Standar dan Panduan untuk Audit Sistem Informasi
husnulchotimah
October 09, 2018
0 Comments
1. ISACA
ISACA adalah
suatu organisasi profesi internasional di bidang tata kelola
teknologi informasi yang didirikan di Amerika Serikat pada
tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems
Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya
untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi
informasi. ISACA telah memiliki kurang lebih 70.000 anggota yang tersebar
di 140 negara. Anggota ISACA terdiri dari antara lainauditor sistem informasi, konsultan,
pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO,
serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yangberada
di lebih dari 60 negara, termasuk di Indonesia.
ISACA mulai pada tahun 1967,
ketika sekelompok kecil orang dengan kontrol pekerjaan-audit serupa di sistem
komputer yang menjadi semakin penting untuk operasi mereka organisasi-duduk
untuk membahas perlunya sumber informasi terpusat dan bimbingan dalam bidang.
Pada tahun 1969, kelompok formal, menggabungkan sebagai Asosiasi EDP Auditor.
Pada tahun 1976 asosiasi membentuk yayasan pendidikan untuk melakukan upaya
penelitian besar-besaran untuk memperluas pengetahuan dan nilai tata kelola TI
dan bidang kontrol. Sebelumnya dikenal sebagai Audit Sistem Informasi dan
Control Association, ISACA sekarang berjalan dengan singkatan saja, untuk
mencerminkan berbagai profesional TI pemerintahan yang dilayaninya.
Kekuatan ISACA adalah jaringan
bab-nya. ISACA memiliki lebih dari 200 bab yang didirikan di lebih dari 80
negara di seluruh dunia, dan pasal-pasal menyediakan pendidikan anggota,
berbagi sumber daya, advokasi, jaringan profesional dan sejumlah manfaat
lainnya pada tingkat lokal.Sejak awal, ISACA telah menjadi organisasi global
kecepatan-pengaturan untuk informasi pemerintahan, kontrol, keamanan dan audit
yang profesional. IS audit dan IS standar kontrol diikuti oleh praktisi di
seluruh dunia. Penelitiannya titik-titik isu profesional menantang
konstituennya.
Certified Information Systems
Auditor (CISA) sertifikasi yang diakui secara global dan telah
diterima oleh lebih dari 109.000 profesional sejak awal. Certified Information
Security Manager (CISM) sertifikasi unik menargetkan penonton manajemen
keamanan informasi dan telah diterima oleh lebih dari 25.000 profesional.
Certified di Pemerintahan Enterprise IT (CGEIT) penunjukan mempromosikan
kemajuan profesional yang ingin diakui untuk pengalaman pemerintahan yang
berkaitan dengan IT dan pengetahuan dan telah diterima oleh lebih dari 6.000
profesional. Certified di Risiko dan Sistem Informasi Control (CRISC) sebutan
untuk mereka yang mengidentifikasi dan mengelola risiko melalui pengembangan,
implementasi dan pemeliharaan kontrol sistem informasi telah diterima oleh
lebih dari 17.000 profesional. ISACA menerbitkan jurnal teknis terkemuka
di bidang kontrol informasi, ISACA Journal. Ini host serangkaian konferensi
internasional yang memfokuskan pada kedua topik teknis dan manajerial yang
berkaitan dengan jaminan IS, kontrol, keamanan dan TI profesi pemerintahan.
Bersama-sama, ISACA dan Institute Governance berafiliasi TI memimpin komunitas
pengendalian teknologi informasi dan melayani para praktisi dengan memberikan
unsur yang dibutuhkan oleh para profesional TI di lingkungan di seluruh dunia
yang selalu berubah.
Gelar CISA ini dikeluarkan
oleh ISACA (Information
Systems Audit and Control Association). Selain CISA,
ISACA juga mengeluarkan sertifikasi atu gelar CISM (Certified
Information Systems Manager) dan CGEIT (Certified
in the Governance of Enterprise IT).
Gelar CISA ini terkait erat
dengan profesi Information
Technology (IT) auditor. Namun banyak juga CISA-holder yang non-IT
auditor, seperti misalnya IT/Information Systems (IS) security consultant,
IT/IS consultant, compliance/risk management, dan lain-lain.
2. IIA COSO
COSO kepanjangannya Committee of
Sponsoring Organizations of the Treadway Commission.
Sejarahnya, COSO ini
ada kaitannya sama FCPA yang
dikeluarkan sama SEC dan US Congress di
tahun 1977 untuk melawan fraud dan korupsi yang marak di Amerika tahun 70-an.
Bedanya, kalo FCPA adalah inisiatif dari eksekutif-legislatif, nah kalo COSO
ini lebih merupakan inisiatif dari sektor swasta.
Sektor swasta ini membentuk
‘National Commission on Fraudulent Financial Reporting’ atau dikenal juga
dengan ‘The Treadway Commission’ di tahun 1985. Komisi ini disponsori oleh 5
professional association yaitu: AICPA, AAA, FEI, IIA, IMA.
Tujuan komisi ini adalah melakukan riset mengenai fraud dalam pelaporan
keuangan (fraudulent on financial reporting) dan membuat rekomendasi2 yang
terkait dengannya untuk perusahaan publik, auditor independen, SEC, dan
institusi pendidikan.
Walaupun disponsori sama 5
professional association, tapi pada dasarnya komisi ini bersifat independen dan
orang2 yang duduk di dalamnya berasal dari beragam kalangan: industri, akuntan
publik, Bursa Efek, dan investor. Nama ‘Treadway’ sendiri berasal dari nama
ketua pertamanya yaitu James C. Treadway, Jr. Komisi ini mengeluarkan report
pertamanya pada 1987. Isi reportnya di antaranya adalah merekomendasikan
dibuatnya report komprehensif tentang pengendalian internal (integrated
guidance on internal control). Makanya terus dibentuk COSO, yang kemudian
bekerjasama dengan Coopers & Lybrand (Ehm,
kira2 bisa dibilang mbahnya PwC gitu) untuk membuat report itu.
Coopers & Lybrand mengeluarkan
report itu pada 1992, dengan perubahan minor pada 1994, dengan judul ‘Internal
Control – Integrated Framework’. Report ini berisi definisi umum internal
control dan membuat framework untuk melakukan penilaian (assessment) dan
perbaikan (improvement) atas internal control. Gunanya report ini salah satunya
adalah untuk mengevaluasi FCPA compliance di suatu perusahaan.
Poin penting dalam report COSO
‘Internal Control – Integrated Framework’ (1992):
Definisi internal control menurut
COSO
Suatu proses yang dijalankan oleh
dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance
mengenai:
- Efektifitas dan efisiensi operasional
- Reliabilitas pelaporan keuangan
- Kepatuhan atas hukum dan peraturan yang berlaku
Menurut COSO framework, Internal
control terdiri dari 5 komponen yang saling terkait, yaitu:
- Control Environment
- Risk Assessment
- Control Activities
- Information and communication
- Monitoring
Di tahun 2004, COSO mengeluarkan
report ‘Enterprise Risk Management – Integrated Framework’, sebagai
pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise
Risk Management, yaitu:
- Internal Environment
- Objective Setting
- Event Identification
- Risk Assessment
- Risk Response
- Control Activities
- Information and Communication
- Monitoring
3. ISO 1799
ISO / IEC 17799: 2005 menetapkan
pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan memperbaiki
manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang diuraikan
memberikan panduan umum mengenai tujuan umum manajemen keamanan informasi yang diterima
secara umum.
ISO / IEC 17799: 2005 berisi praktik terbaik pengendalian dan
pengendalian pengendalian di bidang pengelolaan keamanan informasi berikut:
- pengorganisasian keamanan informasi;
- manajemen aset;
- keamanan sumber daya manusia;
- keamanan fisik dan lingkungan;
- komunikasi dan manajemen operasi;
- kontrol akses;
- akuisisi sistem informasi, pengembangan dan pemeliharaan;
- manajemen insiden keamanan informasi;
- manajemen kontinuitas bisnis;
- pemenuhan.
Referensi :
https://medium.com/@khristdamay/kerangka-pengendalian-coso-f4ecca22a10f
