IT Audit adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. IT Audit ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang IT audit secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari IT audit adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.
Tujuan IT AUDIT:
Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality) dan keutuhan(integrity) dari sistem informasi organisasi.
Jenis-jenis IT AUDIT :
1. Sistem dan Aplikasi.
yaitu Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan sistem.
2. Fasilitas Pemrosesan Informasi.
Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk.
3. Pengembangan Sistem.
Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi.
4. Arsitektur perusahaan dan manajemen TI.
Audit yang berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna untuk pemrosesan informasi.
5. Client/Server, Telekomunikasi, Intranet dan Internet.
Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client, server, dan jaringan yang menghubungkan client dan server.
Prosedur IT AUDIT:
Mengumpulkan dan mengevaluasi bukti-bukti bagaimana system informasi dikembangkan, dioperasikan, diorganisasikan, serta bagaimana praktek dilaksanakan:
· Apakah IS melindungi aset institusi: asset protection, availability
· Apakah integritas data dan sistem diproteksi secara cukup (security, confidentiality )?
· Apakah operasi sistem efektif dan efisien dalam mencapai tujuan organisasi, dan lain-lain.
Sedangkan Prosedur forensik yang umum digunakan, antara lain :
a. Membuat copies dari keseluruhan log data, file, dan lain-lain yang dianggap perlu pada suatu media yang terpisah.
b. Membuat copies secara matematis.
c. Dokumentasi yang baik dari segala sesuatu yang dikerjakan.
CONTOH – CONTOH
– Internal IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan Fokus kepada global, menuju ke standard2 yang diakui.
– External IT Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya Outsourcing yang tepat dan Benchmark / Best-Practices.
Metodologi IT AUDIT
Dalam prakteknya, tahapan-tahapan dalam audit IT tidak berbeda dengan audit pada umumnya, sebagai berikut:
1.Tahapan Perencanaan.
Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
2.Mengidentifikasikan resiko dan kendali.
Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktek-praktek terbaik.
3.Mengevaluasi kendali dan mengumpulkan bukti-bukti.
Melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi
4.Mendokumentasikan.
Mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit.
5.Menyusun laporan.
Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.
LEMBAR KERJA IT AUDIT
Lembar kerja audit adalah semua berkas-berkas yang di kumpulkan oleh auditor dalam menjalankan pemeriksaan,yang berasal :
1. Dari pihak client
2. Dari analisa yang di buat oleh auditor
3. Dari pihak ke tiga
Fungsi lembar kerja :
• menyediakan penunjang utama bagi laporan audit
• membantu auditor dalam melaksanakan dan mensupervisi audit
• menjadi bukti bahwa audit telah di laksanakan sesuai dengan standar auditing
hasil akhir audit adalah berupa laporan yang berisi:
- ruang lingkup audit.
- Metodologi
- Temuan-temuan.
- Ketidaksesuaian
- kesimpulan
Susunan lembar kerja:
- Draft laporan audit (audit report)
- laporan keuangan auditan
- ringkasan informasi bagi reviewer
- program audit
- laporan keuangan atau lembar kerja yang dibuat oleh klien.
- Ringkasan jurnal adjustment
- working trial balance
- skedul utama
- skedul pendukung.
IT FORENSIC
IT Forensic didefinisikan sebagai penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk mengekstrak dan memelihara barang bukti tindakan criminal.
IT Forensic bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi buktibukti (evidence) yang akan digunakan dalam proses hukum.
Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:
1.Pengumpulan data/fakta dari sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sdh terhapus.
2.Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi
3.Merunut kejadian (chain of events) berdasarkan waktu kejadian
4.Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat
5.Dokumentasi hasil yang diperoleh dan menyusun laporan
6.Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll)
Tools yang digunakan untuk IT Audit dan Forensik :
- Hardware
- Harddisk IDE dan SCSI kapasitas sangat besar, CD-R, DVR drives
- Memori yang besar (1 - 2 GB RAM)
- Hub, Switch, keperluan LAN
- Legacy hardware (8088s, Amiga)
- Laptop Forensic Workstations
- Software
- Viewers (QVP http://www.avantstar.com/, http://www.thumbsplus.de/ )
- Erase/Unerase tools : Diskscrub/Norton utilities
- Hash utility (MD5, SHA1)
- Text search utilities (dtsearch http://www.dtsearch.com/ )
- Drive imaging utilities (Ghost, Snapback, Safeback)
- Forensic toolkits
- Unix/Linux : TCT The Coroners Toolkit / ForensiX
- Windows : Forensic Toolkit
- Disk editors (Winhex)
- Forensic aquisition tools (DriveSpy, EnCase, Safeback, SnapCopy)
- Write-blocking tools (FastBloc http://www.guidancesoftware.com/ ) untuk memproteksi bukti-bukti
- Forensic software tools for Windows (dd for Windows, Encase 4, FTK, MD5, ISOBuster)
- Image and Document Readers (ACDSee, DecExt)
- Data Recovery/Investigation (Active Partition Recovery, Decode – Forensic Date/Time Decoder)
- Dsb.
PERATURAN DAN REGULASI
a. Cyber Law di Indonesia
Indonesia telah resmi mempunyai undang-undang untuk mengatur orang-orang yang tidak bertanggung jawab dalam dunia maya. Cyber Law-nya Indonesia yaitu undang–undang tentang Informasi dan Transaksi Elektronik (UU ITE).
Di berlakukannya undang-undang ini, membuat oknum-oknum nakal ketakutan karena denda yang diberikan apabila melanggar tidak sedikit kira-kira 1 miliar rupiah karena melanggar pasal 27 ayat 1 tentang muatan yang melanggar kesusilaan. sebenarnya UU ITE (Undang-Undang Informasi dan Transaksi Elektronik) tidak hanya membahas situs porno atau masalah asusila. Total ada 13 Bab dan 54 Pasal yang mengupas secara mendetail bagaimana aturan hidup di dunia maya dan transaksi yang terjadi didalamnya. Sebagian orang menolak adanya undang-undang ini, tapi tidak sedikit yang mendukung undang-undang ini.
Dibandingkan dengan negara-negara di atas, indonesia termasuk negara yang tertinggal dalam hal pengaturan undang-undang ite. Secara garis besar UU ITE mengatur hal-hal sebagai berikut :
•Tanda tangan elektronik memiliki kekuatan hukum yang sama dengan tanda tangan konvensional (tinta basah dan bermaterai). Sesuai dengan e-ASEAN Framework Guidelines (pengakuan tanda tangan digital lintas batas).
• Alat bukti elektronik diakui seperti alat bukti lainnya yang diatur dalam KUHP.
• UU ITE berlaku untuk setiap orang yang melakukan perbuatan hukum, baik yang berada di wilayah Indonesia maupun di luar Indonesia yang memiliki akibat hukum di Indonesia.
• Pengaturan Nama domain dan Hak Kekayaan Intelektual.
• Perbuatan yang dilarang (cybercrime) dijelaskan pada Bab VII (pasal 27-37):
o Pasal 27 (Asusila, Perjudian, Penghinaan, Pemerasan)
o Pasal 28 (Berita Bohong dan Menyesatkan, Berita Kebencian dan Permusuhan)
o Pasal 29 (Ancaman Kekerasan dan Menakut-nakuti)
o Pasal 30 (Akses Komputer Pihak Lain Tanpa Izin, Cracking)
o Pasal 31 (Penyadapan, Perubahan, Penghilangan Informasi)
o Pasal 32 (Pemindahan, Perusakan dan Membuka Informasi Rahasia)
o Pasal 33 (Virus?, Membuat Sistem Tidak Bekerja (DOS?))
o Pasal 35 (Menjadikan Seolah Dokumen Otentik (phising?))
b. Cyberlaw di Singapura
Di Singapura sendiri Cyber Law dikenal dengan The Electronic Transactions Act (ETA), dan telah ada sejak 10 Juli 1998 untuk menciptakan kerangka yang sah tentang undang-undang untuk transaksi perdagangan elektronik di Singapura yang memungkinkan bagi Menteri Komunikasi Informasi dan Kesenian untuk membuat peraturan mengenai perijinan dan peraturan otoritas sertifikasi di Singapura.
ETA dibuat dengan tujuan :
- Memudahkan komunikasi elektronik atas pertolongan arsip elektronik yang dapat dipercaya;
- Memudahkan perdagangan elektronik, yaitu menghapuskan penghalang perdagangan elektronik yang tidak sah atas penulisan dan persyaratan tandatangan, dan untuk mempromosikan pengembangan dari undang-undang dan infrastruktur bisnis diperlukan untuk menerapkan menjamin / mengamankan perdagangan elektronik;
- Memudahkan penyimpanan secara elektronik tentang dokumen pemerintah dan perusahaan;
- Meminimalkan timbulnya arsip alektronik yang sama (double), perubahan yang tidak disengaja dan disengaja tentang arsip, dan penipuan dalam perdagangan elektronik, dll;
- Membantu menuju keseragaman aturan, peraturan dan mengenai pengesahan dan integritas dari arsip elektronik;
- Mempromosikan kepercayaan, integritas dan keandalan dari arsip elektronik dan perdagangan elektronik, dan untuk membantu perkembangan dan pengembangan dari perdagangan elektronik melalui penggunaan tandatangan yang elektronik untuk menjamin keaslian dan integritas surat menyurat yang menggunakan media elektronik.
Di dalam ETA mencakup :
- Kontrak Elektronik
Kontrak elektronik ini didasarkan pada hukum dagang online yang dilakukan secara wajar dan cepat serta untuk memastikan bahwa kontrak elektronik memiliki kepastian hukum.
- Kewajiban Penyedia Jasa Jaringan
Mengatur mengenai potensi / kesempatan yang dimiliki oleh network service provider untuk melakukan hal-hal yang tidak diinginkan, seperti mengambil, membawa, menghancurkan material atau informasi pihak ketiga yang menggunakan jasa jaringan tersebut. Pemerintah Singapura merasa perlu untuk mewaspadai hal tersebut.
- Tandatangan dan Arsip elektronik
Hukum memerlukan arsip/bukti arsip elektronik untuk menangani kasus-kasus elektronik, karena itu tandatangan dan arsip elektronik tersebut harus sah menurut hukum.
Di Singapura masalah tentang privasi,cyber crime,spam,muatan online,copyright,kontrak elektronik sudah ditetapkan.Sedangkan perlindungan konsumen dan penggunaan nama domain belum ada rancangannya tetapi online dispute resolution sudah terdapat rancangannya.
c. Cyber Law di Malaysia
Cyber Law di Malaysia, antara lain:
–Digital Signature Act
– Computer Crimes Act
– Communications and Multimedia Act
– Telemedicine Act
– Copyright Amendment Act
– Personal Data Protection Legislation (Proposed)
– Internal security Act (ISA)
– Films censorship Act
The Computer Crime Act 1997
Sebagai negara pembanding terdekat secara sosiologis, Malaysia sejak tahun 1997 telah mengesahkan dan mengimplementasikan beberapa perundang-undangan yang mengatur berbagai aspek dalam cyberlaw seperti UU Kejahatan Komputer, UU Tandatangan Digital, UU Komunikasi dan Multimedia, juga perlindungan hak cipta dalam internet melalui amandemen UU Hak Ciptanya. Sementara, RUU Perlindungan Data Personal kini masih digodok di parlemen Malaysia.
The Computer Crime Act itu sendiri mencakup mengenai kejahatan yang dilakukan melalui komputer, karena cybercrime yang dimaksud di negara Malaysia tidak hanya mencakup segala aspek kejahatan/pelanggaran yang berhubungan dengan internet. Akses secara tak terotorisasi pada material komputer, adalah termasuk cybercrime. Hal ini berarti, jika saya memiliki komputer dan anda adalah orang yang tidak berhak untuk mengakses komputer saya, karena saya memang tidak mengizinkan anda untuk mengaksesnya, tetapi anda mengakses tanpa seizin saya, maka hal tersebut termasuk cybercrime, walaupun pada kenyataannya komputer saya tidak terhubung dengan internet.
Lebih lanjut, akses yang termasuk pelanggaran tadi (cybercrime) mencakup segala usaha untuk membuat komputer melakukan/menjalankan program (kumpulan instruksi yang membuat komputer untuk melakukan satu atau sejumlah aksi sesuai dengan yang diharapkan pembuat instruksi-instruksi tersebut) atau data dari komputer lainnya (milik pelaku pelanggar) secara aman, tak terotorisasi, juga termasuk membuat komputer korban untuk menjalankan fungsi-fungsi tertentu sesuai dengan waktu yang telah ditentukan oleh pelaku pelanggar tadi.
Hukuman atas pelanggaran The computer Crime Act :
Denda sebesar lima puluh ribu ringgit (RM50,000) dan atau hukuman kurungan/penjara dengan lama waktu tidak melebihi lima tahun sesuai dengan hukum yang berlaku di negara tersebut (Malaysia).
The Computer Crime Act mencakup, sbb:
•Mengakses material komputer tanpa ijin
•Menggunakan komputer untuk fungsi yang lain
•Memasuki program rahasia orang lain melalui komputernya
•Mengubah / menghapus program atau data orang lain
•Menyalahgunakan program / data orang lain demi kepentingan pribadi.
Referensi :
http://blogkublogku.blogspot.com/2011/03/it-audit-dan-forensik.html
http://febry-aquarius.blogspot.com/2010/05/prosedur-audit.html
http://www.scribd.com/doc/6177708/Enam-Komponen-Audit-TI
http://www.scribd.com/doc/13263189/Audit-Sistem-Informasi
http://arizkaseptiani.wordpress.com/2011/03/20/audit-it-forensik/
http://donysetiadi.com/blog/2010/04/14/contoh-prosedur-dan-lembar-kerja-audit-it/
http://id.wikipedia.org/wiki/Audit_teknologi_informasi
http://raveshader.blogspot.com/2011/03/peraturan-dan-regulasi-perbedaan.html
http://fairuzelsaid.files.wordpress.com/2010/08/cyberlaw31.jpg
http://romisatriawahono.net/2007/03/20/mengupas-cybercrime-dan-cyberlaw-di-its/
http://irmarr.staff.gunadarma.ac.id/Downloads/folder/0.0