik antar

Pengguna

Perlu

Dilakukan

Mediasi

Kompromi


Data Administrator (DA) & Database Administrator (DBA)

Fungsi Tanggung Jawab DA Tanggung Jawab DBA

Defining Data Strategic data planning; determining

user needs; specifying conceptual &

external schema (user-oriented)

definition

Specifying internal schema (computer -

oriented) definition

Creating Data Specifying data collection procedures

and validation & editing criteria

Preparing programs to create data;

assistance in populating database

Redefining /

Restructuring Data

Specifying new conceptual & external

schema definition; advising user to

conform with new definition

Specifying new internal schema

definition; altering database to conform

with new schema

Retiring Data Specifying retirement policies Implementing retirement schema

Making Database

Available to Users

Determining end-user requirement for

database tools, testing & evaluating

end-user database tools

Determining programmer requirement

for database tools; determining database

optimization tools; testing & evaluating

programmer & database optimization

tools.



Fungsi Tanggung Jawab DA Tanggung Jawab DBA

Informing & Servicing

User

Answering end-user queries;

educating end-user; establishing &

promulgating high-level policy

information; providing conceptual &

external schema information

Answering programmer queries;

educating programmers; establishing

& promulgating low-level policy

information; providing internal

schema information

Maintaining Database

Integrity

Developing and promulgating

organization-wide standards;

assisting end-user to formulate

application controls

Implementing database controls;

assisting programmers to design &

implement application controls

Monitoring Operations Monitoring end-user patterns of

database use

Monitoring programmer patterns of

database use; collecting performance

statistic; tuning the database

Data Administrator (DA) & Database Administrator (DBA)



Database Definition – Schemas & Mapping

External

Schema 1

External

Schema 2

External

Schema 3

Conceptual

Schema

Internal

Schema

Stored

Database

Individual user view

of the database

Total logical view

of the database

Total storage structure

of the database

Instances of the

database definition



External Schema

Conceptual Schema

Internal Schema

Person

(empno) has

Dept.

(depno)

paid

to Salary

belongs

to has

Person

(empno)

10 character

Dept.

(depno)

6 character

Salary

12 numeric

Person

(empno)

has belongs

to

Dept.

(depno)

paid

to has

Person

(empno) Salary



Pengendalian atas integritas database:

o Pengendalian definisi

o Pengendalian eksistensi

o Pengendalian akses

o Pengendalian update

o Pengendalian concurrency

o Pengendalian kualitas


Audit atas

Operasi dan Layanan TI


Mengapa Perlu Quality Assurance ?

Safety-critical systems

Tuntutan untuk perangkat lunak yang berkualitas tinggi

Kelangsungan perusahaan yang bergerak di bidang pengembangan

perangkat lunak

Tingginya biaya akibat tidak memadainya kelemahan pengendalian atas

produksi, implementasi, operasi dan pemeliharaan perangkat lunak

Tren yang diterima luas di dunia dalam peningkatan kualitas jasa dan

produk yang dijual



Fungsi Quality Assurance

Menetapkan sasaran kualitas bagi fungsi sistem informasi

Mengembangkan, menyebarluaskan, dan memelihara standar

kualitas sistem informasi

Memonitor pemenuhan terhadap standar kualitas sistem

informasi

Memberikan pelatihan kepada personil sistem informasi



Karakteristik Kualitas Software – ISO 9126

Karakteristik Uraian

Functionality Extent to which the software contains the functions needed

to satisfy user needs

Reliability Extent to which the software sustains its level of

performance under stated conditions for some defined time

period

Usability Level of effort needed for user to exploit the functionality of

the software

Efficiency Level of resources consumed by the software to perform its

functions

Maintainability Level of effort needed to modify the software

Portability Extent to which software can be transferred from one

hardware/software platform to another



Proses Pengembangan Standar

Best

Practices

National

Standards

International

Standards

Organization-wide

Information System

Standards

Project-based

Information System

Standards

Capability Maturity Model (CMM)

Level 1 - Initial

Level 2 - Repeatable

Level 3 - Defined

Level 4 - Managed

Level 5 - Optimized

• Unstable software

environment

• Reliance on key

personnel

• Basic project mgmt

controls

• Disciplined process

• Documented

processes

• Processes tailored to

specific project

• Quantitative quality

goals

• Quality and

productivity measured

• Continuous process

improvement

• Best practice pursued



Computer Operation Controls

Operation Controls

Menentukan fungsi yang harus dilakukan oleh operator dan otomasi

Scheduling Controls

Menentukan urutan dan jadual pekerjaan dalam platform hardware atau software

Maintenance Controls

Menentukan bagaimana hardware dipelihara dalam urutan operasi

Network Operation Controls

LAN : Physical & Logical Barriers

WAN : Network Control Terminal (NCT)



LAN Controls

File Server

Physical

Barrier

Workstation



WAN Controls

N.C.T

Network Control Terminal




Data Preparation and Entry

Desain dokumen sumber

Penyimpanan dokumen sumber

Desain screen input

Desain area entri data

Pencahayaan pada area keyboard

Akustik pada lingkungan kerja

Layout lingkungan kerja

Desain ergonomik perlengkapan kantor

Production Controls

Penerimaan dan pengiriman input dan output

Kertas & elektronik

Penjadualan kerja

Manual atau otomatis

Kesepakatan tingkat layanan dengan pengguna

Service level, Pinalti

Harga transfer

Billing & collection

Akuisisi perlengkapan komputer

Kertas printer, diskette, tape magnetik, toner cartridges dll



File Library

Penyimpanan media

Penggunaan media

Pemeliharaan dan penghancuran media

Lokasi media

Documentation and Program Library

Mengelola dokumentasi sistem

Mengelola persediaan perangkat lunak

Help Desk/Technical Support

Inventory, logging, dan reporting



Capacity Planning and Performance Monitoring

Apakah ada aktivitas yang tidak terotorisasi

Apakah kinerja sistem pada tingkatan yang dapat diterima

Kebutuhan perangkat keras dan perangkat lunak

Management of Outsourced Operations

Evaluasi terus menerus atas kemampuan finansial vendor

Memastikan ketaatan kepada kontrak

Memastikan secara terus menerus pengendalian yang memadai atas operasi

vendor

Memelihara prosedur disaster recovery dengan vendor


Audit atas Keamanan TI

Aset dinyatakan secure apabila kerugian yang diperkirakan akan terjadi akibat

kemungkinan ancaman dalam batas waktu tertentu masih dalam tingkat yang

dapat diterima

Asset

Physical

Logical Data/Information

Software

System

Application

Personnel

Hardware

Facilities

Documentation

Supplies

Mainframes, minis, micros

Peripherals online/offline

Storage media



Implementasi Manajemen Keamanan TI

Prepare

Project

Plan

Identify

Assets

Value

Assets

Identify

Threats

Probability

of threats

Asses

Exposure

Adjust

Controls

Prepare

Security

Report

Objectives

Scope

Tasks

Team

Budget

Schedule

Personnel

Hardware

Facilities

Document

Supplies

Data and

Information

Applications

Software

Systems

Software

Who Values

How Lost

Loss Period

Asset Age

Source

Internal

External

Nature

Accidental

Deliberate

Statistical

History

Estimation :

Managements

Users

IT Functions

Identify current

controls

Asses the

reliability of

controls

Evaluate the

probability that

a threat will

successful

Assess the

resulting loss

Is exposure

level is still

acceptable

Identify new

controls

Controls

Adjustment


Jenis-jenis Ancaman Keamanan TI

Energy

Variations

Structural

Damage

Water

Damage

Fire

Damage Hacking

Virus &

Worms

Misuse of

Software

Data &

Services

Unauthorized

Intrusion Pollution



Mekanisme Pengendalian Akses

User X

User X

User X

Access Control

Mechanism

Access Control

Mechanism

Access Control

Mechanism

Name &

Account

Number

Password ;

Card/Key ;

Biometrics

Resources

Action

Access Control Data

User X

Identification

Data

Authentication

Data

Authorization

Data

Identified

User

Valid / Invalid

User

Permitted /

Denied Actions

Identification Process

Authentication Process

Authorization Process




Disaster Recovery Plan

Emergency Plan

Backup Plan

Cold Site Hanya fasilitas, tanpa hardware & software

Hot Site Semua hardware & software, data, perlengkapan

Warm Site Fasilitas dan sejumlah hardware utama

Reciprocal Pertukaran antara dua atau lebih organisasi

Recovery Plan

Test Plan

Asuransi



Komponen Disaster Recovery Plan

Disaster

Recovery

Plan

Emergency Plan

Recovery Plan

Back-up

Plan

Test

Plan

Documents

Konsep Manajemen Risiko TI - ftp.gunadarma.ac.idftp.gunadarma.ac.id/handouts/S1_Akuntansi/Audit...Proses manajemen risiko diterapkan secara terpadu Kajian secara teratur oleh tim manajemen